Management der Wiederherstellungsschlüssel

Wenn alle für FileVault 2 aktivierten Benutzer eines Systems ihre Kennwörter vergessen, keine Anmeldeinformationen verfügbar sind und kein Wiederherstellungsschlüssel verfügbar ist, kann das verschlüsselte Laufwerk nicht entsperrt werden und es besteht kein Zugriff auf die Daten. Daten könnten unwiederbringlich verloren werden, deshalb ist es wesentlich, die Wiederherstellung entsprechend zu planen.

Ein neuer Wiederherstellungsschlüssel wird jeweils bei der Aktivierung der Festplattenverschlüsselung generiert. Wenn Sophos SafeGuard Native Device Encryption zum Zeitpunkt der Verschlüsselung noch nicht installiert ist, dann wird er dem Benutzer angezeigt, der in der Folge auch dafür verantwortlich ist, ihn gegen Verlust zu schützen. Ist Sophos SafeGuard Native Device Encryption installiert, dann wird er sicher an das SafeGuard Enterprise übermittelt und dort zentral gespeichert. Der Sicherheitsbeauftragte kann den Wiederherstellungsschlüssel jederzeit abfragen, wenn er benötigt wird. Siehe Vergessenes Kennwort zurücksetzen.

Aber selbst wenn SafeGuard Native Device Encryption zum Zeitpunkt der Verschlüsselung nicht installiert war, kann der Wiederherstellungsschlüssel zentral verwaltet werden. Dafür ist es notwendig, ihn zu importieren. Der entsprechende Kommandozeilenbefehl ist sgdeadmin --import-recoverykey, siehe auch Kommandozeilen-Optionen. Der Wiederherstellungsschlüssel wird in Großbuchstaben gesendet.

Ein eventuell vorhandener institutioneller Wiederherstellungsschlüssel kann ebenfalls verwendet werden. Mehr Information dazu finden Sie auch in: OS X: How to create and deploy a recovery key for FileVault 2 unter support.apple.com/kb/HT5077