较新的 Mac 配备了带有自己的 Secure Enclave 的 T2 安全芯片,这是一种防篡改的硅片,可以像 iPhone 和 iPad 一样提供高水平的安全性。它用于在笔记本电脑上启用 Touch ID 和 Apple Pay,但它还可以处理许多其他任务,包括全磁盘加密。 (T2 芯片于 2017 年底开始随 iMac Pro 一起出现在 Mac 中;如果您不确定您的芯片是否是其中之一,请查看此列表。)
在 T2 之前的型号上,macOS 使用软件和硬件加速加密的组合来使用 FileVault 加密驱动器上的所有数据,可以通过“安全和隐私”偏好设置中的“FileVault”选项卡打开和关闭该功能。在这些较旧的 Mac 上,FileVault 首次完全加密驱动器可能需要很长时间,并且会在系统运行时陷入困境。随后,Mac 处理实时读写的速度通常与数据未加密时的速度大致相同。
FileVault 可防止有效提取未开机或未连接的剩余磁盘中的数据。这些数据只是一堆无法访问密钥的数字垃圾,如果没有链接到 Mac 上 FileVault 的帐户之一的密码,则无法恢复密钥,必须在启动时输入该密码才能解锁驱动器。 。
新推出的27英寸iMac配备了T2安全芯片。
有了 T2 芯片管理加密功能,FileVault 在这些型号上还能做什么?这是相当微妙的。
在支持 T2 的 Mac 上禁用 FileVault 后,如果不法分子从 Mac 上移除驱动器,内容仍然无法访问。这比 T2 之前的 Mac 有所改进,在 T2 之前的 Mac 上,不受 FileVault 保护的内容是完全可读的。这是基本的安全改进。 (顺便说一句,因此,通过“查找我的设备”接收“擦除此设备”命令的配备 T2 的 Mac 几乎会立即被“擦除”,就像没有 T2 芯片且启用了 FileVault 的 Mac 一样:擦除加密密钥会导致单元的内容永久不可恢复。)
然而,如果不启用 FileVault,Mac 只需启动即可进行全盘加密,即使它不会自动登录帐户。虽然加密被锁定到由 T2 芯片上的 Secure Enclave 管理的硬件密钥,但一旦 Mac 启动到登录屏幕,就会激活解密。恶意方可能会破坏 macOS 或使用硬件方法来访问已安装和正在运行的驱动器中的数据。
然而,打开 FileVault,一台配备 T2 的 Mac 将具有与在软件中处理磁盘加密的 Mac 相同的启动行为。恢复分区不是直接加载 macOS,而是以特殊模式启动,需要输入有权使用 FileVault 的任何帐户的密码。在输入该密码之前,驱动器的内容将保持加密状态,就像处于静止状态一样。
我建议在配备 T2 的 Mac 上启用 FileVault,以提高安全性并让您高枕无忧。奖金?由于 T2 芯片已经对驱动器进行了加密,因此没有开销或延迟 - FileVault 会立即启用。
询问 CompuHoy
我们编制了一份最常见问题的列表,以及答案和专栏链接 - 请阅读我们的超级常见问题解答,看看您的问题是否已涵盖。如果没有,我们总是在寻找新的问题来解决!将您的信息通过电子邮件发送至 [email protected],包括适用的屏幕截图以及您是否希望使用您的全名。并非所有问题都会得到解答,我们不会回复电子邮件,也无法提供直接的故障排除建议。
