Proces pro obnovení šifrování je nutné provést v případě, kdy na stanici spuštěna úloha pro zneplatnění FDE hesla, vyskytl se problém se šifrováním nebo EFDE pre-boot přihlášením, případně se nepodařilo obnovit heslo. Tímto procesem dešifrujete disk na pracovní stanici a deaktivujete EFDE pre-boot přihlašovací obrazovku.
Pro obnovení je vyžadováno Workstation ID. U ID pracovní stanice se rozlišují malá a velká písmena. Workstation ID je zobrazeno v dolní části pre-boot přihlašovací obrazovky:
|
|
•Všichni uživatelé, kteří mají oprávnění pro čtení nad statickou skupinou Všechna zařízení (přístup ke všem zařízením) mají také přístup k datům pro obnovení odebraných zařízení.
•Z bezpečnostních důvodů jsou data pro obnovení k dispozici pouze uživatelům s přístupem ke statické skupině Všechna zařízení, například pouze globálním správcům. |
Administrátor může tuto akci provést dvěma způsoby:
Administrátor dokáže identifikovat stanici v konzoli pro vzdálenou správu:
1.V konzoli pro vzdálenou správu si otevřete Detaily počítače požadované stanice.
2.Na dlaždici Šifrování klikněte na tlačítko Spravovat a v kontextovém menu vyberte možnost Obnovení přístupu > Data pro obnovení.
Administrátor nedokáže identifikovat stanici v konzoli pro vzdálenou správu:
1.V pravém horním rohu konzole pro vzdálenou správu klikněte na Nápověda > Obnovení šifrování.
2.V zobrazeném dialogovém okně vyberte možnost Data pro obnovení.
3.V tomto bodě nyní administrátor potřebuje od uživatele získat Workstation ID. Workstation ID je zobrazeno v dolní části EFDE pre-boot přihlašovací obrazovky.
Od tohoto kroku je proces obnovení stejný pro obě výše uvedené možnosti.
Stažení souboru s daty pro obnovení:
1.V zobrazeném dialogovém okně si vytvořte jednorázové heslo (toto heslo bude platné pouze pro tento konkrétní proces dešifrování).
2.Klikněte na Vytvořit data pro obnovení přejděte na další krok.
3.V dalším okně klikněte na efderecovery.dat > Stáhnout a uložit soubor. Po dokončení tohoto kroku klikněte na tlačítko Zavřít.
|
|
Soubor "efderecovery.dat" je unikátní pro každou pracovní stanici a každý proces šifrování. To znamená, že soubor nebude stejný, pokud jste stanici zašifrovali, dešifrovali a znovu zašifrovali.
|
ESET Recovery Media Creator
1.Do počítače vložte prázdné USB médium.
|
|
Ujistěte se, že USB jednotka je naformátována ve FAT32. Diskový oddíl je vyžadován pro nastavení ESET Recovery Media Creator.
Při použití režimu EFI je maximální limit 32 GB. Pokud limit překročíte, ESET Recovery Media Creator zobrazí Cílový oddíl je příliš velký (maximálně 32 GB).
|
2.Stáhněte si ESET Recovery Media Creator.
3.Nástroj spusťte a pokračujte kliknutím na tlačítko Další.
4.Vyberte možnost Win RE USB 32/64 bit.
|
|
Při vytváření Win RE USB musí architektura (x86 / x64) hostitelského systému, na kterém jste nástroj spustili, odpovídat architektuře obnovovaného systému.
|
5.Pomocí rozbalovacího menu Destination disk vyberte vloženou prázdnou USB jednotku z kroku 1.
6.Z rozbalovacího menu What type of computer are you recovering vyberte možnost ESET PROTECT Managed.
7.V dalším kroku klikněte na tlačítko Procházet a vyberte dříve vygenerovaný soubor efderecovery.dat.
8.Volitelné: Další podpůrné soubory vybírejte pouze v případě, že vás k tomu vyzvali specialisté technické podpory ESET.
9.Klikněte na tlačítko Další.
10. Zkontrolujte nastavení a vytváření záchranného média zahajte kliknutím na tlačítko Start.
11. Následně se zobrazí dialogové okno operačního systému vyžadující potvrzení formátování vybrané jednotky. Pokračujte kliknutím na tlačítko Ano.
12. Vyčkejte na dokončení.
13. Po dokončení procesu vytvoření záchranného media na tlačítko Dokončit.
14. Bezpečně odeberte USB jednotku s vytvořeným záchranným médiem.
Dešifrování zašifrované pracovní stanice.
1.Vložte USB jednotku se záchranným médiem do cílové pracovní stanice.
2.Na cílové pracovní stanici si otevřete boot manager a jako první zařízení vyberte USB.
3.Vyberte možnost Decrypt all encrypted disks (EFDE managed recovery file).
4.Do zobrazeného pole zadejte heslo pro obnovení dříve definované prostřednictvím konzole pro vzdálenou správu.
5.Následně se zobrazí upozornění. Přečtěte si zobrazené informace a pokračujte kliknutím na tlačítko Ano.
6.Pro zahájení procesu dešifrování si dle svých preferencí vyberte jeden z režimů.
|
|
Ujistěte se o dokončení procesu. NEVYPÍNEJTE ani neodpojujte počítač od sítě.
|
7.Po dešifrování pracovní stanice klikněte na tlačítko OK a následně Shutdown.
8. Při příštím spuštění pracovní stanice se nezobrazí EFDE pre-boot obrazovka a systém Windows by se měl spustit normálně. |
1.Do počítače vložte prázdné USB médium.
2.Stáhněte si Encryption recovery tool pro macOS.
3.Rozbalte obsah souboru staženého v předchozím kroku na USB jednotku.
4.Na USB jednotku dále zkopírujte soubor efderecovery.dat.
|
|
Pro úspěšné dokončení procesu je vyžadováno uživatelské heslo cílového počítače s operačním systémem macOS. Bez zadaní hesla nebude možné proces dokončit.
|
5.Vložte USB jednotku do obnovovaného macOS počítače a při startu počítače přejděte pomocí klávesové zkratky CMD+R do systému Zotavení macOS.
6.Zadejte uživatelské heslo a dále klikněte Nástroje macOS > Utility > Terminál.
7.V terminálu přejděte na USB jednotku a příkazem ./recoveryapp efderecovery.dat vygenerujte soubor FileVaultRecovery.keychain.
8.Zadejte heslo, které jste definovali při vytváření souboru efderecovery.dat prostřednictvím konzole pro vzdálenou správu.
9.Po úspěšném vytvoření souboru FileVaultRecovery.keychain můžete přejít k dešifrování disku.
10. V dalším kroku identifikujte zašifrovaný disk. V terminálu přejděte do kořenového adresáře a spusťte příkaz diskutil apfs list. Tím si zobrazíte seznam APFS svazků.
11. V zobrazeném seznamu najděte svazek s názvem "Macintosh HD", u které je uvedeno Filevault: Yes (Locked).
APFS Volume Disk (Role):
|
disk2s1 (Data)
|
Name:
|
macintosh HD - Data (Case-insensitive)
|
Mount point:
|
Not Mounted
|
Capacity Consumed:
|
5490372608 B (5.5 GB)
|
FileVault:
|
Yes (Locked)
|
12. Poznamenejte si ID svazku (například disk2s1).
13. Dále níže uvedeným příkazem odemkněte soubor FileVaultRecovery.keychain:
security unlock-keychain /path/to/FileVaultRecovery.keychain
příklad: security unlock-keychain /Volumes/PatriotUSB/FileVaultRecovery.keychain
14. Před zahájením dešifrování je nutné dále odemknout svazek. To provedete následujícím příkazem:
diskutil apfs unlockVolume /dev/disk2s1, kde nahradíte "disk2s1" skutečným ID svazku získaného dříve. Pro pokračování je vyžadováno zadání uživatelského hesla.
15. Od této chvíle je jednotka odemčena a můžete pokračovat v dešifrování disku pomocí klíče pro obnovení vygenerovaného prostřednictvím recoveryapp.
APFS Volume Disk (Role):
|
disk2s1 (Data)
|
Name:
|
macintosh HD - Data (Case-insensitive)
|
Mount point:
|
/Volumes/macintosh HD - Data
|
Capacity Consumed:
|
9967968256 B (10.0 GB)
|
FileVault:
|
Yes (Unlocked)
|
16. Pro pokračování v dešifrování spusťte následující příkaz:
diskutil apfs decryptVolume /dev/volume id –recoverykeychain /path/to/filename.keychain
příklad: diskutil apfs decryptVolume /dev/disk2s1 –recoverykeychain /Volumes/PatriotUSB/FileVaultRecovery.keychain
17. Stav dešifrování můžete kdykoli zkontrolovat pomocí příkazu: diskutil apfs list
APFS Volume Disk (Role):
|
disk2s1 (Data)
|
Name:
|
macintosh HD - Data (Case-insensitive)
|
Mount point:
|
/Volumes/macintosh HD - Data
|
Capacity Consumed:
|
9983823872 B (10.0 GB)
|
FileVault:
|
36.0% (Unlocked)
|
18. Po úspěšném dešifrování ukončete terminál a restartujte počítač. |