Obtuve un MacBook Air 11 (2014) usado y lo primero que hice fue borrar todo el disco y volver a agregar particiones.
Elegí OS X extended journaled encrypted
cuál debería ser el mismo que File Vault 2
Después de reinstalar el sistema operativo (Mavericks), actualicé completamente a macOS Sierra 10.12.3 y agregué una segunda cuenta de usuario que no es administrador.
Ahora la parte confusa:
Cuando arrancaba en frío mi MacBook, iba directamente a la pantalla de inicio de sesión sin pedir la contraseña del disco (¿cómo sucedería eso si se supone que está encriptado el disco completo? No estoy hablando de hibernación, apagué correctamente mi MacBook)
La pantalla de inicio de sesión mostraría la opción non-admin account
y una Disk Password
, ambas funcionan como se esperaba, pero no mostraría mi cuenta de administrador
a) Después de ingresar la contraseña del disco, admin account
aparecería
b) Si decido NO ingresar la contraseña del disco, aún puedo iniciar sesión en el non-admin account
. Además, si cierro la sesión, admin account
aparecerá misteriosamente y puedo iniciar sesión sin tener que usar la contraseña de mi disco.
Utilicé el diskutil cs list
comando y muestra que mi volumen lógico está correctamente envuelto en una familia de volúmenes lógicos encriptados con AES-XTS
Ahora la pregunta aquí es, ¿esto realmente funciona? De acuerdo con algún sitio web oficial de Apple (quizás desactualizado), debería solicitar la contraseña del disco al arrancar, antes de la pantalla de inicio de sesión.
Salida de sudo gpt -r show disk0
:
start size index contents
0 1 PMBR
1 1 Pri GPT header
2 32 Pri GPT table
34 6
40 409600 1 GPT part - XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
409640 235298960 2 GPT part - XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
235708600 1269536 3 GPT part - XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
236978136 7
236978143 32 Sec GPT table
236978175 1 Sec GPT header
Parece que esto es un malentendido. En las versiones posteriores de macOS, es difícil distinguir la pantalla de desbloqueo previa al arranque (donde se desbloquea la partición y se inicia sesión automáticamente después del proceso de arranque) de la pantalla de inicio de sesión (donde la partición del sistema ya está desbloqueada y el usuario tiene que iniciar sesión en el sistema).
Además, FileVault2 puede otorgar a múltiples contraseñas el derecho de desbloquear la partición y otorga este permiso a cuentas individuales. Puede administrar qué cuentas pueden desbloquear el disco del sistema en System Preferences
> Security & Privacy
> Enable Users...
. Eso significa que la contraseña de su cuenta también se convierte en la contraseña para desbloquear la partición. En cualquier caso, puede utilizar la contraseña de recuperación, que se proporciona al cifrar el disco, para desbloquear la partición.
Esta respuesta proporciona un método para usar una clave de desbloqueo que difiere de la contraseña de su cuenta.
klanomath
sudo gpt -r show disk0
! FV2 es un volumen completo pero no un cifrado de disco completo (como VeraCrypt para Windows).n1000
Suau
sudo got -r show disk0
enSuau
Conny
es mi cuenta que no es de administrador, falta otra cuenta que se mostrará después de desbloquear el disco. Pero incluso si esa fuera la pantalla de desbloqueo, realmente no explica por qué aparecería mi otra cuenta (administrador) después de iniciar sesión con laConny
cuenta y luego cerrar sesión. No tengo que ingresar la contraseña de mi disco en ningún momento para obtener acceso completo.n1000
System Preferences
>Security & Privacy
>Enable Users...
puede administrar qué cuenta se debe permitir desbloquear.Suau