FileVault 是内置的最重要的安全功能之一macOS因为它可以保护 Mac 上最重要的东西:存储在其中的数据。如果 Mac 丢失或被盗,照片、文档、下载内容、消息、浏览器数据、保存的文件、工作项目、学校作业、密码、应用程序数据、税务文件、个人笔记和私人文件夹都取决于同一个基本问题:有人可以访问该磁盘吗?
FileVault 是苹果针对这一风险的解决方案。它对 Mac 的启动磁盘进行加密,这意味着存储在其中的信息是混乱的,并且在没有授权用户密码或恢复密钥的情况下无法读取。 Apple 将 FileVault 描述为内置加密,有助于防止未经授权访问 Mac 启动磁盘上的信息。启用后,Mac 需要正确的登录凭据才能解锁加密数据。
该功能对于 MacBook 尤为重要。台式 Mac 通常呆在一个地方,但 MacBook 则可以穿梭于教室、办公室、咖啡馆、机场、汽车、酒店、图书馆、背包和维修店。丢失的没有磁盘加密的 MacBook 所带来的隐私风险比大多数人意识到的要大得多。即使帐户密码阻止随意访问,加密也会增加更深层次的保护磁盘本身。
FileVault 很聪明,因为它主要在后台运行。设置完成后,用户可以正常登录。应用程序正常打开。文件表现正常。不同之处在于数据仍然存在受磁盘保护当 Mac 关闭、锁定或超出所有者控制时的级别。
FileVault 的工作原理是对启动磁盘进行加密,启动磁盘是 macOS 用于启动和存储用户数据的主驱动器。当 Mac 在登录前关闭或锁定时,该磁盘上的数据无法以普通形式读取。必须使用授权用户帐户或恢复密钥解锁磁盘。
Apple 的平台安全文档解释说文件保险箱加密保护启动卷,并且 macOS 在用户失去访问权限时提供恢复选项。在当前的 macOS 版本上,打开 FileVault 时可能会生成恢复密钥。 Apple 将此恢复密钥描述为由随机字母和数字组成的 24 个字符序列,可用于解锁启动磁盘或关闭 FileVault。
该恢复密钥非常重要。如果用户忘记密码并且无法通过其他方式解锁 Mac,则恢复密钥可能是恢复加密磁盘的唯一路径。苹果的 FileVault 指南称,密钥应保存在安全的地方,远离加密的启动磁盘本身。换句话说,仅在同一台 Mac 上保存恢复密钥就达不到目的,因为在需要时可能无法访问它。
FileVault 也可以由学校、公司或组织管理。在这种情况下,管理员可以持有或管理恢复密钥。苹果指出,如果消息显示某个组织设置了恢复密钥,用户可能需要要求管理员解锁加密的 Mac 并重置密码。
为什么它对于丢失或被盗的 Mac 最重要
FileVault 很重要,因为 Mac 包含的个人信息比所有者在桌面上看到的要多得多。小偷可能不仅仅想要硬件。他们可能想要访问文件、保存的浏览器会话、文档、财务记录、照片、工作材料、电子邮件、学校帐户和其他私人数据。
登录密码很重要,但磁盘加密是对数据本身更强的保护。如果没有 FileVault,具有物理访问权限和技术知识的人可能有更多方法来尝试访问驱动器的内容,特别是在较旧或安全措施不当的系统上。启用 FileVault 后,数据将保持加密状态,直到磁盘解锁。
这使得 FileVault 成为在出现问题之前启用的最佳设置之一。 Mac 消失后,这个功能就不再需要考虑了。它必须事先处于活动状态。一旦设备丢失、被盗或留在某处,就需要采取适当的保护措施。
FileVault 对于维修、转售、旅行、办公室和共享环境也很有用。如果启动磁盘经过加密,无论出于何种原因离开所有者手中的 Mac 都会更安全。即使被盗的可能性很低,暴露数据造成的潜在损害也可能很大。
如何打开 FileVault
FileVault 通过当前 macOS 版本上的隐私和安全设置进行管理。确切的布局可能会略有不同,具体取决于 macOS 版本以及 Mac 是个人拥有还是由组织管理。
要打开 FileVault:
系统设置 > 隐私和安全 > FileVault > 打开
如果忘记登录密码,macOS 可能会询问用户希望如何恢复磁盘。根据设置和 macOS 版本,可能会通过 iCloud 帐户或恢复密钥向用户提供恢复。恢复密钥选项必须仔细存储,完全如图所示。
要检查 FileVault 状态:
系统设置 > 隐私和安全 > FileVault
如果 FileVault 已打开,通常无需执行其他操作。如果它关闭,打开它可能会启动加密过程。 Mac 通常可以在加密继续的同时使用,但在此过程中应保持插入状态,尤其是 MacBook。
恢复的关键是权衡
FileVault 最大的优势也是它最大的责任。加密很强大,因为它不会轻易留下后门。如果所有者忘记密码并丢失恢复密钥,数据可能无法恢复。
这不是一个缺陷。这就是真正的加密保护数据的方式。无需密码或密钥即可轻松恢复的系统对于攻击者来说也较弱。
最安全的方法是将恢复密钥存储在多个安全位置。可以将其写下来并保存在物理安全的地方,例如安全的主文件夹。它不应存储在同一台 Mac 上的纯文本文件中。不应对其拍照并留在未上锁的相机胶卷中。不应该随便分享。
对于受管理的 Mac,组织可以通过设备管理工具存储密钥。这对学校和公司很有用,因为如果员工或学生忘记密码,IT 部门可以恢复设备。
对于个人 Mac,用户应将恢复密钥视为数据的房屋钥匙。如果记住密码,丢失密码可能并不重要,但当出现问题时,它就变得至关重要。
FileVault 和来宾用户
FileVault 还会影响来宾用户的行为。苹果表示,当 FileVault 打开时,访客可以使用 Safari,但无法访问加密磁盘或在 Mac 上创建文件。这是因为启动磁盘一直受到保护,直到授权用户将其解锁。
这是 FileVault 在共享 Mac 上有用的原因之一。可以允许访客会话进行有限的浏览,同时主用户的加密数据仍受到保护。它在临时访问和个人文件之间创建了更安全的隔离。
对于家庭 Mac 或多人使用的 Mac,FileVault 应与正确的用户帐户配对。主要所有者可以是管理员,普通用户可以拥有标准帐户,访客用户只能用于临时访问。加密可以保护磁盘,但帐户分离仍然有助于在 Mac 正常使用时保护隐私。
FileVault 不做什么
文件库保护磁盘上的数据,尤其是当 Mac 被锁定、断电、丢失或被盗时。它并不能防范所有安全问题。
如果有人知道用户的密码并成功登录,FileVault 将不会阻止他们查看用户的文件。如果恶意软件在未锁定的帐户内运行,仅 FileVault 无法解决该问题。如果文件上传到云服务、错误共享或通过电子邮件发送,FileVault 无法控制 Mac 外部发生的情况。
FileVault 也不会取代备份。加密可以保护数据免遭未经授权的访问,但不能防止意外删除、硬件故障、液体损坏或没有备份的设备丢失。 Time Machine、iCloud Drive 或其他备份系统仍然很重要。
设置时间机器:
系统设置 > 常规 > 时间机器
最好的安全设置是分层的:用于磁盘加密的 FileVault、强大的登录密码、可用的 Touch ID、启用“查找我的”、定期软件更新、仔细的应用程序权限和备份。
具有重大价值的安静功能
FileVault 并不像新的显示器、摄像头、芯片或人工智能功能那样令人兴奋。它的价值更安静。当所有者不在场时,它可以保护 Mac。
这使其成为 macOS 中最智能的功能之一。它需要一个复杂的安全理念——全盘加密——并将其变成大多数人可以启用一次然后就忘记的设置。用户保持正常工作,而 Mac 则在后台保护启动磁盘。
对于 MacBook,FileVault 应该被视为必不可少的。对于台式机 Mac 来说,它仍然是一个强大的隐私设置,尤其是在共享家庭、办公室、宿舍、工作室以及任何其他人可以访问机器的地方。存储恢复密钥的小责任值得它提供的保护。
可以更换Mac。其中的数据通常更难替换并且更加个人化。当硬件不再掌握在所有者手中时,FileVault 就存在,但信息仍然需要保持私密性。
