Desactiva la capacidad de un usuario para desbloquear un volumen FileVault 2 en el momento de inicio / inicio de sesión

28

Recientemente realicé una instalación limpia de Lion en uno de mis Mac. El proceso de instalación creó una cuenta de usuario administrativo. Después de la instalación, habilité FileVault para todo el disco. Entonces, creé un usuario administrativo adicional. Ambos usuarios pueden descifrar la unidad durante el inicio de sesión.

¿Cómo revocaría los derechos de descifrado de uno de los usuarios sin eliminarlo o deshabilitar temporalmente FileVault? He intentado revocar el privilegio administrativo de un usuario, convirtiéndolo en un usuario normal, pero aún pueden descifrar la unidad durante el arranque.

kccricket
fuente
Dado que la carpeta de inicio de ese usuario está almacenada en un disco encriptado (así como en todas las Aplicaciones), también podría suspender esa cuenta de usuario si el disco permanecerá encriptado. Quizás me estoy perdiendo algo, pero parece literalmente imposible de hacer.
bmike
Esta no es una respuesta, solo algunos antecedentes para ayudarnos a encontrar una respuesta. Simplemente no tengo el representante para comentar todavía. Esto debería ser posible, siempre que podamos encontrar el lugar para cambiar los permisos. En el artículo de soporte de Apple del 22 de julio de 2011 ["OS X Lion: About FileVault 2"] [a], establecen lo siguiente:> Los usuarios no habilitados para el desbloqueo de FileVault solo podrán iniciar sesión en esa Mac después de un desbloqueo habilitado El usuario ha iniciado o desbloqueado la unidad. Una vez desbloqueada, la unidad permanece desbloqueada y disponible para todos los usuarios, hasta que la computadora duerme, hiberna o se apaga. H
Herb Mann
Si la computadora ya tiene varias cuentas de usuario cuando habilita FileVault2, le preguntará a qué usuarios le gustaría permitir que descifre la unidad durante el arranque. Por lo tanto, es posible que solo algunas cuentas de usuario tengan acceso. Si tiene usuarios Amy y Barry, y solo le da acceso a Amy, ella tendría que iniciar sesión durante el arranque antes de que Barry pueda cambiar a su cuenta. Puede que tengas razón en que puede ser imposible hacerlo dadas mis restricciones, pero todavía no me rindo. :-)
kccricket
Wow, parece que necesito estudiar más antes de decir imposible :-) Pude ver cómo esto se lograría almacenando una clave (en lugar de la contraseña) en el llavero de esos usuarios. ¿Has mirado allí para ver si es tan simple como eso?
bmike
Encontré un artículo que afirma que la clave de descifrado se almacena en el llavero del usuario. No puedo encontrar ninguna evidencia de eso ni en el inicio de sesión ni en los llaveros del sistema. En cualquier caso, eso no tendría sentido, ya que los llaveros se almacenan en la partición cifrada. No habría forma de llegar a ellos sin descifrar primero el disco. Leí un artículo (no puedo encontrarlo ahora) que decía que la clave de cifrado está almacenada en la partición de recuperación, pero lo revisé y no pude encontrar nada notable. Es todo un enigma.
kccricket

Respuestas:

37

Use fdesetup:

sudo fdesetup remove -user username

Ver: http://derflounder.wordpress.com/2012/07/25/using-fdesetup-with-mountain-lions-filevault-2/

usuario51533
fuente
Esto es correcto para Mountain Lion, aunque no estoy seguro de 1) que funcione para Lion o 2) estaba disponible en Lion cuando se hizo la pregunta originalmente.
TJ Luoma
Esto también funciona en Mavericks
Devon_C_Miller
3
Y también funciona en OS X 10.10 Yosemite.
Rafael Bugajewski
1
sudo fdesetup remove -user username¡también funciona en macOS 10.12 Sierra!
jaume
1
sudo fdesetup remove -user usernameTambién funciona para macOS 10.13 High Sierra.
Kappa
4

No es imposible. (¡Aunque si ha eliminado un usuario, puede haberlo hecho más complicado!)

Escribí el artículo 'jaydisc' vinculado y solo probé que todavía funciona en 10.7.4:

Suponga que tiene un usuario administrador 'charlie' que desea poder usar, pero no desbloquear, la computadora:

sudo su - charlie  
$ passwd 
Changing password for charlie.
Old Password:**[enter old password here]**
New Password:**[press enter]**
Retype New Password:**[press enter]**
$ 

Tenga en cuenta que no puede hacer esto:

sudo passwd charlie
Changing password for charlie.
New password:

porque si presionas Intro cuando recibes el mensaje 'nueva contraseña', volverá y dirá:

Password unchanged.
TJ Luoma
fuente
2

FileVault 2 y Recovery HD

Recovery HD no debe confundirse con el sistema operativo Recovery (uno es mayor que el otro).

Cuando habilita FileVault 2 para un usuario: la partición oculta HD no recuperada de Apple_Boot Recovery, separada pero crítica para el volumen de inicio cifrado, se monta temporalmente para escribir en archivos relacionados con EFI y otros. Si desea ver esta actividad del sistema de archivos, mientras habilita a un usuario para fines de desbloqueo:

  • antes de hacer clic en Listo , use un comando como fs_usage o una aplicación como fseventer .

Un vistazo a la actividad sugiere que las ediciones en el volumen no cifrado, en relación con la cuenta de usuario en el volumen cifrado, no son triviales .

Si un usuario recibe autorización inapropiada para desbloquear

Tal vez una actualización de Lion (algo mayor que Build 11A511) proporcionará una forma de eliminar, de la ventana de inicio de sesión de EFI, un usuario que ya no debería poder desbloquear el volumen de inicio.

Mientras tanto, solo puedo pensar en dos métodos que pueden usarse.

Método A: deshabilitar y luego habilitar FileVault

  1. deshabilitar FileVault 2

  2. permitir que se complete la conversión hacia atrás

  3. reiniciar el sistema operativo

  4. habilite FileVault 2, pero no para ese usuario.

Método B: elimine el usuario pero no el directorio de inicio, etc.

No he probado este método, imagino que lo siguiente podría funcionar:

  1. apoyo

  2. eliminar el usuario pero no el directorio de inicio del usuario

  3. reiniciar el sistema operativo

  4. crear un nuevo usuario con el mismo RecordName que el original

  5. establecer un número UniqueID que difiera del original

  6. asociar el directorio de inicio anterior con el nuevo usuario.

Graham Perrin
fuente
0

Aquí está la respuesta muy simple sobre cómo deshabilitar el acceso de un usuario previamente habilitado a una unidad cifrada FileVault 2:

En la terminal, use:

sudo fdesetup remove -user Username

Después verá al usuario deshabilitado en la lista de usuarios que están disponibles para habilitar en Preferencias del sistema-> Seguridad y privacidad -> FileVault como verificación de que la deshabilitación fue exitosa

Yhen
fuente
3
¿Cómo difiere esto de la respuesta aceptada?
nohillside