29 votos

kccricket avatar

Desactivar la capacidad de un usuario para desbloquear un volumen de FileVault 2 en el momento de inicio o inicio de sesión

Preguntado el 23 de Julio, 2011
Cuando se hizo la pregunta
12487 visitas
Cuantas visitas ha tenido la pregunta
5 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Recientemente he realizado una instalación limpia de Lion en uno de mis Macs. El proceso de instalación creó una cuenta de usuario administrativo. Tras la instalación, activé FileVault para todo el disco. Luego, creé un usuario administrativo adicional. Ambos usuarios pueden descifrar el disco durante el inicio de sesión.

¿Cómo puedo revocar los derechos de descifrado a uno de los usuarios sin eliminar el usuario o desactivar temporalmente FileVault? He intentado revocar los privilegios administrativos de un usuario, convirtiéndolo en un usuario normal, pero sigue pudiendo descifrar la unidad durante el arranque.

Preguntado el 23 de Julio, 2011 por kccricket

0 votos

Avatar de Oskar

Dado que la carpeta de inicio de ese usuario está almacenada en un disco encriptado (así como todas las Aplicaciones) también podrías suspender esa cuenta de usuario si el disco va a permanecer encriptado. Tal vez me estoy perdiendo algo - pero parece literalmente imposible de hacer.

Comentado el 23 de Julio, 2011 por Oskar

0 votos

Avatar de rodbegbie

Esto no es una respuesta, sólo algunos antecedentes que nos ayudarán a encontrar una respuesta. Simplemente no tengo el rep para comentar todavía. En realidad, esto debería ser posible, siempre que podamos encontrar el lugar para cambiar los permisos. En el artículo de soporte de Apple del 22 de julio de 2011 ["OS X Lion: Acerca de FileVault 2"][a], indican lo siguiente: > Los usuarios no habilitados para el desbloqueo de FileVault sólo podrán iniciar sesión en ese Mac después de que un usuario no habilitado para el desbloqueo haya iniciado o desbloqueado la unidad. Una vez desbloqueada, la unidad permanecerá desbloqueada y disponible para todos los usuarios hasta que el ordenador entre en reposo, hiberne o se apague. H

Comentado el 24 de Julio, 2011 por rodbegbie

0 votos

Avatar de kccricket

Si el ordenador ya tiene varias cuentas de usuario cuando actives FileVault2, te preguntará a qué usuarios quieres permitir descifrar la unidad durante el arranque. Entonces, es posible que sólo algunas cuentas de usuario tengan acceso. Si tienes los usuarios Amy y Barry, y sólo le das acceso a Amy, ella tendría que iniciar sesión durante el arranque antes de que Barry pueda cambiar a su cuenta. Puede que tengas razón en que puede ser imposible de hacer dadas mis restricciones, pero no me doy por vencido todavía. :-)

Comentado el 24 de Julio, 2011 por kccricket
Mostrar 5 comentarios más

Respuestas

¿Demasiados anuncios?

39voto

maxp avatar
maxp Puntos 137

Utilice fdesetup:

sudo fdesetup remove -user username

Ver: http://derflounder.wordpress.com/2012/07/25/using-fdesetup-with-mountain-lions-filevault-2/

Respondido el 19 de Junio, 2013 por maxp (137 Puntos )

0 votos

Avatar de moodforaday

Esto es correcto para Mountain Lion, aunque no estoy seguro de 1) que funcione para Lion o 2) que estuviera disponible en Lion cuando se hizo la pregunta originalmente.

Comentado el 22 de Julio, 2013 por moodforaday

0 votos

Avatar de thomasfedb

Esto también funciona en Mavericks

Comentado el 3 de Abril, 2014 por thomasfedb

3 votos

Avatar de Hurkyl

Y también funciona en OS X 10.10 Yosemite.

Comentado el 2 de Agosto, 2014 por Hurkyl
Mostrar 4 comentarios más

4voto

moodforaday avatar
moodforaday Puntos 2633

No es imposible. (Aunque si has borrado el usuario puede que lo hayas hecho más complicado).

He escrito el artículo "jaydisc" enlazado y acabo de comprobar que sigue funcionando en 10.7.4:

Supongamos que tienes un usuario administrador 'charlie' que quieres que pueda usar, pero no desbloquear, el ordenador:

sudo su - charlie  
$ passwd 
Changing password for charlie.
Old Password:**[enter old password here]**
New Password:**[press enter]**
Retype New Password:**[press enter]**
$

Tenga en cuenta que no puede hacer esto:

sudo passwd charlie
Changing password for charlie.
New password:

porque si pulsas enter cuando te salga el "prompt de nueva contraseña" volverá a decir:

Password unchanged.
Respondido el 15 de Junio, 2012 por moodforaday (2633 Puntos )

3voto

Chris avatar
Chris Puntos 721

Parece que la eliminación temporal de las contraseñas de los usuarios los elimina del menú de arranque EFI:

http://www.tuaw.com/2011/12/12/prevent-certain-accounts-from-unlocking-filevault-2/

Desgraciadamente, en mi caso, algunos de los usuarios son usuarios de Open Directory Mobile, y no soy capaz de encontrar la forma de poner su contraseña en blanco.

Respondido el 15 de Junio, 2012 por Chris (721 Puntos )

2voto

Tim avatar
Tim Puntos 11

FileVault 2 y Recovery HD

Recuperación HD no debe confundirse con el Sistema operativo de recuperación (una es mayor que la otra).

Cuando se habilita FileVault 2 para un usuario: la partición oculta no cifrada Apple_Boot Recovery HD, separada pero crítica para el volumen de inicio cifrado, se monta temporalmente para escribir en archivos relacionados con EFI y otros. Si desea ver esta actividad del sistema de archivos, mientras habilita un usuario para fines de desbloqueo:

  • antes de hacer clic en Hecho Utiliza un comando como fs_usage o una aplicación como fseventer .

Un vistazo a la actividad sugiere que las ediciones en el volumen no cifrado -en relación con la cuenta de usuario en el volumen cifrado- son no trivial .

Si a un usuario se le da una autoridad inapropiada para desbloquear

Tal vez una actualización de Lion (algo mayor que la Build 11A511) proporcione una forma de eliminar, desde la EFI loginwindow, a un usuario que ya no debería poder desbloquear el volumen de inicio.

Mientras tanto, sólo se me ocurren dos métodos que pueden utilizarse.

Método A: desactivar y luego activar FileVault

  1. desactivar FileVault 2

  2. permitir que se complete la conversión hacia atrás

  3. reiniciar el sistema operativo

  4. activar FileVault 2, pero no para ese usuario.

Método B: eliminar el usuario pero no el directorio root, etc.

No he probado este método, yo imagina que lo siguiente podría funcionar:

  1. copia de seguridad

  2. eliminar el usuario pero no el directorio root del usuario

  3. reiniciar el sistema operativo

  4. crear un nuevo usuario con el mismo RecordName que el original

  5. establecer un número de UniqueID que difiere del original

  6. asociar el directorio personal anterior con el nuevo usuario.

Respondido el 8 de Agosto, 2011 por Tim (11 Puntos )

0voto

MostlyYes avatar
MostlyYes Puntos 29

Aquí está la respuesta muy simple sobre cómo deshabilitar el acceso de un usuario previamente habilitado a una unidad encriptada de FileVault 2:

En la terminal, utilice:

sudo fdesetup remove -user Username

A partir de ese momento verá el usuario deshabilitado en la lista de usuarios disponibles para habilitar en Preferencias del Sistema->Seguridad y Privacidad -> FileVault como verificación de que la deshabilitación fue exitosa

Respondido el 11 de Febrero, 2016 por MostlyYes (29 Puntos )

3 votos

Avatar de Matthew A. Flinchbaugh

¿En qué difiere de la respuesta aceptada?

Comentado el 11 de Febrero, 2016 por Matthew A. Flinchbaugh

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X