Für einen FileVault-Benutzer von Mountain Lion: Kann ich die automatische Anmeldung vermeiden, die normalerweise nach dem Entsperren des verschlüsselten Startvolumes erfolgt?

Ich habe FileVault mit zwei Benutzern aktiviert:

  • Administrator
  • Anderer Typ.

Ich möchte, dass AdminGuy:

  • die Möglichkeit haben, die Festplatte zu entsperren, und daher kann nur er beim Booten au/n + p/w eingeben, um den Bootvorgang zu starten
  • die Möglichkeit haben, sich anzumelden
  • nicht automatisch eingeloggt werden.

Mit anderen Worten: Kann AdminGuy das Laufwerk einfach entsperren, aber dann einen Anmeldebildschirm öffnen, damit OtherGuy sich stattdessen anmelden kann?

10.8.

Per @ DeepanshuUtkarshs Link ist dies das Verhalten, das ich ändern möchte:

Das Benutzerkonto, das das Laufwerk entsperrt hat, wird nach Abschluss des Startvorgangs bei seinem eigenen Konto angemeldet, ohne dass eine erneute Anmeldung erforderlich ist.

Wenn Sie den Mac einem Benutzer ohne Entsperrfunktionen zur Verfügung stellen möchten, melden Sie sich an und wählen Sie dann, wenn Sie Ihren eigenen Desktop sehen, „Abmelden (Benutzername)“ aus dem Apple-Menü (). Sie können auch die Festplatte entsperren und dann den Namen des anderen Benutzers aus dem Menüleistenelement „Schneller Benutzerwechsel“ (erscheint als Name des aktuell angemeldeten Benutzers) oben rechts auf dem Bildschirm auswählen.

Antworten (4)

Verschlüsseln Sie das Startvolume mit Core Storage ohne FileVault

Zwei Tage nachdem ich diese Antwort hinzugefügt hatte, veröffentlichte Apple ein technisches Whitepaper: Best Practices for Deploying FileVault 2 – Deploying OS X Full Disk Encryption Technology (PDF). Auf einen Blick scheint einiges von dem, was ich unten beschreibe, von Apple wie folgt beschrieben zu werden:

  • Datenträgerpasswortbasierter DEK .

Vorbereitung

  1. Sicherung
  2. Starten Sie das Wiederherstellungs-Betriebssystem
  3. Verwenden Sie das Festplattendienstprogramm, um das Startvolume zu löschen – Mac OS Extended (Journaled, Encrypted)
  4. wiederherstellen
  5. Geben Sie AdminGuy die Passphrase für das Volume.

Hinweis

Verwenden Sie in Schritt 4 oben eine Methode, die den Apple_Boot-Slice (manchmal als Boot OS X, manchmal als Recovery HD bezeichnet) beibehält, während das JHFS+-Startvolume wiederhergestellt wird.

Um diese Antwort zu validieren, habe ich für diesen Schritt das Festplatten-Dienstprogramm verwendet. (Ich bin mit den Wiederherstellungsfunktionen von Time Machine weniger vertraut.)

Die resultierende EfiLoginUI:

Disk-Passwort-Option bei EfiLoginUI

Da Disk Password einen Avatar/ein Symbol hat, ist es klar, dass Apple solche Szenarien in Erwägung zieht.

Danach normaler Gebrauch

  1. Neben benannten Benutzern präsentiert EfiLoginUI Disk Password
  2. AdminGuy kann das Festplattenkennwort auswählen
  3. AdminGuy kann die Passphrase eingeben, um das CoreStorage-geschützte Startvolume zu entsperren
  4. Wenn das Anmeldefenster erscheint, wählen Sie den gewünschten Benutzer aus.

Benutzer können ihre Login-Passwörter ändern. Der Ausdruck für das Festplattenkennwort bleibt unverändert.

Sie müssen die FileVault-Bereiche der Systemeinstellungen nicht verwenden, aber wenn Sie dies tun, funktionieren die meisten Dinge wie erwartet.

Die oben abgebildete Maschine ist perfekt sauber und wurde aus einer Mountain Lion-Vorlage wiederhergestellt , die ich nach der Installation des Betriebssystems erstellt habe (auf dem Begrüßungsbildschirm habe ich heruntergefahren und dann das Festplatten-Dienstprogramm verwendet, um ein Image aller Partitionen/Slices der Festplatte zu erstellen). Ich habe einen Benutzer erstellt und diesen Benutzer dann für FileVault aktiviert:

Screenshot: Einige Benutzer können die Festplatte nicht entsperren. Screenshot: Das Betriebssystem zeigt ein Häkchen gegen den einzigen Benutzer Screenshot: Nachdem Sie auf „Fertig“ geklickt haben, können alle Benutzer die Festplatte entsperren

Die resultierende EfiLoginUI – ein benannter Benutzer neben der Option Disk Password:

Ein Named User und die Disk Password-Option bei EfiLoginUI

Darstellungsfehler

Die Systemeinstellungen in Build 12A269 von OS X 10.8 können angeben, dass FileVault mit einem Wiederherstellungsschlüsselsatz aktiviert ist  , wenn der Schlüssel nicht mehr gültig ist . (Gehen Sie davon aus, dass ein gelöschtes Volume mit einer möglicherweise anderen Passphrase keinen Wiederherstellungsschlüssel akzeptiert, der vor dem Löschen festgelegt wurde. Eine eindeutigere Meinung kann aus Infiltrate the Vault: Security Analysis and Decryption of Lion Full Disk Encryption  (2012) gezogen werden. ) Ich habe Fehler an Apple gemeldet.

Die obigen Fotos zeigen das USB-Flash-Laufwerk, mit dem ich diese Antwort validiert habe.

Die Fotos unten zeigen das interne Laufwerk, das ich jeden Tag verwende.

EfiLoginUI – zwei benannte Benutzer, die für FileVault aktiviert sind, die Option „Festplattenkennwort“ und der Gastbenutzer:

meine alltägliche EfiLoginUI

Anmeldefenster – alle benannten Benutzer:

mein tägliches Loginfenster

Ich möchte nicht verhindern, dass sich AdminGuy anmeldet. Ich möchte verhindern, dass er nach dem Entsperren des Computers automatisch angemeldet wird.
Dies scheint clever zu sein, scheint aber instabil / nicht robust gegenüber Updates zu sein. Kennen Sie eine standardisiertere Mainstream-Lösung mit höherer Kompatibilitätsgarantie?
Es ist stabil – ein normales Ergebnis der Verschlüsselung eines Volumes vor der Installation (oder Wiederherstellung) des Betriebssystems auf diesem Volume. Ich mache das schon eine Weile. Betriebssystem- und andere Updates sind kein Problem.
Dies erscheint vernünftig. Ich werde es das nächste Mal versuchen, wenn ich an einer externen HD bin.
Ich hatte noch keine Gelegenheit, dies auszuprobieren, und jetzt haben sich meine Bedürfnisse geändert, aber ich bin von den Details in der Lösung überzeugt.

Wenn Sie FileVault aktivieren, können Sie auswählen, welche Konten berechtigt sind, das Laufwerk zu entsperren. Von dort aus können Sie das AdminGuy-Konto als das einzige autorisierte Konto auswählen. Was die automatische Anmeldung betrifft, so wird die automatische Anmeldung nach dem Einschalten von FileVault deaktiviert.

Sie müssen FileVault also nur normal aktivieren und erhalten Ihre Antworten durch den Prozess.

Ich habe bereits nur AdminGuy als autorisiert ausgewählt, aber nachdem er sich beim Booten authentifiziert hat, wird er auch angemeldet.
Haben Sie versucht, die automatische Anmeldung explizit zu deaktivieren?
Die automatische Anmeldung ist (und war) deaktiviert.
Das funktioniert bei mir, ich weiß nicht, warum es bei dir nicht funktioniert. Weitere Hilfe finden Sie in diesem Artikel: support.apple.com/kb/HT4790?viewlocale=en_US&locale=en_US
Dies ist ein guter Link, aber er beschreibt ausdrücklich das Verhalten, das ich zu ändern versuche (siehe Bearbeiten in Q).
Die automatische Anmeldung – im Bereich „Benutzer & Gruppen“ der Systemeinstellungen – ist für Anwendungsfälle vorgesehen, in denen der Computer starten und sich ohne Kennwort anmelden muss. Diese Art der Automatisierung ist auf das Anmeldefenster beschränkt und gilt nicht für EfiLoginUI. Mit FileVault 2 – das immer einen Satz erfordert, um das OS X-Startvolume zu entsperren: Eine andere Art der Automatisierung gilt für alle Benutzer, deren Namen bei EfiLoginUI erscheinen. Eine Antwort besteht also darin, bei EfiLoginUI die Phrase für das Volume einzugeben (keine Phrase für einen Benutzer ).
@DeepanshuUtkarsh Wenn Sie sich mit FileVault 2 zuerst bei EfiLoginUI (Sekunden nach dem Startsignal) und dann erneut beim Anmeldefenster als benannter Benutzer authentifizieren müssen, ist das ein Fehler. Für einen benannten Benutzer ist es üblich, sich nur einmal zu authentifizieren.

Bevor Sie das Betriebssystem neu installieren, verwenden Sie Diskutility, um die Partition zu erstellen, auf der Sie das Betriebssystem installieren möchten, stellen Sie sicher, dass Sie die Partition verschlüsselt erstellen und dass die Passphrase die gewünschte ist. Nachdem:

  1. Installieren Sie das Betriebssystem auf der verschlüsselten Partition.

  2. Erstellen Sie das erste Konto "das Administratorkonto".

  3. Fügen Sie normale oder Admin-Benutzer hinzu.

  4. Verwenden Sie das Terminal, um den Admin-Benutzer und die anderen für das Konto aktivierten Benutzer zu entfernen. (sollte so aussehen):sudo fdesetup remove -user "username"

  5. Starten Sie neu, um sicherzustellen, dass beim Hochfahren nur die DEK Disk Password-Anmeldung verfügbar ist.

Systemeinstellungen > Benutzer & Gruppen > Anmeldeoptionen > Automatische Anmeldung: Aus

Für einen FileVault-Benutzer von Mountain Lion: Kann ich die automatische Anmeldung vermeiden, die normalerweise nach dem Entsperren des verschlüsselten Startvolumes erfolgt?
AntwortenHierDatenschutz-Bestimmungen1y, 0v