ปิดการใช้งานความสามารถของผู้ใช้ในการปลดล็อกวอลุ่ม FileVault 2 ในเวลาเริ่มต้น / เข้าสู่ระบบ

28

ฉันเพิ่งติดตั้ง Lion ใน Mac ของฉัน กระบวนการติดตั้งสร้างบัญชีผู้ใช้สำหรับผู้ดูแลระบบหนึ่งบัญชี หลังจากการติดตั้งฉันเปิดใช้งาน FileVault สำหรับดิสก์ทั้งหมด จากนั้นฉันสร้างผู้ใช้การดูแลระบบเพิ่มเติม ผู้ใช้ทั้งสองสามารถถอดรหัสไดรฟ์ระหว่างการเข้าสู่ระบบ

ฉันจะยกเลิกสิทธิ์การถอดรหัสให้กับหนึ่งในผู้ใช้โดยไม่ลบผู้ใช้หรือปิดการใช้งาน FileVault ชั่วคราวได้อย่างไร ฉันได้ลองเพิกถอนสิทธิ์ผู้ดูแลระบบของผู้ใช้รายหนึ่งแล้วทำให้พวกเขาเป็นผู้ใช้ปกติ แต่พวกเขายังสามารถถอดรหัสไดรฟ์ระหว่างการบู๊ตได้

macos  lion  filevault 
kccricket
แหล่งที่มา
เนื่องจากโฟลเดอร์หลักของผู้ใช้นั้นถูกเก็บไว้ในดิสก์ที่เข้ารหัส (รวมถึงแอปพลิเคชันทั้งหมด) คุณอาจระงับบัญชีผู้ใช้นั้นหากดิสก์นั้นจะยังคงถูกเข้ารหัส บางทีฉันอาจจะพลาดอะไรบางอย่าง - แต่ดูเหมือนจะเป็นไปไม่ได้
bmike
นี่ไม่ใช่คำตอบเพียงข้อมูลเบื้องหลังเพื่อช่วยเราค้นหาคำตอบ ฉันแค่ไม่มีตัวแทนที่จะแสดงความคิดเห็น สิ่งนี้น่าจะเป็นไปได้จริงหากว่าเราสามารถหาสถานที่ที่จะเปลี่ยนแปลงการอนุญาตได้ ในบทความสนับสนุนของ Apple 22 กรกฎาคม 2011 ["OS X Lion: เกี่ยวกับ FileVault 2"] [a] พวกเขาระบุสิ่งต่อไปนี้:> ผู้ใช้ที่ไม่ได้เปิดใช้งานการปลดล็อก FileVault จะสามารถลงชื่อเข้าใช้ Mac ได้หลังจากเปิดใช้งานการปลดล็อกแล้วเท่านั้น ผู้ใช้เริ่มต้นหรือปลดล็อคไดรฟ์ เมื่อปลดล็อคไดรฟ์จะยังคงถูกปลดล็อคและพร้อมใช้งานสำหรับผู้ใช้ทุกคนจนกระทั่งคอมพิวเตอร์เข้าสู่โหมดไฮเบอร์เนตหรือถูกปิด H
สมุนไพร Mann
หากคอมพิวเตอร์มีบัญชีผู้ใช้หลายบัญชีอยู่แล้วเมื่อคุณเปิดใช้งาน FileVault2 ระบบจะถามคุณว่าผู้ใช้คนใดที่คุณต้องการอนุญาตให้ถอดรหัสลับไดรฟ์ระหว่างการบู๊ต ดังนั้นจึงเป็นไปได้ที่บัญชีผู้ใช้เท่านั้นที่จะสามารถเข้าถึงได้ หากคุณมีผู้ใช้ Amy และ Barry และให้สิทธิ์การเข้าถึง Amy เท่านั้นเธอจะต้องลงชื่อเข้าใช้ระหว่างการบู๊ตก่อนที่ Barry จะสามารถเปลี่ยนไปใช้บัญชีของเขา คุณอาจพูดถูกว่าเป็นไปไม่ได้ที่จะทำตามข้อ จำกัด ของฉัน แต่ฉันยังไม่ยอมแพ้ :-)
kccricket
ว้าว - ดูเหมือนว่าฉันจำเป็นต้องศึกษาเพิ่มเติมก่อนที่จะบอกว่าเป็นไปไม่ได้ :-) ฉันสามารถดูว่าจะทำได้อย่างไรโดยการจัดเก็บคีย์ (แทนที่จะใช้รหัสผ่าน) ในพวงกุญแจของผู้ใช้เหล่านั้น คุณดูที่นั่นเพื่อดูว่ามันง่ายเหมือนที่?
bmike
ฉันพบบทความหนึ่งที่อ้างว่าคีย์ถอดรหัสนั้นเก็บอยู่ในพวงกุญแจของผู้ใช้ ฉันไม่พบหลักฐานใด ๆ ของสิ่งนั้นทั้งในล็อกอินหรือระบบพวงกุญแจ ไม่ว่าในกรณีใดมันก็ไม่สมเหตุสมผลเนื่องจากพวงกุญแจถูกเก็บไว้ในพาร์ติชั่นที่เข้ารหัส ไม่มีทางที่จะไปหาพวกเขาโดยไม่ต้องถอดรหัสไดรฟ์ก่อน ฉันอ่านบทความหนึ่ง (หาไม่พบในตอนนี้) ที่อ้างว่าคีย์การเข้ารหัสถูกเก็บไว้ในพาร์ติชันการกู้คืน แต่ฉันได้ตรวจสอบแล้วและไม่พบสิ่งที่น่าสังเกต มันค่อนข้างจะเป็นปริศนา
kccricket

คำตอบ:

37

ใช้ fdesetup:

sudo fdesetup remove -user username

ดู: http://derflounder.wordpress.com/2012/07/25/using-fdesetup-with-mountain-lions-filevault-2/

user51533
แหล่งที่มา
สิ่งนี้ถูกต้องสำหรับ Mountain Lion ถึงแม้ว่าฉันไม่แน่ใจ 1) มันใช้งานได้กับ Lion หรือ 2) มีให้ใน Lion เมื่อคำถามถูกถามครั้งแรก
TJ Luoma
สิ่งนี้ใช้ได้กับ Mavericks ด้วย
Devon_C_Miller
3
และยังใช้งานได้กับ OS X 10.10 โยเซมิตี
Rafael Bugajewski
1
sudo fdesetup remove -user usernameใช้งานได้กับ macOS 10.12 Sierra เช่นกัน!
Jaume
1
sudo fdesetup remove -user usernameใช้งานได้กับ macOS 10.13 High Sierra เช่นกัน
คัปปา
4

มันเป็นไปไม่ได้ (แม้ว่าคุณจะลบผู้ใช้คุณอาจทำให้ซับซ้อนกว่านี้!)

ฉันเขียนบทความ 'jaydisc' ที่เชื่อมโยงกับและเพิ่งทดสอบว่ายังใช้งานได้ใน 10.7.4:

สมมติว่าคุณมีผู้ใช้ที่เป็นผู้ดูแลระบบ 'charlie' ที่คุณต้องการใช้ แต่ไม่ปลดล็อคคอมพิวเตอร์:

sudo su - charlie  
$ passwd 
Changing password for charlie.
Old Password:**[enter old password here]**
New Password:**[press enter]**
Retype New Password:**[press enter]**
$

โปรดทราบว่าคุณไม่สามารถทำได้:

sudo passwd charlie
Changing password for charlie.
New password:

เพราะถ้าคุณกด Enter เมื่อคุณได้รับ 'รหัสผ่านใหม่' มันจะกลับมาและพูดว่า:

Password unchanged.
TJ Luoma
แหล่งที่มา
3

ดูเหมือนว่าการลบรหัสผ่านของผู้ใช้เป็นการชั่วคราวจะลบรหัสเหล่านั้นออกจากเมนูการบูต EFI:

http://www.tuaw.com/2011/12/12/prevent-certain-accounts-from-unlocking-filevault-2/

น่าเสียดายที่ในกรณีของฉันผู้ใช้บางคนเป็นผู้ใช้ Open Directory Mobile และฉันไม่สามารถหาวิธีตั้งค่ารหัสผ่านให้ว่างได้

jaydisc
แหล่งที่มา
2

FileVault 2 และ Recovery HD

Recovery HDเพื่อไม่ให้สับสนกับRecovery OS (อันหนึ่งมีค่ามากกว่าอื่น)

เมื่อคุณเปิดใช้งาน FileVault 2 สำหรับผู้ใช้: พาร์ติชัน Apple_Boot Recovery HD ที่ไม่ได้เข้ารหัสไว้ซึ่งไม่ได้เข้ารหัสลับแยกต่างหากจาก แต่สำคัญกับโวลุ่มการเริ่มต้นที่เข้ารหัสถูกติดตั้งชั่วคราวสำหรับการเขียนไปยังไฟล์ที่เกี่ยวข้องกับ EFI และไฟล์อื่น ๆ หากคุณต้องการดูกิจกรรมระบบไฟล์นี้ในขณะที่เปิดใช้งานผู้ใช้เพื่อวัตถุประสงค์ในการปลดล็อค:

  • ก่อนที่จะคลิกเสร็จสิ้นการใช้คำสั่งเช่นfs_usageหรือแอพลิเคชันเช่นfseventer

ภาพรวมของกิจกรรมแสดงให้เห็นว่าการแก้ไขปริมาณที่ไม่ได้เข้ารหัส - ซึ่งสัมพันธ์กับบัญชีผู้ใช้ในปริมาณที่เข้ารหัสนั้นเป็นสิ่งที่ไม่สำคัญ

หากผู้ใช้ได้รับสิทธิ์ที่ไม่เหมาะสมในการปลดล็อค

บางทีการอัปเดตเป็น Lion (สิ่งที่มีขนาดใหญ่กว่า Build 11A511) อาจมีวิธีลบออกจากการเข้าสู่ระบบ EFI ผู้ใช้ที่ไม่ควรปลดล็อกโวลุ่มเริ่มต้นได้อีกต่อไป

ในระหว่างนี้ฉันสามารถนึกได้ว่ามีเพียงสองวิธีเท่านั้นที่สามารถใช้ได้

วิธี A: ปิดใช้งานจากนั้นเปิดใช้งาน FileVault

  1. ปิดการใช้งาน FileVault 2

  2. อนุญาตการแปลงย้อนหลังให้เสร็จสมบูรณ์

  3. รีสตาร์ทระบบปฏิบัติการ

  4. เปิดใช้งาน FileVault 2 แต่ไม่ใช่สำหรับผู้ใช้นั้น

วิธี B: ลบผู้ใช้ แต่ไม่ใช่ไดเรกทอรีบ้านและอื่น ๆ

ฉันยังไม่ได้ทดสอบวิธีนี้ฉันคิดว่าสิ่งต่อไปนี้อาจใช้ได้:

  1. การสำรองข้อมูล

  2. ลบผู้ใช้ แต่ไม่ใช่ไดเรกทอรีบ้านของผู้ใช้

  3. รีสตาร์ทระบบปฏิบัติการ

  4. สร้างผู้ใช้ใหม่ด้วย RecordName เดียวกันกับต้นฉบับ

  5. ตั้งค่าหมายเลข UniqueID ที่แตกต่างจากต้นฉบับ

  6. เชื่อมโยงโฮมไดเรกทอรีก่อนหน้ากับผู้ใช้ใหม่

เกรแฮมเพอร์ริน
แหล่งที่มา
0

นี่คือคำตอบง่ายๆเกี่ยวกับวิธีปิดการใช้งานการเข้าถึงไดรฟ์ที่เข้ารหัสของ FileVault 2 ก่อนหน้านี้

ในเทอร์มินัลให้ใช้:

sudo fdesetup remove -user Username

คุณจะเห็นหลังจากนั้นผู้ใช้ที่ถูกปิดใช้งานในรายการผู้ใช้ที่พร้อมใช้งานในการตั้งค่าระบบ -> ความปลอดภัย & ความเป็นส่วนตัว -> FileVault เป็นการตรวจสอบว่าการปิดใช้งานสำเร็จ

Yhen
แหล่งที่มา
3
สิ่งนี้แตกต่างจากคำตอบที่ยอมรับได้อย่างไร
nohillside
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.