[10.13] High Sierra - "Disk Password" Loader nach Clean Install?

spinmaster

Grahams Jubiläumsapfel
Registriert
05.11.12
Beiträge
107
Hi,

da meine Sierra Installation nach einiger Zeit ziemlich zugemüllt war, habe ich mich entschlossen mein Macbook mit High Sierra letztes Wochenende frisch aufzusetzen (Clean Install). Zwei Dinge verstehe ich nach der Installation nicht ganz:

1) Was hat es mit dem "Disk Password" Loader direkt nach dem Booten auf sich, sobald ich den User zum Login auswähle? Ich kann es nicht mehr ganz nachvollziehen, aber ich meine bei der Installation auf "Festplatte verschlüsseln" geklickt zu haben. Wähle ich diese Option aus und bestätige mit dem vergebenen Passwort, bootet er jedoch wieder auf den gleichen Login Screen, so dass ich den Sinn nicht verstehe... Das Passwort ist auch ein anderes als mein Hauptuser.

6ms3gz4w.png


Wozu dient das Ganze? Habe ich hier etwas falsch verstanden? Ich möchte mich eigentlich "nur" mit meinem Hauptuser an macOS anmelden (EIN User mit EINEM Passwort). Wie werde ich die Disk Password Bootoption wieder los? ;)

2) Wie kann es sein, dass obwohl ich den "Guest User Login" ausgeschaltet habe:

3tthsiwu.jpg


trotzdem den Guest User als Login beim booten angezeigt bekomme (siehe erster Screenshot)?

Danke & Gruß
 

Marcel Bresink

Hadelner Sommerprinz
Registriert
28.05.04
Beiträge
8.540
Grundsätzlich sind "Clean Installs" eine schlechte Idee. Bei High Sierra kommt hinzu, dass das Betriebssystem im Moment noch nicht auf alle möglichen Installations-Szenarien ausgelegt ist. Ein Upgrade ist im Moment die empfohlene Variante für die Installation.

In Deinem Fall wird das Problem dadurch ausgelöst, dass Du an FileVault vorbei eine Verschlüsselung der Systempartition vorgenommen hast. Wie soll der Mac jetzt beim Start an den notwendigen Schlüssel kommen um das Betriebssystem entschlüsseln zu können?

High Sierra hat korrektweise ein Preboot-Betriebssystem mit der FileVault-Anmeldung erstellt, aber dieses System "kennt" die Benutzer-Accounts des "richtigen" Betriebssystems nicht, da Du offenbar FileVault gar nicht aufgerufen hast. Wie von Wuchtbrumme schon angedeutet, müsste das Preboot-System nachträglich mit den zur Entschlüsselung berechtigten Accounts synchronisiert werden.
 
  • Like
Reaktionen: spinmaster

spinmaster

Grahams Jubiläumsapfel
Registriert
05.11.12
Beiträge
107
Erstmal lieben Dank für die Rückmeldung!

Da meine vorherige Installation leider über die Zeit zugemüllt war, war ein Clean Install nun einmal der einzig sinnvolle Weg. Ich werde bei 10.14 dann aber wohl in der Tat ein Upgrade in Betracht ziehen. :innocent:

Ich bin nicht sicher, ob ich das Anlegen dieser "Pre-Boot Partition" verstanden habe: ist dies darauf zurückzuführen, dass ich während der Installation - unabhängig von meinem Passwort geschützten Admin User - angegeben habe, die Festplatte auf der das OS installiert wurde, zu verschlüsseln (mit einem separaten Passwort)? Reicht dann in Zukunft nicht ein Single-User Account mit Passwort aus und ich lasse den Teil aus?

Wenn ich von der "Disk Password" Option aus boote, komme ich jedenfalls direkt wieder auf den Splash Screen mit meinem Hauptuser (diesmal ohne angezeigten Guest User - also so, wie ich es eigentlich ursprünglich wollte):

nc5wu266.jpg


Bei meiner vorherigen Sierra Installation (ja, ebenfalls Clean Install ...) war das wenn ich mich recht erinnere anders. Mit 10.13 scheint dort am Install Prozess des OS etwas geändert worden zu sein. Habe aber verstanden, dass ich dass über die Shell mit dem im verlinkten Artikel "syncen" und bereinigen kann.

@Wuchtbrumme : "Find my Mac" ist in iCloud nicht aktiv, trotzdem erscheint der Guest user. Noch eine Idee?
 

Marcel Bresink

Hadelner Sommerprinz
Registriert
28.05.04
Beiträge
8.540
ist dies darauf zurückzuführen, dass ich während der Installation - unabhängig von meinem Passwort geschützten Admin User - angegeben habe, die Festplatte auf der das OS installiert wurde, zu verschlüsseln (mit einem separaten Passwort)?

Nochmal: Auf "normalem" Wege verschlüsselte Dateisysteme kannst Du für alle "sekundären" Volumes verwenden, nicht aber für das primäre Volume, auf dem das Betriebssystem liegt. Wenn Du das Betriebssystem an FileVault vorbei verschlüsselst, fehlt die nötige Infrastruktur, den Schlüssel für die Entschlüsselung später irgendwo eingeben zu können. Wer soll diesen Schlüssel entgegennehmen, wenn das Betriebssystem und alle Benutzer-Accountdaten noch verschlüsselt und damit völlig unzugreifbar sind?

Um das Volume des Betriebssystems zu verschlüsseln, musst Du deshalb FileVault verwenden. Das baut das nötige Hilfsbetriebssystem zur Verwaltung von Schlüsseln und berechtigten Entschlüsselungs-Accounts außerhalb des verschlüsselten Betriebssystems auf.

Konkret heißt das:
1) Betriebssystem auf ein unverschlüsseltes Volume installieren.
2) Danach Verschlüsselung mit "Systemeinstellungen > Sicherheit > FileVault" einschalten.