Az Apple a FileVault nevet használta a teljes lemez titkosítására (gyakran rövidítve FDE) a Mac OS X 10.7 Lion 2011-es megjelenése óta. A FileVault éveken át intenzív olvasási/írási titkosítási módszert használt, amely sokáig tartott, amíg először titkosította a meghajtót, majd enyhén visszavetette a teljesítményt, bár ez nem volt túl észrevehető.
Cserébe a FileVault három jelentős védelmet kínált a számítógéphez való fizikai hozzáférés ellen, akár valaki, aki elszalad a Mac-eddel, és a világon minden időt nyerhet hozzáférés.
Először is, nyugalmi állapotban (kikapcsoláskor) a Mac meghajtója teljesen titkosítva volt. A fiók jelszavával védett titkosítási kulcsok nélkül egy támadó megpróbálhatja ezt közvetlenül betörni vagy kivenni egy merevlemezt (vagy később, a fúziós meghajtókat és az SSD-ket), de teljesen le vannak zárva ki.
A FileVault engedélyezése még egy erős szintű védelmet biztosít a Mac indításakor.
Öntöde
Másodszor, a macOS nem oldja fel a meghajtó zárolását a hozzáféréshez az indításkor érvényes fiókjelszó vagy hozzá tartozó helyreállítási kulcs nélkül. Az egyik továbbra is kihasználható vektor az, hogy ha használja az Apple lehetőségét, hogy a helyreállítási kulcsát letétben tárolja az Apple ID-jában valaki, aki feltöri az Apple ID-fiókját, hozzáférést kaphat a helyreállítási kulcshoz, és feloldhatja Mac számítógépének zárolását. hajtás. (Technikailag, ha a FileVault aktív, a Mac a recoveryOS használatával indul el, egy kis partícióval, amely a macOS újratelepítésében vagy a nagy problémákból való helyreállításban is segít.)
[Nem találja a helyreállítási kulcsot? Lát "Hogyan találhatja meg a FileVault helyreállítási kulcsot a macOS rendszerben.” Nem biztos benne, hogy rendelkezik-e a helyreállítási kulcs aktuális példányával? “A macOS FileVault helyreállítási kulcsa aktuális? A következőképpen ellenőrizheti.”]
Harmadszor, még a meghajtó sikeres feloldása és a megfelelő macOS rendszerbe való indítás után is valakinek megvan a normál Mac-biztonsági rendszere, hogy átjusson: fiókjelszóra van szüksége a bejelentkezéshez. Míg időnként felfedeztek olyan kihasználásokat, amelyek lehetővé teszik a támadóknak a bejelentkezési képernyő megkerülését, általában ezek rövid életűek – mert értékesek a szürke piacon, majd az Apple felfedezte és kijavította –, és nem válthatók ki távolról mindenképpen. Egy balhénak kell lennie egy ilyen kizsákmányolásnak, és a zárolt, de elindított macOS számítógéped előttük.
A T2 biztonsági chippel rendelkező Intel Mac gépektől kezdve az Apple titkosítást épített be a macOS alsó szintjére: az indítási belső kötet mindig titkosítva van, és nem lehet kikapcsolni. Ez az összes M-sorozatú Apple szilícium Mac-re vonatkozik. (Ha külső kötetet használ, a FileVault engedélyezése a kötetet is titkosítja, ami egy modern SSD-vel meglehetősen gyors lehet.)
A T2-vel felszerelt Intel Mac és az összes M-sorozatú Mac esetében a FileVault csak a második lépésben ad védelmet. Ha ezeken a Mac-eken a FileVault le van tiltva, a számítógép indításakor a meghajtó automatikusan feloldódik, és bejelentkezés után készen áll a használatra.
Az embereknek különböző biztonsági igényei vannak. Ha soha nem fél attól, hogy számítógépét bárki ellopja, aki magas szintű hacker-készségeket tud alkalmazni – beleértve egy állami szervet is –, akkor talán nem kell engedélyeznie a FileVaultot. A FileVault növeli a kockázati szintet, mivel ha a fiókadatok valamilyen módon megsérülnek a recoveryOS rendszeren, rendelkeznie kell a helyreállítási kulcsával, hogy visszatérhessen a Mac-be. (Lát "Hogyan lehet feloldani a Mac-et, ha a helyreállítási kulcs és a FileVault aktív.”) Rendszeresen kapok e-maileket olyan emberektől, akik nem találják helyreállítási kulcsukat, és biztonsági okokból nem használták az Apple iCloud letéti szolgáltatását.
Ha azonban biztos abban, hogy jó nyilvántartást tud vezetni (vagy megbízik az iCloud letétben), és biztos szeretne lenni abban, hogy egy ellopott vagy a hozzáfért Mac soha nem adja fel személyes adatait és egyéb titkait, a FileVault engedélyezése csak egy réteget biztosít védelem.
Ez a Mac 911-ről szóló cikk válasz a Macworld olvasója, Derek kérdésére.
Kérdezd meg a Mac 911-et
Összeállítottunk egy listát a leggyakrabban feltett kérdésekről, a válaszokkal és az oszlopokra mutató hivatkozásokkal együtt: olvassa el szuper GYIK-ünket hogy lássa, hogy kérdésed megfelel-e. Ha nem, akkor mindig új megoldandó problémákat keresünk! Küldje el e-mailben a sajátját [email protected], beleértve a képernyőfelvételeket is, ha szükséges, és hogy szeretné-e használni a teljes nevét. Nem minden kérdésre kapunk választ, e-mailekre nem válaszolunk, és nem tudunk közvetlen hibaelhárítási tanácsot adni.