起動/ログイン時にFileVault 2ボリュームのロックを解除するユーザーの機能を無効にします

28

最近、Macの1つでLionのクリーンインストールを実行しました。インストールプロセスにより、1つの管理ユーザーアカウントが作成されました。インストール後、ディスク全体でFileVaultを有効にしました。次に、追加の管理ユーザーを作成しました。両方のユーザーがログイン中にドライブを復号化できます。

ユーザーを削除したり、FileVaultを一時的に無効にしたりせずに、ユーザーの1人に対する復号化権限を取り消すにはどうすればよいですか?あるユーザーの管理者権限を取り消して通常のユーザーにしようとしましたが、起動中にドライブを解読できます。

macos  lion  filevault 
クリケット
ソース
そのユーザーのホームフォルダーは暗号化されたディスク(およびすべてのアプリケーション)に保存されるため、ディスクが暗号化されたままになる場合は、そのユーザーアカウントを一時停止することもできます。おそらく私は何かを逃している-しかしそれは文字通り不可能です。
bmike
これは答えではなく、答えを見つけるのに役立つ背景情報です。コメントする担当者がまだいません。許可を変更する場所を見つけることができれば、これは実際に可能です。Appleの2011年7月22日のサポート記事[「OS X Lion:About FileVault 2」] [a]には、次のように記載されています。ユーザーがドライブを開始またはロック解除しました。ロックが解除されると、コンピューターがスリープ、休止状態、またはシャットダウンされるまで、ドライブはロック解除されたままで、すべてのユーザーが使用できます。H
ハーブマン
FileVault2を有効にしたときにコンピューターに複数のユーザーアカウントが既にある場合は、起動中にドライブの暗号化を解除できるユーザーを尋ねます。そのため、一部のユーザーアカウントのみがアクセスできるようになります。ユーザーAmyとBarryがいて、Amyへのアクセスのみを許可している場合、Amyは起動中にログインしてからBarryがアカウントに切り替えることができます。あなたは私の制限を考えるとできないかもしれないことは正しいかもしれませんが、私はまだあきらめていません。:-)
kccricket
うわー-不可能だと言う前にもっと勉強する必要があるようです:-)ユーザーのキーチェーンに(パスワードではなく)キーを保存することでこれがどのように達成されるかを見ることができました。それと同じくらい単純かどうかを確認するためにそこを見ましたか?
bmike
復号化キーがユーザーのキーチェーンに保存されていると主張する記事を見つけました。ログインまたはシステムキーチェーンのいずれにも、その証拠が見つかりません。いずれにしても、キーチェーンは暗号化されたパーティションに保存されるため、これは意味がありません。最初にドライブを復号化せずにそれらに到達する方法はありません。暗号化キーがリカバリパーティションに保存されていると主張する記事(今は見つかりません)を読みましたが、それを調べたところ、注目に値するものは見つかりませんでした。それは非常に難問です。
kccricket

回答:

37

fdesetupを使用します。

sudo fdesetup remove -user username

参照:http : //derflounder.wordpress.com/2012/07/25/using-fdesetup-with-mountain-lions-filevault-2/

user51533
ソース
これはMountain Lionには正しいですが、1)Lionで動作するか、2)質問が最初に尋ねられたときにLionで利用可能であったかはわかりません。
TJルオマ
これは、同様にマーベリックスに取り組んでいます
Devon_C_Miller
3
また、OS X 10.10 Yosemiteでも動作します。
ラファエルブガジュスキー14
1
sudo fdesetup remove -user usernamemacOS 10.12 Sierraでも動作します!
-jaume
1
sudo fdesetup remove -user usernamemacOS 10.13 High Sierraでも動作します。
カッパ
4

不可能ではありません。(ユーザーを削除した場合、これをより複雑にした可能性があります!)

私は「jaydisc」にリンクされた記事を書きそれが10.7.4でも動作することをテストしました。

コンピューターをロック解除せずに使用できるようにする管理者ユーザー 'charlie'があるとします。

sudo su - charlie  
$ passwd 
Changing password for charlie.
Old Password:**[enter old password here]**
New Password:**[press enter]**
Retype New Password:**[press enter]**
$

これを実行できないことに注意してください。

sudo passwd charlie
Changing password for charlie.
New password:

「新しいパスワードプロンプト」が表示されたときにEnterキーを押すと、戻って次のように表示されるためです。

Password unchanged.
TJルオマ
ソース
2

FileVault 2およびRecovery HD

Recovery HDは、Recovery OSと混同しないでください(一方が他方よりも大きい)。

ユーザーに対してFileVault 2を有効にすると、暗号化された起動ボリュームとは別の重要な非暗号化非表示Apple_Boot Recovery HDパーティションが、EFI関連およびその他のファイルへの書き込み用に一時的にマウントされます。このファイルシステムアクティビティを表示したい場合、ユーザーのロック解除を有効にします:

  • クリックする前に完了、のようなコマンドを使用しfs_usageかのようなアプリケーションfseventer

アクティビティを見ると、暗号化されていないボリュームの編集は、暗号化されたボリュームのユーザーアカウントに関連して、重要であることわかります。

ユーザーにロック解除の不適切な権限が付与されている場合

おそらく、Lionの更新(ビルド11A511よりも大きいもの)は、起動ボリュームのロックを解除できなくなったユーザーをEFIログインウィンドウから削除する方法を提供します。

それまでは、使用できる方法は2つしか考えられません。

方法A:FileVaultを無効にしてから有効にする

  1. FileVault 2を無効にします

  2. 逆変換を完了させます

  3. オペレーティングシステムを再起動します

  4. FileVault 2を有効にしますが、そのユーザーに対しては有効にしません。

方法B:ユーザーを削除するがホームディレクトリは削除しない、など

私はこの方法をテストしていませんが、次のように動作することを想像しています。

  1. バックアップ

  2. ユーザーを削除するが、ユーザーのホームディレクトリは削除しない

  3. オペレーティングシステムを再起動します

  4. オリジナルと同じRecordNameで新しいユーザーを作成します

  5. オリジナルとは異なる UniqueID番号を設定します

  6. 以前のホームディレクトリを新しいユーザーに関連付けます。

グラハム・ペリン
ソース
0

FileVault 2暗号化ドライブへの以前に有効にしたユーザーのアクセスを無効にする方法に関する非常に簡単な答えを次に示します。

ターミナルでは、次を使用します。

sudo fdesetup remove -user Username

その後、システム環境設定->セキュリティとプライバシー-> FileVaultで、無効化が成功したことの確認として有効化できるユーザーのリストに無効化されたユーザーが表示されます。

イェン
ソース
3
これは受け入れられた答えとどう違うのですか?
nohillside
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.