¿Cómo forzar la contraseña de Disk Encryption en el arranque para TODOS los usuarios?

Quiero que mi MBP se desbloquee con la contraseña de cifrado de disco antes de acceder a la pantalla de inicio de sesión. (lea: Quiero tener dos solicitudes de contraseñas antes de que se pueda usar el MBP)

Por lo tanto, realicé una (re)instalación limpia de High Sierra y elegí APFS Encryted. Sin embargo, la cuenta de administrador creada posteriormente tiene un token de seguridad, lo que parece ser mi problema. Ahora, al iniciar, puedo elegir entre la cuenta de administrador y la contraseña de cifrado de disco para otras cuentas con un token deshabilitado.

Intenté lo siguiente:

  1. Intenté quitarme a mí mismo (también conocido como administrador) de tener el token seguro, sysadminctl -secureTokenOff adminpero termino con el siguiente error:Operation not permitted without a secure token unlock.

Sin embargo, tengo uno ( sysadminctl -secureTokenStatus adminmuestra HABILITADO)

  1. Intenté eliminarme de poder desbloquear el disco, fdesetup remove -user adminpero como soy el único usuario, obtuve lo siguienteUser could not be removed because it's the last OS user on the Volume

En resumen, ¿cómo puedo forzar la solicitud de contraseña de cifrado de disco para TODOS los usuarios, incluidos los administradores?

Hace eco de esta publicación: Solicitar contraseña de disco encriptada al iniciar

Nota: en una instalación con errores de HighSierra, terminé con una cuenta de administrador sin token de seguridad y funcionó según lo previsto. Tuve que pasar por el indicador de contraseña de cifrado de disco antes que nada. Sin embargo, reinstalé MacOS porque esta situación me impidió acceder a la terminal desde MacOS Recovery (recibí un mensaje de error que decía que no se encontró ningún administrador con las estadísticas correctas (token de lectura) en el sistema)

¿Está preguntando cómo activar FileVault o modificar el funcionamiento de FileVault?
Estoy preguntando cómo activar FileVault sin que los usuarios puedan descifrar el disco a menos que ingresen la contraseña de cifrado de disco (suponiendo que elegimos una o una clave de descifrado, es decir, una diferente a la contraseña predeterminada de Icloud). Activar Filevault por sí solo no obliga al administrador a revisar dicha contraseña, ya que su propia contraseña descifra el disco.
¿Por qué un voto negativo? Si algo no está bien explicado, editaré mi pregunta.
Genial, así es como se cambian los valores predeterminados. De forma predeterminada, todos los que están habilitados pueden descifrar el volumen. Propondré un truco / solución alternativa, pero la respuesta adecuada podría ser: no puede hacer lo que quiere de inmediato. Es posible que pueda lograr esto con un módulo PAM personalizado, pero nuevamente, no lo sé con certeza, pero ahí es donde comenzaría si tuviera que cambiar el proceso de inicio de sesión.

Respuestas (1)

Ok, entonces aquí hay la mitad de una respuesta.

  • Con una primera cuenta de administrador (por ejemplo, admin), crea otra (admin_tmp) e inicia sesión.
  • En la terminal quitas la primera cuenta para poder desbloquear el disco con fdesetup remove -user admin. Mientras tanto, su SecureToken cambia a Apagado.
  • Cierra la sesión e inicia sesión en 'admin'. Luego, desde las Preferencias de cuentas de usuarios, elimina el admin_tmp del sistema.
  • Luego, tiene una cuenta de administrador sin SecureToken, que parece ser la única forma de forzar una solicitud de contraseña de cifrado de disco en el arranque. Las próximas cuentas no tendrán inherentemente SecureToken, por lo tanto, no se permitirá descifrar el disco con su propia contraseña.

Eso no es ideal ya que esto puede romper algunas cosas (ver mi nota en la publicación inicial)

¿Cómo forzar la contraseña de Disk Encryption en el arranque para TODOS los usuarios?
RespuestasAquíPolítica de privacidad1y, 0v