Отключить возможность пользователя разблокировать том FileVault 2 во время запуска / входа в систему

28

Недавно я выполнил чистую установку Lion на одном из моих Mac. В процессе установки была создана одна учетная запись администратора. После установки я включил FileVault для всего диска. Затем я создал дополнительного административного пользователя. Оба пользователя могут расшифровать диск во время входа в систему.

Как отозвать права на расшифровку для одного из пользователей, не удаляя пользователя и не временно отключая FileVault? Я попытался отозвать административные привилегии одного пользователя, сделав их обычным пользователем, но они все еще могут расшифровать диск во время загрузки.

macos lion filevault kccricket
источник
Поскольку домашняя папка этого пользователя хранится на зашифрованном диске (а также во всех Приложениях), вы можете также приостановить действие этой учетной записи, если диск останется зашифрованным. Возможно, я что-то упускаю - но это кажется буквально невозможным.
bmike
Это не ответ, просто некоторая справочная информация, которая поможет нам найти ответ. У меня просто нет представителя, чтобы комментировать еще. Это должно быть на самом деле возможно при условии, что мы сможем найти место для изменения разрешений. В статье поддержки Apple от 22 июля 2011 г. [«OS X Lion: О FileVault 2»] [a] они утверждают следующее:> Пользователи, не включенные для разблокировки FileVault, смогут войти в систему на этом Mac только после разблокировки с включенной разблокировкой пользователь запустил или разблокировал диск. После разблокировки диск остается разблокированным и доступным для всех пользователей, пока компьютер не спит, не переходит в спящий режим или не выключается. H
Херб Манн
Если на компьютере уже есть несколько учетных записей пользователей при включении FileVault2, он спросит, каких пользователей вы хотите разрешить дешифровать диск во время загрузки. Таким образом, доступ могут иметь только некоторые учетные записи пользователей. Если у вас есть пользователи Amy и Barry, и вы предоставляете доступ только к Amy, ей придется войти в систему во время загрузки, прежде чем Barry сможет переключиться на свою учетную запись. Вы можете быть правы, что это может быть невозможно, учитывая мои ограничения, но я пока не сдаюсь. :-)
kccricket
Ничего себе - похоже, мне нужно больше учиться, прежде чем сказать «невозможно» :-) Я мог видеть, как это можно сделать, сохранив ключ (а не пароль) в цепочке для ключей этого пользователя. Вы смотрели там, чтобы увидеть, все ли так просто?
bmike
Я нашел одну статью, в которой утверждается, что ключ дешифрования хранится в цепочке для ключей пользователя. Я не могу найти никаких доказательств этого ни в логине, ни в системной цепочке для ключей. В любом случае это не имеет смысла, поскольку цепочки для ключей хранятся в зашифрованном разделе. Не было бы способа добраться до них, не расшифровав диск. Я прочитал одну статью (сейчас не могу ее найти), в которой утверждается, что ключ шифрования хранится в разделе восстановления, но я просмотрел это и не смог найти ничего заслуживающего внимания. Это довольно загадка.
kccricket

Ответы:

37

Используйте fdesetup:

sudo fdesetup remove -user username

Смотрите: http://derflounder.wordpress.com/2012/07/25/using-fdesetup-with-mountain-lions-filevault-2/

user51533
источник
Это верно для Mountain Lion, хотя я не уверен, 1) что он работает для Lion или 2) был доступен в Lion, когда вопрос был задан изначально.
Ти Джей Луома
Это работает и на Mavericks
Devon_C_Miller
3
И это также работает на OS X 10.10 Yosemite.
Рафаэль Бугаевский
1
sudo fdesetup remove -user usernameработает на macOS 10.12 Sierra тоже!
Jaume
1
sudo fdesetup remove -user usernameРаботает для macOS 10.13 High Sierra тоже.
Каппа
4

Это не невозможно. (Хотя, если вы удалили пользователя, вы могли бы сделать это более сложным!)

Я написал статью «jaydisc», на которую ссылается и только что протестировал, что она все еще работает в 10.7.4:

Предположим, что у вас есть пользователь-администратор «Чарли», который вы хотите использовать, но не разблокировать компьютер:

sudo su - charlie  
$ passwd 
Changing password for charlie.
Old Password:**[enter old password here]**
New Password:**[press enter]**
Retype New Password:**[press enter]**
$

Обратите внимание, что вы не можете сделать это:

sudo passwd charlie
Changing password for charlie.
New password:

потому что если вы нажмете клавишу ввода, когда получите «запрос нового пароля», он вернется и скажет:

Password unchanged.
Ти Джей Луома
источник
3

Похоже, что временное удаление паролей пользователей удаляет их из меню загрузки EFI:

http://www.tuaw.com/2011/12/12/prevent-certain-accounts-from-unlocking-filevault-2/

К сожалению, в моем случае, некоторые пользователи являются пользователями Open Directory Mobile, и я не могу найти способ установить их пароль пустым.

jaydisc
источник
2

FileVault 2 и Recovery HD

Recovery HD не следует путать с Recovery OS (одна больше другой).

Когда вы включаете FileVault 2 для пользователя: незашифрованный скрытый раздел Apple_Boot Recovery HD, отдельно от критически важного для зашифрованного загрузочного тома, временно монтируется для записи в файлы EFI и другие файлы. Если вы хотите просмотреть эту активность файловой системы, в то же время позволяя пользователю разблокировать ее:

  • прежде чем нажать Готово , используйте команду, такую ​​как fs_usage, или приложение, такое как fseventer .

Взгляд на активность показывает, что редактирование незашифрованного тома - по отношению к учетной записи пользователя на зашифрованном томе - нетривиально .

Если пользователю даны несоответствующие полномочия для разблокировки

Возможно, обновление Lion (что-то большее, чем Build 11A511) позволит удалить из окна входа в систему EFI пользователя, который больше не сможет разблокировать загрузочный том.

Между тем я могу думать только о двух методах, которые могут быть использованы.

Способ A: отключить, а затем включить FileVault

  1. отключить FileVault 2

  2. разрешить обратное преобразование для завершения

  3. перезагрузите операционную систему

  4. включить FileVault 2, но не для этого пользователя.

Метод Б: удалить пользователя, но не домашний каталог, и так далее

Я не проверял этот метод, я думаю, что может работать следующее:

  1. резервный

  2. удалить пользователя, но не домашний каталог пользователя

  3. перезагрузите операционную систему

  4. создать нового пользователя с тем же RecordName, что и оригинал

  5. установить номер UniqueID, который отличается от оригинала

  6. свяжите предыдущий домашний каталог с новым пользователем.

Грэм Перрин
источник
0

Вот очень простой ответ о том, как отключить доступ ранее включенного пользователя к зашифрованному диску FileVault 2:

В терминале используйте:

sudo fdesetup remove -user Username

После этого вы увидите отключенного пользователя в списке пользователей, которые доступны для включения в Системных настройках-> Безопасность и конфиденциальность -> FileVault как подтверждение того, что отключение прошло успешно.

Yhen
источник
3
Чем это отличается от принятого ответа?
холме