시작 / 로그인시 FileVault 2 볼륨의 잠금을 해제하는 사용자 기능 비활성화

28

최근에 Mac 중 하나에 Lion을 새로 설치했습니다. 설치 프로세스에서 하나의 관리 사용자 계정이 작성되었습니다. 설치 후 전체 디스크에 대해 FileVault를 활성화했습니다. 그런 다음 추가 관리 사용자를 작성했습니다. 두 사용자 모두 로그인 중에 드라이브의 암호를 해독 할 수 있습니다.

사용자를 삭제하거나 FileVault를 일시적으로 비활성화하지 않고 사용자 중 하나에 대한 암호 해독 권한을 어떻게 취소합니까? 한 사용자의 관리 권한을 취소하여 일반 사용자로 만들려고 시도했지만 부팅 중에도 드라이브의 암호를 해독 할 수 있습니다.

macos  lion  filevault 
kccricket
소스
해당 사용자의 홈 폴더는 암호화 된 디스크 (및 모든 응용 프로그램)에 저장되므로 디스크가 암호화 된 상태로 유지되면 해당 사용자 계정이 일시 중지 될 수 있습니다. 어쩌면 나는 뭔가를 놓치고 있지만 말 그대로 불가능한 것 같습니다.
bmike
이것은 답변이 아니라 답변을 찾는 데 도움이되는 배경 정보입니다. 나는 아직 언급 할 담당자가 없습니다. 권한을 변경할 장소를 찾을 수 있다면 실제로 가능해야합니다. Apple의 2011 년 7 월 22 일 지원 기사 [ "OS X Lion : FileVault 2에 관하여"] [a]에 다음 내용이 명시되어 있습니다.> FileVault 잠금 해제를 사용할 수없는 사용자는 잠금 해제가 활성화 된 후에 만 ​​해당 Mac에 로그인 할 수 있습니다 사용자가 드라이브를 시작 또는 잠금 해제했습니다. 잠금이 해제되면 컴퓨터는 잠자기 모드, 최대 절전 모드 또는 종료 될 때까지 모든 사용자가 드라이브 잠금을 해제하고 사용할 수 있습니다. H
허브 맨
FileVault2를 활성화 할 때 컴퓨터에 이미 여러 사용자 계정이있는 경우 부팅 중에 드라이브의 암호를 해독 할 수있는 사용자를 묻습니다. 따라서 일부 사용자 계정 만 액세스 할 수 있습니다. 사용자에게 Amy와 Barry가 있고 Amy 만 액세스 할 수있는 경우 Barry가 자신의 계정으로 전환하기 전에 부팅 중에 로그인해야합니다. 내 제한을 부여하는 것이 불가능할 수도 있지만, 아직 포기하지는 않을 것입니다. :-)
kccricket
와우-불가능하다고 말하기 전에 더 많은 것을 연구 해야하는 것처럼 보입니다. 그것이 그렇게 단순한 지 확인하기 위해 거기를 보았습니까?
bmike
암호 해독 키가 사용자의 키 체인에 저장되어 있다고 주장하는 기사 를 찾았습니다 . 로그인 또는 시스템 키 체인에서 그 증거를 찾을 수 없습니다. 어쨌든 키 체인은 암호화 된 파티션에 저장되기 때문에 의미가 없습니다. 먼저 드라이브를 해독하지 않고는 접근 할 수 없습니다. 암호화 키가 복구 파티션에 저장되어 있다고 주장하는 기사 (지금 찾을 수 없음)를 읽었지만 그 내용을 살펴 보았으며 주목할만한 것을 찾을 수 없었습니다. 꽤 수수께끼입니다.
kccricket

답변:

37

fdesetup을 사용하십시오.

sudo fdesetup remove -user username

참조 : http://derflounder.wordpress.com/2012/07/25/using-fdesetup-with-mountain-lions-filevault-2/

사용자
소스
이것은 1) 라이온에게 효과가 있는지 또는 2) 라이온이 질문을 처음 받았을 때 이용할 수 있었는지 확실하지 않지만 Mountain Lion에게는 맞습니다.
TJ Luoma
뿐만 아니라 매버릭스에이 작품
Devon_C_Miller
3
또한 OS X 10.10 Yosemite에서도 작동합니다.
Rafael Bugajewski
1
sudo fdesetup remove -user usernamemacOS 10.12 Sierra에서도 작동합니다!
jaume
1
sudo fdesetup remove -user usernamemacOS 10.13 High Sierra에서도 작동합니다.
Kappa
4

불가능하지 않습니다. (사용자를 삭제 한 경우에도이를 더 복잡하게 만들 수 있습니다!)

나는 'jaydisc'이라는 기사를 썼고 10.7.4에서 여전히 작동하는지 테스트했다.

컴퓨터를 사용할 수는 있지만 잠금을 해제 할 수없는 관리자 사용자 'charlie'가 있다고 가정하십시오.

sudo su - charlie  
$ passwd 
Changing password for charlie.
Old Password:**[enter old password here]**
New Password:**[press enter]**
Retype New Password:**[press enter]**
$

이 작업을 수행 할 수 없습니다.

sudo passwd charlie
Changing password for charlie.
New password:

'새 비밀번호 프롬프트'가 표시 될 때 Enter 키를 누르면 돌아와서 다음과 같이 말합니다.

Password unchanged.
TJ 루 오마
소스
2

FileVault 2 및 복구 HD

복구 HD복구 OS 와 혼동하지 않아야합니다 (하나는 다른 것보다 큼).

사용자에 대해 FileVault 2를 활성화하면 암호화 된 시작 볼륨과 별개이지만 중요하지 않은 암호화되지 않은 숨겨진 Apple_Boot Recovery HD 파티션이 EFI 관련 파일 및 기타 파일에 쓰기 위해 임시로 마운트됩니다. 이 파일 시스템 활동을 보려면 잠금을 해제하기 위해 사용자를 활성화하십시오.

액티비티를 한 눈에 살펴보면 암호화되지 않은 볼륨에 대한 편집 (암호화 된 볼륨의 사용자 계정과 관련한 편집)은 사소하지 않다는 것을 나타냅니다 .

사용자에게 잠금을 해제 할 수있는 부적절한 권한이 부여 된 경우

Lion (Build 11A511 이상) 업데이트는 더 이상 시작 볼륨을 잠금 해제 할 수없는 사용자를 EFI 로그인 창에서 제거하는 방법을 제공합니다.

그 동안에는 사용할 수있는 두 가지 방법 만 생각할 수 있습니다.

방법 A : FileVault 비활성화 후 활성화

  1. FileVault 2 비활성화

  2. 역변환이 완료되도록 허용

  3. 운영 체제를 다시 시작하십시오

  4. FileVault 2를 활성화하지만 해당 사용자에게는 활성화되지 않습니다.

방법 B : 홈 디렉토리가 아닌 사용자 제거

이 방법을 테스트하지 않았으므로 다음이 작동 한다고 생각 합니다.

  1. 지원

  2. 사용자의 홈 디렉토리가 아닌 사용자를 제거하십시오.

  3. 운영 체제를 다시 시작하십시오

  4. 원본과 동일한 RecordName으로 새 사용자를 작성하십시오.

  5. 원본 과 다른 UniqueID 번호를 설정하십시오

  6. 이전 홈 디렉토리를 새 사용자와 연관 시키십시오.

그레이엄 페린
소스
0

다음은 이전에 활성화 된 사용자의 FileVault 2 암호화 드라이브 액세스를 비활성화하는 방법에 대한 매우 간단한 답변입니다.

터미널에서 다음을 사용하십시오.

sudo fdesetup remove -user Username

그 후에 비활성화 된 사용자가 시스템 환경 설정-> 보안 및 개인 정보-> FileVault에서 활성화 할 수있는 사용자 목록에서 비활성화가 성공적으로 완료되었음을 확인할 수 있습니다.

Yhen
소스
3
이것이 허용되는 답변과 어떻게 다릅니 까?
nohillside
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.