Recentemente, realizei uma instalação limpa do Lion em um dos meus Macs. O processo de instalação criou uma conta de usuário administrativo. Após a instalação, ativei o FileVault para todo o disco. Então, criei um usuário administrativo adicional. Ambos os usuários podem descriptografar a unidade durante o login.
Como revogaria os direitos de descriptografia para um dos usuários sem excluí-lo ou desativar temporariamente o FileVault? Tentei revogar o privilégio administrativo de um usuário, tornando-o um usuário comum, mas eles ainda podem descriptografar a unidade durante a inicialização.
Respostas:
Use fdesetup:
Veja: http://derflounder.wordpress.com/2012/07/25/using-fdesetup-with-mountain-lions-filevault-2/
fonte
sudo fdesetup remove -user username
também funciona no macOS 10.12 Sierra!sudo fdesetup remove -user username
Também funciona para o macOS 10.13 High Sierra.Não é impossível. (Embora se você excluiu o usuário, você pode ter tornado isso mais complicado!)
Eu escrevi o artigo 'jaydisc' vinculado e testei que ele ainda funciona na versão 10.7.4:
Suponha que você tenha um usuário administrador 'charlie' que deseja poder usar, mas não desbloquear, o computador:
Observe que você não pode fazer isso:
porque se você pressionar enter quando receber o 'prompt de nova senha', ele voltará e dirá:
fonte
Parece que remover temporariamente as senhas dos usuários as remove do menu de inicialização EFI:
http://www.tuaw.com/2011/12/12/prevent-About-accounts-from-unlocking-filevault-2/
Infelizmente, no meu caso, alguns usuários são usuários do Open Directory Mobile e não consigo encontrar uma maneira de definir sua senha como vazia.
fonte
FileVault 2 e Recovery HD
O Recovery HD não deve ser confundido com o Recovery OS (um é maior que o outro).
Quando você ativa o FileVault 2 para um usuário: a partição oculta não criptografada do Apple_Boot Recovery HD, separada, mas crítica ao volume de inicialização criptografado, é temporariamente montada para gravações em arquivos relacionados a EFI e outros. Se você deseja visualizar esta atividade do sistema de arquivos, enquanto habilita um usuário para fins de desbloqueio:
Uma olhada na atividade sugere que as edições no volume não criptografado - em relação à conta do usuário no volume criptografado - não são triviais .
Se um usuário tiver autoridade inadequada para desbloquear
Talvez uma atualização para o Lion (algo maior que a Build 11A511) forneça uma maneira de remover, da janela de login da EFI, um usuário que não poderá mais desbloquear o volume de inicialização.
Enquanto isso, só consigo pensar em dois métodos que podem ser usados.
Método A: desabilite e ative o FileVault
desativar o FileVault 2
permitir que a conversão para trás seja concluída
reinicie o sistema operacional
ative o FileVault 2, mas não para esse usuário.
Método B: remover o usuário, mas não o diretório inicial, etc.
Eu não testei esse método, imagino que o seguinte possa funcionar:
cópia de segurança
remova o usuário, mas não o diretório inicial do usuário
reinicie o sistema operacional
crie um novo usuário com o mesmo RecordName que o original
defina um número UniqueID diferente do original
associe o diretório inicial anterior ao novo usuário.
fonte
Aqui está a resposta muito simples sobre como desativar o acesso de um usuário habilitado anteriormente a uma unidade criptografada do FileVault 2:
No terminal, use:
Em seguida, você verá o usuário desativado na lista de usuários disponíveis para ativação em Preferências do Sistema-> Segurança e Privacidade -> FileVault como verificação de que a desativação foi bem-sucedida.
fonte