Zwischen FileVault 2 und Festplatten-Dienstprogramm-Verschlüsselung konvertieren?

Question

Zwischen FileVault 2 und Festplatten-Dienstprogramm-Verschlüsselung konvertieren?

Wyzard

Ich kenne zwei Möglichkeiten, um die Festplattenverschlüsselung in macOS Sierra zu aktivieren:

Aktivieren Sie FileVault 2, oder
Starten Sie zur Wiederherstellung, formatieren Sie die Festplatte als verschlüsselt neu und installieren Sie macOS neu.

Ich habe an mehreren Stellen im Internet gelesen, dass die zugrunde liegende Verschlüsselungstechnologie in beiden Fällen dieselbe ist und der Unterschied darin besteht, wie der Entschlüsselungsschlüssel beim Booten abgerufen wird. Bei FileVault dient das Anmeldekennwort eines Benutzers auch zum Entsperren der Festplatte, aber wenn Sie mit dem Festplattendienstprogramm verschlüsseln, wählen Sie ein separates Kennwort nur für die Verschlüsselung.

Ich habe festgestellt, dass Sie, wenn die Festplatte zum Zeitpunkt der Installation über das Festplatten-Dienstprogramm verschlüsselt wurde, einem Benutzer auch ermöglichen können, sie über das FileVault-Einstellungsfenster zu entsperren. Beim Start können Sie dann die Festplatte entsperren, indem Sie entweder das Festplattenkennwort oder das Anmeldekennwort des Benutzers verwenden.

Nachdem ich jedoch in diesen hybriden Zustand geraten bin, sehe ich keinen Weg, aus ihm herauszukommen. Was ich wissen möchte ist:

Nachdem ich einem Benutzer ermöglicht habe, die Festplatte zu entsperren, gibt es eine Möglichkeit, das alte Festplattenkennwort (das bei der Installation mit dem Festplattendienstprogramm erstellt wurde) zu entfernen und durch einen Wiederherstellungsschlüssel zu ersetzen, also ist es wie ein normales FileVault-Setup, das nur verwendet Benutzerkennwörter?
Gibt es alternativ eine Möglichkeit, den Benutzer aus FileVault zu entfernen, sodass nur das Festplattenkennwort funktioniert?

Und in einer ähnlichen Anmerkung:

Wenn FileVault auf die übliche Weise aktiviert wurde (ausgehend von einem unverschlüsselten Mac), gibt es eine Möglichkeit, ein Festplattenkennwort hinzuzufügen , das von den Benutzeranmeldekennwörtern getrennt ist, wie ich es hätte, wenn ich es zum Zeitpunkt der Installation über das Festplattendienstprogramm verschlüsselt hätte ?

Antworten (1)

Zwischen FileVault 2 und Festplatten-Dienstprogramm-Verschlüsselung konvertieren?

Wyzard · Answer 1

Wie sich herausstellte, fand ich die Antworten auf die meisten dieser Fragen nicht lange, nachdem ich die Frage gestellt hatte. Das Kommandozeilenprogramm fdesetupbietet einige zusätzliche Optionen.

Festplattenkennwort entfernen

Führen Sie es aus sudo fdesetup list -extendedund suchen Sie nach der UUID mit der Bezeichnung „Disk Passphrase“. Dann laufen, sudo fdesetup remove -uuid <UUID>um es zu entfernen.

Dies kann verwendet werden, um das Festplattenkennwort zu entfernen, das über das Festplattendienstprogramm erstellt wurde, sodass nur Benutzeranmeldekennwörter zum Entsperren der Festplatte übrig bleiben.

Benutzer aus FileVault entfernen

Führen Sie sudo fdesetup list( -extendedist nicht erforderlich) aus, um zu sehen, welche Benutzer berechtigt sind, die Festplatte zu entsperren, und verwenden Sie dann sudo fdesetup remove -user <USER>oder sudo fdesetup remove -uuid <UUID>.

Dies kann verwendet werden, um Benutzer zu entautorisieren, sodass nur das Festplattenkennwort verwendet werden kann.

Wiederherstellungsschlüssel hinzufügen

Laufen sudo fdesetup changerecovery -personal. Dies fordert zur Eingabe eines Passworts auf (alles, was derzeit zum Entsperren der Festplatte aktiviert ist) und zeigt dann den neuen Wiederherstellungsschlüssel an. (Schreib es auf!)

Entfernen des Wiederherstellungsschlüssels

Laufen sudo fdesetup removerecovery -personal. Wie oben wird dies zur Eingabe eines Passworts auffordern.

Datenträgerkennwort hinzufügen

Ich konnte keine Möglichkeit finden, dies an Ort und Stelle zu tun - sudo diskutil cs passwdes scheint, als sollte es funktionieren, aber es erfordert, dass bereits ein "altes" Festplattenkennwort vorhanden ist.

Sie können FileVault jedoch über das Einstellungsfenster (das die Festplatte entschlüsselt) deaktivieren und sudo diskutil cs encryptLV <UUID>es dann mit einem Festplattenkennwort erneut verschlüsseln. Das ist langsam, da es alle Daten entschlüsseln und neu verschlüsseln muss, aber es funktioniert.

Beachten Sie, dass sich dies alles auf HFS+ in Core Storage auf Sierra bezieht. Es ist wahrscheinlich alles durch die Umstellung auf APFS ersetzt.

Zwischen FileVault 2 und Festplatten-Dienstprogramm-Verschlüsselung konvertieren?

Wyzard

Antworten (1)

Wyzard

Festplattenkennwort entfernen

Benutzer aus FileVault entfernen

Wiederherstellungsschlüssel hinzufügen

Entfernen des Wiederherstellungsschlüssels

Datenträgerkennwort hinzufügen

Wyzard

Unterscheidet sich FileVault vom Finder-Befehl "Encrypt ..."?

Wie erhalte ich den Passworthinweis für eine verschlüsselte Festplatte?

Wird ein oder mehrere Herunterfahren während der Filevault-Entschlüsselung schaden?

Schützt FileVault vor Ransomware?

Verschlüsseln Sie das FAT-USB-Laufwerk unter El Capitan (10.11)

Verschlüsseln sich Dateien, die in ein verschlüsseltes Disk-Image (dmg) kopiert werden, selbst?

Wie sicher ist File Vault 2 auf dem Mac angesichts der Tatsache, dass das Zurücksetzen/Herausfinden des Anmeldekennworts einer Person nicht unmöglich ist?

Verschlüsselt FileVault 2 Schlüssel im Energiesparmodus?

Wie repariere ich meine SSD nach der Installation von Yosemite und der Aktivierung von TRIM? Kein Booten und kann nicht gelöscht werden

Wie kann ich die OS X-Partition kleiner machen?