Converti tra la crittografia di FileVault 2 e Disk Utility?

2

Sono a conoscenza di due modi per abilitare la crittografia dell'intero disco in macOS Sierra:

  • Attiva FileVault 2 o
  • Avvia il ripristino, riformatta il disco come crittografato e reinstalla macOS.

Ho letto in diversi punti del Web che la tecnologia di crittografia sottostante è la stessa in entrambi i casi e la differenza è come la chiave di decrittazione viene ottenuta al momento dell'avvio. Con FileVault, la password di accesso dell'utente serve anche a sbloccare il disco, ma quando si cripta con Utility Disco, si sceglie una password separata solo per la crittografia.

Ho scoperto che se il disco è stato crittografato tramite Utility Disco al momento dell'installazione, è anche possibile consentire a un utente di sbloccarlo tramite la finestra delle preferenze di FileVault. Quindi, all'avvio, è possibile sbloccare il disco utilizzando la password del disco o la password di accesso dell'utente.

Essendo entrato in questo stato ibrido, però, non vedo un modo per uscirne. Quello che mi piacerebbe sapere è:

  • Dopo che ho abilitato un utente a sbloccare il disco, c'è un modo per rimuovere la vecchia password del disco (che è stata creata con Utility Disco al momento dell'installazione) e sostituirla con una chiave di ripristino, quindi è come un normale FileVault configurazione che utilizza solo le password utente?
  • In alternativa, c'è un modo per rimuovere l'utente da FileVault in modo che funzioni solo la password del disco?

E, su una nota correlata:

  • Se FileVault è stato abilitato nel solito modo (a partire da un Mac non criptato), c'è un modo per aggiungere una password del disco che è separata dalle password di accesso dell'utente, come quello che avrei se Sono stato crittografato tramite Utility Disco al momento dell'installazione?
posta Wyzard 27.03.2017 - 08:22
fonte

1 risposta

1

Come risulta, ho trovato le risposte a la maggior parte di questo non molto tempo dopo che ho fatto la domanda. Il programma di riga di comando fdesetup offre alcune opzioni aggiuntive.

Rimozione password del disco

Esegui sudo fdesetup list -extended e cerca l'UUID con l'etichetta "Passphrase del disco". Quindi esegui sudo fdesetup remove -uuid <UUID> per rimuoverlo.

Questo può essere usato per rimuovere la password del disco che è stata creata tramite Utility Disco, lasciando solo le password di accesso utente per sbloccare il disco.

Rimozione di utente da FileVault

Esegui sudo fdesetup list ( -extended non è necessario) per vedere quali utenti sono autorizzati a sbloccare il disco, quindi utilizzare sudo fdesetup remove -user <USER> o sudo fdesetup remove -uuid <UUID> .

Questo può essere usato per de-autorizzare gli utenti in modo che sia possibile utilizzare solo la password del disco.

Aggiunta della chiave di recupero

Esegui sudo fdesetup changerecovery -personal . Questo richiederà una password (tutto ciò che è attualmente abilitato per sbloccare il disco), quindi visualizzerà la nuova chiave di ripristino. (Scrivilo!)

Rimozione della chiave di recupero

Esegui sudo fdesetup removerecovery -personal . Come sopra, questo richiederà una password.

Aggiunta della password del disco

Non sono riuscito a trovare un modo per farlo sul posto - sudo diskutil cs passwd sembra che dovrebbe funzionare, ma richiede che ci sia già una "vecchia" password del disco.

Tuttavia, puoi disattivare FileVault usando la finestra delle preferenze (che decodifica il disco), quindi usa sudo diskutil cs encryptLV <UUID> per ricodificarlo con una password del disco. Questo è lento, dal momento che deve decrittografare e ricodificare tutti i dati, ma funziona.

    
risposta data 27.03.2017 - 09:48
fonte

Leggi altre domande sui tag