Desabilitar a capacidade do usuário de desbloquear um volume do FileVault 2 no momento da inicialização / login

28

Recentemente, realizei uma instalação limpa do Lion em um dos meus Macs. O processo de instalação criou uma conta de usuário administrativo. Após a instalação, ativei o FileVault para todo o disco. Então, criei um usuário administrativo adicional. Ambos os usuários podem descriptografar a unidade durante o login.

Como revogaria os direitos de descriptografia para um dos usuários sem excluí-lo ou desativar temporariamente o FileVault? Tentei revogar o privilégio administrativo de um usuário, tornando-o um usuário comum, mas eles ainda podem descriptografar a unidade durante a inicialização.

macos  lion  filevault 
kccricket
fonte
Como a pasta inicial desse usuário está armazenada em um disco criptografado (assim como em todos os aplicativos), você também pode suspender essa conta de usuário se o disco permanecer criptografado. Talvez esteja faltando alguma coisa - mas parece literalmente impossível de fazer.
bmike
Esta não é uma resposta, apenas algumas informações básicas para nos ajudar a encontrar uma resposta. Só não tenho o representante para comentar ainda. Isso deve ser realmente possível, desde que possamos encontrar o local para alterar as permissões. No artigo de suporte da Apple em 22 de julho de 2011 ["OS X Lion: Sobre o FileVault 2"] [a], eles afirmam o seguinte:> Os usuários não ativados para o desbloqueio do FileVault só poderão fazer login no Mac após um desbloqueio ativado. usuário iniciou ou desbloqueou a unidade. Uma vez desbloqueada, a unidade permanece desbloqueada e disponível para todos os usuários, até o computador dormir, hibernar ou desligar. H
Herb Mann
Se o computador já tiver várias contas de usuário quando você ativar o FileVault2, ele perguntará quais usuários você gostaria de permitir que descriptografassem a unidade durante a inicialização. Portanto, é possível que apenas algumas contas de usuário tenham acesso. Se você tem usuários Amy e Barry e apenas dá acesso a Amy, ela precisa fazer login durante a inicialização antes que Barry possa mudar para a conta dele. Você pode estar certo de que pode ser impossível, dadas as minhas restrições, mas ainda não estou desistindo. :-)
kccricket
Uau - parece que eu preciso estudar mais antes de dizer impossível :-) Pude ver como isso seria feito armazenando uma chave (em vez da senha) no chaveiro do usuário. Você já olhou lá para ver se é tão simples assim?
bmike
Encontrei um artigo que afirma que a chave de descriptografia está armazenada nas chaves do usuário. Não consigo encontrar nenhuma evidência disso no chaveiro de login ou no sistema. De qualquer forma, isso não faria sentido, pois os chaveiros estão armazenados na partição criptografada. Não haveria como chegar até eles sem descriptografar a unidade. Li um artigo (não o encontrei agora) que alegava que a chave de criptografia estava armazenada na partição de recuperação, mas examinei isso e não consegui encontrar nada digno de nota. É um enigma.
22411 khcrcricket

Respostas:

37

Use fdesetup:

sudo fdesetup remove -user username

Veja: http://derflounder.wordpress.com/2012/07/25/using-fdesetup-with-mountain-lions-filevault-2/

user51533
fonte
Isso está correto para o Mountain Lion, embora eu não tenha certeza 1) de que ele funciona para o Lion ou 2) estava disponível no Lion quando a pergunta foi feita originalmente.
TJ Luoma
Isso funciona em Mavericks bem
Devon_C_Miller
3
E também funciona no OS X 10.10 Yosemite.
Rafael Bugajewski
11
sudo fdesetup remove -user usernametambém funciona no macOS 10.12 Sierra!
jaume
11
sudo fdesetup remove -user usernameTambém funciona para o macOS 10.13 High Sierra.
Kappa
4

Não é impossível. (Embora se você excluiu o usuário, você pode ter tornado isso mais complicado!)

Eu escrevi o artigo 'jaydisc' vinculado e testei que ele ainda funciona na versão 10.7.4:

Suponha que você tenha um usuário administrador 'charlie' que deseja poder usar, mas não desbloquear, o computador:

sudo su - charlie  
$ passwd 
Changing password for charlie.
Old Password:**[enter old password here]**
New Password:**[press enter]**
Retype New Password:**[press enter]**
$

Observe que você não pode fazer isso:

sudo passwd charlie
Changing password for charlie.
New password:

porque se você pressionar enter quando receber o 'prompt de nova senha', ele voltará e dirá:

Password unchanged.
TJ Luoma
fonte
2

FileVault 2 e Recovery HD

O Recovery HD não deve ser confundido com o Recovery OS (um é maior que o outro).

Quando você ativa o FileVault 2 para um usuário: a partição oculta não criptografada do Apple_Boot Recovery HD, separada, mas crítica ao volume de inicialização criptografado, é temporariamente montada para gravações em arquivos relacionados a EFI e outros. Se você deseja visualizar esta atividade do sistema de arquivos, enquanto habilita um usuário para fins de desbloqueio:

  • antes de clicar em Concluído , use um comando como fs_usage ou um aplicativo como fseventer .

Uma olhada na atividade sugere que as edições no volume não criptografado - em relação à conta do usuário no volume criptografado - não são triviais .

Se um usuário tiver autoridade inadequada para desbloquear

Talvez uma atualização para o Lion (algo maior que a Build 11A511) forneça uma maneira de remover, da janela de login da EFI, um usuário que não poderá mais desbloquear o volume de inicialização.

Enquanto isso, só consigo pensar em dois métodos que podem ser usados.

Método A: desabilite e ative o FileVault

  1. desativar o FileVault 2

  2. permitir que a conversão para trás seja concluída

  3. reinicie o sistema operacional

  4. ative o FileVault 2, mas não para esse usuário.

Método B: remover o usuário, mas não o diretório inicial, etc.

Eu não testei esse método, imagino que o seguinte possa funcionar:

  1. cópia de segurança

  2. remova o usuário, mas não o diretório inicial do usuário

  3. reinicie o sistema operacional

  4. crie um novo usuário com o mesmo RecordName que o original

  5. defina um número UniqueID diferente do original

  6. associe o diretório inicial anterior ao novo usuário.

Graham Perrin
fonte
0

Aqui está a resposta muito simples sobre como desativar o acesso de um usuário habilitado anteriormente a uma unidade criptografada do FileVault 2:

No terminal, use:

sudo fdesetup remove -user Username

Em seguida, você verá o usuário desativado na lista de usuários disponíveis para ativação em Preferências do Sistema-> Segurança e Privacidade -> FileVault como verificação de que a desativação foi bem-sucedida.

Yhen
fonte
3
Como isso difere da resposta aceita?
nohillside
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.