28

Geçenlerde Mac'lerimden birine Lion temiz bir kurulum yaptım. Yükleme işlemi bir yönetici kullanıcı hesabı oluşturdu. Yüklemeden sonra, tüm disk için FileVault'u etkinleştirdim. Sonra ek bir yönetici kullanıcı oluşturdum. Her iki kullanıcı da giriş sırasında sürücünün şifresini çözebilir.

Kullanıcıyı silmeden veya FileVault'u geçici olarak devre dışı bırakmadan, kullanıcılardan birinin şifre çözme haklarını nasıl iptal ederim? Bir kullanıcının yönetimsel ayrıcalığını iptal etmeyi denedim, onları normal bir kullanıcı haline getirdim, ancak önyükleme sırasında sürücünün şifresini hala çözebiliyorlar.

macos lion filevault

— kccricket
kaynak

Bu kullanıcının giriş klasörü şifreli bir diskte (ve tüm Uygulamalarda olduğu gibi) depolandığından, disk şifreli kalırsa bu kullanıcı hesabını askıya alabilirsiniz. Belki bir şeyleri özlüyorum - ama yapması imkansız görünüyor.

— bmike

Bu bir cevap değil, sadece bir cevap bulmamıza yardımcı olacak bazı temel bilgiler. Henüz yorum yapacak bir temsilcim yok. Bu izinleri değiştirebileceğimiz bir yer bulmamız şartıyla mümkün olmalı. Apple'ın 22 Temmuz 2011 tarihli destek makalesinde ["OS X Lion: FileVault 2 Hakkında" "] [a], aşağıdakileri belirtirler:> FileVault kilidini açma özelliği etkin olmayan kullanıcılar yalnızca kilidi açıldıktan sonra Mac'te oturum açabilir kullanıcı sürücüyü başlattı veya kilidini açtı. Kilit açıldığında, bilgisayar uyumayana, hazırda bekletme moduna geçene veya kapatılana kadar sürücü açık ve tüm kullanıcılar tarafından kullanılabilir durumda kalır. H

— Herb Mann

FileVault2'yi etkinleştirdiğinizde bilgisayarın zaten birden fazla kullanıcı hesabı varsa, önyükleme sırasında sürücünün şifresini çözmek için hangi kullanıcıların izin vermesini istediğinizi soracaktır. Bu nedenle, yalnızca bazı kullanıcı hesaplarının erişebilmesi mümkündür. Amy ve Barry kullanıcılarınız varsa ve yalnızca Amy’ye erişim izni verdiyse, Barry hesabına geçmeden önce önyükleme sırasında oturum açması gerekir. Kısıtlamalarımı vermenin imkansız olabileceği konusunda haklı olabilirsin, ama henüz pes etmiyorum. :-)

— kccricket

Vay - imkansız demeden önce daha fazla çalışmam gerekiyor gibi görünüyor :-) Bu kullanıcının anahtarlığında bir anahtar (parola yerine) saklayarak bunun nasıl başarılabileceğini görebiliyordum. Bu kadar basit olup olmadığını görmek için oraya baktınız mı?

— bmike

Şifre çözme anahtarının kullanıcının anahtarlığında saklandığını iddia eden bir makale buldum . Oturum açma veya Sistem anahtarlıklarında bununla ilgili herhangi bir kanıt bulamıyorum. Her durumda, anahtarlıklar şifreli bölümde depolandığından, bu anlamlı olmaz. Önce sürücünün şifresini çözmeden onlara ulaşmanın bir yolu olmazdı. Şifreleme anahtarının kurtarma bölümünde depolandığını iddia eden bir makaleyi okudum (şimdi bulamıyorum), ancak bunu inceledim ve kayda değer bir şey bulamadım. Bu oldukça bir bilmece.

— kccricket

37

Fdesetup kullanın:

sudo fdesetup remove -user username

Bakınız: http://derflounder.wordpress.com/2012/07/25/using-fdesetup-with-mountain-lions-filevault-2/

— user51533
kaynak

Bu, Mountain Lion için doğrudur, ancak 1) Lion için çalıştığından emin değilim, 2) soru asıl sorulduğunda Lion'da mevcuttu.

— TJ Luoma

Bu Mavericks'te de çalışıyor

— Devon_C_Miller

3

Ayrıca OS X 10.10 Yosemite'de de çalışıyor.

— Rafael Bugajewski

1

sudo fdesetup remove -user usernamemacOS 10.12'de de çalışıyor Sierra!

— jaume

1

sudo fdesetup remove -user usernameMacOS 10.13 Yüksek Sierra da çalışıyor.

— Kappa

4

İmkansız değil. (Kullanıcıyı silmiş olsanız bile, bunu daha karmaşık hale getirmiş olabilirsiniz!)

'Jaydisc' makalesini yazdım ve hala 10.7.4'te çalıştığını test ettim:

Bilgisayarı kullanabilmek, ancak kilidini açmamak isteyen bir yönetici kullanıcısı 'charlie' olduğunu varsayalım:

sudo su - charlie  
$ passwd 
Changing password for charlie.
Old Password:**[enter old password here]**
New Password:**[press enter]**
Retype New Password:**[press enter]**
$

Bunu yapamayacağınızı unutmayın:

sudo passwd charlie
Changing password for charlie.
New password:

çünkü 'yeni şifre istemi'ni aldığınızda enter tuşuna basarsanız geri dönecek ve şöyle diyecek:

Password unchanged.

— TJ Luoma
kaynak

3

Kullanıcı şifrelerini geçici olarak kaldırmak, onları EFI önyükleme menüsünden siler:

http://www.tuaw.com/2011/12/12/prevent-certain-accounts-from-unlocking-filevault-2/

Ne yazık ki, benim durumumda, bazı kullanıcılar Open Directory Mobile kullanıcılarıdır ve şifrelerini boş bırakmanın bir yolunu bulamıyorum.

— jaydisc
kaynak

2

FileVault 2 ve Recovery HD

Recovery HD , Recovery OS ile karıştırılmamalıdır (biri diğerinden büyüktür).

Bir kullanıcı için FileVault 2'yi etkinleştirdiğinizde: şifreli olmayan gizli Apple_Boot Recovery HD bölümü, şifreli başlangıç biriminden ayrı fakat kritik olan bölüm, EFI ile ilgili dosyalara ve diğer dosyalara yazmak için geçici olarak monte edilmiştir. Bu dosya sistemi etkinliğini görüntülemek istiyorsanız, kullanıcının kilit açma amaçları için etkinleştirmesini sağlarken:

Bitti'yi tıklatmadan önce , fs_usage gibi bir komut veya fseventer gibi bir uygulama kullanın .

Faaliyete bir bakış, şifreli olmayan birimdeki - şifreli birimdeki kullanıcı hesabıyla ilgili - yapılacak düzenlemelerin önemsiz olduğunu gösteriyor .

Bir kullanıcıya kilidini açmak için uygun olmayan bir yetki verilirse

Belki Lion güncellemesi (Yapı 11A511'den daha büyük bir şey), başlangıç biriminin kilidini açamayacağı bir kullanıcıyı EFI oturum açma penceresinden kaldırmanın bir yolunu sağlar.

Bu arada kullanılabilecek sadece iki yöntem düşünebilirim.

Yöntem A: devre dışı bırakıp FileVault'u etkinleştirin

FileVault 2'yi devre dışı bırak
geri dönüşümün tamamlanmasına izin ver
işletim sistemini yeniden başlatın
FileVault 2'yi etkinleştirin, ancak bu kullanıcı için değil.

B Yöntemi: kullanıcıyı değil ana dizini kaldır, et cetera

Bu yöntemi test etmedim , aşağıdakilerin işe yarayabileceğini hayal ediyorum :

yedek
kullanıcıyı kaldır ancak kullanıcının giriş dizinini kaldır
işletim sistemini yeniden başlatın
orijinaliyle aynı RecordName ile yeni bir kullanıcı oluşturun
orijinalinden farklı bir UniqueID numarası ayarlamak
önceki giriş dizinini yeni kullanıcı ile ilişkilendirir.

— Graham Perrin
kaynak

0

İşte önceden etkinleştirilmiş bir kullanıcının FileVault 2 şifreli bir sürücüye erişimini devre dışı bırakmayla ilgili çok basit bir cevap:

Terminalde şunları kullanın:

sudo fdesetup remove -user Username

Daha sonra engelli kullanıcıyı, Sistem Tercihleri-> Güvenlik ve Gizlilik -> FileVault'da devre dışı bırakmanın başarılı olduğunu doğrulamak için etkinleştirebilecek kullanıcılar listesinde göreceksiniz.

— Yhen
kaynak

3

Bunun kabul edilen cevaptan farkı nedir?

— nohillside

Kullanıcının, başlatma / oturum açma sırasında bir FileVault 2 biriminin kilidini açma yeteneğini devre dışı bırakma

FileVault 2 ve Recovery HD

Bir kullanıcıya kilidini açmak için uygun olmayan bir yetki verilirse

Yöntem A: devre dışı bırakıp FileVault'u etkinleştirin

B Yöntemi: kullanıcıyı değil ana dizini kaldır, et cetera