苹果公司允许两种形式的加密驱动器。全盘加密(FDE)是一种省力的方法,可确保如果有人要在卸载时抓住其中一个驱动器,或者在断电时抓住Mac,则驱动器上的内容将在不知道密码的情况下对他们不可用或其他加密信息。Apple提供了两种不同的加密驱动器上的卷的方法,了解它们之间的区别以及与基于M1的Apple Silicon Macs连接的驱动器当前的限制很重要。
FileVault: FileVault可让您控制对内部或外部驱动器上启动卷的访问,包括在必要时对驱动器进行加密。不能将其与基于M1的Mac的外部启动驱动器一起使用。
驱动器加密:可通过Finder以及可通过命令行和“磁盘工具”进行高级方式对可安装Finder的非系统卷进行加密。您可以在任何Mac上加密非启动外部驱动器的卷。
FileVault加密
您可以在Macworld的其他地方阅读有关FileVault内容的详细信息,但这是将基于帐户的访问的安全性与确保完全加密的数据结合在一起的一种方式。FileVault通过“安全性和隐私”首选项窗格的“ FileVault”窗格进行管理。
FileVault的工作方式因您的Mac型号而异:
没有T2安全芯片的英特尔Mac:这些较旧的Mac,主要是在2018年之前推出的型号,将FileVault既用于启动安全性,又用于处理磁盘加密。您还可以使用FileVault对外部启动或可启动驱动器进行引导和加密,以保护它们进入macOS。
带有T2安全芯片的 英特尔Mac :从2018年开始发布的大多数英特尔Mac型号都具有T2安全芯片,即使FileVault被禁用,该芯片也始终设置为对驱动器进行加密。(有一种方法可以禁用此功能,但是没有理由这样做。)Secure Enclave处理所有必要的组件。配备T2的Mac上的FileVault在冷启动时保护Mac的数据。使用此类模型,您还可以在外部可启动卷上使用FileVault,但是在这种情况下,FileVault可以处理加密。
Apple硅M1 Mac: Apple于2020年末推出的基于M1的新Mac具有Secure Enclave模块,并且始终对启动驱动器进行加密。但是,到目前为止,这些Mac无法在外部可启动卷上正确使用FileVault。不幸的是,您可以在外部驱动器上打开FileVault,但是在重新启动时,它不再被识别。这可能与M1 Mac从Big Sur中的系统卷启动的方式有关。Apple应该禁用该功能或解决问题。
当您在T2 / M1 Mac的内部驱动器上启用或禁用FileVault保护时,由于加密始终处于打开状态,因此FileVault会立即打开或关闭。使用与Intel Mac配合使用的外部驱动器,您可以大致从“安全性和隐私”首选项窗格的FileVault窗格中监视进度,也可以参阅下文。
FileVault可以在T2之前的Mac和T2 / M1的Mac断电时确保安全性:它可以防止启动时在没有密码的情况下访问Mac上的有效帐户,或者如果其他Mac以任何方式访问驱动器上的任何解密数据,则无需密码或法医检查设备。
驱动器加密
整个卷可以直接加密,但是由于FileVault和Mac上的启动元素是如何交互的,因此它们不能用于启动Mac。在将这些驱动器用于存储和备份时,对它们进行加密非常有用。
安装并输入密码后,以这种方式加密的卷的驱动器将完全可用。如果您选择将密码存储在钥匙串中,那么任何人都可以访问未锁定的Mac,并且可以从驱动器装入一个或多个卷,就可以访问该目录,就像未加密内容一样。
但是,在这些情况下,如果没有一方但您具有Mac或卷的密码,则加密内容不可用:
您没有存储一个或多个卷的密码,并且驱动器已卸载。
您存储了密码,但是Mac已关闭电源。
您存储了密码或驱动器已安装,但Mac已锁定。那时,有人需要克服闯入正在运行的Mac的障碍。
您可以从Finder非常简单地在驱动器上启用加密:
在桌面或Finder窗口中按住Control键并单击驱动器。
选择加密。(对于可引导卷,通常不会显示此选项,因为对其进行加密将使其变为不可引导;请参见上文!)
在出现的对话框中,输入从您的密码管理器生成的密码,或使用钥匙形图标在macOS中生成一个密码。(警告!请确保已为自己安全地存储了密码的副本,否则驱动器中的内容将永远无法使用。)
在验证密码字段中输入密码,然后输入密码提示。我更喜欢安全地存储密码,而提示则告诉我存储密码的管理员,例如1Password。
单击加密磁盘。
通常需要卸载并重新安装磁盘,并且启动后台加密过程可能需要数小时甚至数天,具体取决于存储的数据量和计算机的加密能力。
在“磁盘工具”中,如果您检查使用macOS 10.14 Mojave或更高版本加密的任何卷,则该卷类型的圆括号中将显示为“加密”,即为“ APFS(加密)”。在此过程中,“磁盘工具”会将格式化为Mac OS扩展(日志式)或HFS +格式的卷转换为APFS,并使用APFS(加密)子类型。
一个重要的注意事项:如果直接使用Mac或通过本地网络将驱动器上的任何卷用作Mojave或更高版本中Time Machine的备份目标,则不需要加密驱动器。只有具有Big Sur的Mac才能通过Time Machine备份到APFS格式的卷。而且,在测试中,无论所备份的Mac运行的是Big Sur还是macOS的较早版本,只有HFS +可以用作网络Time Machine备份的目标卷的格式。
您可以通过选择驱动器,选择“解密”,输入密码,然后进行类似的冗长的操作来对驱动器进行解密来撤消操作。如果它是从HFS +转换而来的,则它是rem
对于更高级的用户,您可以直接通过“磁盘工具”或命令行创建加密的卷,尽管这涉及破坏性地擦除卷,容器或分区,具体取决于要保护的内容。
检查驱动器加密状态
对于不带T2芯片的Intel Mac,FileVault对任何Intel Mac上的外部驱动器进行加密或对Mac的任何型号对外部非启动卷进行加密的情况,都可以使用命令行工具来监视进度。(FileVault的进度栏不够准确。)
在“应用程序”>“实用程序”>“终端”中,键入以下内容,然后按回车键:
diskutil apfs list
这显示了所有APFS容器和卷以及正在进行的加密状态。您必须滚动很多磁盘和卷来查找该信息,因此可以键入以下命令以仅提取进度行:
diskutil apfs list | grep Encryption
它将与以下行匹配:
Encryption Progress: 69.0% (Unlocked)
令人困惑的是,加密完成后,无论是由FileVault保护的启动卷,还是通过Finder或其他方式加密的外部卷,该diskutil应用程序均显示加密始终启用为:
FileVault: Yes (Unlocked)