Conozco dos formas de habilitar el cifrado de disco completo en macOS Sierra:
He leído en varios lugares de la web que la tecnología de cifrado subyacente es la misma en ambos sentidos, y la diferencia es cómo se obtiene la clave de descifrado en el momento del arranque. Con FileVault, la contraseña de inicio de sesión de un usuario también sirve para desbloquear el disco, pero cuando cifra con la Utilidad de disco, elige una contraseña separada solo para el cifrado.
Descubrí que si el disco se cifró a través de la Utilidad de disco en el momento de la instalación, también puede permitir que un usuario lo desbloquee a través de la ventana de preferencias de FileVault. Luego, al inicio, puede desbloquear el disco utilizando la contraseña del disco o la contraseña de inicio de sesión del usuario.
Sin embargo, habiendo entrado en este estado híbrido, no veo la manera de salir de él. Lo que quisiera saber es:
Y, en una nota relacionada:
Resulta que encontré las respuestas a la mayor parte de esto poco después de hacer la pregunta. El fdesetup
programa de línea de comandos ofrece algunas opciones adicionales.
Ejecute sudo fdesetup list -extended
y busque el UUID etiquetado como "Frase de contraseña del disco". Luego corre sudo fdesetup remove -uuid <UUID>
para eliminarlo.
Esto se puede usar para eliminar la contraseña del disco que se creó a través de la Utilidad de disco, dejando solo las contraseñas de inicio de sesión del usuario para desbloquear el disco.
Ejecute sudo fdesetup list
( -extended
no es necesario) para ver qué usuarios están autorizados a desbloquear el disco, luego use sudo fdesetup remove -user <USER>
o sudo fdesetup remove -uuid <UUID>
.
Esto se puede usar para desautorizar a los usuarios para que solo se pueda usar la contraseña del disco.
corre sudo fdesetup changerecovery -personal
_ Esto le pedirá una contraseña (cualquier cosa que esté actualmente habilitada para desbloquear el disco), luego mostrará la nueva clave de recuperación. (¡Escríbelo!)
corre sudo fdesetup removerecovery -personal
_ Como arriba, esto le pedirá una contraseña.
No pude encontrar una manera de hacer esto en el lugar; sudo diskutil cs passwd
parece que debería funcionar, pero requiere que ya haya una contraseña de disco "antigua".
Sin embargo, puede desactivar FileVault utilizando la ventana de preferencias (que descifra el disco) y luego utilizarlo sudo diskutil cs encryptLV <UUID>
para volver a cifrarlo con una contraseña de disco. Esto es lento, ya que tiene que descifrar y volver a cifrar todos los datos, pero funciona.
mago