Як я можу використовувати шифрування FileVault і все ще відслідковувати свій ноутбук у разі його викрадення


11

Останні кілька днів я витратив досить багато часу, намагаючись розібратися, як я можу поєднати чіткі переваги безпеки даних при шифруванні моєї машини з FileVault 2 під Lion, та потенціал відновлення крадіжок таких програм, як Undercover, Prey або LoJack . Загальний консенсус полягає в тому, що це в основному або / або компроміс, оскільки шифрування вашої системи запобігає потраплянню злодія в нього, а отже, і заважає йому навіть запускати програмне забезпечення для відстеження. За старого FileVault, ви могли залишити обліковий запис гостя медоносів незашифрованим, але це призвело до серйозних недоліків безпеки даних, оскільки це відкрило шлях до розумного злодія, який обходив ваше шифрування в режимі єдиного користувача. Новий FileVault, очевидно, не дає такої опції, хоча потенційно ви можете потрапити десь із Find My Mac на iCloud,

Чи є краще рішення, ніж змушувати вибирати між безпекою даних та інструментами відстеження?

Відповіді:


11

Після трохи возитися, виявляється, що є кращий компроміс, який, здається, не є чітко зафіксованим ніде очевидним, тому я подумав, що поділюсь цим. Я не вірю, що це дублікат, але я радий бачити це питання закритим, якщо я щось пропустив.

Вартість рішення (яке для деяких може бути неприйнятним) полягає в тому, що вам потрібно пожертвувати близько 14G свого приводу на перегородку з медом. Кроки, які я вжив:

  1. Використовуйте Disk Utility, щоб змінити розмір завантажувального розділу, щоб створити принаймні 14,3 Г вільного місця в кінці диска. Якщо ви вже ввімкнули FileVault, я вважаю, що це означає, що вам доведеться вимкнути його і дочекатися його спочатку закінчення розшифровки.

  2. Створіть порожній розділ Mac OS, розширений журналом у кінці вашого диска, заповнивши вільне місце.

  3. Щоб речі виглядали трохи переконливіше, дайте новому розділу ім'я, яке є більш правдоподібним, ніж Macintosh HD (2) - я називаю моє ім’я на ім'я хоста.

  4. Перезавантажте комп’ютер і запустіть у режим відновлення, утримуючи Cmd-R під час завантаження системи.

  5. Виберіть перевстановлення ОС у меню відновлення та продовжте встановлення. Десь уздовж рядка ви отримаєте можливість вибрати, де встановити ОС. Очевидно, ви хочете поставити його на новий розділ. Він повинен бути достатньо великим, щоб ви могли встановити Lion. Якщо це не так, вам доведеться вийти з головного меню відновлення, запустіть програму Disk Utility і змініть розміри розділів знову. Це трохи нерозумно, тому що у вас не так багато вільного місця, як вказаний розмір розділу, але ви зрештою потрапите туди.

  6. Завершіть установку вашої нової копії Лева. Ви хочете налаштувати це як медонос, тому:

    • Увімкніть автоматичний вхід, який входить у не адміністративний обліковий запис з тим самим іменем користувача, який ви використовуєте на своєму головному розділі (для додаткової правдоподібності)
    • Переконайтеся, що у вашому обліковому записі адміністратора є гідний пароль, щоб злодію було важко возитися зі своїм програмним забезпеченням для відстеження, якщо він знайде його
    • Не підключайте нічого до iCloud - я припускаю, що ви використовуєте таку альтернативну службу, як Undercover, Prey або LoJack, щоб сприяти одужанню, тому це просто більше потенційного впливу та найкраще уникати.
  7. Встановіть програмне забезпечення для свого відстеження на розділ медоносів. Зрештою, я поїхав з Undercover, тому що це разова вартість, і здобич пишеться башем <shudder>.
  8. Забороніть основні сховища намагатися монтувати зашифровані розділи під час запуску, тим самим підірвати кришку:

    sudo mkdir -p /System/Library/LaunchDaemons.Disabled
    sudo mv /System/Library/LaunchDaemons/com.apple.corestorage.corestoraged.plist /System/Library/LaunchDaemons.Disabled/com.apple.corestorage.corestoraged.plist
    

    (Трохи рубати, але це тільки приманка. Hat наконечник , котра надала тут )

  9. Перезавантажте систему. Вам потрібно буде утримувати клавішу alt / opt, коли система завантажується, щоб відкрити меню завантаження. Виберіть свій оригінальний основний розділ для завантаження в основну систему.
  10. (Re) Увімкніть FileVault для цього розділу та дозвольте його завершити.
  11. Встановіть також програмне забезпечення для відстеження на цей розділ (це прекрасно працює для Undercover, який ідентифікує машини за серійним номером MAC-адреси, тому не важливо, у який розділ ви завантажуєтесь)
  12. Встановіть пароль прошивки. Якщо ви знаходитесь на комп’ютері до 2011 року, це лише жест жетону, але, мабуть, кожен маленький допоможе. Якщо у вас є новіший Mac, це серйозний захід безпеки, оскільки єдиними варіантами його обходу AFAIK є перенесення його в Apple або фізична заміна чіпа на материнській платі.

Отже, якщо ви вимкніть комп'ютер і завантажте його з холоду, він завантажиться в розділ медоносів, навіть не запитуючи пароль. Недосвідченому злодієві буде схоже, що вони отримали доступ до вашої машини лише перезавантаживши її. Є ймовірність боротьби з тим, що ваше програмне забезпечення для відстеження матиме можливість подати звіт до того, як злодій зрозуміє, що щось не зовсім правильно.

Перезавантаживши машину, вам доведеться запам’ятати клавішу alt / option, щоб увійти у вашу належну систему, після чого вам буде запропоновано пароль, щоб розшифрувати її. Якщо припустити, що у вас включені відповідні налаштування блокування для забезпечення розумної безпеки, ваш пристрій толерантно захищений від того, щоб хтось захоплював конфіденційні приватні дані.

Якщо у вас є останній комп’ютер із належним захистом мікропрограмного забезпечення, злодію буде надзвичайно важкий час, використовуючи що-небудь, крім перегородки медоносів, і буде намагатися зробити щось особливо корисне навіть з цим, оскільки він не має адміністративних прав. При будь-якій удачі, до того моменту, коли він закінчиться засмучуватися, поліція вже стукає у його двері :-)


0

Це не працює з сторонніми утилітами відстеження, які ви згадуєте, але якщо ви налаштували FileVault 2, а також службу Find My Mac iCloud, він дозволяє опцію "Гість" на екрані автентифікації перед перезавантаженням FV2. Якщо ви використовуєте цю опцію, вона переходить у режим Safari (працює лише з розділу Recovery, без доступу до зашифрованого тома запуску). Ідея тут полягає в тому, що якщо хтось вкраде ваш Mac, він намагається спокусити їх підключити його до Інтернету, щоб ви могли відстежувати / стерти / тощо ваш Mac. Дивіться цю статтю MacWorld для отримання додаткової інформації .

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.