Чи є FileVault шифрувати диск миттєво?


1

Нещодавно я виявив, що FileVault вимкнено на моїй машині. Хоча я пам'ятаю, що я встановив "шифрувати" варіант, коли я налаштував машину.

Я відкрив Системні налаштування і включив FileVault. До мого подиву це не зайняло жодного часу. Мені не доводилося чекати, коли дані шифруються. Це тільки отримане негайно включене.

Моя конфігурація: MacBook Air 2018, 256Gb SSD, macOS Mojave 10.14.1

Я зрозумів, що диск не зашифрований, тому що я мав доступ до вмісту з мого домашнього каталогу з гостьової сесії .

Як можливо, що увімкнення FileVault не займе будь-який час?


1
Є 3 основні реалізації ФВ. Чи можете ви вказати, яку машину у вас є (модельний рік ідеально) і яку версію macOS? Ми повинні знати, чи є у вас SSD або HDD. Ми можемо навіть знати, якщо у вас є diskutil cs list або diskutil apfs list знати, чи відбувається конверсія у фоновому режимі.
bmike

Відмінно редагувати! Це чудовий Mac. Я відредагую свою відповідь, щоб зробити її дуже характерною для вашої ситуації. Я дуже ціную тест, який ви зробили - дуже добре, щоб перевірити і зрозуміти, коли шифрування не допоможе вам і коли це станеться.
bmike

Відповіді:


3

У вас є новий Mac з чіпом SSD і T2 тому всі дані на ньому зашифровані завжди . Будь-які вибори, які Ви робите у FileVault, просто додають і видаляють ключі користувача з ланцюга довіри, так що це відбувається в основному миттєво. Однак, коли користувач, що має повноваження FileVault, не створений, система розблокує себе, щоб двері шифрування завжди були широко відкриті.

Наступного разу, коли ви перезавантажитеся, система помітить, що перша користувальницька клавіша тепер активна і змінює процес завантаження, щоб система не розблокувала цю пам'ять і не запустила операційну систему, поки ваш ключ не розблокує пам'ять. Майте на увазі, FileVault за замовчуванням на APFS це все або нічого. Коли ви розблокуєте пам’ять, будь-який обліковий запис може читати будь-які файли, до яких він має дозвіл, і вам потрібен пароль, щоб інші користувачі (гості) не мали файлів і сеансів.

Ви можете перевірити це, переглянувши diskutil apfs list перевіряти кожен контейнер APFS і синтезувати об'ємне шифрування і стан блокування.

mac:~ me$ diskutil list
/dev/disk0 (internal):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      GUID_partition_scheme                         251.0 GB   disk0
   1:                        EFI EFI                     314.6 MB   disk0s1
   2:                 Apple_APFS Container disk1         250.0 GB   disk0s2

/dev/disk1 (synthesized):
   #:                       TYPE NAME                    SIZE       IDENTIFIER
   0:      APFS Container Scheme -                      +250.0 GB   disk1
                                 Physical Store disk0s2
   1:                APFS Volume Mac                     191.7 GB   disk1s1
   2:                APFS Volume Preboot                 65.4 MB    disk1s2
   3:                APFS Volume Recovery                1.0 GB     disk1s3
   4:                APFS Volume VM                      3.2 GB     disk1s4

Переконайтеся, що перезавантажте машину та перевірте гостьова сесія сценарій. Тільки повний "обліковий запис гостя", налаштований у налаштуваннях користувача, зберігатиме ваші дані незначно захищеними, якщо у вас є розблокований / незашифрований синтезований об'єм завантаження / ОС / користувача Macintosh HD


Дякуємо за відповідь. Мій ноутбук має чіп Т2 (будь ласка, знайдіть оновлення в описі). Позначивши "шифрувати" прапорець під час налаштування системи, я думав, що він вже включить FileVault і захистить мою систему. Якщо це не так, я сумніваюся, що такий захист нічого не вартий (як я сказав, я зміг отримати доступ до мого домашнього каталогу з гостьової сесії що лякає). Я щось пропускаю?
Oleksandr Shpota

@OlexandrShpota Це дизайн. Filevault (в його поточній реалізації, Lion і пізніше) і Windows Bitlocker називаються "повний encrpytion диска". Вони блокують весь диск як єдине ціле. Після розблокування FDE дозволяє операційній системі читати весь диск. ОС відповідальність за забезпечення дозволів на окремих користувачів.
user71659

2

Я не встановив "шифрування" під час встановлення системи, але після включення шифрування з FileVault напевно потрібен час (близько 45 хв з 512 Go SSD).

Розшифрування диска займе деякий час і з фоновим процесом.

Ви можете перевірити, чи ваш диск зашифрований або не виконується (або виконується) через термінал, ввівши цю команду:

sudo fdesetup status

З вашого досвіду, схоже, що ввімкнення шифрування під час налаштування виконує роботу, але не відображається в "Системних налаштуваннях", поки ви явно не включите його?

enter image description here


Відмінна відповідь на ситуацію, яка не стосується APFS та не T2. Це діалогове вікно буде показано для APFS (відсутність T2) і всіх ситуацій CoreStorage FileVault, відмінних від оригінального FV, які робили рідкий образ диска, а не шифрували весь том.
bmike

Я тільки здогадуюсь - ви все ще можете бути вірними для цього випадку. Ми не маємо достатньо даних з ОП, щоб ще розповісти. Я знаю, що ця відповідь допоможе іншим +1 за це
bmike

Дякуємо за відповідь. Знайдіть оновлення в описі.
Oleksandr Shpota
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.