¿Convertir entre FileVault 2 y el cifrado de la Utilidad de Disco?

2

Sé de dos maneras de habilitar el cifrado de disco completo en macOS Sierra:

  • Active FileVault 2, o
  • Inicie la recuperación, vuelva a formatear el disco como cifrado y vuelva a instalar macOS.

He leído en varios lugares de la web que la tecnología de cifrado subyacente es la misma, y la diferencia es cómo se obtiene la clave de descifrado en el momento del arranque. Con FileVault, la contraseña de inicio de sesión de un usuario también sirve para desbloquear el disco, pero cuando cifras con la Utilidad de Disco, eliges una contraseña separada solo para el cifrado.

Descubrí que si el disco estaba cifrado a través de la Utilidad de Disco en el momento de la instalación, también puede permitir que un usuario lo desbloquee a través de la ventana de preferencias de FileVault. Luego, durante el inicio, puede desbloquear el disco utilizando la contraseña del disco o la contraseña de inicio de sesión del usuario.

Habiendo entrado en este estado híbrido, sin embargo, no veo una manera de salir de él. Lo que me gustaría saber es:

  • Después de habilitar a un usuario para desbloquear el disco, hay una manera de eliminar la contraseña del disco anterior (que se creó con la Utilidad de Disco en el momento de la instalación) y reemplazarla con una clave de recuperación, por lo que es como un FileVault normal. ¿Configuración que solo usa contraseñas de usuario?
  • Alternativamente, ¿hay alguna forma de eliminar al usuario de FileVault para que solo funcione la contraseña del disco?

Y, en una nota relacionada:

  • Si FileVault se habilitó de la manera habitual (a partir de una Mac sin cifrar), ¿hay una manera de agregar una contraseña de disco que sea independiente de las contraseñas de inicio de sesión del usuario, como la que tendría si ¿Lo cifré mediante la Utilidad de Discos en el momento de la instalación?
pregunta Wyzard 27.03.2017 - 08:22

1 respuesta

1

Resulta que, encontré las respuestas a la mayoría de esto poco después de hacer la pregunta. El programa de línea de comandos fdesetup ofrece algunas opciones adicionales.

Eliminando la contraseña del disco

Ejecute sudo fdesetup list -extended y busque el UUID etiquetado como "frase de contraseña del disco". Luego ejecuta sudo fdesetup remove -uuid <UUID> para eliminarlo.

Esto se puede usar para eliminar la contraseña del disco que se creó a través de la Utilidad de Disco, dejando solo las contraseñas de inicio de sesión del usuario para desbloquear el disco.

Eliminando usuario de FileVault

Ejecute sudo fdesetup list (no se necesita -extended ) para ver qué usuarios están autorizados a desbloquear el disco, luego use sudo fdesetup remove -user <USER> o sudo fdesetup remove -uuid <UUID> .

Esto se puede usar para desautorizar usuarios para que solo se pueda usar la contraseña del disco.

Añadiendo clave de recuperación

Ejecutar sudo fdesetup changerecovery -personal . Esto solicitará una contraseña (cualquier elemento que esté actualmente habilitado para desbloquear el disco) y luego mostrará la nueva clave de recuperación. (¡Escríbelo!)

Eliminando la clave de recuperación

Ejecutar sudo fdesetup removerecovery -personal . Como arriba, esto pedirá una contraseña.

Agregando la contraseña del disco

No pude encontrar una manera de hacer esto in situ - sudo diskutil cs passwd parece que debería funcionar, pero requiere que ya exista una contraseña de disco "antigua".

Sin embargo, puede desactivar FileVault usando la ventana de preferencias (que desencripta el disco), luego use sudo diskutil cs encryptLV <UUID> para volver a cifrarlo con una contraseña de disco. Esto es lento, ya que tiene que descifrar y volver a cifrar todos los datos, pero funciona.

    
respondido por el Wyzard 27.03.2017 - 09:48

Lea otras preguntas en las etiquetas