Per un utente FileVault di Mountain Lion: posso evitare l'accesso automatico, che normalmente segue lo sblocco del volume di avvio crittografato?

6

Ho FileVault abilitato con due utenti:

  • AdminGuy
  • OtherGuy.

Voglio AdminGuy per:

  • avere la possibilità di sbloccare l'HD, e quindi solo lui può inserire un u / n + p / w all'avvio per avviare l'avvio
  • avere la possibilità di accedere
  • non deve essere registrato automaticamente

In altre parole: AdminGuy può solo sbloccare l'unità, ma poi avere una schermata di accesso popup in modo che OtherGuy possa scegliere di accedere invece?

10.8.

Per il link di Per DeepanshuUtkarsh, questo è il comportamento che voglio cambiare:

The user account that unlocked the drive will be logged into their own account after start up completes, without needing to log in again.

If you want to make the Mac available to a user that does not have unlock capabilities, log in, then when you see your own desktop, choose "Log Out (user name)" from the Apple () menu. Also, you can unlock the disk, then choose the other user's name from the Fast User Switch (appears as the currently-logged in user's name) menubar item in the upper-right part of the screen.

    
posta Philip 07.08.2012 - 15:46
fonte

4 risposte

8

Cripta il volume di avvio con Core Storage senza FileVault

Due giorni dopo aver aggiunto questa risposta, Apple ha pubblicato un white paper tecnico: Best practice per la distribuzione di FileVault 2 - Distribuzione della tecnologia OS X Full Disk Encryption (PDF). A colpo d'occhio, alcune delle cose che descrivo qui sotto sembrano essere descritte da Apple come:

  • DEK basato su password del disco .

Preparazione

  1. Backup
  2. avvia il sistema operativo di ripristino
  3. usa Utility Disco per cancellare il volume di avvio - Mac OS Extended (Journaled, Encrypted)
  4. Ripristina
  5. inserisci la passphrase per il volume su AdminGuy.

Suggerimento

Al punto 4 sopra, utilizzare un metodo che preservi la slice Apple_Boot (talvolta denominata Boot OS X, a volte denominata Recovery HD) durante il ripristino del volume di avvio di JHFS +.

Per convalidare questa risposta, ho usato Utility Disco per quel passaggio. (Ho meno familiarità con le capacità di ripristino di Time Machine.)

Il risultante EfiLoginUI:

Poiché la password del disco ha un avatar / icona, è chiaro che Apple considera scenari come questo.

Uso normale da quel momento in poi

  1. Oltre agli utenti con nome, EfiLoginUI presenta Password del disco
  2. AdminGuy può selezionare la password del disco
  3. AdminGuy può inserire la passphrase per sbloccare il volume di avvio protetto da CoreStorage
  4. quando viene visualizzata la finestra di accesso, selezionare l'utente richiesto.

Gli utenti possono cambiare le loro password di accesso. La frase per la password del disco rimarrà invariata.

Non è necessario utilizzare le aree FileVault delle Preferenze di Sistema, ma se lo fai, la maggior parte delle cose funziona come previsto.

La macchina nella foto sopra è perfettamente pulita, ripristinata da un modello Lion montano che ho creato dopo l'installazione del sistema operativo (nella schermata di benvenuto ho chiuso, quindi ho usato Utility Disco per visualizzare tutte le partizioni / fette del disco). Ho proceduto alla creazione di un utente, quindi l'ho abilitato per FileVault:

 

L'EfiLoginUI risultante - un utente con nome insieme all'opzione Disk Password:

Bug di aspetto

Le Preferenze di Sistema in Build 12A269 di OS X 10.8 possono indicare che FileVault è abilitato, con una chiave di ripristino set , quando la chiave è non più applicabile . (Supponiamo che un volume cancellato, con una passphrase possibilmente diversa, non accetti una chiave di ripristino che è stata impostata prima della cancellazione. Un parere più preciso può essere tratto da Infiltrate il vault: analisi della sicurezza e decrittografia di Lion Full Disk Encryption (2012).) Ho segnalato bug ad Apple.

Le foto sopra sono delle chiavette USB che ho usato per convalidare questa risposta.

Le foto qui sotto sono del disco interno che uso tutti i giorni.

EfiLoginUI: due utenti con nome abilitati per FileVault, l'opzione Disk Password e l'utente Guest:

loginwindow - tutti gli utenti con nome:

    
risposta data 05.09.2012 - 09:51
fonte
0

Quando attivi FileVault, puoi selezionare quali account hanno il diritto di sbloccare l'unità. Da lì puoi scegliere l'account AdminGuy come unico account autorizzato. Per quanto riguarda l'accesso automatico, dopo aver attivato FileVault, il login automatico è disattivato.

Quindi devi solo abilitare FileVault normalmente e otterrai le tue risposte attraverso il processo.

    
risposta data 07.08.2012 - 15:58
fonte
0

Prima di reinstallare il sistema operativo, utilizzare Diskutility per creare la partizione su cui si desidera installare il sistema operativo, assicurarsi di creare la partizione crittografata e che la passphrase sia quella desiderata. Dopo ciò:

  1. Installa il sistema operativo sulla partizione crittografata.

  2. Crea il primo account "l'account amministratore".

  3. Aggiungi utenti normali o amministratori.

  4. Utilizza il terminale per rimuovere l'utente amministratore e gli altri utenti abilitati con l'account. (Dovrebbe assomigliare a questo): sudo fdesetup remove -user "username"

  5. Riavvia per assicurarti che solo l'accesso alla password del disco DEK sia disponibile all'avvio.

risposta data 24.01.2013 - 09:15
fonte
0

Preferenze di sistema > Utenti e amp; Gruppi > Opzioni di accesso > Login automatico: disattivato

    
risposta data 02.02.2013 - 17:00
fonte

Leggi altre domande sui tag