Wie erzwinge ich das Festplattenverschlüsselungskennwort beim Booten für ALLE Benutzer?

Ich möchte, dass mein MBP mit dem Disk Encryption Password entsperrt wird, bevor ich Zugriff auf den Anmeldebildschirm erhalte. (lesen Sie: Ich möchte zwei Passwortabfragen haben, bevor das MBP verwendet werden kann)

Daher habe ich High Sierra sauber (neu) installiert und APFS Encrypted gewählt. Das anschließend erstellte Administratorkonto hat jedoch ein Sicherheitstoken, was mein Problem zu sein scheint. Jetzt habe ich beim Start die Wahl zwischen dem Administratorkonto und dem Festplattenverschlüsselungskennwort für andere Konten mit einem deaktivierten Token.

Folgendes habe ich versucht:

  1. Ich habe versucht, mich selbst (auch bekannt als Administrator) davon abzuhalten, das sichere Token mit zu haben, sysadminctl -secureTokenOff adminaber am Ende erhalte ich den folgenden Fehler:Operation not permitted without a secure token unlock.

Allerdings habe ich gut eine ( sysadminctl -secureTokenStatus adminzeigt ENABLED)

  1. Ich habe versucht, mich davon abzuhalten, die Festplatte mit zu entsperren, fdesetup remove -user adminaber da ich der einzige Benutzer bin, habe ich Folgendes erhaltenUser could not be removed because it's the last OS user on the Volume

Kurz gesagt, wie kann ich die Abfrage des Festplattenverschlüsselungskennworts für ALLE Benutzer, einschließlich Administratoren, erzwingen?

Es macht Echo auf diesen Beitrag: Beim Start zur Eingabe des verschlüsselten Festplattenkennworts auffordern

Hinweis: Bei einer fehlerhaften Installation von HighSierra endete ich mit einem Administratorkonto ohne Sicherheitstoken, und es funktionierte wie beabsichtigt. Ich musste vor allem anderen die Eingabeaufforderung für das Festplattenverschlüsselungskennwort durchlaufen. Ich habe MacOS jedoch neu installiert, weil ich aufgrund dieser Situation nicht auf das Terminal von der MacOS-Wiederherstellung zugreifen konnte (ich hatte eine Fehlermeldung, die besagte, dass kein Administrator mit den richtigen Status (Lesen Sie Token) mit auf dem System gefunden wurde).

Fragen Sie, wie Sie FileVault aktivieren oder die Funktionsweise von FileVault ändern können?
Ich frage, wie FileVault aktiviert werden kann, ohne dass Benutzer die Festplatte entschlüsseln können, es sei denn, sie geben das Festplattenverschlüsselungskennwort ein (vorausgesetzt, wir wählen einen oder einen Entschlüsselungsschlüssel, dh einen anderen als das standardmäßige Icloud-Kennwort). Das Einschalten von Filevault selbst zwingt den Administrator nicht, ein solches Passwort durchzugehen, da sein eigenes Passwort die Festplatte entschlüsselt.
Warum eine Ablehnung? Wenn etwas nicht gut erklärt ist, werde ich meine Frage bearbeiten.
Cool - so ändern Sie die Standardeinstellungen. Standardmäßig kann jeder, der aktiviert ist, das Volume entschlüsseln. Ich werde einen Hack / Workaround vorschlagen, aber die richtige Antwort könnte sein - Sie können nicht sofort tun, was Sie wollen. Möglicherweise können Sie dies mit einem benutzerdefinierten PAM-Modul erreichen, aber noch einmal - ich weiß es nicht genau, aber hier würde ich anfangen, wenn ich den Anmeldeprozess ändern müsste.

Antworten (1)

Ok, hier ist also eine halbe Antwort.

  • Mit einem ersten Admin-Konto (z. B. admin) erstellen Sie ein weiteres (admin_tmp) und melden sich an.
  • Im Terminal entfernen Sie das erste Konto, um die Festplatte mit entsperren zu können fdesetup remove -user admin. In der Zwischenzeit ist sein SecureToken-Schalter auf Aus.
  • Sie melden sich ab und melden sich bei „admin“ an. Dann entfernen Sie aus den Einstellungen für Benutzerkonten admin_tmp aus dem System.
  • Dann haben Sie ein Administratorkonto ohne SecureToken, was die einzige Möglichkeit zu sein scheint, beim Booten eine Eingabeaufforderung für das Festplattenverschlüsselungskennwort zu erzwingen. Next-Konten haben von Natur aus kein SecureToken, daher keine Erlaubnis, die Festplatte mit ihrem eigenen Passwort zu entschlüsseln.

Das ist nicht ideal, da dies einige Dinge kaputt machen kann (siehe meine Anmerkung im ersten Beitrag).

Wie erzwinge ich das Festplattenverschlüsselungskennwort beim Booten für ALLE Benutzer?
AntwortenHierDatenschutz-Bestimmungen1y, 0v