На диске установлена защита mac os как снять
К сожалению, во многих случаях такое поведение может означать, что диск неисправен и его необходимо заменить. Однако, если диск работал и продолжает работать бесшумно, и не проявляются иные признаки аппаратных неисправностей, можно предположить, что проблема заключается в ошибках форматирования. В этом случае можно воспользоваться другой операционной системой для форматирования диска. Для этого подойдет Windows, установленная на ваш Mac через Bootcamp, виртуальная машина, если вы пользуетесь Parallels Desktop или иными похожими программами, или же вы можете подключить диск как внешний к персональному компьютеру под управлением Windows. Однако, не у всех под рукой есть устройство или виртуальная машина под управлением другой операционной системы.
Второй вариант предусматривает использование Терминала, через который можно взаимодействовать со специальными файлами, соответствующими вашему проблемному диску.
Сброс пароля или изменение ключа восстановления FileVault
Если вы забыли пароль учетной записи или он не работает, можно выполнить сброс пароля.
Чтобы изменить ключ восстановления, который используется для шифрования загрузочного диска, отключите функцию FileVault на вкладке «Защита и безопасность» окна настроек. Затем ее можно включить повторно, чтобы создать новый ключ и деактивировать все старые ключи.
Файлы устройств в OS X
Файлы устройств в OS X — это наборы драйверов для определенных устройств, которые хранятся в в скрытой папке «dev». С их помощью осуществляется взаимодействие с этими устройствами посредством наборов соответствующих команд (открытие, чтение, запись, закрытие и прочие). Это позволяет программам обращаться к устройствам без необходимости пользователю инициировать каждое действие вручную и дает возможность пользоваться более удобными инструментами (к примеру, файловыми менеджерами или Дисковой утилитой). Загрузочный диск в вашем устройстве всегда будет пронумерован в первую очередь, поэтому соответствующему ему файлу будет присвоено имя «disk0», а полный путь к нему будет выглядеть так: «/dev/disk0». Вы всегда можете посмотреть список накопителей подключенных к вашему компьютеру, введя в Терминале команду diskutil list А узнав имя файла интересующего вас диска вы можете запросить информацию о нем при помощи команды diskutil info /dev/disk1
В OS X, как и в остальных Unix системах, существуют специальные файлы, которые, вместо того чтобы предоставлять доступ к определенным устройствам, дают дополнительные возможности. Например, «/dev/null» удаляет все данные которые будут ему отправлены (часто используется при написании скриптов и программ), а «/dev/random» при обращении к нему выдает случайные данные. Вы можете посмотреть, как работает «/dev/random», введя в Терминале команду cat /dev/random Для отмены команды зажмите сочетание клавиш Control + C
Если с вашим диском возникли проблемы, связанные с форматированием, можно попробовать воспользоваться этим генератором случайных данных, чтобы принудительно переписать содержимое накопителя. Таким образом разметка диска и все данные на нем будут удалены, а сам накопитель отобразится в системе как пустой. Это может помочь избежать возникновения ошибок системы при обращении к проблемному диску.
- Запустите Терминал из папки «Утилиты» и войдите в режим администратора при помощи команды sudo su
- Чтобы отобразился список доступных устройств и соответствующих им специальных файлов, введите команду diskutil list
- В полученной таблице найдите проблемный диск (например, ориентируясь по объему и названиям логических разделов) и определите соответствующий ему файл устройства
- Начните запись произвольных данных на проблемный диск при помощи команды cat /dev/random >/dev/disk1 заменив /dev/disk1 на файл проблемного устройства, полученный на предыдущем шаге.
- При успешном вводе команды курсор перейдет на новую строку, которая останется пустой. В это время система как раз и производит запись данных на диск. Через несколько минут прервите выполнение команды сочетанием клавиш Control + C.
- При открытом окне Терминала нажмите на клавиатуре курсорную клавишу ↑ (Вверх), чтобы подготовить повторный ввод предыдущей команды
- Отсоедините диск от компьютера
- Повторно подключите диск и сразу же нажмите клавишу ⏎Enter для ввода команды.
Получиться может не с первого раза, поэтому стоит попробовать несколько раз, пока курсор не переместится на новую строку, которая останется пустой.
Вы можете попробовать отключить и подключить диск через Терминал, что может быть полезно, если проблема связана не с внешним, а с внутренним диском.
Для того чтобы отключить диск введите команду diskutil unmountDisk /dev/disk1 заменив /dev/disk1 на файл проблемного устройства
Подключить диск можно командой diskutil mountDisk /dev/disk1
Вы также можете объединить эти две команды и добавить команду на запись произвольных даных на диск diskutil unmountDisk /dev/disk1;diskutil mountDisk /dev/disk1;cat /dev/random > /dev/disk1
Стоит заметить, что такой способ срабатывает не всегда и иногда проще подключить диск, как внешний, и воспользоваться инструкцией, приведенной выше.
После этого подождите 2-3 минуты и нажмите сочетание клавиш Control + C, чтобы прервать выполнение команды. В результате, если проблема действительно заключалась в ошибках форматирования, проблемный диск должен отобразиться в Дисковой утилите как пустой, и вы сможете отформатировать его и при необходимости разбить на разделы, чтобы подготовить к дальнейшему использованию с Mac OS X.
За оригинальный материал, послуживший основой при написании данной статьи, в очередной раз благодарим Кристофера Кесслера.
Полнодисковое шифрование FileVault (FileVault 2) использует алгоритм XTS-AES-128 с 256-битным ключом для предотвращения несанкционированного доступа к данным на загрузочном диске.
Дополнительная информация
- Узнайте, как создавать и применять ключ восстановления FileVault для компьютеров Mac в вашей организации (на предприятии, в учебном заведении и т. п.).
- Если FileVault используется на Mac OS X Snow Leopard, можно перейти на FileVault 2, обновив систему до OS X Lion или более поздней версии. После обновления OS X откройте настройки функции FileVault и следуйте указаниям на экране, чтобы обновить FileVault.
- Использование на загрузочном диске разделов RAID или нестандартных разделов Boot Camp может не позволить OS X установить локальную систему восстановления. Без наличия такой системы FileVault не будет шифровать загрузочный диск. Подробнее.
* Если вы забудете или потеряете ключ восстановления, который хранится на ресурсах компании Apple или в вашей учетной записи iCloud, есть вероятность, что компания Apple не сможет вам его предоставить. Службы AppleCare и iCloud доступны не для всех регионов и не на всех языках, и не во всех регионах, где предоставляется служба AppleCare , она доступна на любом языке. Если для интерфейса компьютера Mac задан язык , который не поддерживается службой AppleCare, включите функцию FileVault и сохраните ключ на ресурсах компании Apple (только для OS X Mavericks). Контрольные вопросы и ответы на них можно вводить на языке, который не поддерживается службой AppleCare.
При форматировали внутреннего или внешнего устройства хранения можно включить шифрование и защитить устройство паролем. При шифровании внутреннего устройства нужно ввести пароль для доступа к устройству и хранящейся на нем информации. Если Вы шифруете внешний диск, то пароль нужно будет вводить при подключении устройства к компьютеру.
Если зашифровано внешнее устройство хранения, его нельзя подключить к базовой станции AirPort для создания резервных копий Time Machine.
ПРЕДУПРЕЖДЕНИЕ. Чтобы зашифровать устройство и защитить его паролем при помощи Дисковой утилиты, нужно сначала стереть все данные с устройства. Если на устройстве есть файлы, которые Вы хотите сохранить, обязательно скопируйте их на другое устройство хранения или другой том.
Если на устройстве есть файлы, которые Вы хотите сохранить, скопируйте их на другое устройство хранения или другой том.
В приложении «Дисковая утилита» на компьютере Mac выберите пункт меню «Вид» > «Показывать все устройства».
Если Дисковая утилита еще не открыта, нажмите значок Launchpad в панели Dock, введите «Дисковая утилита» в поле поиска, затем нажмите значок Дисковой утилиты .
В боковой панели выберите устройство, которое нужно зашифровать.
Введите имя тома.
Нажмите всплывающее меню «Схема», затем выберите «Схема разделов GUID».
Введите и подтвердите пароль, затем нажмите «Выбрать».
Чтобы изменить пароль впоследствии, выберите том в боковой панели, затем выберите «Файл» > «Изменить пароль»
(Необязательно) Если доступно, нажмите «Параметры безопасности», затем при помощи бегунка укажите количество циклов записи поверх стертых файлов и нажмите «OK».
Параметры безопасного стирания доступны только для некоторых типов устройств хранения. Если кнопка «Параметры безопасности» недоступна, то Вы не можете выполнить безопасное стирание этого устройства с помощью Дисковой утилиты.
Нажмите «Стереть», затем нажмите «Готово».
Можно зашифровать данные, не стирая их. Для этого нужно включить FileVault в разделе «Защита и безопасность» Системных настроек (см. Шифрование данных на Mac при помощи FileVault).
Также можно зашифровать диск и защитить его паролем, не стирая данные. См. раздел Защита информации на Mac с помощью шифрования.
В отличие от политик безопасности на компьютере Mac с процессором Intel политики безопасности на компьютере Mac с чипом Apple относятся к конкретной установленной операционной системе. Это означает, что на одном компьютере Mac может быть установлено несколько экземпляров macOS с разными версиями и политиками безопасности. Поэтому в Утилиту безопасной загрузки добавлен список выбора операционной системы.
Выбор хранилища macOS для изменения политики безопасности.
На компьютере Mac с чипом Apple утилита системной безопасности показывает общее состояние настроенной пользователем безопасности macOS, например загрузку расширения ядра или конфигурацию защиты целостности системы (SIP). Если изменение настроек безопасности приводит к значительному снижению уровня защиты или существенно упрощает вмешательство в систему, для внесения такого изменения пользователю необходимо будет войти в среду recoveryOS с помощью длительного нажатия кнопки питания (чтобы вредоносное программное обеспечение не могло передать сигнал; это сможет сделать только человек с физическим доступом). Поэтому компьютер Mac с чипом Apple также не требует (и не поддерживает) пароль прошивки, так как все критически важные изменения уже регулируются авторизацией пользователя. Подробнее о SIP см. в разделе Защита целостности системы.
Высший уровень безопасности или сниженный уровень безопасности можно задать с помощью Утилиты безопасной загрузки в среде recoveryOS. Режим низкого уровня безопасности может быть вызван только из командной строки для пользователей, которые решили существенно снизить уровень защиты своего Mac и принимают сопряженные с этим риски.
Включение и настройка функции FileVault
Функция FileVault 2 доступна в ОС OS X Lion или более поздней версии. Когда включена функция FileVault, компьютер Mac всегда запрашивает пароль учетной записи при входе.
- Перейдите в меню Apple () > «Системные настройки» и откройте вкладку «Защита и безопасность».
- Выберите вкладку FileVault.
- Нажмите , затем введите имя и пароль администратора.
- Нажмите «Включить FileVault».
Выберите способ снятия защиты с диска и сброса пароля на тот случай, если вы забудете свой пароль.
- В OS X Yosemite или более поздней версии для снятия защиты с диска и сброса пароля можно использовать учетную запись iCloud.*
- В OS X Mavericks доступен вариант хранения ключа восстановления FileVault на серверах компании Apple. В этом случае необходимо указать три контрольных вопроса и ответы на них. Вводите ответы, которые вы точно вспомните.*
- Можно создать локальный ключ восстановления, чтобы не использовать iCloud для восстановления FileVault. Храните комбинацию цифр и символов ключа в безопасном месте (но не на зашифрованном загрузочном диске).
Потеряв и пароль учетной записи, и ключ восстановления FileVault, вы не сможете войти в учетную запись на компьютере Mac или получить доступ к данным на загрузочном диске.
Шифрование выполняется в фоновом режиме, когда вы используете компьютер Mac, и только когда компьютер Mac не находится в режиме сна и подключен к источнику питания переменного тока. Проверить ход его выполнения можно в разделе FileVault на вкладке «Защита и безопасность» окна настроек. Новые файлы зашифровываются автоматически при их сохранении на загрузочный диск.
По завершении настройки FileVault и перезапуска компьютера Mac необходимо будет ввести пароль учетной записи, чтобы разблокировать диск и разрешить компьютеру Mac завершить запуск. При использовании функции FileVault вход в систему необходимо выполнять при каждом запуске компьютера Mac, и автоматический вход запрещен для всех учетных записей.
Выключение FileVault
Если больше не требуется шифровать загрузочный диск, можно выключить FileVault:
- Перейдите в меню Apple > «Системные настройки» и откройте вкладку «Защита и безопасность».
- Выберите вкладку FileVault.
- Нажмите , затем введите имя и пароль администратора.
- Нажмите «Выключить FileVault».
Расшифровка выполняется в фоновом режиме, когда вы используете компьютер Mac, и только когда компьютер Mac не находится в режиме сна и подключен к источнику питания переменного тока. Проверить ход его выполнения можно в разделе FileVault на вкладке «Защита и безопасность» окна настроек.
Файлы устройств в OS X
Файлы устройств в OS X — это наборы драйверов для определенных устройств, которые хранятся в в скрытой папке «dev». С их помощью осуществляется взаимодействие с этими устройствами посредством наборов соответствующих команд (открытие, чтение, запись, закрытие и прочие). Это позволяет программам обращаться к устройствам без необходимости пользователю инициировать каждое действие вручную и дает возможность пользоваться более удобными инструментами (к примеру, файловыми менеджерами или Дисковой утилитой). Загрузочный диск в вашем устройстве всегда будет пронумерован в первую очередь, поэтому соответствующему ему файлу будет присвоено имя «disk0», а полный путь к нему будет выглядеть так: «/dev/disk0». Вы всегда можете посмотреть список накопителей подключенных к вашему компьютеру, введя в Терминале команду diskutil list А узнав имя файла интересующего вас диска вы можете запросить информацию о нем при помощи команды diskutil info /dev/disk1
В OS X, как и в остальных Unix системах, существуют специальные файлы, которые, вместо того чтобы предоставлять доступ к определенным устройствам, дают дополнительные возможности. Например, «/dev/null» удаляет все данные которые будут ему отправлены (часто используется при написании скриптов и программ), а «/dev/random» при обращении к нему выдает случайные данные. Вы можете посмотреть, как работает «/dev/random», введя в Терминале команду cat /dev/random Для отмены команды зажмите сочетание клавиш Control + C
Если с вашим диском возникли проблемы, связанные с форматированием, можно попробовать воспользоваться этим генератором случайных данных, чтобы принудительно переписать содержимое накопителя. Таким образом разметка диска и все данные на нем будут удалены, а сам накопитель отобразится в системе как пустой. Это может помочь избежать возникновения ошибок системы при обращении к проблемному диску.
- Запустите Терминал из папки «Утилиты» и войдите в режим администратора при помощи команды sudo su
- Чтобы отобразился список доступных устройств и соответствующих им специальных файлов, введите команду diskutil list
- В полученной таблице найдите проблемный диск (например, ориентируясь по объему и названиям логических разделов) и определите соответствующий ему файл устройства
- Начните запись произвольных данных на проблемный диск при помощи команды cat /dev/random >/dev/disk1 заменив /dev/disk1 на файл проблемного устройства, полученный на предыдущем шаге.
- При успешном вводе команды курсор перейдет на новую строку, которая останется пустой. В это время система как раз и производит запись данных на диск. Через несколько минут прервите выполнение команды сочетанием клавиш Control + C.
- При открытом окне Терминала нажмите на клавиатуре курсорную клавишу ↑ (Вверх), чтобы подготовить повторный ввод предыдущей команды
- Отсоедините диск от компьютера
- Повторно подключите диск и сразу же нажмите клавишу ⏎Enter для ввода команды.
Получиться может не с первого раза, поэтому стоит попробовать несколько раз, пока курсор не переместится на новую строку, которая останется пустой.
Вы можете попробовать отключить и подключить диск через Терминал, что может быть полезно, если проблема связана не с внешним, а с внутренним диском.
Для того чтобы отключить диск введите команду diskutil unmountDisk /dev/disk1 заменив /dev/disk1 на файл проблемного устройства
Подключить диск можно командой diskutil mountDisk /dev/disk1
Вы также можете объединить эти две команды и добавить команду на запись произвольных даных на диск diskutil unmountDisk /dev/disk1;diskutil mountDisk /dev/disk1;cat /dev/random > /dev/disk1
Стоит заметить, что такой способ срабатывает не всегда и иногда проще подключить диск, как внешний, и воспользоваться инструкцией, приведенной выше.
После этого подождите 2-3 минуты и нажмите сочетание клавиш Control + C, чтобы прервать выполнение команды. В результате, если проблема действительно заключалась в ошибках форматирования, проблемный диск должен отобразиться в Дисковой утилите как пустой, и вы сможете отформатировать его и при необходимости разбить на разделы, чтобы подготовить к дальнейшему использованию с Mac OS X.
За оригинальный материал, послуживший основой при написании данной статьи, в очередной раз благодарим Кристофера Кесслера.
Полнодисковое шифрование FileVault (FileVault 2) использует алгоритм XTS-AES-128 с 256-битным ключом для предотвращения несанкционированного доступа к данным на загрузочном диске.
Политика «Высший уровень безопасности»
Высший уровень безопасности выбран по умолчанию и работает так же, как и в iOS и iPadOS. При загрузке и подготовке к установке такого программного обеспечения операционная система macOS вместо использования глобальной подписи, прилагаемой к программному обеспечению, обращается к тому же серверу подписания Apple, который используется для iOS и iPadOS, и запрашивает новую «персонализированную» подпись. Подпись называется персонализированной, если запрос на подписание содержит уникальный идентификатор чипа ECID — в данном случае уникальный идентификатор процессора Apple. В этом случае подпись, возвращаемая сервером подписания, является уникальной и может использоваться только этим конкретным процессором Apple. При использовании высшего уровня безопасности загрузочное ПЗУ и низкоуровневый загрузчик помогают убедиться в том, что подпись не просто предоставлена Apple, а предназначена для этого конкретного Mac, то есть что эта версия macOS привязана к этому Mac.
Выбор политики «Высший уровень безопасности» macOS.
Использование интернет-сервера подписания также обеспечивает лучшую защиту от атак методом отката, чем обычные подходы, в которых используются глобальные подписи. В системе на основе глобальных подписей новая эпоха безопасности может наступить несколько раз, но система, на которой никогда не была установлена последняя версия прошивки, этого не знает. Например, компьютер, который считает, что находится в эпохе безопасности 1, принимает программное обеспечение из эпохи безопасности 2, хотя на самом деле уже наступила эпоха безопасности 5. С системой интернет-подписания чипа Apple сервер подписания может отклонять запросы создания подписей от программного обеспечения, которое не соответствует последней эпохе безопасности.
Кроме того, если злоумышленник обнаружит уязвимость после смены эпохи безопасности, он не сможет просто взять уязвимое программное обеспечение из системы A, принадлежащей предыдущей эпохе, и с его помощью атаковать систему B. Тот факт, что уязвимое программное обеспечение из более ранней эпохи было персонализировано для системы A, помогает предупредить его передачу и, следовательно, его использование для атаки системы B. Совместное применение всех этих механизмов дает более твердую гарантию того, что злоумышленники не смогут преднамеренно поместить уязвимое программное обеспечение на компьютер, чтобы обойти средства защиты, предоставляемые новейшим программным обеспечением. Однако обладатель имени и пароля администратора Mac всегда может выбрать политику безопасности, которая наилучшим образом подходит для его ситуации.
Политика «Низкий уровень безопасности»
Низкий уровень безопасности предназначен для тех, кто принимает риск значительного снижения уровня защиты своего Mac. Данный режим отличается от политики «Функции безопасности отключены» на компьютере Mac с процессором Intel и чипом T2. В режиме низкого уровня безопасности по-прежнему выполняется проверка подписи и выполняется вся безопасная последовательность загрузки, однако переход в режим низкого режима безопасности сигнализирует загрузчику iBoot о том, что ему следует принять объекты загрузки с локальной подписью Secure Enclave, такие как сгенерированная пользователем загрузочная коллекция ядра, созданная на основе настраиваемого ядра XNU. Таким образом в режиме низкой безопасности на уровне архитектуры обеспечивается возможность запуска произвольного ядра «полностью ненадежной операционной системы». После загрузки настраиваемой загрузочной коллекции ядра или ненадежной операционной системы некоторые ключи дешифрования становятся недоступными. Эта мера направлена на то, чтобы исключить возможность доступа ненадежной операционной системы к данным надежных операционных систем.
Важно! Apple не предоставляет настраиваемые ядра XNU и не обеспечивает поддержку их использования.
Выбор политики «Низкий уровень безопасности» macOS.
Политика «Низкий уровень безопасности» также отличается от политики «Функции безопасности отключены» на компьютере Mac с процессором Intel и чипом T2 тем, что она необходима для ослабления ряда функций безопасности, которые в прошлом управлялись независимо. Особенно важно, что для отключения защиты целостности системы (SIP) на компьютере Mac с чипом Apple пользователь должен подтвердить, что намеренно задает для системы политику «Низкий уровень безопасности». Это необходимо, поскольку отключение SIP всегда облегчает взлом ядра системы. В частности, отключение SIP на компьютере Mac с чипом Apple приводит к отключению применения подписи расширения ядра во время создания AuxKC, в результате чего в память ядра можно загрузить произвольное расширение ядра. На компьютере Mac с чипом Apple защита SIP была усилена путем перемещения хранилища политик из энергонезависимой памяти в политику LocalPolicy. Теперь для отключения SIP требуется аутентификация, выполненная пользователем, у которого есть доступ к ключу подписания политики LocalPolicy, из среды recoveryOS, перейти в которую можно путем длительного нажатия кнопки питания. Это значительно усложняет отключение SIP для злоумышленников, использующих только программное обеспечение, а также и при наличии физического доступа к компьютеру.
Невозможно выбрать режим низкого уровня безопасности из Утилиты безопасной загрузки. Для снижения уровня безопасности пользователи должны использовать инструменты командной строки из Терминала в recoveryOS, например csrutil (для отключения SIP). Когда пользователь снижает уровень безопасности, этот факт отражается в Утилите безопасной загрузки, так что пользователь может легко установить более защищенный режим.
Примечание. Компьютер Mac с чипом Apple не требует и не поддерживает определенные политики загрузки с носителя, поскольку с технической точки зрения все загрузки выполняются локально. Если пользователь хочет выполнить загрузку с внешнего носителя, необходимо сначала персонализировать версию операционной системы, используя аутентифицированную перезагрузку из recoveryOS. При перезагрузке на внутреннем диске создается файл LocalPolicy, который используется для выполнения надежной загрузки из операционной системы, хранящейся на внешнем носителе. Это означает, что конфигурация загрузки с внешнего носителя всегда явным образом включается для конкретной операционной системы и уже требует авторизации пользователя, поэтому дополнительная безопасная конфигурация не нужна.
В своей ежедневной работе с компьютерами Мак мы регулярно сталкиваемся с невозможностью переустановки операционной системы. Наиболее распространённая ошибка при этом — с диском-назначением, на который мы планируем переустанавливать OS X, невозможно ничего сделать, он имеет статус «на диске установлена защита». Самый простой выход из сложившейся ситуации — чистая переустановка OS X (clean install), ведь в нашей работе самым первым шагом мы создаём резервную копию данных клиентов. Но именно в этом часто заключается проблема. Дело в том, что «чистая переустановка» подразумевает форматирование диска, а очистить его средствами, предлагаемыми Apple рядовому пользователю, оказывается не всегда возможно. Но давайте обо всём по порядку.
Мы сталкивались с блокировкой диска по разным причинам, наиболее распространённая из которых — ошибка прав доступа. Она легко устраняется и решение даже для не самого опытного пользователя техники Apple очевидно — исправление прав. Но в данной статье будет освещаться другой тип узкоспециализированной, но распространённой проблемы: возможные ошибки CoreStorage в целом и ошибки шифрования FileVault в частности. Поэтому следует оговориться, большая часть представленной ниже информации применима к современным операционным системам OS X Yosemite (10.10) и новее.
В 2012 году, представляя новую операционную систему тех времён, OS X Mountain Lion, в Apple первый раз озвучили технологию под коммерческим названием Fusion Drive. Суть её в том, что два разных физических накопителя (твердотельный и классический жёсткий диски) объединяются в один логический раздел. Плюс этой технологии очевиден. Пользователю не нужно думать о том, где хранится его информация: на SSD или HDD. За нас с вами всё решает операционная система и файлы, к которым обращение происходит чаще, автоматически переносятся на быстрый диск на полупроводниках. Напротив, редкоиспользуемый контент переносится на шпиндельный накопитель. Это всё в теории, на практике, конечно, всё не так сказочно и прелести Fusion Drive остаются актуальными только для небольших файлов (почитайте, например Тест №1, Тест № 2 и краткое резюме от AnandTech). Нам же важно понять, что «под капотом» маркетингового Fusion Drive от Apple «трудится» мощная нововведённая технология CoreStorage. И области её применения с 2012 года только росли.
CoreStorage — менеджер логических томов. Благодаря ему в современных операционных системах появилась возможность, например, шифровать весь загрузочный диск, а не только папку пользователя, как это было в прошлом (вот уже второе громкое маркетинговое имя, FileVault, всё для того же скромного менеджера, «лежащего» в основе). Можно в один логический том объединить SD-карту, подключенную внутрь 13-ти дюймового MacBook Air с встроенным SSD-диском, а потом, на получившийся ёмкий накопитель установить операционную систему (так мы боремся, например, с маленькими 120-ти гигабайтными накопителями, установленными в ранние «эйры» и выросшими потребностями заказчиков). Можно заменить встроенный в устаревающий MacBook Pro оптический привод переходником OptiBay, внутрь него «спрятать» твердотельный накопитель и объединить его с шпиндельным жёстким диском, а потом, на свежеприобретённый Fusion Drive объёмом 2,99 терабайт (в нашей практике было и такое решение), развернуть резервную копию Time Machine. Можно внешний жёсткий диск, не имеющий аппаратного шифрования, защитить невероятно сложным паролем и попадание информации на нём в руки посторонних лиц станет невозможной. Возможности технологии больше ограничены фантазией и задачами. Но «ложка дёгтя» кроется в том, что встроенная в OS X Дисковая утилита обучена работе с CoreStorage, как младенец владению авторучкой. Всё, что она умеет — собирать логические тома из установленных внутрь iMac или Mac Mini жёсткого и твердотельного дисков. Она не умеет форматировать диски, объединённые в логические разделы, не умеет в них конвертировать, а активация шифрования спрятана в опциях строки меню (в Finder это можно сделать всего лишь щёлкнув по диску правой/вспомогательной кнопкой мыши). Ниже, отдельным абзацем, мы выделим очень важный тезис.
При переустановке операционной системы и обновлении до OS X Yosemite (10.10) все накопители конвертируются в логические разделы.
Давайте проясним. Неважно, сколько накопителей в вашем компьютере используется для запуска операционной системы. Если их больше одного, то основной том, на котором была и ранее установлена OS X — итак логический раздел. Если же нет, и вы пользовались обычным компьютером MacBook Pro, MacBook Air, Mac Mini или iMac с единственным диском внутри, на конечном этапе переустановки операционной системы 10.10 будет применена команда его конвертирования в логический раздел. Для чего в Apple требуется принудительный переход на технологию CoreStorage, нам не ясно. Существует две теории:
В конвертации диска нет ничего хорошего и плохого, мы лишь констатируем факт. До выхода в свет OS X Yosemite о CoreStorage знали только посвящённые. Теперь же, для элементарных задач переустановки операционной системы, рядовому пользователю может потребоваться начальный опыт работы с Терминалом. А всё потому, что функциональных возможностей Дисковой утилиты, встроенной в современный раздел восстановления (Recovery HD), уже оказывается недостаточно. И реализовать, например, «чистую установку» с принудительным форматированием диска (а не простой его очисткой), вам окажется не под силу без знаний терминальных команд.
- Первая команда, введённая в Терминале, отражает список всех дисков, подключенных в системе.
diskutil list - Результатом отработки второй команды будет список всех логических томов и разделов, присутствующих в системе, с назначенными им уникальными идентификаторами — UUID (формата XYZ123XY-XY12–21XY-Z321-XYZ123456789).
diskutil cs list - Если в конце третьей команды добавить номер диска (например, disk1s2) или путь его точки монтирования (к примеру, /Volumes/Macintosh\ HD/), вы с лёгкостью преобразуете обычный том или диск в логический.
diskutil cs convert - Диаметрально противоположная предыдущей команда. Конвертирует логический том в одиночный обычный. Работает только в случае, если в качестве подопытного вами указывается (через пробел после команды) логический том (точнее его UUID или путь точки монтирования), образованный из одного физического накопителя.
diskutil cs revert
В действительности, для решения поставленной перед нами начальной задачи (чистой установки системы и возможности форматирования внутреннего накопителя) нужна только последняя команда. Помните, мы оговаривались, что вы не сможете полностью переразбить диск в Дисковой утилите только потому, что она очень плохо обучена работать с логическими разделами? Конвертировав (в данном случае «ревертировав») диск в обычный раздел вы получите такую возможность.
Итак, если вы не имеете возможность переустановить OS X Yosemite на желаемый диск только потому, что он имеет статус «на диске установлена защита», вы уже успели исключить нехватку прав доступа на работу с томом и создали резервную копию всех важных данных, то следуйте вместе с нами простым шагам:
- Перезагружаем компьютер и загружаем его или с раздела восстановления (удержанием клавиатурного сокращения ⌘Command + R при загрузке), или ранее созданного внешнего установщика OS X Yosemite.
- В строке меню находим и запускаем Терминал.
- В открывшемся окне запускаем команду diskutil cs list и находим уникальный идентификатор (UUID, формата XYZ123XY-XY12–21XY-Z321-XYZ123456789) вашего тома.
- Конвертируем логический том в обычный вводом команды diskutil cs revert UUID (замените UUID в команде найденным вами на предыдущем шаге идентификатором формата XYZ123XY-XY12–21XY-Z321-XYZ123456789).
- Закрываем Терминал, запускаем Дисковую утилиту и привычным способо форматируем диск.
- Запускаем установку OS X Yosemite.
В нашем алгоритме есть два «слабых звена»:
- в новой чистой системе будет отсутствовать раздел восстановления;
- привычный логический раздел на диске не будет восстановлен установщиком OS X Yosemite (то есть раздел не будет конвертирован и останется обычным).
Именно поэтому завершающими шагами на системах наших заказчиков мы переносим раздел восстановления из эталонной системы утилитой Carbon Copy Cloner и конвертируем том в логический уже известной вам терминальной командой diskutil cs convert .
Политика «Сниженный уровень безопасности»
Сниженный уровень безопасности аналогичен среднему уровню безопасности на компьютере Mac с процессором Intel и чипом T2, при этом поставщик (в данном случае Apple) генерирует цифровую подпись для кода, чтобы подтвердить, что этот код получен от поставщика. Эта мера помогает предотвратить добавление неподписанного кода злоумышленниками. Apple называет эту подпись «глобальной», поскольку ее можно использовать на любом компьютере Mac в течение любого периода времени, если в данный момент на компьютере Mac установлена политика «Сниженный уровень безопасности». Сниженный уровень безопасности сам по себе не обеспечивает защиту от атак методом отката, однако несанкционированное изменение операционной системы может привести к тому, что пользовательские данные станут недоступными. Подробнее см. в разделе Расширения ядра на компьютере Mac с чипом Apple.
Выбор политики «Сниженный уровень безопасности» macOS.
Помимо возможности запуска более ранних версий macOS, сниженный уровень безопасности требуется для выполнения других действий, таких как установка сторонних расширений ядра, в результате чего система пользователя подвергается риску. Расширения ядра имеют те же разрешения, что и само ядро, поэтому любые уязвимости в них могут привести к возникновению прямой угрозы для всей операционной системы. Именно поэтому разработчикам настоятельно рекомендуется переходить на расширения системы, прежде чем поддержка расширений ядра будет удалена из macOS для будущих компьютеров Mac с чипом Apple. Даже если возможность добавления сторонних расширений ядра включена, отдельные расширения невозможно загружать в ядро по запросу. Вместо этого расширения ядра объединяются во вспомогательную коллекцию ядра (AuxKC), хэш которой хранится в политике LocalPolicy, и поэтому затем требуется перезагрузка. Подробнее о создании AuxKC см. в разделе Расширения ядра в macOS.
Читайте также: