Deshabilitar la capacidad de un usuario para desbloquear un volumen FileVault 2 en el inicio / inicio de sesión

Navega tus respuestas
27

Hace poco realicé una instalación limpia de Lion en una de mis Mac. El proceso de instalación creó una cuenta de usuario administrativo. Después de la instalación, habilité FileVault para todo el disco. Entonces, creé un usuario administrativo adicional. Ambos usuarios pueden descifrar la unidad durante el inicio de sesión.

¿Cómo revocaré los derechos de descifrado de uno de los usuarios sin eliminar al usuario o deshabilitar temporalmente FileVault? He intentado revocar el privilegio administrativo de un usuario, convirtiéndolo en un usuario regular, pero todavía son capaces de descifrar la unidad durante el arranque.

    
pregunta kccricket 23.07.2011 - 05:47

5 respuestas

34

Usa fdesetup: 

sudo fdesetup remove -user username

Consulte: enlace

    
respondido por el user51533 19.06.2013 - 15:25
4

No es imposible. (¡Aunque si ha eliminado el usuario, puede haberlo hecho más complicado!)

Escribí el artículo 'jaydisc' vinculado a y solo probé que todavía funciona en 10.7.4:

Suponga que tiene un usuario administrador 'charlie' que desea poder usar, pero no desbloquear, la computadora: 

sudo su - charlie  
$ passwd 
Changing password for charlie.
Old Password:**[enter old password here]**
New Password:**[press enter]**
Retype New Password:**[press enter]**
$

Tenga en cuenta que no puede hacer esto: 

sudo passwd charlie
Changing password for charlie.
New password:

porque si presionas Intro cuando recibas el 'mensaje de nueva contraseña', volverá y dirá: 

Password unchanged.
    
respondido por el TJ Luoma 15.06.2012 - 15:45
3

Parece que eliminar temporalmente las contraseñas de los usuarios las elimina del menú de inicio de EFI:

enlace

Lamentablemente, en mi caso, algunos de los usuarios son usuarios de Open Directory Mobile y no puedo encontrar una manera de establecer su contraseña en vacío.

    
respondido por el jaydisc 15.06.2012 - 14:41
2

FileVault 2 y Recovery HD

Recovery HD no debe confundirse con el Recovery OS (uno es mayor que el otro).

Cuando habilita FileVault 2 para un usuario: la partición oculta Apple_Boot Recovery HD no encriptada, separada, pero crítica para el volumen de inicio cifrado, se monta temporalmente para escribir en archivos relacionados con EFI y otros. Si desea ver esta actividad del sistema de archivos, mientras habilita a un usuario para fines de desbloqueo:

Un vistazo a la actividad sugiere que las ediciones al volumen no cifrado, en relación con la cuenta de usuario en el volumen cifrado, son no triviales .

Si a un usuario se le otorga una autorización inadecuada para desbloquear

Tal vez una actualización a Lion (algo mayor que el Build 11A511) proporcionará una forma de eliminar, desde la ventana de inicio de sesión de EFI, un usuario que ya no debería poder desbloquear el volumen de inicio.

Mientras tanto, solo puedo pensar en dos métodos que pueden usarse.

Método A: deshabilite y luego habilite FileVault

  1. deshabilitar FileVault 2

  2. permite que se complete la conversión hacia atrás

  3. reinicia el sistema operativo

  4. habilita FileVault 2, pero no para ese usuario.

Método B: eliminar el usuario pero no el directorio de inicio, etcétera

No he probado este método, imagino que lo siguiente podría funcionar:

  1. backup

  2. eliminar el usuario pero no el directorio de inicio del usuario

  3. reinicia el sistema operativo

  4. cree un nuevo usuario con el mismo RecordName que el original

  5. establece un número UniqueID que difiere del original

  6. asocia el directorio de inicio anterior con el nuevo usuario.

respondido por el Graham Perrin 08.08.2011 - 17:39
0

Aquí está la respuesta muy simple sobre cómo deshabilitar el acceso de un usuario habilitado previamente a una unidad cifrada de FileVault 2:

En la terminal, use: 

sudo fdesetup remove -user Username

A continuación verá al usuario deshabilitado en la lista de usuarios que están disponibles para habilitar en Preferencias del sistema - > Seguridad & Privacidad - > FileVault como verificación de que la desactivación fue exitosa

    
respondido por el Yhen 11.02.2016 - 08:23

Lea otras preguntas en las etiquetas

Actualizaciones de Ghost en Mac ¿Aprendizaje automático en GPU externa con CUDA y MBP tardío 2016?