Вы можете чувствовать себя в безопасности, установив пароль в своей учетной записи Mac OS X, но на самом деле это скорее формальность; сдерживающий фактор для людей с временным доступом к вашему компьютеру. Этого будет достаточно, когда вы оставите свой компьютер дома или возьмете напиток в библиотеке, но кто-то с необходимыми знаниями и небольшим количеством времени все же сможет получить доступ к вашим данным.
По правде говоря, пароль только удерживает кого-то от входа и доступа к операционной системе, но ваш жесткий диск не зашифрован подобным образом. С загрузочным диском Ubuntu или установкой жесткого диска во внешний корпус пользователи по-прежнему смогут получить доступ ко всем файлам на вашем компьютере.
Только вручную зашифровав файлы на вашем жестком диске, вы сможете по-настоящему сохранить свои файлы в безопасности. Вот где Mac OS X FileVault приходит.
Mac OS X FileVault 1 и 2
FileVault — это технология, которую Apple предлагает для шифрования файлов на жестком диске. После шифрования этих файлов с помощью достаточно надежного алгоритма, технически невозможно получить к ним доступ любым обычным способом. Mac OS X выпустила первую итерацию FileVault с Mac OS X Panther (10.3). Тогда FileVault зашифровывал домашние папки отдельных пользователей только в одном большом файле (редкий образ диска), используя режимы шифрования цепочки блоков (CBC). Начиная с Mac OS X Lion (10.7), FileVault 1 — теперь называемый Apple Legacy FileVault — был заменен FileVault 2.
FileVault 2, напротив, шифрует весь загрузочный диск множеством файлов меньшего размера (редкие образы дисков). Он также заменяет небезопасное шифрование CBC на режим XTS-AES 128 с использованием более безопасного алгоритма шифрования. Таким образом, он имеет более широкий охват и более безопасен. Это шифрование всего диска имеет некоторые дополнительные последствия для безопасности, о которых вы узнаете ниже.
Пользователи Legacy FileVault будут уведомлены о разнице, если они когда-либо посетят панель настроек FileVault в Mac OS X Lion или более поздней версии. Можно переключиться на FileVault 2, сначала отключив Legacy FileVault. Пользователи Mac OS X Lion или более поздней версии, которые начнут использовать FileVault, по умолчанию будут использовать FileVault 2.
Штрафы за исполнение
Поскольку FileVault постоянно расшифровывает данные вашего жесткого диска, его использование приводит к некоторым потерям производительности. Jason Discount от The Practice of Code проверил FileVault 2 при первом запуске Max OS X Lion. Мы включили некоторые детали ниже, но вы можете проверить полный пост для более глубокого анализа.
Эти тесты выполняются на MacBook Air 2011 года (примерно с момента запуска Lion). Производительность ввода-вывода с твердым статическим диском (SSD) в среднем составляет около 18%. Это не пренебрежимо мало, но с передачей данных по SSD все равно будет быстро, особенно по сравнению со старыми жесткими дисками. Если вы используете обычный жесткий диск, это снижение производительности будет более заметным, и вы должны подумать, действительно ли выигрыш в безопасности стоит потраченного на производительность.
Шифрование всего диска и одиночная разблокировка
Как уже упоминалось выше, FileVault теперь шифрует весь загрузочный диск вместо домашних каталогов отдельных пользователей. После запуска весь диск разблокируется путем входа в систему с авторизованной учетной записью пользователя. Это имеет как положительные, так и отрицательные последствия.
С другой стороны, нет риска несовместимости приложений. После входа в систему весь диск разблокируется, поэтому для приложений, работающих на вашем компьютере, он как будто вообще не зашифрован. Тем не менее, диск остается разблокированным до выключения. Другими словами, если третья сторона получит доступ к вашему компьютеру после того, как диск будет разблокирован, теоретически они могут получить доступ к вашим данным, даже если вы уже вышли из системы.
В дополнение к использованию FileVault рекомендуется защитить компьютер паролем после бездействия. Mac OS X может попросить пароль сразу после сна или после заставки в разделе «Системные настройки»> «Безопасность и конфиденциальность»> «Общие» . Вместе с «горячими углами», которые можно найти в « Системных настройках»> «Рабочий стол и заставка» > «Заставка»> «Горячие углы» , вы можете активировать защищенную паролем экранную заставку, если вам нужно ненадолго отойти от компьютера.
Обратите внимание, что хотя эта дополнительная мера безопасности держит многих злоумышленников в страхе, она не блокирует ваш жесткий диск. Только полностью выключит ваш компьютер.
Boot Camp и специальные конфигурации дисков
FileVault 2 использует стандартную конфигурацию диска Mac OS X: загрузочный том Mac OS X с разделом восстановления. Последние установки Mac OS X должны поставляться с этим разделом восстановления, но вы можете проверить это, попытавшись загрузиться в восстановление. Перезагрузите Mac и удерживайте cmd + R, чтобы сразу же загрузить Recovery, или удерживайте alt, чтобы просмотреть список доступных параметров загрузки. Если по какой-либо причине раздел восстановления больше не доступен на вашем Mac, вам не следует пытаться использовать FileVault. Это может привести к потере данных.
Другие нестандартные настройки диска, такие как более сложные конфигурации RAID, сталкиваются с такими же проблемами. Даже если вы используете Boot Camp, совместимость не гарантируется. Некоторые люди сообщают об успехе, если они настраивают Boot Camp и устанавливают все драйверы до включения FileVault, но имейте в виду, что совместимость не гарантируется.
Как включить FileVault
Прежде чем начать, сделайте резервную копию файлов на вашем Mac. Полное шифрование диска — это сложный процесс, и вы никогда не знаете, когда что-то пойдет не так. В любом случае, очень важно иметь резервную копию ваших данных. Ознакомьтесь с рекомендациями Джеймса Брюса о решении для тройного резервного копирования в три резервных .
Откройте Системные настройки , перейдите в раздел « Безопасность и конфиденциальность » и выберите вкладку FileVault . Прежде чем вы сможете изменить эти настройки, вам нужно разблокировать панель с вашим именем пользователя и паролем. Нажмите Включить FileVault…, чтобы начать процесс. Обратите внимание, что включение FileVault может занять некоторое время, поскольку необходимо зашифровать весь диск. В зависимости от размера и типа вашего диска это может варьироваться от получаса до нескольких часов.
Если на вашем компьютере несколько учетных записей, вы можете выбрать, какие пользователи смогут разблокировать диск после запуска. Авторизованный пользователь должен сначала разблокировать диск после запуска, прежде чем любой неавторизованный пользователь сможет войти в систему.
Далее вы получите длинный буквенно-цифровой ключ восстановления. Запишите это (или поместите в надежный менеджер паролей, например LastPass ) и крепко держитесь за него , Если вы когда-нибудь забудете свой обычный пароль, это будет ключ резервного копирования. Без этого ключа восстановления потеря пароля равносильна потере всех ваших данных.
При желании вы можете сохранить свой ключ восстановления в Apple. Если вы потеряете ключ, вы можете связаться со службой поддержки Apple и получить ключ, используя свои вопросы безопасности. Вам все еще нужно будет точно воспроизвести ответы на ваши вопросы безопасности, иначе сотрудники службы поддержки Apple также не смогут получить доступ к вашему ключу. Получение этого ключа является дополнительной функцией, поэтому может взиматься плата.
Это спорно ли вы должны принять Apple, на его предложение. В конечном счете, безопаснее хранить свой ключ при себе, но вам может понадобиться эта защитная сетка в будущем. В любом случае, вы должны быть очень осторожны при выборе секретных вопросов секретный вопрос, секретный вопрос, , потому что они часто являются самым слабым звеном в сети безопасности.
После этого ваш Mac предложит перезагрузить компьютер. После перезагрузки Mac OS X начнет шифровать все данные на вашем диске. Тем временем вы можете продолжать использовать свой Mac, но помните, что производительность диска может снизиться.
Все сделано!
После перезапуска вы можете вернуться к настройкам FileVault, чтобы проверить процесс шифрования, а также приблизительное время завершения.
Вы использовали FileVault, или вы используете другое решение безопасности? Дайте нам знать, как вы защищаете вашу установку в комментариях ниже!