31 votes

kccricket avatar

Désactiver la capacité d'un utilisateur à déverrouiller un volume FileVault 2 au moment du démarrage/de la connexion.

Demandé el 23 de Juillet, 2011
Quand la question a-t-elle été
27685 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai récemment effectué une installation propre de Lion sur l'un de mes Macs. Le processus d'installation a créé un compte d'utilisateur administratif. Après l'installation, j'ai activé FileVault pour l'ensemble du disque. Puis, j'ai créé un utilisateur administratif supplémentaire. Les deux utilisateurs sont en mesure de décrypter le disque lors de la connexion.

Comment révoquer les droits de décryptage à l'un des utilisateurs sans supprimer l'utilisateur ou désactiver temporairement FileVault ? J'ai essayé de révoquer le privilège d'administration d'un utilisateur et d'en faire un utilisateur normal, mais il est toujours en mesure de décrypter le lecteur au démarrage.

Demandé el 23 de Juillet, 2011 par kccricket

0 votes

Avatar de Oskar

Puisque le dossier personnel de cet utilisateur est stocké sur un disque crypté (ainsi que toutes les applications), vous pouvez tout aussi bien suspendre ce compte utilisateur si le disque reste crypté. Peut-être que quelque chose m'échappe - mais cela semble littéralement impossible à faire.

Commenté el 23 de Juillet, 2011 par Oskar

0 votes

Avatar de rodbegbie

Il ne s'agit pas d'une réponse, mais d'informations générales pour nous aider à trouver une réponse. Je n'ai pas encore le droit de commenter. Cela devrait en fait être possible, à condition de trouver l'endroit où modifier les permissions. Dans l'article de support d'Apple du 22 juillet 2011 ["OS X Lion : About FileVault 2"][a], ils déclarent ce qui suit : > Les utilisateurs non activés pour le déverrouillage de FileVault ne pourront se connecter à ce Mac qu'après qu'un utilisateur non activé pour le déverrouillage ait démarré ou déverrouillé le lecteur. Une fois déverrouillé, le disque reste déverrouillé et disponible pour tous les utilisateurs, jusqu'à ce que l'ordinateur se mette en veille, en hibernation ou soit éteint. H

Commenté el 24 de Juillet, 2011 par rodbegbie

0 votes

Avatar de kccricket

Si l'ordinateur possède déjà plusieurs comptes d'utilisateur lorsque vous activez FileVault2, il vous demandera quels utilisateurs vous souhaitez autoriser à décrypter le disque lors du démarrage. Il est donc possible que seuls certains comptes d'utilisateurs aient accès. Si vous avez des utilisateurs Amy et Barry, et que vous ne donnez l'accès qu'à Amy, elle devra se connecter pendant le démarrage avant que Barry puisse passer à son compte. Vous avez peut-être raison de dire que c'est impossible à réaliser compte tenu de mes restrictions, mais je n'abandonne pas encore :-)

Commenté el 24 de Juillet, 2011 par kccricket
Afficher 5 autres commentaires

Réponses

Trop de publicités?

41voto

user51533 avatar
user51533 Points 406

Utilisez fdesetup :

sudo fdesetup remove -user username

Voir : http://derflounder.wordpress.com/2012/07/25/using-fdesetup-with-mountain-lions-filevault-2/

Répondu el 19 de Juin, 2013 par user51533 (406 Points )

0 votes

Avatar de moodforaday

C'est correct pour Mountain Lion, bien que je ne sois pas sûr 1) que cela fonctionne pour Lion ou 2) que cela était disponible dans Lion lorsque la question a été posée à l'origine.

Commenté el 22 de Juillet, 2013 par moodforaday

0 votes

Avatar de Devon_C_Miller

Cela fonctionne aussi sur Mavericks

Commenté el 3 de Avril, 2014 par Devon_C_Miller

3 votes

Avatar de Rafael Bugajewski

Et il fonctionne également sur OS X 10.10 Yosemite.

Commenté el 2 de Août, 2014 par Rafael Bugajewski
Afficher 4 autres commentaires

4voto

moodforaday avatar
moodforaday Points 2633

Ce n'est pas impossible. (Bien que si vous avez supprimé l'utilisateur, vous avez peut-être rendu les choses plus compliquées !)

J'ai écrit l'article 'jaydisc' lié à et je viens de tester que cela fonctionne toujours dans la 10.7.4 :

Supposons que vous ayez un utilisateur administrateur "charlie" qui puisse utiliser l'ordinateur, mais pas le déverrouiller :

sudo su - charlie  
$ passwd 
Changing password for charlie.
Old Password:**[enter old password here]**
New Password:**[press enter]**
Retype New Password:**[press enter]**
$

Notez que vous ne pouvez pas le faire :

sudo passwd charlie
Changing password for charlie.
New password:

parce que si vous appuyez sur la touche entrée quand vous obtenez le "nouveau mot de passe", il reviendra et dira :

Password unchanged.
Répondu el 15 de Juin, 2012 par moodforaday (2633 Points )

3voto

jaydisc avatar
jaydisc Points 465

Il semble que la suppression temporaire des mots de passe des utilisateurs les supprime du menu de démarrage EFI :

http://www.tuaw.com/2011/12/12/prevent-certain-accounts-from-unlocking-filevault-2/

Malheureusement, dans mon cas, certains des utilisateurs sont des utilisateurs d'Open Directory Mobile, et je ne parviens pas à trouver un moyen de définir leur mot de passe comme vide.

Répondu el 15 de Juin, 2012 par jaydisc (465 Points )

2voto

Graham Perrin avatar
Graham Perrin Points 7373

FileVault 2 et Recovery HD

Recovery HD à ne pas confondre avec le Recovery OS (l'un est plus grand que l'autre).

Lorsque vous activez FileVault 2 pour un utilisateur : la partition cachée non chiffrée Apple_Boot Recovery HD, séparée du volume de démarrage chiffré mais essentielle à celui-ci, est temporairement montée pour l'écriture de fichiers EFI et autres. Si vous souhaitez visualiser cette activité du système de fichiers, tout en activant un utilisateur à des fins de déverrouillage :

  • avant de cliquer sur Terminé utilisez une commande telle que fs_usage ou une application telle que fseventer .

Un coup d'œil à l'activité suggère que les modifications apportées au volume non crypté - en relation avec le compte utilisateur sur le volume crypté - sont les suivantes non trivial .

Si un utilisateur reçoit une autorisation inappropriée pour déverrouiller

Peut-être qu'une mise à jour de Lion (quelque chose de plus que la Build 11A511) fournira un moyen de supprimer, à partir de la fenêtre de connexion EFI, un utilisateur qui ne devrait plus être en mesure de déverrouiller le volume de démarrage.

En attendant, je ne vois que deux méthodes qui pourraient être utilisées.

Méthode A : désactiver puis activer FileVault

  1. désactiver FileVault 2

  2. permettre à la conversion en arrière de se terminer

  3. redémarrer le système d'exploitation

  4. activer FileVault 2, mais pas pour cet utilisateur.

Méthode B : supprimer l'utilisateur mais pas le répertoire personnel, etc.

Je n'ai pas testé cette méthode, je imaginez que ce qui suit pourrait fonctionner :

  1. sauvegarde

  2. supprimer l'utilisateur mais pas le répertoire personnel de l'utilisateur

  3. redémarrer le système d'exploitation

  4. créer un nouvel utilisateur avec le même RecordName que l'original

  5. définir un numéro d'identification unique qui diffère de l'original

  6. associer l'ancien répertoire personnel au nouvel utilisateur.

Répondu el 8 de Août, 2011 par Graham Perrin (7373 Points )

0voto

MostlyYes avatar
MostlyYes Points 29

Voici la réponse très simple à la question de savoir comment désactiver l'accès d'un utilisateur précédemment autorisé à un disque crypté FileVault 2 :

En terminal, utiliser :

sudo fdesetup remove -user Username

Vous verrez ensuite l'utilisateur désactivé dans la liste des utilisateurs disponibles pour l'activation dans Préférences système->Sécurité et confidentialité -> FileVault pour vérifier que la désactivation a réussi.

Répondu el 11 de Février, 2016 par MostlyYes (29 Points )

4 votes

Avatar de nohillside

En quoi cela diffère-t-il de la réponse acceptée ?

Commenté el 11 de Février, 2016 par nohillside

Questions connexes

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X