Die vollständige Festplattenverschlüsselung von macOS File Vault 2 scheint nicht zu funktionieren

Ich habe ein gebrauchtes MacBook Air 11 (2014) bekommen und als erstes habe ich das gesamte Laufwerk gelöscht und Partitionen neu hinzugefügt.

Ich habe ausgewählt OS X extended journaled encrypted, was mit File Vault 2 identisch sein sollte

Nach der Neuinstallation des Betriebssystems (Mavericks) habe ich auf macOS Sierra 10.12.3 aktualisiert und ein zweites Benutzerkonto ohne Administratorrechte hinzugefügt.

Jetzt der verwirrende Teil:

  • Beim Kaltstart meines MacBook würde es direkt zum Anmeldebildschirm gehen, ohne nach dem Festplattenkennwort zu fragen (wie würde das passieren, wenn es vollständig verschlüsselt sein soll? Ich spreche nicht vom Ruhezustand, ich habe mein MacBook ordnungsgemäß heruntergefahren).

  • Der Anmeldebildschirm würde die non-admin accountund eine Disk PasswordOption anzeigen, beide funktionieren wie erwartet, aber mein Administratorkonto wird nicht angezeigt

  • a) Nach Eingabe des Festplattenkennworts admin accountwird angezeigt

  • b) Wenn ich mich entscheide, das Festplattenkennwort NICHT einzugeben, kann ich mich immer noch bei der anmelden non-admin account. Wenn ich mich dann abmelde, admin accountwürde my auf mysteriöse Weise erscheinen und ich kann mich anmelden, ohne jemals das Passwort für meine Festplatte zu verwenden.

Ich habe den diskutil cs listBefehl verwendet und er zeigt, dass mein Logical Volume ordnungsgemäß in eine AES-XTS-verschlüsselte Logical Volume Family eingebunden ist

Hier stellt sich nun die Frage, funktioniert das wirklich? Laut einer offiziellen (möglicherweise veralteten) Apple-Website sollte sie beim Hochfahren vor dem Anmeldebildschirm nach dem Festplattenkennwort fragen.

Ausgabe von sudo gpt -r show disk0:

    start       size  index  contents
        0          1         PMBR
        1          1         Pri GPT header
        2         32         Pri GPT table
       34          6         
       40     409600      1  GPT part - XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
   409640  235298960      2  GPT part - XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
235708600    1269536      3  GPT part - XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
236978136          7         
236978143         32         Sec GPT table
236978175          1         Sec GPT header

Anmelde- oder Entsperrbildschirm?

Bitte fügen Sie die Ausgabe von hinzu sudo gpt -r show disk0! FV2 ist ein vollständiges Volume, aber keine vollständige Festplattenverschlüsselung (wie VeraCrypt für Windows).
Vielleicht ist das nur eine Verwirrung. Jedes Konto kann berechtigt werden, ein FV2-Volume freizuschalten. Sie können dies in den Systemeinstellungen ändern. Sierra zeigt einen Pre-Boot-Bildschirm, der dem Anmeldebildschirm sehr ähnlich sieht (z. B. mit einem Hintergrundbild). Könnte es sein, dass es sich tatsächlich um den Pre-Boot-Login handelt?
@klanomath bearbeitet sudo got -r show disk0in
@n1000 Ich habe ein Bild dieses Anmelde-/Entsperrbildschirms hinzugefügt. Connymein Nicht-Admin-Konto ist, fehlt ein anderes Konto, das angezeigt wird, nachdem ich die Festplatte entsperrt habe. Aber selbst wenn das der Entsperrbildschirm wäre, erklärt es nicht wirklich, warum mein anderes Konto (Admin) angezeigt wird, nachdem ich mich mit dem Konto anmelde Connyund mich dann abmelde. Ich muss zu keinem Zeitpunkt mein Festplattenkennwort eingeben, um vollen Zugriff zu erhalten.
FV2 gewährt Ihrem Kontopasswort die Berechtigung zum Entsperren der Partition. Daher ist Ihr Kontopasswort = FV2-Passwort. FV2 kann mehrere Passwörter verwenden. Unter System Preferences> Security & Privacy> Enable Users...können Sie verwalten, welches Konto entsperrt werden darf.
@ n1000 danke, ich wusste nicht, dass FileVault mehrere Passwörter zulässt (um wahrscheinlich den Hauptschlüssel zu entsperren), es macht jetzt viel mehr Sinn. Anscheinend unterscheiden sich der Verschlüsselungsprozess und die Benutzeroberfläche auch geringfügig, wenn die Verschlüsselung während der Partitionierung oder später aktiviert wird.

Antworten (1)

Es sieht so aus, als ob dies ein Missverständnis ist. In den späteren Versionen von macOS ist es schwierig, den Pre-Boot-Unlock-Bildschirm (wo man die Partition entsperrt und nach dem Bootvorgang automatisch angemeldet wird) vom Anmeldebildschirm (wo die Systempartition bereits entsperrt ist und der Benutzer muss) zu unterscheiden im System anmelden).

Darüber hinaus kann FileVault2 mehreren Passwörtern das Recht zum Entsperren der Partition erteilen und diese Berechtigung einzelnen Konten erteilen. Sie können verwalten, welche Konten die Systemfestplatte in System Preferences> Security & Privacy> entsperren können Enable Users.... Das bedeutet, dass Ihr Kontopasswort auch das Passwort zum Entsperren der Partition wird. In jedem Fall können Sie das Wiederherstellungskennwort verwenden, das beim Verschlüsseln der Festplatte bereitgestellt wird, um die Partition zu entsperren.

Diese Antwort bietet eine Methode zur Verwendung eines Entsperrschlüssels, der sich von Ihrem Kontokennwort unterscheidet.

Die vollständige Festplattenverschlüsselung von macOS File Vault 2 scheint nicht zu funktionieren
AntwortenHierDatenschutz-Bestimmungen1y, 0v