Wyłącz zdolność użytkownika do odblokowania woluminu FileVault 2 podczas uruchamiania / logowania

28

Niedawno przeprowadziłem czystą instalację Lion na jednym z moich komputerów Mac. Proces instalacji utworzył jedno konto użytkownika administracyjnego. Po instalacji włączyłem FileVault dla całego dysku. Następnie utworzyłem dodatkowego użytkownika administracyjnego. Obaj użytkownicy mogą odszyfrować dysk podczas logowania.

Jak mogę odwołać prawa do odszyfrowania jednego z użytkowników bez usuwania użytkownika lub tymczasowego wyłączenia FileVault? Próbowałem odwołać uprawnienia administracyjne jednego użytkownika, czyniąc go zwykłym użytkownikiem, ale nadal są w stanie odszyfrować dysk podczas uruchamiania.

macos lion filevault kccricket
źródło
Ponieważ folder domowy tego użytkownika jest przechowywany na zaszyfrowanym dysku (jak również we wszystkich aplikacjach), równie dobrze możesz zawiesić to konto użytkownika, jeśli dysk pozostanie zaszyfrowany. Być może czegoś mi brakuje - ale wydaje się to dosłownie niemożliwe.
bmike
To nie jest odpowiedź, a jedynie podstawowe informacje, które pomogą nam znaleźć odpowiedź. Po prostu nie mam jeszcze przedstawiciela, żeby skomentować. Powinno to być faktycznie możliwe, pod warunkiem, że znajdziemy miejsce do zmiany uprawnień. W artykule wsparcia Apple z 22 lipca 2011 r. [„OS X Lion: About FileVault 2”] [a] stwierdzają, co następuje:> Użytkownicy, którzy nie mają włączonej funkcji FileVault, będą mogli zalogować się na tym komputerze Mac dopiero po włączeniu odblokowania użytkownik uruchomił lub odblokował dysk. Po odblokowaniu dysk pozostaje odblokowany i dostępny dla wszystkich użytkowników, dopóki komputer nie przejdzie w tryb uśpienia, hibernuje lub nie zostanie zamknięty. H
Herb Mann
Jeśli komputer ma już wiele kont użytkowników po włączeniu FileVault2, zapyta użytkowników, którym chcesz zezwolić na odszyfrowanie dysku podczas uruchamiania. Możliwe jest więc, że tylko niektóre konta użytkowników mają dostęp. Jeśli masz użytkowników Amy i Barry i dajesz dostęp tylko Amy, musiałaby się zalogować podczas rozruchu, zanim Barry przełączy się na jego konto. Być może masz rację, że może to być niemożliwe ze względu na moje ograniczenia, ale jeszcze się nie poddaję. :-)
kccricket
Wow - wygląda na to, że muszę przestudiować więcej, zanim powiesz niemożliwe :-) Widziałem, jak można to osiągnąć, przechowując klucz (zamiast hasła) w pęku kluczy tego użytkownika. Czy szukałeś tam, czy to takie proste?
bmike
Znalazłem jeden artykuł, który twierdzi, że klucz deszyfrujący jest przechowywany w pęku kluczy użytkownika. Nie mogę znaleźć żadnych dowodów na to ani w pęku kluczy logowania, ani w systemie. W każdym razie nie miałoby to sensu, ponieważ pęki kluczy są przechowywane na zaszyfrowanej partycji. Nie byłoby sposobu, aby się do nich dostać bez uprzedniego odszyfrowania dysku. Przeczytałem jeden artykuł (nie mogę go teraz znaleźć), który twierdził, że klucz szyfrowania jest przechowywany na partycji odzyskiwania, ale przejrzałem to i nie znalazłem nic godnego uwagi. To dość zagadka.
kccricket

Odpowiedzi:

37

Użyj fdesetup:

sudo fdesetup remove -user username

Zobacz: http://derflounder.wordpress.com/2012/07/25/using-fdesetup-with-mountain-lions-filevault-2/

użytkownik51533
źródło
Jest to poprawne w przypadku Mountain Lion, chociaż nie jestem pewien, czy 1) działa dla Lion lub 2) był dostępny w Lion, gdy pytanie zostało pierwotnie zadane.
TJ Luoma,
Działa to również na Mavericks
Devon_C_Miller
3
Działa również w systemie OS X 10.10 Yosemite.
Rafael Bugajewski,
1
sudo fdesetup remove -user usernamedziała również na macOS 10.12 Sierra!
jaume
1
sudo fdesetup remove -user usernameDziała również w systemie macOS 10.13 High Sierra.
Kappa
4

To nie jest niemożliwe. (Chociaż jeśli usunąłeś użytkownika, być może skomplikowałeś to!)

Napisałem artykuł „jaydisc” połączony z i właśnie przetestowałem, że nadal działa w 10.7.4:

Załóżmy, że masz administratora „Charlie”, z którego chcesz móc korzystać, ale nie odblokowywać, komputer:

sudo su - charlie  
$ passwd 
Changing password for charlie.
Old Password:**[enter old password here]**
New Password:**[press enter]**
Retype New Password:**[press enter]**
$

Pamiętaj, że nie możesz tego zrobić:

sudo passwd charlie
Changing password for charlie.
New password:

ponieważ jeśli naciśniesz Enter, gdy pojawi się monit o nowe hasło, wróci i powie:

Password unchanged.
TJ Luoma
źródło
2

FileVault 2 i Recovery HD

Recovery HD nie należy mylić z Recovery OS (jeden jest większy od drugiego).

Po włączeniu FileVault 2 dla użytkownika: niezaszyfrowana ukryta partycja Apple_Boot Recovery HD, oddzielna od, ale krytyczna dla zaszyfrowanego woluminu startowego, jest tymczasowo montowana do zapisu do plików związanych z EFI i innymi plikami. Jeśli chcesz wyświetlić aktywność tego systemu plików, jednocześnie umożliwiając użytkownikowi odblokowanie:

  • przed kliknięciem Gotowe użyj polecenia takiego jak fs_usage lub aplikacji takiej jak fseventer .

Rzut oka na działanie sugeruje, że zmiany w niezaszyfrowanym woluminie - w odniesieniu do konta użytkownika na zaszyfrowanym woluminie - nie są łatwe .

Jeśli użytkownik uzyska niewłaściwe uprawnienia do odblokowania

Być może aktualizacja Lion (coś większego niż kompilacja 11A511) zapewni sposób usunięcia z okna logowania EFI użytkownika, który nie powinien już być w stanie odblokować woluminu startowego.

W międzyczasie mogę wymyślić tylko dwie metody, które można zastosować.

Metoda A: wyłącz, a następnie włącz FileVault

  1. wyłącz FileVault 2

  2. zezwól na zakończenie konwersji wstecznej

  3. uruchom ponownie system operacyjny

  4. włącz FileVault 2, ale nie dla tego użytkownika.

Metoda B: usuń użytkownika, ale nie katalog domowy, i tak dalej

Nie przetestowałem tej metody, wyobrażam sobie, że mogą działać następujące czynności:

  1. utworzyć kopię zapasową

  2. usuń użytkownika, ale nie katalog domowy użytkownika

  3. uruchom ponownie system operacyjny

  4. utwórz nowego użytkownika o tej samej nazwie rekordu co oryginał

  5. ustaw numer UniqueID, który różni się od oryginału

  6. powiąż poprzedni katalog domowy z nowym użytkownikiem.

Graham Perrin
źródło
0

Oto bardzo prosta odpowiedź na to, jak wyłączyć dostęp wcześniej włączonego użytkownika do zaszyfrowanego dysku FileVault 2:

W terminalu użyj:

sudo fdesetup remove -user Username

Następnie zobaczysz wyłączonego użytkownika na liście użytkowników, którzy są dostępni do włączenia w Preferencjach systemowych-> Bezpieczeństwo i prywatność -> FileVault jako potwierdzenie, że wyłączenie zakończyło się pomyślnie

Yhen
źródło
3
Czym różni się to od przyjętej odpowiedzi?
nohillside