Désactiver la capacité d'un utilisateur à déverrouiller un volume FileVault 2 au démarrage / à la connexion

28

J'ai récemment effectué une nouvelle installation de Lion sur l'un de mes Mac. Le processus d'installation a créé un compte d'utilisateur administratif. Après l'installation, j'ai activé FileVault pour l'ensemble du disque. Ensuite, j'ai créé un utilisateur administratif supplémentaire. Les deux utilisateurs peuvent décrypter le disque lors de la connexion.

Comment puis-je révoquer les droits de déchiffrement à l'un des utilisateurs sans supprimer l'utilisateur ou désactiver temporairement FileVault? J'ai essayé de révoquer le privilège administratif d'un utilisateur, ce qui en fait un utilisateur régulier, mais ils sont toujours en mesure de déchiffrer le lecteur pendant le démarrage.

macos lion filevault kccricket
la source
Étant donné que le dossier de départ de cet utilisateur est stocké sur un disque crypté (ainsi que toutes les applications), vous pouvez également suspendre ce compte d'utilisateur si le disque reste crypté. Peut-être que je manque quelque chose - mais cela semble littéralement impossible à faire.
bmike
Ce n'est pas une réponse, juste quelques informations générales pour nous aider à trouver une réponse. Je n'ai pas encore le représentant pour commenter. Cela devrait être possible, à condition que nous puissions trouver l'endroit pour modifier les autorisations. Dans l'article de support d'Apple du 22 juillet 2011 ["OS X Lion: À propos de FileVault 2"] [a], ils indiquent ce qui suit:> Les utilisateurs non activés pour le déverrouillage FileVault ne pourront se connecter à ce Mac qu'après un déverrouillage activé l'utilisateur a démarré ou déverrouillé le lecteur. Une fois déverrouillé, le lecteur reste déverrouillé et disponible pour tous les utilisateurs, jusqu'à ce que l'ordinateur soit en veille, en veille prolongée ou éteint. H
Herb Mann
Si l'ordinateur possède déjà plusieurs comptes d'utilisateurs lorsque vous activez FileVault2, il vous demandera quels utilisateurs vous souhaitez autoriser à décrypter le lecteur lors du démarrage. Il est donc possible que seuls certains comptes d'utilisateurs y aient accès. Si vous avez des utilisateurs Amy et Barry, et ne donnez accès qu'à Amy, elle devra se connecter pendant le démarrage avant que Barry puisse passer à son compte. Vous avez peut-être raison que ce soit impossible compte tenu de mes restrictions, mais je n'abandonne pas encore. :-)
kccricket
Wow - il semble que j'ai besoin d'étudier plus avant de dire impossible :-) Je pourrais voir comment cela serait accompli en stockant une clé (plutôt que le mot de passe) dans le trousseau de ces utilisateurs. Avez-vous regardé là-bas pour voir si c'est aussi simple que ça?
bmike
J'ai trouvé un article qui prétend que la clé de déchiffrement est stockée dans le trousseau de l'utilisateur. Je ne trouve aucune preuve de cela dans les trousseaux de connexion ou de système. Dans tous les cas, cela n'aurait aucun sens, car les trousseaux sont stockés sur la partition chiffrée. Il n'y aurait aucun moyen d'y accéder sans d'abord déchiffrer le lecteur. J'ai lu un article (je ne le trouve pas maintenant) qui affirmait que la clé de cryptage était stockée sur la partition de récupération, mais j'ai parcouru cela et je n'ai rien trouvé de remarquable. C'est une énigme.
kccricket

Réponses:

37

Utilisez fdesetup:

sudo fdesetup remove -user username

Voir: http://derflounder.wordpress.com/2012/07/25/using-fdesetup-with-mountain-lions-filevault-2/

user51533
la source
C'est correct pour Mountain Lion, bien que je ne sois pas sûr 1) que cela fonctionne pour Lion ou 2) était disponible dans Lion lorsque la question a été posée à l'origine.
TJ Luoma
Cela fonctionne également sur Mavericks
Devon_C_Miller
3
Et cela fonctionne également sur OS X 10.10 Yosemite.
Rafael Bugajewski
1
sudo fdesetup remove -user usernamefonctionne aussi sur macOS 10.12 Sierra!
jaume
1
sudo fdesetup remove -user usernameFonctionne également pour macOS 10.13 High Sierra.
Kappa
4

Ce n'est pas impossible. (Bien que si vous avez supprimé l'utilisateur, cela ait pu être plus compliqué!)

J'ai écrit l'article 'jaydisc' lié à et viens de tester qu'il fonctionne toujours en 10.7.4:

Supposons que vous ayez un utilisateur administrateur 'charlie' que vous souhaitez pouvoir utiliser, mais pas déverrouiller, l'ordinateur:

sudo su - charlie  
$ passwd 
Changing password for charlie.
Old Password:**[enter old password here]**
New Password:**[press enter]**
Retype New Password:**[press enter]**
$

Notez que vous ne pouvez pas faire ceci:

sudo passwd charlie
Changing password for charlie.
New password:

parce que si vous appuyez sur Entrée lorsque vous obtenez la «nouvelle invite de mot de passe», il reviendra et dira:

Password unchanged.
TJ Luoma
la source
2

FileVault 2 et Recovery HD

Recovery HD à ne pas confondre avec le Recovery OS (l'un est plus grand que l'autre).

Lorsque vous activez FileVault 2 pour un utilisateur: la partition cachée Apple_Boot Recovery HD non chiffrée, distincte mais essentielle du volume de démarrage chiffré, est temporairement montée pour les écritures sur les fichiers EFI et autres. Si vous souhaitez afficher cette activité du système de fichiers, tout en permettant à un utilisateur de le déverrouiller:

  • avant de cliquer sur Terminé , utilisez une commande telle que fs_usage ou une application telle que fseventer .

Un coup d'œil sur l'activité suggère que les modifications apportées au volume non chiffré - par rapport au compte d'utilisateur sur le volume chiffré - ne sont pas triviales .

Si un utilisateur est autorisé à déverrouiller de manière inappropriée

Peut-être qu'une mise à jour de Lion (quelque chose de plus grand que la version 11A511) fournira un moyen de supprimer, de la fenêtre de connexion EFI, un utilisateur qui ne devrait plus pouvoir déverrouiller le volume de démarrage.

En attendant, je ne pense qu'à deux méthodes qui peuvent être utilisées.

Méthode A: désactiver puis activer FileVault

  1. désactiver FileVault 2

  2. permettre à la conversion en amont de se terminer

  3. redémarrer le système d'exploitation

  4. activez FileVault 2, mais pas pour cet utilisateur.

Méthode B: supprimez l'utilisateur mais pas le répertoire personnel, et cetera

Je n'ai pas testé cette méthode, j'imagine que ce qui suit pourrait fonctionner:

  1. sauvegarde

  2. supprimer l'utilisateur mais pas le répertoire personnel de l'utilisateur

  3. redémarrer le système d'exploitation

  4. créer un nouvel utilisateur avec le même RecordName que l'original

  5. définir un numéro UniqueID différent de l'original

  6. associez le répertoire personnel précédent au nouvel utilisateur.

Graham Perrin
la source
0

Voici la réponse très simple sur la façon de désactiver l'accès d'un utilisateur précédemment activé à un lecteur chiffré FileVault 2:

Dans le terminal, utilisez:

sudo fdesetup remove -user Username

Vous verrez ensuite l'utilisateur désactivé dans la liste des utilisateurs disponibles pour l'activation dans Préférences Système-> Sécurité et confidentialité -> FileVault comme vérification que la désactivation a réussi.

Yhen
la source
3
En quoi cela diffère-t-il de la réponse acceptée?
nohillside