FileVaultを有効にしてMacを検索し、ゲストアカウントが無効になりました(ゲストモードはサファリのみです)。
通常のゲストアカウントを再度有効にする方法はありますか?
Macbook Pro 10.11.1を使用しています
FileVaultを有効にしてMacを検索し、ゲストアカウントが無効になりました(ゲストモードはサファリのみです)。
通常のゲストアカウントを再度有効にする方法はありますか?
Macbook Pro 10.11.1を使用しています
回答:
これを行う方法はありません。私はこの解決策を高くも低くも探しましたが、Appleが設計した方法のために不可能だという結論に達しました。
FileVaultは、MicrosoftのBitLockerのようにハードウェアTPMチップで回復キーを保護する代わりに、暗号化されていない回復ボリューム上のキーチェーンファイルに保存します。FileVault対応のユーザーアカウントは、このキーチェーンのロックを解除して読み取ることができます。したがって、回復キーを保護するには、すべてのアカウントにパスワードが必要です。次に、Appleは「pass the hash」メカニズムを使用してOSにログインします(したがって、パスワードを2回入力する必要はありません)。
皮肉なことに、AppleはFileVaultのを確保するために、ハードウェアを使用していなくても、OS XはWILL機が休止状態になった場合PRAMの回復キーを保存します。彼らはこれを機能として宣伝していませんが、このAppleトレーニングガイドの 36ページには、これを無効にするための指示があります。休止状態はスリープとは異なり、RAMの内容がハードディスクに保存され、コンピューターが単に低電力モードに移行するのではなく、電源がオフになることに注意してください。休止状態ファイルは暗号化されたボリューム上にあるため、ファームウェアはそれを読み取るためにそのボリュームのロックを解除できる必要があります。
使用できる解決策は(あまり実用的ではありませんが)、シャットダウンするのではなく、常にMacを休止状態にすることです。次のコマンドを入力してターミナルを開くと、この動作を設定できます。
sudo pmset -a hibernatemode 25
使用するには、シャットダウンする代わりにログオフしてから蓋を閉じます。システムはスリープ状態ではなく電源がオフになり、次回電源を入れたときにFileVaultログオンが不要になります。欠点は、ゲストがログオンしてから再起動またはシャットダウンした場合、ゲストがコンピューターを再び使用するためにパスワードが必要になることです。
私は回復キーをPRAMに永続的に保存して常に使用できるようにする方法を探していましたが、今のところ運がありません。誰かがそれを行う方法を知っていれば、私はすべて耳です。MacのファームウェアはPCのTPMほど安全ではありませんが、Bitlockerのように機能させるという目標を達成します(BitLockerはPINなしで構成できるため、システムが完全に透過的である限り、ハードドライブは削除されず、起動順序は変更されません)。