Disabilita la capacità di un utente di sbloccare un volume di FileVault 2 all'avvio / tempo di accesso

28

Recentemente ho eseguito un'installazione pulita di Lion su uno dei miei Mac. Il processo di installazione ha creato un account utente amministrativo. Dopo l'installazione, ho abilitato FileVault per l'intero disco. Quindi, ho creato un utente amministrativo aggiuntivo. Entrambi gli utenti sono in grado di decodificare l'unità durante il login.

In che modo posso revocare i diritti di decrittazione a uno degli utenti senza eliminare l'utente o disabilitare temporaneamente FileVault? Ho provato a revocare il privilegio di amministratore di un utente, rendendolo un utente normale, ma sono ancora in grado di decodificare l'unità durante l'avvio.

    
posta kccricket 23.07.2011 - 05:47
fonte

5 risposte

35

Usa fdesetup:

sudo fdesetup remove -user username

Vedi: link

    
risposta data 19.06.2013 - 15:25
fonte
4

Non è impossibile. (Anche se hai cancellato l'utente, potresti averlo reso più complicato!)

Ho scritto l'articolo "jaydisc" collegato a e ha appena provato che funziona ancora in 10.7.4:

Supponiamo che tu abbia un utente amministratore "charlie" che vuoi essere in grado di usare, ma non sbloccare, il computer:

sudo su - charlie  
$ passwd 
Changing password for charlie.
Old Password:**[enter old password here]**
New Password:**[press enter]**
Retype New Password:**[press enter]**
$ 

Nota che non puoi fare questo:

sudo passwd charlie
Changing password for charlie.
New password:

perché se premi Invio quando ottieni il 'prompt della nuova password' tornerà e dirà:

Password unchanged.
    
risposta data 15.06.2012 - 15:45
fonte
3

Sembra che la rimozione temporanea delle password degli utenti li rimuova dal menu di avvio EFI:

link

Purtroppo, nel mio caso, alcuni utenti sono utenti di Open Directory Mobile e non riesco a trovare un modo per impostare la password per svuotare.

    
risposta data 15.06.2012 - 14:41
fonte
2

FileVault 2 e Recovery HD

Ripristino HD da non confondere con il sistema operativo di ripristino (uno è maggiore dell'altro).

Quando si abilita FileVault 2 per un utente: la partizione HD nascosta di Apple_Boot Recovery non crittografata, separata ma fondamentale per il volume di avvio crittografato, viene temporaneamente montata per le scritture su file EFI e altri file. Se si desidera visualizzare questa attività del file system, mentre si abilita un utente a scopo di sblocco:

Un'occhiata all'attività suggerisce che le modifiche al volume non crittografato - in relazione all'account utente sul volume crittografato - sono non banali .

Se a un utente viene assegnata un'autorizzazione inappropriata per lo sblocco

Forse un aggiornamento a Lion (qualcosa di più di Build 11A511) fornirà un modo per rimuovere, dalla finestra di login EFI, un utente che non dovrebbe più essere in grado di sbloccare il volume di avvio.

Nel frattempo posso pensare solo a due metodi che possono essere usati.

Metodo A: disabilita quindi attiva FileVault

  1. disabilita FileVault 2

  2. consente la conversione a ritroso per il completamento

  3. riavvia il sistema operativo

  4. abilita FileVault 2, ma non per quell'utente.

Metodo B: rimuove l'utente ma non la directory home, eccetera

Non ho testato questo metodo, ho immagini che potrebbe funzionare:

  1. Backup

  2. rimuovi l'utente ma non la directory home dell'utente

  3. riavvia il sistema operativo

  4. crea un nuovo utente con lo stesso RecordName dell'originale

  5. imposta un numero UniqueID che differisce dall'originale

  6. associa la precedente home directory al nuovo utente.

risposta data 08.08.2011 - 17:39
fonte
0

Ecco la risposta molto semplice su come disabilitare l'accesso di un utente precedentemente abilitato a un disco crittografato FileVault 2:

Nel terminale, utilizzare:

sudo fdesetup remove -user Username

Vedrai in seguito l'utente disabile nell'elenco di utenti disponibili per l'abilitazione in Preferenze di Sistema- > Sicurezza e amp; Privacy - > FileVault come verifica che la disabilitazione ha avuto successo

    
risposta data 11.02.2016 - 08:23
fonte

Leggi altre domande sui tag