Вимкніть можливість користувача розблокувати том FileVault 2 під час запуску / входу

28

Нещодавно я здійснив чисту установку Lion на одному з моїх Macs. Процес встановлення створив один адміністративний обліковий запис користувача. Після установки я включив FileVault для всього диска. Потім я створив додаткового адміністративного користувача. Обидва користувачі можуть розшифрувати диск під час входу.

Як я можу відкликати права дешифрування для одного з користувачів, не видаляючи користувача або тимчасово відключаючи FileVault? Я намагався відкликати адміністративний привілей одного користувача, роблячи його звичайним користувачем, але вони все ще можуть розшифрувати диск під час завантаження.

macos  lion  filevault 
крикет
джерело
Оскільки домашня папка цього користувача зберігається на зашифрованому диску (як і всі програми), ви можете також призупинити дію цього облікового запису, якщо диск залишиться зашифрованим. Можливо, мені чогось не вистачає - але це здається буквально неможливим.
bmike
Це не відповідь, лише деяка довідкова інформація, яка допоможе нам знайти відповідь. Я просто не маю відповіді, щоб коментувати. Це насправді має бути можливо за умови, що ми зможемо знайти місце для зміни дозволів. У статті про підтримку Apple, 22 липня 2011 р. ["OS X Lion: About FileVault 2"] [a], вони заявляють наступне:> Користувачі, не включені для розблокування FileVault, зможуть увійти до цього Mac лише після включеного розблокування користувач запустив або розблокував диск. Після розблокування накопичувач залишається розблокованим та доступним для всіх користувачів, поки комп'ютер не спить, перебуває в сплячку чи не вимикається. H
Herb Mann
Якщо на комп'ютері вже є кілька облікових записів користувачів, коли ви вмикаєте FileVault2, то він запитає вас, яким користувачам ви хочете дозволити розшифрувати диск під час завантаження. Таким чином, доступ до деяких облікових записів користувачів можливий. Якщо у вас є користувачі Емі та Баррі, і ви надаєте доступ лише Емі, їй доведеться увійти під час завантаження, перш ніж Баррі зможе перейти на його акаунт. Ви можете мати рацію, що це зробити неможливо з огляду на мої обмеження, але я поки не здаюся. :-)
kccricket
Нічого собі - схоже, мені потрібно ще більше вивчитись, перш ніж сказати про неможливе :-) Я міг бачити, як це досягти, зберігаючи ключ (а не пароль) у брелок цього користувача. Ви шукали там, щоб побачити, чи це так просто?
bmike
Я знайшов одну статтю, яка стверджує, що ключ розшифровки зберігається у брелоку користувача. Я не можу знайти жодних доказів цього ні в реєстраційних, ні в системних брелоках. У будь-якому випадку, це не мало б сенсу, оскільки брелки зберігаються на зашифрованому розділі. Не вдалося б дістатися до них, не попередньо розшифрувавши привід. Я прочитав одну статтю (зараз не можу її знайти), в якій стверджується, що ключ шифрування зберігається на розділі відновлення, але я переглянув це і не зміг знайти нічого важливого. Це досить загадка.
kccricket

Відповіді:

37

Використовуйте fdesetup:

sudo fdesetup remove -user username

Дивіться: http://derflounder.wordpress.com/2012/07/25/using-fdesetup-with-mountain-lions-filevault-2/

user51533
джерело
Це правильно для Гірського Лева, хоча я не впевнений 1), що він працює для Лева чи 2) був доступний у Леві, коли питання було задано спочатку.
TJ Luoma
Це працює і на Mavericks
Devon_C_Miller
3
А також він працює на OS X 10.10 Yosemite.
Рафаель Бугаєвський
1
sudo fdesetup remove -user usernameпрацює і на macOS 10.12 Sierra!
jaume
1
sudo fdesetup remove -user usernameПрацює і для macOS 10.13 High Sierra.
Каппа
4

Це не неможливо. (Хоча якщо ви видалили користувача, можливо, ви ускладнили це!)

Я написав статтю «jaydisc», пов’язану з і лише перевірив, що вона все ще працює в 10.7.4:

Припустимо, що у вас є користувач "Чарлі" адміністратора, яким ви хочете користуватися, але не розблокувати комп'ютер:

sudo su - charlie  
$ passwd 
Changing password for charlie.
Old Password:**[enter old password here]**
New Password:**[press enter]**
Retype New Password:**[press enter]**
$

Зауважте, що ви не можете цього зробити:

sudo passwd charlie
Changing password for charlie.
New password:

тому що якщо ви натиснете клавішу Enter, коли отримаєте "новий запит на пароль", він повернеться і скаже:

Password unchanged.
TJ Luoma
джерело
3

Схоже, тимчасове видалення паролів користувачів видаляє їх із меню завантаження EFI:

http://www.tuaw.com/2011/12/12/prevent-certain-accounts-from-unlocking-filevault-2/

На жаль, у моєму випадку деякі користувачі є користувачами Open Directory Mobile, і я не можу знайти спосіб встановити їхній пароль порожнім.

jaydisc
джерело
2

FileVault 2 та відновлення HD

Відновлення HD не слід плутати з ОС відновлення (одна більша, ніж інша).

Коли ви ввімкнете FileVault 2 для користувача: незашифрований прихований розділ Apple_Boot Recovery HD, окремий від, але критичний для зашифрованого тома запуску, тимчасово встановлений для запису в пов'язані з EFI та інші файли. Якщо ви хочете переглянути цю діяльність у файловій системі, ввімкнувши користувача для розблокування:

  • перед натисканням кнопки Готово використовуйте команду, наприклад fs_usage, або програму, наприклад fseventer .

Погляд на активність говорить про те, що зміни в незашифрованому томі - стосовно облікового запису користувача на зашифрованому томі - нетривіальні .

Якщо користувачеві надано невідповідні повноваження для розблокування

Можливо, оновлення до Lion (щось більше, ніж Build 11A511) надасть спосіб видалити з вікна входу в систему EFI користувача, який більше не зможе розблокувати том запуску.

Тим часом я можу придумати лише два методи, які можна використовувати.

Спосіб A: відключіть, тоді ввімкніть FileVault

  1. відключити FileVault 2

  2. дозволити завершення зворотного перетворення

  3. перезавантажте операційну систему

  4. увімкніть FileVault 2, але не для цього користувача.

Спосіб B: видаліть користувача, але не домашній каталог, et cetera

Я не перевіряв цей метод, я думаю, що наступне може спрацювати:

  1. резервне копіювання

  2. видаліть користувача, але не домашній каталог користувача

  3. перезавантажте операційну систему

  4. створити нового користувача з тим самим RecordName, що і оригінал

  5. встановити номер UniqueID, який відрізняється від оригіналу

  6. пов’язати попередній домашній каталог з новим користувачем.

Грем Перрін
джерело
0

Ось дуже проста відповідь про те, як відключити раніше доступний користувач доступ до зашифрованого накопичувача FileVault 2:

У терміналі використовуйте:

sudo fdesetup remove -user Username

Після цього ви побачите відключеного користувача у списку користувачів, доступних для включення у налаштуваннях системи-> Безпека та конфіденційність -> FileVault як підтвердження того, що відключення було успішним

Йень
джерело
3
Чим це відрізняється від прийнятої відповіді?
nohillside
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.