Vô hiệu hóa khả năng của người dùng để mở khóa ổ đĩa FileVault 2 khi khởi động / đăng nhập

28

Gần đây tôi đã thực hiện cài đặt sạch Lion trên một trong những máy Mac của mình. Quá trình cài đặt đã tạo một tài khoản người dùng quản trị. Sau khi cài đặt, tôi kích hoạt FileVault cho toàn bộ đĩa. Sau đó, tôi tạo thêm một người dùng quản trị. Cả hai người dùng có thể giải mã ổ đĩa trong khi đăng nhập.

Làm cách nào để thu hồi quyền giải mã cho một trong những người dùng mà không xóa người dùng hoặc tạm thời vô hiệu hóa FileVault? Tôi đã thử thu hồi đặc quyền quản trị của một người dùng, biến họ thành người dùng thông thường, nhưng họ vẫn có thể giải mã ổ đĩa trong khi khởi động.

macos  lion  filevault 
kccricket
nguồn
Vì thư mục nhà của người dùng đó được lưu trữ trên một đĩa được mã hóa (cũng như tất cả các Ứng dụng), bạn cũng có thể tạm ngưng tài khoản người dùng đó nếu đĩa vẫn được mã hóa. Có lẽ tôi đang thiếu một cái gì đó - nhưng dường như không thể làm được.
bmike
Đây không phải là một câu trả lời, chỉ là một số thông tin cơ bản để giúp chúng tôi tìm ra câu trả lời. Tôi chỉ không có đại diện để bình luận. Điều này thực sự có thể, với điều kiện là chúng ta có thể tìm thấy nơi để thay đổi quyền. Trong bài viết hỗ trợ ngày 22 tháng 7 năm 2011 của Apple ["OS X Lion: About FileVault 2"] [a], họ nêu rõ như sau:> Người dùng không được bật để mở khóa FileVault sẽ chỉ có thể đăng nhập vào máy Mac đó sau khi kích hoạt mở khóa người dùng đã bắt đầu hoặc mở khóa ổ đĩa. Sau khi mở khóa, ổ đĩa vẫn được mở khóa và có sẵn cho tất cả người dùng, cho đến khi máy tính ngủ, ngủ đông hoặc tắt. H
Herb Mann
Nếu máy tính đã có nhiều tài khoản người dùng khi bạn bật FileVault2, thì nó sẽ hỏi bạn người dùng nào bạn muốn cho phép giải mã ổ đĩa trong khi khởi động. Vì vậy, chỉ có thể một số tài khoản người dùng có quyền truy cập. Nếu bạn có người dùng Amy và Barry và chỉ cấp quyền truy cập cho Amy, cô ấy sẽ phải đăng nhập trong khi khởi động trước khi Barry có thể chuyển sang tài khoản của mình. Bạn có thể đúng rằng có thể không thể đưa ra những hạn chế của mình, nhưng tôi vẫn chưa từ bỏ. :-)
kccricket
Wow - có vẻ như tôi cần nghiên cứu thêm trước khi nói không thể :-) Tôi có thể thấy điều này sẽ được thực hiện bằng cách lưu trữ khóa (chứ không phải mật khẩu) trong móc khóa của người dùng đó. Bạn đã nhìn vào đó để xem nếu nó đơn giản như vậy?
bmike
Tôi tìm thấy một bài viết tuyên bố khóa giải mã được lưu trữ trong móc khóa của người dùng. Tôi không thể tìm thấy bất kỳ bằng chứng nào về điều đó trong khóa đăng nhập hoặc khóa hệ thống. Trong mọi trường hợp, điều đó sẽ không có ý nghĩa, vì các móc khóa được lưu trữ trên phân vùng được mã hóa. Sẽ không có cách nào để đến với họ mà không giải mã ổ đĩa trước. Tôi đã đọc một bài viết (không thể tìm thấy ngay bây giờ) tuyên bố rằng khóa mã hóa được lưu trữ trên phân vùng khôi phục, nhưng tôi đã xem qua điều đó và không thể tìm thấy bất cứ điều gì đáng chú ý. Đó là một câu hỏi hóc búa.
kccricket

Câu trả lời:

37

Sử dụng fdesetup:

sudo fdesetup remove -user username

Xem: http://derflounder.wordpress.com/2012/07/25/USE-fdesetup-with-menez-lions-filevault-2/

người dùng51533
nguồn
Điều này đúng với Mountain Lion, mặc dù tôi không chắc 1) rằng nó hoạt động cho Lion hay 2) có sẵn trong Lion khi câu hỏi ban đầu được hỏi.
TJ Luoma
Điều này cũng hoạt động trên Mavericks
Devon_C_Miller
3
Và nó cũng hoạt động trên OS X 10.10 Yosemite.
Rafael Bugajewski
1
sudo fdesetup remove -user usernamehoạt động trên macOS 10.12 Sierra, quá!
jaume
1
sudo fdesetup remove -user usernameHoạt động cho macOS 10.13 High Sierra, quá.
Kappa
4

Nó không phải là không thể. (Mặc dù nếu bạn đã xóa người dùng, bạn có thể đã làm điều này phức tạp hơn!)

Tôi đã viết bài báo 'jaydisc' được liên kết đến và chỉ kiểm tra rằng nó vẫn hoạt động trong 10.7.4:

Giả sử rằng bạn có một người dùng quản trị 'charlie' mà bạn muốn có thể sử dụng, nhưng không mở khóa máy tính:

sudo su - charlie  
$ passwd 
Changing password for charlie.
Old Password:**[enter old password here]**
New Password:**[press enter]**
Retype New Password:**[press enter]**
$

Lưu ý rằng bạn không thể làm điều này:

sudo passwd charlie
Changing password for charlie.
New password:

bởi vì nếu bạn nhấn enter khi bạn nhận được 'dấu nhắc mật khẩu mới', nó sẽ quay lại và nói:

Password unchanged.
TJ Luoma
nguồn
2

FileVault 2 và Recovery HD

Recovery HD không bị nhầm lẫn với Recovery OS (cái này lớn hơn cái kia).

Khi bạn bật FileVault 2 cho người dùng: phân vùng Apple_Boot Recovery HD ẩn không được mã hóa, tách biệt nhưng quan trọng với khối lượng khởi động được mã hóa, tạm thời được gắn để ghi vào các tệp liên quan đến EFI và các tệp khác. Nếu bạn muốn xem hoạt động hệ thống tệp này, trong khi cho phép người dùng cho mục đích mở khóa:

  • trước khi nhấp Xong , hãy sử dụng một lệnh như fs_usage hoặc một ứng dụng như fseventer .

Nhìn lướt qua hoạt động cho thấy rằng chỉnh sửa âm lượng không được mã hóa - liên quan đến tài khoản người dùng trên ổ đĩa được mã hóa - là không cần thiết .

Nếu người dùng được trao quyền không phù hợp để mở khóa

Có thể một bản cập nhật cho Lion (một cái gì đó lớn hơn Build 11A511) sẽ cung cấp một cách để loại bỏ, từ đăng nhập EFI, một người dùng không còn có thể mở khóa âm lượng khởi động.

Trong khi đó tôi chỉ có thể nghĩ ra hai phương pháp có thể được sử dụng.

Phương pháp A: vô hiệu hóa sau đó kích hoạt FileVault

  1. tắt FileVault 2

  2. cho phép chuyển đổi ngược để hoàn thành

  3. khởi động lại hệ điều hành

  4. bật FileVault 2, nhưng không cho người dùng đó.

Phương pháp B: xóa người dùng nhưng không xóa thư mục chính, et cetera

Tôi chưa thử nghiệm phương pháp này, tôi tưởng tượng rằng những điều sau đây có thể hoạt động:

  1. sao lưu

  2. xóa người dùng nhưng không xóa thư mục chính của người dùng

  3. khởi động lại hệ điều hành

  4. tạo một người dùng mới có cùng RecordName như bản gốc

  5. đặt số UniqueID khác với số gốc

  6. liên kết thư mục nhà trước với người dùng mới.

Graham Perrin
nguồn
0

Đây là câu trả lời rất đơn giản về cách vô hiệu hóa quyền truy cập của người dùng được kích hoạt trước đó vào ổ đĩa được mã hóa FileVault 2:

Trong thiết bị đầu cuối, sử dụng:

sudo fdesetup remove -user Username

Sau đó, bạn sẽ thấy người dùng bị vô hiệu hóa trong danh sách người dùng có sẵn để bật trong Tùy chọn hệ thống-> Bảo mật & quyền riêng tư -> FileVault khi xác minh rằng việc vô hiệu hóa đã thành công

Yhen
nguồn
3
Làm thế nào để điều này khác với câu trả lời được chấp nhận?
nohillside
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.