Nonaktifkan kemampuan pengguna untuk membuka kunci volume FileVault 2 pada saat startup / login

28

Baru-baru ini saya melakukan instalasi Lion yang bersih di salah satu Mac saya. Proses instalasi membuat satu akun pengguna administratif. Setelah instalasi, saya mengaktifkan FileVault untuk seluruh disk. Kemudian, saya membuat pengguna administratif tambahan. Kedua pengguna dapat mendekripsi drive saat login.

Bagaimana cara saya mencabut hak dekripsi untuk salah satu pengguna tanpa menghapus pengguna atau sementara menonaktifkan FileVault? Saya telah mencoba mencabut hak administratif satu pengguna, menjadikan mereka pengguna biasa, tetapi mereka masih dapat mendekripsi drive saat boot.

macos  lion  filevault 
kccricket
sumber
Karena folder beranda pengguna itu disimpan di disk terenkripsi (dan juga semua Aplikasi), Anda mungkin juga menangguhkan akun pengguna itu jika disk tersebut akan tetap dienkripsi. Mungkin saya kehilangan sesuatu - tetapi tampaknya secara harfiah mustahil dilakukan.
bmike
Ini bukan jawaban, hanya beberapa informasi latar belakang untuk membantu kami menemukan jawaban. Saya hanya belum memiliki perwakilan untuk berkomentar. Ini sebenarnya harus dimungkinkan, asalkan kita dapat menemukan tempat untuk mengubah izin. Dalam artikel dukungan Apple 22 Juli 2011 ["OS X Lion: Tentang FileVault 2"] [a], mereka menyatakan sebagai berikut:> Pengguna yang tidak diaktifkan untuk membuka kunci FileVault hanya akan dapat masuk ke Mac setelah membuka kunci yang diaktifkan. pengguna telah memulai atau membuka kunci drive. Setelah tidak terkunci, drive tetap tidak terkunci dan tersedia untuk semua pengguna, hingga komputer tidur, hibernasi, atau dimatikan. H
Herb Mann
Jika komputer sudah memiliki beberapa akun pengguna saat Anda mengaktifkan FileVault2, maka ia akan menanyakan kepada Anda pengguna mana yang Anda inginkan untuk mendekripsi drive saat boot. Jadi, hanya beberapa akun pengguna yang dapat mengaksesnya. Jika Anda memiliki pengguna Amy dan Barry, dan hanya memberikan akses ke Amy, ia harus masuk saat boot sebelum Barry dapat beralih ke akunnya. Anda mungkin benar bahwa itu tidak mungkin dilakukan mengingat batasan saya, tapi saya belum menyerah. :-)
kccricket
Wow - sepertinya saya perlu belajar lebih banyak sebelum mengatakan tidak mungkin :-) Saya bisa melihat bagaimana hal ini dapat dilakukan dengan menyimpan kunci (daripada kata sandi) di gantungan kunci pengguna tersebut. Sudahkah Anda melihat ke sana untuk melihat apakah sesederhana itu?
bmike
Saya menemukan satu artikel yang mengklaim kunci dekripsi disimpan di gantungan kunci pengguna. Saya tidak dapat menemukan bukti tentang hal itu di login atau gantungan kunci Sistem. Bagaimanapun, itu tidak masuk akal, karena gantungan kunci disimpan pada partisi terenkripsi. Tidak akan ada cara untuk sampai ke mereka tanpa terlebih dahulu mendekripsi drive. Saya membaca satu artikel (tidak dapat menemukannya sekarang) yang mengklaim bahwa kunci enkripsi disimpan pada partisi pemulihan, tetapi saya telah mencarinya dan tidak dapat menemukan sesuatu yang patut diperhatikan. Ini cukup membingungkan.
kccricket

Jawaban:

37

Gunakan fdesetup:

sudo fdesetup remove -user username

Lihat: http://derflounder.wordpress.com/2012/07/25/using-fdesetup-with-mountain-lions-filevault-2/

pengguna51533
sumber
Ini benar untuk Mountain Lion, meskipun saya tidak yakin 1) bahwa itu berfungsi untuk Lion atau 2) tersedia di Lion ketika pertanyaan awalnya diajukan.
TJ Luoma
Ini juga berfungsi pada Mavericks
Devon_C_Miller
3
Dan itu juga berfungsi pada OS X 10.10 Yosemite.
Rafael Bugajewski
1
sudo fdesetup remove -user usernamebekerja di macOS 10.12 Sierra, juga!
jaume
1
sudo fdesetup remove -user usernameBekerja untuk macOS 10.13 Sierra Tinggi juga.
Kappa
4

Bukan tidak mungkin. (Meskipun jika Anda telah menghapus pengguna, Anda mungkin membuatnya lebih rumit!)

Saya menulis artikel 'jaydisc' yang ditautkan dan baru saja diuji bahwa masih berfungsi di 10.7.4:

Asumsikan bahwa Anda memiliki pengguna admin 'charlie' yang ingin Anda dapat gunakan, tetapi tidak membuka kunci, komputer:

sudo su - charlie  
$ passwd 
Changing password for charlie.
Old Password:**[enter old password here]**
New Password:**[press enter]**
Retype New Password:**[press enter]**
$

Perhatikan bahwa Anda tidak dapat melakukan ini:

sudo passwd charlie
Changing password for charlie.
New password:

karena jika Anda menekan enter ketika Anda mendapatkan 'prompt kata sandi baru' itu akan kembali dan berkata:

Password unchanged.
TJ Luoma
sumber
2

FileVault 2 dan Recovery HD

Pemulihan HD tidak menjadi bingung dengan OS Pemulihan (satu lebih besar dari yang lain).

Ketika Anda mengaktifkan FileVault 2 untuk pengguna: partisi Apple_Boot Recovery HD tersembunyi yang tidak dienkripsi, terpisah dari tetapi penting untuk volume startup terenkripsi, dipasang sementara untuk menulis ke file yang berhubungan dengan EFI dan yang lainnya. Jika Anda ingin melihat aktivitas sistem file ini, sementara memungkinkan pengguna untuk tujuan membuka kunci:

  • sebelum mengklik Selesai , gunakan perintah seperti fs_usage atau aplikasi seperti fseventer .

Pandangan sekilas pada aktivitas menunjukkan bahwa pengeditan pada volume yang tidak dienkripsi - dalam kaitannya dengan akun pengguna pada volume yang dienkripsi - adalah tidak trivial .

Jika pengguna diberi wewenang yang tidak patut untuk membuka kunci

Mungkin pembaruan untuk Lion (sesuatu yang lebih besar dari Build 11A511) akan memberikan cara untuk menghapus, dari jendela masuk EFI, pengguna yang seharusnya tidak lagi dapat membuka kunci volume startup.

Sementara itu saya hanya bisa memikirkan dua metode yang dapat digunakan.

Metode A: nonaktifkan lalu aktifkan FileVault

  1. nonaktifkan FileVault 2

  2. biarkan konversi mundur selesai

  3. restart sistem operasi

  4. aktifkan FileVault 2, tetapi tidak untuk pengguna itu.

Metode B: hapus pengguna tetapi bukan direktori home, dan sebagainya

Saya belum menguji metode ini, saya membayangkan bahwa yang berikut ini mungkin berhasil:

  1. cadangan

  2. hapus pengguna tetapi bukan direktori home pengguna

  3. restart sistem operasi

  4. buat pengguna baru dengan RecordName yang sama dengan aslinya

  5. atur nomor UniqueID yang berbeda dari aslinya

  6. kaitkan direktori home sebelumnya dengan pengguna baru.

Graham Perrin
sumber
0

Berikut adalah jawaban yang sangat sederhana tentang cara menonaktifkan akses pengguna yang sebelumnya diaktifkan ke drive terenkripsi FileVault 2:

Di terminal, gunakan:

sudo fdesetup remove -user Username

Anda akan melihat setelah itu pengguna yang dinonaktifkan dalam daftar pengguna yang tersedia untuk diaktifkan di System Preferences-> Security & Privacy -> FileVault sebagai verifikasi bahwa penonaktifan berhasil

Ya
sumber
3
Apa bedanya dengan jawaban yang diterima?
nohillside
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.