Mi primera idea es usar el control parental para restringir el acceso a Keychain Access:
Preferencias del sistema > Controles parentales > Agregue la cuenta que se utilizará > Aplicaciones > Aplicaciones de límite > Marque todas las casillas excepto Utilidades > Acceso Llavero
Si necesita que los usuarios puedan abrir Keychain Access (por ejemplo, para administrar sus propios llaveros), puede configurar el llavero de inicio de sesión para que no se desbloquee automáticamente y permita / requiera que los usuarios finales creen y Utilice llaveros que no sean de inicio de sesión. Para configurar el llavero de inicio de sesión para que no se desbloquee automáticamente, abra / Aplicaciones / Utilidades / Acceso a llavero, vaya a Preferencias > Primeros auxilios, y desmarque las tres últimas casillas de verificación, "Sincronizar la contraseña del llavero de inicio de sesión con la cuenta", "Establecer el llavero de inicio de sesión como predeterminado" y "Mantener el llavero de inicio de sesión desbloqueado".
Ninguno de estos es exactamente lo que estás preguntando, pero debería resolver el problema.