Escrow Buddy：你的 macOS 文件保险箱钥匙守护者

Escrow Buddy 是一个专为 macOS 设计的授权插件，它使 MDM（移动设备管理）管理员能够在缺乏有效托管恢复密钥的 Mac 上生成并保存新的 FileVault 个人恢复密钥。

这个开源项目源自 Netflix 的技术博客上的一篇文章，讲述了在 MDM 中丢失 FileVault 密钥的问题以及 Escrow Buddy 的诞生背景，点击这里阅读详细信息。

如果你已成功部署了 Escrow Buddy，请填写这个简短的调查问卷，我们非常感谢！

---

项目要求

• 管理中的 Mac 必须：
  • 已经注册到 MDM
  • 操作系统为 macOS Mojave 10.14.4 或更新版本
• 你的 MDM 必须：
  • 支持 FileVault 恢复密钥的托管
  • 部署带有 FDERecoveryKeyEscrow 负载的配置文件
  • 具有安装软件包和运行脚本的能力

请注意：Escrow Buddy 只适用于基于 MDM 的解决方案，不支持如 Crypt Server 或 Cauliflower Vest 这样的托管服务器。

---

部署步骤

1. 确保你有一个针对所有 Mac 的托管配置文件，其中包含 FDERecoveryKeyEscrow 负载。

   这将确保无论何时生成的新 FileVault 恢复密钥都会被托管到你的 MDM 服务器。

2. 通过你的 MDM 安装最新的 Escrow Buddy 安装包 到你的 Mac 上。

   你可以选择安装到所有 Mac，或者仅限于那些需要托管 FileVault 恢复密钥的设备。

3. 在没有有效 FileVault 恢复密钥托管的 Mac 上，使用你的 MDM 运行以下命令 （以 root 权限执行）：

   defaults write /Library/Preferences/com.netflix.Escrow-Buddy.plist GenerateNewKey -bool true
   

   建议使用 MDM 的动态分段功能动态地运行此脚本。更多示例可参考 例子 页面。

就这么简单！下次 FileVault 授权用户登录 Mac 时，就会生成一个新的 FileVault 个人恢复密钥，并将其托管到你的 MDM。

---

支持与贡献

访问维基页面获取 常见问题解答 和 故障排查 资源。

如果在这些页面中找不到答案，可以查看 问题（包括已关闭的问题），如果还没有找到解决办法，可以创建新问题。

为了得到更快更具体的回应，请在问题中提供以下信息：

• 日志输出（见维基了解如何获取日志）
• 正在部署的操作系统版本
• 使用的 MDM 名称及版本
• 已尝试过的故障排查步骤

---

贡献代码

欢迎贡献代码！要参与贡献，请创建仓库的 fork，在你的 fork 分支上进行更改，然后提交 拉取请求。你的更改将由项目维护者审查。

贡献不仅仅是代码；帮助维护我们的 维基 或回答 问题 我们也非常感激。

此外，如果你的组织成功部署了 Escrow Buddy，请考虑填写我们的简短调查，以便衡量该项目的社区影响。

---

致谢

Escrow Buddy 由 Netflix 客户端系统工程团队 创建。

灵感来源于 Graham Gilbert、Wes 和 Crypt 团队的 Crypt 项目，向他们表示巨大感谢！Jeremy Baker 和 Tom Burgin 在 2015 年 PSU MacAdmins 会议上的 授权插件 讲座也是宝贵的资源。

Escrow Buddy 遵循 Apache 2.0 许可证。

---

使用 Escrow Buddy，你无需担心失去对关键数据的访问权限。加入众多已经受益于此开源工具的管理员行列，让 FileVault 恢复密钥的备份和恢复变得更加轻松和安全。立即部署 Escrow Buddy，体验便捷而高效的数据保护解决方案！