Я знаю два способа включить полное шифрование диска в macOS Sierra:
Я читал в нескольких местах в Интернете, что базовая технология шифрования одинакова в любом случае, и разница только в том, как ключ дешифрования получается во время загрузки. В FileVault пароль пользователя также служит для разблокировки диска, но при шифровании с помощью Дисковой утилиты вы выбираете отдельный пароль только для шифрования.
Я обнаружил, что если диск был зашифрован с помощью Дисковой утилиты во время установки, вы также можете разрешить пользователю разблокировать его через окно настроек FileVault. Затем при запуске вы можете разблокировать диск, используя либо пароль диска, либо пароль пользователя для входа.
Однако, попав в это гибридное состояние, я не вижу способа выбраться из него. Что я хотел бы знать:
И в соответствующей заметке:
Как оказалось, я нашел ответы на большинство из них вскоре после того, как задал вопрос. Программа командной строки fdesetup
предлагает некоторые дополнительные параметры.
Запустите sudo fdesetup list -extended
и найдите UUID с надписью «Disk Passphrase». Затем бегите sudo fdesetup remove -uuid <UUID>
, чтобы удалить его.
Это можно использовать для удаления пароля к диску, созданного с помощью Дисковой утилиты, оставив только пользовательские пароли для входа в систему для разблокировки диска.
Запустите sudo fdesetup list
( -extended
не требуется), чтобы узнать, какие пользователи имеют право разблокировать диск, а затем используйте sudo fdesetup remove -user <USER>
или sudo fdesetup remove -uuid <UUID>
.
Это можно использовать для деавторизации пользователей, чтобы можно было использовать только пароль диска.
Беги sudo fdesetup changerecovery -personal
. Это запросит пароль (все, что в настоящее время включено для разблокировки диска), а затем отобразит новый ключ восстановления. (Запиши это!)
Беги sudo fdesetup removerecovery -personal
. Как и выше, это запросит пароль.
Я не смог найти способ сделать это на месте — sudo diskutil cs passwd
кажется, что это должно работать, но для этого уже требуется «старый» пароль на диск.
Однако вы можете отключить FileVault с помощью окна настроек (которое расшифровывает диск), а затем sudo diskutil cs encryptLV <UUID>
повторно зашифровать его с помощью пароля диска. Это медленно, так как приходится расшифровывать и повторно шифровать все данные, но работает.
Волшебник