Recientemente realicé una instalación limpia de Lion en uno de mis Mac. El proceso de instalación creó una cuenta de usuario administrativo. Después de la instalación, habilité FileVault para todo el disco. Entonces, creé un usuario administrativo adicional. Ambos usuarios pueden descifrar la unidad durante el inicio de sesión.
¿Cómo revocaría los derechos de descifrado de uno de los usuarios sin eliminarlo o deshabilitar temporalmente FileVault? He intentado revocar el privilegio administrativo de un usuario, convirtiéndolo en un usuario normal, pero aún pueden descifrar la unidad durante el arranque.
Respuestas:
Use fdesetup:
Ver: http://derflounder.wordpress.com/2012/07/25/using-fdesetup-with-mountain-lions-filevault-2/
fuente
sudo fdesetup remove -user username
¡también funciona en macOS 10.12 Sierra!sudo fdesetup remove -user username
También funciona para macOS 10.13 High Sierra.No es imposible. (¡Aunque si ha eliminado un usuario, puede haberlo hecho más complicado!)
Escribí el artículo 'jaydisc' vinculado y solo probé que todavía funciona en 10.7.4:
Suponga que tiene un usuario administrador 'charlie' que desea poder usar, pero no desbloquear, la computadora:
Tenga en cuenta que no puede hacer esto:
porque si presionas Intro cuando recibes el mensaje 'nueva contraseña', volverá y dirá:
fuente
Parece que eliminar temporalmente las contraseñas de los usuarios las elimina del menú de inicio de EFI:
http://www.tuaw.com/2011/12/12/prevent-certain-accounts-from-unlocking-filevault-2/
Desafortunadamente, en mi caso, algunos de los usuarios son usuarios de Open Directory Mobile, y no puedo encontrar una manera de configurar su contraseña como vacía.
fuente
FileVault 2 y Recovery HD
Recovery HD no debe confundirse con el sistema operativo Recovery (uno es mayor que el otro).
Cuando habilita FileVault 2 para un usuario: la partición oculta HD no recuperada de Apple_Boot Recovery, separada pero crítica para el volumen de inicio cifrado, se monta temporalmente para escribir en archivos relacionados con EFI y otros. Si desea ver esta actividad del sistema de archivos, mientras habilita a un usuario para fines de desbloqueo:
Un vistazo a la actividad sugiere que las ediciones en el volumen no cifrado, en relación con la cuenta de usuario en el volumen cifrado, no son triviales .
Si un usuario recibe autorización inapropiada para desbloquear
Tal vez una actualización de Lion (algo mayor que Build 11A511) proporcionará una forma de eliminar, de la ventana de inicio de sesión de EFI, un usuario que ya no debería poder desbloquear el volumen de inicio.
Mientras tanto, solo puedo pensar en dos métodos que pueden usarse.
Método A: deshabilitar y luego habilitar FileVault
deshabilitar FileVault 2
permitir que se complete la conversión hacia atrás
reiniciar el sistema operativo
habilite FileVault 2, pero no para ese usuario.
Método B: elimine el usuario pero no el directorio de inicio, etc.
No he probado este método, imagino que lo siguiente podría funcionar:
apoyo
eliminar el usuario pero no el directorio de inicio del usuario
reiniciar el sistema operativo
crear un nuevo usuario con el mismo RecordName que el original
establecer un número UniqueID que difiera del original
asociar el directorio de inicio anterior con el nuevo usuario.
fuente
Aquí está la respuesta muy simple sobre cómo deshabilitar el acceso de un usuario previamente habilitado a una unidad cifrada FileVault 2:
En la terminal, use:
Después verá al usuario deshabilitado en la lista de usuarios que están disponibles para habilitar en Preferencias del sistema-> Seguridad y privacidad -> FileVault como verificación de que la deshabilitación fue exitosa
fuente