Шифрование диска mac os
На компьютерах Mac имеется встроенная функция шифрования под названием FileVault, которая защищает все хранящиеся на компьютере данные. FileVault использует алгоритм шифрования данных AES-XTS для защиты всего тома на внутренних и съемных устройствах хранения.
Функция FileVault на компьютере Mac с чипом Apple реализована с использованием технологии защиты данных класса C и ключа тома. На компьютере Mac с чипом безопасности Apple T2 и на компьютере Mac с чипом Apple зашифрованные внутренние устройства хранения, напрямую подключенные к Secure Enclave, используют аппаратные функции безопасности, которые предоставляет этот сопроцессор, а также соответствующие функции модуля AES. Если пользователь включил FileVault на Mac, во время загрузки потребуется ввести учетные данные.
Сброс пароля или изменение ключа восстановления FileVault
Если вы забыли пароль учетной записи или он не работает, можно выполнить сброс пароля.
Чтобы изменить ключ восстановления, который используется для шифрования загрузочного диска, отключите функцию FileVault на вкладке «Защита и безопасность» окна настроек. Затем ее можно включить повторно, чтобы создать новый ключ и деактивировать все старые ключи.
Включите Брандмауэр
Брандмауэр в OS X — это сетевой фильтр, который позволяет контролировать то, какие программы и службы принимают входящие соединения. В то время как традиционные брандмауэры фильтруют потоки на основании порта (независимо от того, какое ПО использует порт), брандмауэр OS X может работать с каждым приложением или службой, предоставляя вам больше гибкости.
Чтобы настроить свой брандмауэр, необходимо зайти в меню системных настроек «Безопасность защита» и выбрать вкладку «Брандмауэр». Если вы просто включите защиту, это будет наилучшим вариантом, однако меню «Параметры брандмауэра» предоставит вам более широкие настройки для каждого приложения.
Использование брандмауэра настоятельно рекомендуется, если вы пользуетесь публичными сетями Wi-Fi в кафе, метро или гостиницах. В домашней сети защита уже включена в роутере, хотя дополнительная безопасность благодаря брандмауэру OS X не будет лишней.
Съемные устройства хранения
При шифровании съемных устройств хранения не используются функции безопасности Secure Enclave, а шифрование выполняется аналогично шифрованию на компьютере Mac с процессором Intel без чипа T2.
Полнодисковое шифрование FileVault (FileVault 2) использует алгоритм XTS-AES-128 с 256-битным ключом для предотвращения несанкционированного доступа к данным на загрузочном диске.
Внутреннее хранилище с отключенной функцией FileVault
Если на компьютере Mac с чипом Apple или компьютере Mac с чипом T2 в процессе начальной настройки в Ассистенте настройки не включить FileVault, том по-прежнему будет зашифрован, но ключ шифрования тома в Secure Enclave будет защищен только с помощью аппаратного UID.
Шифрование внутреннего тома при выключенной функции FileVault в macOS.
Если включить FileVault позднее (что будет выполнено мгновенно, поскольку данные уже зашифрованы), механизм антиповтора позволяет предупредить использование старого ключа (основанный только на аппаратном UID) для дешифрования тома. Том будет защищен с помощью сочетания пароля пользователя и аппаратного UID, как было описано ранее.
Управление паролями
Если вы регулярно пользуетесь множеством онлайн-сервисов, вы наверняка знаете, что пароли для каждого сайта должны быть разными. Часто люди хранят все свои пароли в приложениях вроде Заметок или даже Pages, что, конечно же, чрезвычайно небезопасно. В OS X у вас имеется мощное альтернативное решение под названием «Связка ключей», которым мы и советуем воспользоваться.
Также существуют и сторонние инструменты, такие как 1Password, которые позволяют иметь расширенные возможности для управления паролями. Если возможностей Связки ключей для вашей безопасности будет недостаточно, можете воспользоваться такими инструментами.
Выключение FileVault
Если больше не требуется шифровать загрузочный диск, можно выключить FileVault:
- Перейдите в меню Apple > «Системные настройки» и откройте вкладку «Защита и безопасность».
- Выберите вкладку FileVault.
- Нажмите , затем введите имя и пароль администратора.
- Нажмите «Выключить FileVault».
Расшифровка выполняется в фоновом режиме, когда вы используете компьютер Mac, и только когда компьютер Mac не находится в режиме сна и подключен к источнику питания переменного тока. Проверить ход его выполнения можно в разделе FileVault на вкладке «Защита и безопасность» окна настроек.
Блокировка и определение местоположения
В заключение поделимся парой советов, которые помогут защитить данные на вашем Mac, если вам необходимо надолго оставлять его без присмотра или пользоваться им удаленно. Первую из этих опций вы можете настроить во вкладке «Основные» раздела настроек «Безопасность и защита». Здесь в разделе «Запрашивать пароль» необходимо выбрать «Сразу» или «Через 5 секунд». Теперь каждый раз, когда ваш компьютер переходит в спящий режим, для его разблокировки всегда будет необходимо вводить пароль.
Надеемся, наши советы помогут вам уберечь данные на своем Mac и не позволить им попасть в руки злоумышленников. Но в то же время собственная внимательность и осторожность — самые верные друзья, которые обеспечат вам самую надежную защиту.
Внутреннее хранилище с включенной функцией FileVault
Без действительных учетных данных для входа или криптографического ключа восстановления внутренние тома APFS останутся зашифрованными и защищенными от несанкционированного доступа, даже если извлечь физическое устройство хранения из компьютера и подключить его к другому компьютеру. В macOS 10.15 это относится и к системному тому, и к тому данных. Начиная с macOS 11 для защиты системного тома применяется функция подписанного системного тома (SSV), однако для защиты томов данных по-прежнему используется шифрование. Шифрование внутреннего тома на компьютере Mac с чипом Apple и на компьютере Mac с чипом T2 осуществляется путем построения и контроля иерархии ключей, и оно основано на технологиях аппаратного шифрования, встроенных в чип. Эта иерархия ключей предназначена для одновременного решения следующих четырех задач:
требование пароля пользователя для дешифрования;
защита системы от атаки методом перебора, выполняемой непосредственно на носителе информации, который был извлечен из Mac;
предоставление возможности быстрого и надежного стирания данных путем удаления необходимых криптографических ключей;
предоставление пользователю возможности изменить свой пароль (и, в свою очередь, криптографические ключи, используемые для защиты его файлов) без необходимости повторного шифрования всего тома.
На компьютере Mac с чипом Apple и компьютере Mac с чипом T2 вся обработка ключа FileVault выполняется в Secure Enclave; ключи шифрования никогда не раскрываются непосредственно процессору Intel. При создании любого тома APFS ему по умолчанию назначается ключ шифрования тома. Содержимое тома и метаданных шифруется с использованием этого ключа шифрования тома, который защищается с помощью ключа класса. При включении FileVault ключ класса защищается с помощью пароля пользователя и аппаратного идентификатора UID.
Дополнительная информация
- Узнайте, как создавать и применять ключ восстановления FileVault для компьютеров Mac в вашей организации (на предприятии, в учебном заведении и т. п.).
- Если FileVault используется на Mac OS X Snow Leopard, можно перейти на FileVault 2, обновив систему до OS X Lion или более поздней версии. После обновления OS X откройте настройки функции FileVault и следуйте указаниям на экране, чтобы обновить FileVault.
- Использование на загрузочном диске разделов RAID или нестандартных разделов Boot Camp может не позволить OS X установить локальную систему восстановления. Без наличия такой системы FileVault не будет шифровать загрузочный диск. Подробнее.
* Если вы забудете или потеряете ключ восстановления, который хранится на ресурсах компании Apple или в вашей учетной записи iCloud, есть вероятность, что компания Apple не сможет вам его предоставить. Службы AppleCare и iCloud доступны не для всех регионов и не на всех языках, и не во всех регионах, где предоставляется служба AppleCare , она доступна на любом языке. Если для интерфейса компьютера Mac задан язык , который не поддерживается службой AppleCare, включите функцию FileVault и сохраните ключ на ресурсах компании Apple (только для OS X Mavericks). Контрольные вопросы и ответы на них можно вводить на языке, который не поддерживается службой AppleCare.
При форматировали внутреннего или внешнего устройства хранения можно включить шифрование и защитить устройство паролем. При шифровании внутреннего устройства нужно ввести пароль для доступа к устройству и хранящейся на нем информации. Если Вы шифруете внешний диск, то пароль нужно будет вводить при подключении устройства к компьютеру.
Если зашифровано внешнее устройство хранения, его нельзя подключить к базовой станции AirPort для создания резервных копий Time Machine.
ПРЕДУПРЕЖДЕНИЕ. Чтобы зашифровать устройство и защитить его паролем при помощи Дисковой утилиты, нужно сначала стереть все данные с устройства. Если на устройстве есть файлы, которые Вы хотите сохранить, обязательно скопируйте их на другое устройство хранения или другой том.
Если на устройстве есть файлы, которые Вы хотите сохранить, скопируйте их на другое устройство хранения или другой том.
В приложении «Дисковая утилита» на компьютере Mac выберите пункт меню «Вид» > «Показывать все устройства».
Если Дисковая утилита еще не открыта, нажмите значок Launchpad в панели Dock, введите «Дисковая утилита» в поле поиска, затем нажмите значок Дисковой утилиты .
В боковой панели выберите устройство, которое нужно зашифровать.
Введите имя тома.
Нажмите всплывающее меню «Схема», затем выберите «Схема разделов GUID».
Введите и подтвердите пароль, затем нажмите «Выбрать».
Чтобы изменить пароль впоследствии, выберите том в боковой панели, затем выберите «Файл» > «Изменить пароль»
(Необязательно) Если доступно, нажмите «Параметры безопасности», затем при помощи бегунка укажите количество циклов записи поверх стертых файлов и нажмите «OK».
Параметры безопасного стирания доступны только для некоторых типов устройств хранения. Если кнопка «Параметры безопасности» недоступна, то Вы не можете выполнить безопасное стирание этого устройства с помощью Дисковой утилиты.
Нажмите «Стереть», затем нажмите «Готово».
Можно зашифровать данные, не стирая их. Для этого нужно включить FileVault в разделе «Защита и безопасность» Системных настроек (см. Шифрование данных на Mac при помощи FileVault).
Также можно зашифровать диск и защитить его паролем, не стирая данные. См. раздел Защита информации на Mac с помощью шифрования.
FileVault можно использовать для шифрования информации на Вашем Mac. FileVault шифрует данные на Вашем загрузочном томе, так что неавторизованные пользователи не могут получить доступ к Вашей информации. См. раздел Как работает шифрование FileVault?
Примечание. На iMac Pro и других моделях Mac с чипом Apple T2 Security Chip данные на диске шифруются автоматически. Однако включение FileVault обеспечивает дополнительную защиту, поскольку для дешифрования данных требуется ввести пароль для входа в систему.
Для настройки FileVault необходимо быть администратором. При включении FileVault Вам необходимо выбрать, как Вы хотите разблокировать загрузочный диск, если забудете пароль:
Учетная запись и пароль iCloud. Этот вариант удобно использовать, если Вы пользуетесь учетной записью iCloud или собираетесь ее завести, потому что Вам не понадобится отслеживать отдельный ключ восстановления.
Ключ восстановления. Ключ — это автоматически созданная строка из букв и цифр. Сохраните его копию в любом месте, кроме зашифрованного загрузочного тома. Если Вы записываете ключ на бумагу, скопируйте все буквы и цифры в точности так, как они показаны. Сохраните запись в надежном месте, которое Вы не забудете. Не рекомендуется хранить ключ восстановления рядом с компьютером Mac, где его могут обнаружить другие пользователи. Если Ваш Mac принадлежит предприятию или школе, они также могут настроить ключ восстановления для разблокирования компьютера.
ПРЕДУПРЕЖДЕНИЕ. Не забывайте ключ для восстановления. Если Вы включили FileVault, а затем забыли пароль входа и ключ восстановления и не можете сбросить пароль входа, Вы не сможете войти в систему, а данные будут потеряны безвозвратно.
Шифрование FileVault нельзя использовать с некоторыми конфигурациями массивов дисков, например с RAID-массивами.
Важно! Если Вы включили FileVault и процесс шифрования уже начался, Вы не сможете отключить FileVault до тех пор, пока шифрование не будет завершено. Шифрование может длиться долгое время в зависимости от объема данных на компьютере, при этом компьютером можно будет пользоваться как обычно. После завершения шифрования FileVault можно выключить. На iMac Pro и других моделях Mac с чипом T2 данные на диске уже зашифрованы, поэтому включение FileVault займет меньше времени.
На Mac выберите пункт меню Apple
> «Системные настройки», нажмите «Защита и безопасность» , затем нажмите «FileVault».
Если слева внизу отображается запертый замок , нажмите его, чтобы разблокировать панель настроек.
Нажмите «Включить FileVault».
Возможно, Вам потребуется ввести пароль.
Выберите способ разблокирования диска и сброса пароля, если Вы его забудете.
Учетная запись iCloud. Нажмите «Разрешить моей учетной записи iCloud снимать защиту с моего диска», если Вы уже используете iCloud. Нажмите «Настроить мою учетную запись iCloud на сброс пароля», если Вы еще не используете iCloud.
Ключ восстановления. Нажмите «Создать ключ восстановления и не использовать мою учетную запись iCloud». Запишите ключ восстановления и храните его в надежном месте.
Если на Вашем компьютере Mac есть другие пользователи, их информация также будет защищена шифрованием. Для разблокирования зашифрованного диска пользователю необходимо ввести свой пароль входа.
При наличии кнопки «Вкл. пользователей» пользователь не сможет разблокировать зашифрованный диск, пока Вы не введете его пароль входа. Нажмите «Вкл. пользователей», выберите пользователя, введите его пароль входа, нажмите «OK», затем нажмите «Продолжить».
Примечание. При обнаружении проблемы, которая может помешать завершить шифрование, Mac отобразит уведомление о том, что шифрование приостановлено. Например, если ноутбук Mac не подключен к сети, шифрование может быть приостановлено до тех пор, пока не будет подключено питание.
Несмотря на то, что Mac, как известно, наиболее надежно защищен от вирусов и троянов, это еще не гарантирует его полной сохранности. Злоумышленники могут похитить ваши пароли, получить доступ к переписке или попросту выкрасть компьютер, чтобы завладеть вашими данными. Если вы максимально внимательно относитесь к безопасности своей информации, мы думаем, что вы найдете в этом материале несколько весьма полезных советов.
Мы решили поделиться с вами четырьмя советами, которые обязательны к исполнению для каждого человека, озабоченного безопасностью своего Mac. Советы касаются различных аспектов системы, но все они гарантируют, что ваши данные не попадут в нежелательные руки. Итак, приступаем.
Включите FileVault
FileVault — это система шифрования, которая защищает все файлы на вашем жестком диске, включая системные файлы OS X, приложения, кэши и другие временные файлы. Многие из этих файлов содержат личную или конфиденциальную информацию и поэтому требуют защиты.
Чтобы включить FileVault, зайдите в настройки «Безопасность и защита» и перейдите к вкладке FileVault. Чтобы задействовать службу, просто нажмите «Включить FileVault». После этого вас попросят выбрать пользовательские аккаунты, которые авторизованы для разблокировки вашего диска (при желании можно добавить и другие аккаунты). Нажмите «Продолжить», и ваш Mac начнет процедуру шифрования жесткого диска. На это понадобится некоторое время, особенно в случае крупных механических приводов, на шифрование которых может уйти несколько часов.
Полное шифрование жестких дисков является чрезвычайно важным для предотвращения похищения информации с краденного Mac. После разблокировки жесткого диска файлы можно прочитать, но чтобы получить к ним доступ, необходимо зайти в авторизованный аккаунт. Это не позволит злоумышленникам получить доступ к вашим личным данным, даже если они отключат накопитель и подключат к какой-нибудь другой машине.
Включение и настройка функции FileVault
Функция FileVault 2 доступна в ОС OS X Lion или более поздней версии. Когда включена функция FileVault, компьютер Mac всегда запрашивает пароль учетной записи при входе.
- Перейдите в меню Apple () > «Системные настройки» и откройте вкладку «Защита и безопасность».
- Выберите вкладку FileVault.
- Нажмите , затем введите имя и пароль администратора.
- Нажмите «Включить FileVault».
Выберите способ снятия защиты с диска и сброса пароля на тот случай, если вы забудете свой пароль.
- В OS X Yosemite или более поздней версии для снятия защиты с диска и сброса пароля можно использовать учетную запись iCloud.*
- В OS X Mavericks доступен вариант хранения ключа восстановления FileVault на серверах компании Apple. В этом случае необходимо указать три контрольных вопроса и ответы на них. Вводите ответы, которые вы точно вспомните.*
- Можно создать локальный ключ восстановления, чтобы не использовать iCloud для восстановления FileVault. Храните комбинацию цифр и символов ключа в безопасном месте (но не на зашифрованном загрузочном диске).
Потеряв и пароль учетной записи, и ключ восстановления FileVault, вы не сможете войти в учетную запись на компьютере Mac или получить доступ к данным на загрузочном диске.
Шифрование выполняется в фоновом режиме, когда вы используете компьютер Mac, и только когда компьютер Mac не находится в режиме сна и подключен к источнику питания переменного тока. Проверить ход его выполнения можно в разделе FileVault на вкладке «Защита и безопасность» окна настроек. Новые файлы зашифровываются автоматически при их сохранении на загрузочный диск.
По завершении настройки FileVault и перезапуска компьютера Mac необходимо будет ввести пароль учетной записи, чтобы разблокировать диск и разрешить компьютеру Mac завершить запуск. При использовании функции FileVault вход в систему необходимо выполнять при каждом запуске компьютера Mac, и автоматический вход запрещен для всех учетных записей.
Удаление томов FileVault
При удалении тома сопроцессор Secure Enclave безопасным образом удаляет его ключ шифрования тома. Данная мера позволяет предупредить дальнейший доступ с помощью этого ключа (даже для сопроцессора Secure Enclave). Кроме того, все ключи шифрования томов помещаются в упаковку в виде ключа носителя. Ключ носителя не обеспечивает дополнительную конфиденциальность данных. Он предназначен для быстрого и надежного удаления данных, поскольку без него дешифрование будет невозможным.
На компьютере Mac с чипом Apple и компьютере Mac с чипом T2 ключ носителя гарантированно стирается технологией, поддерживаемой Secure Enclave, например командами удаленного стирания MDM. Такой способ стирания ключа носителя делает весь том криптографически недоступным.
Читайте также: