我启用了 FileVault 和“查找我的 Mac”,并且“访客帐户”现已禁用(我只看到 Safari 访客模式)。
有没有办法重新启用普通访客帐户?
我使用的是 Macbook Pro 10.11.1
答案1
没有办法做到这一点。我到处寻找这个解决方案,我得出的结论是,由于 Apple 的设计方式,这是不可能的。
FileVault 不会像 Microsoft 的 BitLocker 那样将恢复密钥存储在硬件 TPM 芯片中,而是将其存储在未加密恢复卷上的钥匙串文件中。任何启用 FileVault 的用户帐户都可以解锁此钥匙串并读取它。因此,每个帐户都必须有密码才能保护恢复密钥。然后,Apple 使用“传递哈希”机制将您登录到操作系统(这样您就不必输入两次密码)。
讽刺的是,尽管 Apple 不使用硬件来保护 FileVault,但 OS X将要如果机器进入休眠模式,请将恢复密钥保存在 PRAM 中。他们没有宣传此功能,但这份 Apple 培训指南有关闭它的说明。请记住,休眠与睡眠不同,RAM 的内容会保存到硬盘上,并且计算机会关闭,而不是简单地进入低功耗模式。由于休眠文件位于加密卷上,因此固件需要能够解锁该卷才能读取它。
你可以使用的解决方案(虽然不太实用)是始终让 Mac 处于休眠状态而不是关机。你可以打开终端并输入以下命令来配置此行为:
sudo pmset -a hibernatemode 25
要使用它,只需注销(而不是关机)然后合上盖子。系统将关闭而不是休眠,下次开机时不需要 FileVault 登录。缺点是,如果客人登录然后重新启动或关闭,他们将需要密码才能再次使用计算机。
我一直在尝试找到一种方法,将恢复密钥永久存储在 PRAM 中,以便随时使用,但到目前为止我还没有成功。如果有人知道这样做的方法,我洗耳恭听。Mac 上的固件不如 PC 上的 TPM 安全,但它可以实现使其更像 Bitlocker 的目标(其中 BitLocker 可以在没有 PIN 的情况下进行配置,这样只要硬盘未被移除并且启动顺序未被篡改,系统就完全透明)。
答案2
您可以考虑创建自己的“访客”帐户,这是一个启用了家长控制的标准帐户。这可能会为您提供所需的选项。