Cripta il volume di avvio con Core Storage senza FileVault
Due giorni dopo aver aggiunto questa risposta, Apple ha pubblicato un white paper tecnico: Best practice per la distribuzione di FileVault 2 - Distribuzione della tecnologia OS X Full Disk Encryption (PDF). A colpo d'occhio, alcune delle cose che descrivo qui sotto sembrano essere descritte da Apple come:
-
DEK basato su password del disco .
Preparazione
- Backup
- avvia il sistema operativo di ripristino
- usa Utility Disco per cancellare il volume di avvio - Mac OS Extended (Journaled, Encrypted)
- Ripristina
- inserisci la passphrase per il volume su AdminGuy.
Suggerimento
Al punto 4 sopra, utilizzare un metodo che preservi la slice Apple_Boot (talvolta denominata Boot OS X, a volte denominata Recovery HD) durante il ripristino del volume di avvio di JHFS +.
Per convalidare questa risposta, ho usato Utility Disco per quel passaggio. (Ho meno familiarità con le capacità di ripristino di Time Machine.)
Il risultante EfiLoginUI:
Poiché la password del disco ha un avatar / icona, è chiaro che Apple considera scenari come questo.
Uso normale da quel momento in poi
- Oltre agli utenti con nome, EfiLoginUI presenta Password del disco
- AdminGuy può selezionare la password del disco
- AdminGuy può inserire la passphrase per sbloccare il volume di avvio protetto da CoreStorage
- quando viene visualizzata la finestra di accesso, selezionare l'utente richiesto.
Gli utenti possono cambiare le loro password di accesso. La frase per la password del disco rimarrà invariata.
Non è necessario utilizzare le aree FileVault delle Preferenze di Sistema, ma se lo fai, la maggior parte delle cose funziona come previsto.
La macchina nella foto sopra è perfettamente pulita, ripristinata da un modello Lion montano che ho creato dopo l'installazione del sistema operativo (nella schermata di benvenuto ho chiuso, quindi ho usato Utility Disco per visualizzare tutte le partizioni / fette del disco). Ho proceduto alla creazione di un utente, quindi l'ho abilitato per FileVault:
L'EfiLoginUI risultante - un utente con nome insieme all'opzione Disk Password:
Bug di aspetto
Le Preferenze di Sistema in Build 12A269 di OS X 10.8 possono indicare che FileVault è abilitato, con una chiave di ripristino set , quando la chiave è non più applicabile . (Supponiamo che un volume cancellato, con una passphrase possibilmente diversa, non accetti una chiave di ripristino che è stata impostata prima della cancellazione. Un parere più preciso può essere tratto da Infiltrate il vault: analisi della sicurezza e decrittografia di Lion Full Disk Encryption (2012).) Ho segnalato bug ad Apple.
Le foto sopra sono delle chiavette USB che ho usato per convalidare questa risposta.
Le foto qui sotto sono del disco interno che uso tutti i giorni.
EfiLoginUI: due utenti con nome abilitati per FileVault, l'opzione Disk Password e l'utente Guest:
loginwindow - tutti gli utenti con nome: