Deaktivieren Sie die Möglichkeit eines Benutzers, ein FileVault 2-Volume beim Starten / Anmelden zu entsperren

28

Ich habe kürzlich eine Neuinstallation von Lion auf einem meiner Macs durchgeführt. Während des Installationsvorgangs wurde ein Administrator-Benutzerkonto erstellt. Nach der Installation habe ich FileVault für die gesamte Festplatte aktiviert. Dann habe ich einen zusätzlichen Administrator angelegt. Beide Benutzer können das Laufwerk während der Anmeldung entschlüsseln.

Wie kann ich einem Benutzer Entschlüsselungsrechte entziehen, ohne den Benutzer zu löschen oder FileVault vorübergehend zu deaktivieren? Ich habe versucht, einem Benutzer die Administratorberechtigung zu entziehen, sodass er ein regulärer Benutzer ist. Er kann das Laufwerk jedoch weiterhin während des Startvorgangs entschlüsseln.

kccricket
quelle
Da der private Ordner dieses Benutzers auf einer verschlüsselten Festplatte (sowie auf allen Anwendungen) gespeichert ist, können Sie dieses Benutzerkonto auch sperren, wenn die Festplatte verschlüsselt bleibt. Vielleicht fehlt mir etwas - aber es scheint buchstäblich unmöglich zu sein.
bmike
Dies ist keine Antwort, nur einige Hintergrundinformationen, die uns helfen, eine Antwort zu finden. Ich habe nur noch keinen Sprecher, um einen Kommentar abzugeben. Dies sollte tatsächlich möglich sein, sofern wir den Ort finden, an dem die Berechtigungen geändert werden können. In Apples Support-Artikel vom 22. Juli 2011 ["OS X Lion: Über FileVault 2"] [a] heißt es:> Benutzer, die nicht für FileVault Unlock aktiviert sind, können sich erst nach einer Unlock-Aktivierung bei diesem Mac anmelden Der Benutzer hat das Laufwerk gestartet oder entsperrt. Nach dem Entsperren bleibt das Laufwerk entsperrt und für alle Benutzer verfügbar, bis der Computer in den Ruhezustand versetzt, in den Ruhezustand versetzt oder heruntergefahren wird. H
Herb Mann
Wenn der Computer beim Aktivieren von FileVault2 bereits über mehrere Benutzerkonten verfügt, werden Sie gefragt, welche Benutzer das Laufwerk während des Startvorgangs entschlüsseln dürfen. Daher können nur einige Benutzerkonten Zugriff haben. Wenn Sie die Benutzer Amy und Barry haben und nur Amy Zugriff gewähren, müsste sie sich beim Booten anmelden, bevor Barry zu seinem Konto wechseln kann. Sie mögen Recht haben, dass es aufgrund meiner Einschränkungen unmöglich ist, dies zu tun, aber ich gebe noch nicht auf. :-)
kccricket
Wow - es sieht so aus, als müsste ich mehr lernen, bevor ich "unmöglich" sage :-) Ich konnte sehen, wie dies erreicht wird, indem ein Schlüssel (anstelle des Passworts) im Schlüsselbund des Benutzers gespeichert wird. Haben Sie dort nachgesehen, ob es so einfach ist?
bmike
Ich habe einen Artikel gefunden , der behauptet, der Entschlüsselungsschlüssel sei im Schlüsselbund des Benutzers gespeichert. Ich kann weder in den Anmelde- noch in den Systemschlüsselanhängern Beweise dafür finden. In jedem Fall wäre das nicht sinnvoll, da die Schlüssel auf der verschlüsselten Partition gespeichert sind. Ohne vorheriges Entschlüsseln des Laufwerks gäbe es keine Möglichkeit, zu ihnen zu gelangen. Ich habe einen Artikel gelesen (kann ihn jetzt nicht finden), in dem behauptet wurde, der Verschlüsselungsschlüssel sei auf der Wiederherstellungspartition gespeichert, aber ich habe das durchgesehen und konnte nichts Bemerkenswertes finden. Es ist ein ziemliches Rätsel.
Kccricket

Antworten:

37

Verwenden Sie fdesetup:

sudo fdesetup remove -user username

Siehe: http://derflounder.wordpress.com/2012/07/25/using-fdesetup-with-mountain-lions-filevault-2/

user51533
quelle
Dies ist für Mountain Lion korrekt, obwohl ich nicht sicher bin, 1) ob es für Lion funktioniert oder 2) in Lion verfügbar war, als die Frage ursprünglich gestellt wurde.
TJ Luoma
Dies funktioniert auch bei Mavericks
Devon_C_Miller
3
Und es funktioniert auch unter OS X 10.10 Yosemite.
Rafael Bugajewski
1
sudo fdesetup remove -user usernamefunktioniert auch unter macOS 10.12 Sierra!
Jaume
1
sudo fdesetup remove -user usernameFunktioniert auch für macOS 10.13 High Sierra.
Kappa
4

Es ist nicht unmöglich. (Auch wenn Sie Benutzer gelöscht haben, haben Sie dies möglicherweise komplizierter gemacht!)

Ich habe den Artikel 'jaydisc' verlinkt und gerade getestet, dass er in 10.7.4 noch funktioniert:

Angenommen, Sie haben einen Administrator-Benutzer 'charlie', den Sie verwenden, aber nicht entsperren möchten:

sudo su - charlie  
$ passwd 
Changing password for charlie.
Old Password:**[enter old password here]**
New Password:**[press enter]**
Retype New Password:**[press enter]**
$ 

Beachten Sie, dass Sie dies nicht tun können:

sudo passwd charlie
Changing password for charlie.
New password:

Denn wenn Sie die Eingabetaste drücken, wenn Sie die Aufforderung zum Eingeben eines neuen Passworts erhalten, wird es zurückkommen und sagen:

Password unchanged.
TJ Luoma
quelle
2

FileVault 2 und Recovery HD

Recovery HD ist nicht mit dem Wiederherstellungs-Betriebssystem zu verwechseln (eines ist größer als das andere).

Wenn Sie FileVault 2 für einen Benutzer aktivieren: Die nicht verschlüsselte versteckte Apple_Boot Recovery HD-Partition, die vom verschlüsselten Startvolume getrennt, aber für dieses kritisch ist, wird vorübergehend für Schreibvorgänge in EFI-bezogene und andere Dateien bereitgestellt. Wenn Sie diese Dateisystemaktivität anzeigen möchten, während Sie einen Benutzer für Entsperrzwecke aktivieren:

  • Verwenden Sie vor dem Klicken auf " Fertig" einen Befehl wie " fs_usage" oder eine Anwendung wie " fseventer" .

Ein Blick auf die Aktivität deutet darauf hin, dass Änderungen am unverschlüsselten Volume - im Verhältnis zum Benutzerkonto auf dem verschlüsselten Volume - nicht trivial sind .

Wenn ein Benutzer eine unangemessene Berechtigung zum Entsperren hat

Möglicherweise bietet ein Update für Lion (etwas höheres als Build 11A511) die Möglichkeit, einen Benutzer aus dem EFI-Anmeldefenster zu entfernen, der das Startvolume nicht mehr entsperren kann.

In der Zwischenzeit kann ich mir nur zwei Methoden vorstellen, die angewendet werden können.

Methode A: Deaktivieren und aktivieren Sie FileVault

  1. Deaktivieren Sie FileVault 2

  2. Abwärtskonvertierung abschließen lassen

  3. Starten Sie das Betriebssystem neu

  4. Aktivieren Sie FileVault 2, jedoch nicht für diesen Benutzer.

Methode B: Entfernen Sie den Benutzer, aber nicht das Basisverzeichnis usw.

Ich habe diese Methode nicht getestet. Ich stelle mir vor, dass Folgendes funktionieren könnte:

  1. Sicherung

  2. Entfernen Sie den Benutzer, jedoch nicht das Basisverzeichnis des Benutzers

  3. Starten Sie das Betriebssystem neu

  4. Erstellen Sie einen neuen Benutzer mit demselben Datensatznamen wie das Original

  5. Legen Sie eine vom Original abweichende UniqueID-Nummer fest

  6. Ordnen Sie dem neuen Benutzer das vorherige Basisverzeichnis zu.

Graham Perrin
quelle
0

Im Folgenden finden Sie eine sehr einfache Antwort zum Deaktivieren des Zugriffs eines zuvor aktivierten Benutzers auf ein mit FileVault 2 verschlüsseltes Laufwerk:

Im Terminal verwenden Sie:

sudo fdesetup remove -user Username

Anschließend wird der deaktivierte Benutzer in der Liste der Benutzer angezeigt, die zum Aktivieren in den Systemeinstellungen -> Sicherheit und Datenschutz -> FileVault verfügbar sind, um zu bestätigen, dass die Deaktivierung erfolgreich war

Yhen
quelle
3
Wie unterscheidet sich dies von der akzeptierten Antwort?
Nohillside