Fora

FileVault - Ja eller Nej

SRQrws

Original plakat
4. august 2020
  • 12. august 2020
Jeg er nysgerrig efter, hvor mange der bruger FileVault, og om det virkelig er nødvendigt på Mac'er med SSD'er, T2-chips og auto-login deaktiveret. Jeg gætter på, at mit spørgsmål er, hvis du er indstillet til altid at kræve en adgangskode til login, og du ikke har en tallerken-harddisk, der kan fjernes, hvis den bliver stjålet og tilgås, er FileVault så virkelig nødvendig? Jeg krypterer mine Time Machine-sikkerhedskopier på eksterne drev og forstår klart årsagen til at gøre det. Men med T2-chippen, hvis nogen stjal Mac'en og fjernede SSD'en, kunne de så få data fra den? Dette kan være et trivielt spørgsmål for eksperterne her, men jeg sætter pris på nogens tanker. H

hobowankenobi

27. august 2015


på fastnet mr. smed.
  • 12. august 2020
Et retfærdigt spørgsmål. Jeg tror, ​​at svaret vil variere meget baseret på mange variabler, inklusive overordnet sikkerhedskonfiguration, risiko for brug/rejse/tyveri og hvad der er på maskinen (hvor følsomt).

Tilbage i de dårlige gamle dage, som du med rette påpeger, var det ret trivielt at få adgang til et drev via TDM, eller fjerne drevet for at få adgang til data.
OTOH...med roterende diske, ydeevnehits samt indledende krypteringstid var god grund til IKKE at kryptere det.

Alt det er i det væsentlige væk nu (i hvert fald på de seneste Mac'er), så...de gamle vaner (både for og imod) skal trækkes tilbage.

Den eneste grund, der giver mig pause for at bruge filevault, er på multi-bruger maskiner, såsom et skolelaboratorium eller en delt arbejdsstation.

Det...og frygten for, at nogle brugere simpelthen glemmer deres PW, og det bliver en smerte for alle, på en meget større måde end blot glemte log-in-legitimationsoplysninger. T

TrevorR90

1. oktober 2009
  • 14. august 2020
Jeg tror ikke, at det vil skade præstationen på nogen måde. Det er endnu et lag af sikkerhed, og som sagt skader det ikke at have det på. H

hobowankenobi

27. august 2015
på fastnet mr. smed.
  • 14. august 2020
Det er ikke et præstationshit nu, både på grund af SSD og APFS. Det var smertefuldt....mange år tilbage. Nogle kan stadig have en dårlig smag i munden fra de dårlige gamle dage.
Reaktioner:thetilyt T

thetilyt

8. april 2020
  • 14. august 2020
hobowankenobi sagde: Det er ikke et præstationshit nu, både på grund af SSD og APFS. Det var smertefuldt....mange år tilbage. Nogle kan stadig have en dårlig smag i munden fra de dårlige gamle dage.
Jeg kan huske, at det skadede ydeevnen ret dårligt, da jeg tændte den...
Reaktioner:hobowankenobi

Boyd01

Moderator
Medarbejder
21. februar 2012
New Jersey Pine Barrens
  • 14. august 2020
Jeg har ikke en ekstern GPU, men der har været diskussion i Mini-forummet om, at med filevault aktiveret, vil adgangskodeprompten kun vises på en direkte tilsluttet skærm. Så hvis dine skærme er forbundet til eGPU'en, kan du ikke se adgangskodedialogen ved opstart.
Reaktioner:Yebubbleman

Apple_Robert

21. september 2012
Midt i flere bøger.
  • 14. august 2020
Med de nyere maskiner kan du ikke se, at FV er tændt. Det er så sømløst. Jeg anbefaler stærkt at tænde det.

Jeg er enig med de tidligere indlæg, der taler om de langsomme gamle dage. Forsinkelsen var mærkbar, og det ville tage dage at kryptere et stort drev. Godt de dage er forbi.
Reaktioner:Photopooba

mj_

18. maj 2017
Austin, TX
  • 15. august 2020
SRQrws sagde: Men med T2-chippen, hvis nogen stjal Mac'en og fjernede SSD'en, kunne de så få data fra den?
Det ville ganske vist ikke længere være muligt. Der er dog stadig flere måder at få adgang til dine filer med FileVault2 deaktiveret. For eksempel kan du starte op i måldisktilstand og have fuld adgang til drevet. Hvis din Mac har opstart fra eksterne kilder aktiveret, kan du også starte fra et USB-drev og have fuld adgang til drevet. Opstart fra eksterne kilder er ikke aktiveret? No biggie, bare start ind i gendannelsen og lav enten en fuld kopi ved hjælp af diskværktøj eller, endnu bedre, brug terminalen til at nulstille brugerens adgangskode, og start derefter Mac'en normalt og få fuld adgang til alt på drevet.

Der er sikkert flere måder, som jeg ikke tænkte på lige nu.
Reaktioner:Leon1das

SRQrws

Original plakat
4. august 2020
  • 15. august 2020
mj_ ​​sagde: Det ville ganske vist ikke længere være muligt. Der er dog stadig flere måder at få adgang til dine filer med FileVault2 deaktiveret. For eksempel kan du starte op i måldisktilstand og have fuld adgang til drevet. Hvis din Mac har opstart fra eksterne kilder aktiveret, kan du også starte fra et USB-drev og have fuld adgang til drevet. Opstart fra eksterne kilder er ikke aktiveret? No biggie, bare start ind i gendannelsen og lav enten en fuld kopi ved hjælp af diskværktøj eller, endnu bedre, brug terminalen til at nulstille brugerens adgangskode, og start derefter Mac'en normalt og få fuld adgang til alt på drevet.

Der er sikkert flere måder, som jeg ikke tænkte på lige nu.
Tak for den detaljerede info. Jeg anede ikke, at der var flere måder at omgå login-adgangskoden for at få adgang til data. Jeg har lige aktiveret FileVault på alle mine Mac'er.

sgtaylor5

Bidragyder
6. august 2017
Cheney, WA, USA
  • 21. august 2020
Interessepunkt: Jeg ved, at denne kendsgerning ikke er relevant for moderne MacBook Pro med T2-chippen, men jeg fandt for nylig ud af, at FV fik min sene 2013 MBP (i5/8/256) til at køre 2 eller 3 grader varmere (konsekvent på High Sierra og Mojave, der bruger Macs Fan Control indstillet til 3000 rpm og CPU PECI som den midlertidige kilde)

mj_

18. maj 2017
Austin, TX
  • 21. august 2020
Det skyldes, at CPU'en i din 2013 er så gammel, at den mangler den hardware-dekrypteringslogik (AES-NI), der kræves til hurtig og effektiv on-the-fly de- og kryptering, som derfor skal udføres ved hjælp af almindelige x86 ALU eksekveringsenheder. Så vidt jeg forstår mangler ældre implementeringer af AES-NI understøttelse af en specifik algoritme, som Apple bruger til FileVault2-kryptering, men citer mig ikke om det.

Nyere implementeringer af AES-NI burde ikke længere have det problem.
Reaktioner:cool11, sgtaylor5, Weaselboy og 1 anden person

sgtaylor5

Bidragyder
6. august 2017
Cheney, WA, USA
  • 21. august 2020
Tak for den forklaring; andre, der besøger denne tråd, vil gerne se den.

Kun i computerindustrien kunne en 2013-enhed betragtes som gammel. Det tog mig mange årtier, før situationen var den rigtige i mit liv, og jeg kunne købe min nuværende Mac til halv pris, da den var fem år gammel. Elsker det; det har været en arbejdshest for mig.
Reaktioner:Boyd01 TIL

avz

7. oktober 2018
  • 21. august 2020
sgtaylor5 sagde: Tak for den forklaring; andre, der besøger denne tråd, vil gerne se den.

Kun i computerindustrien kunne en 2013-enhed betragtes som gammel. Det tog mig mange årtier, før situationen var den rigtige i mit liv, og jeg kunne købe min nuværende Mac til halv pris, da den var fem år gammel. Elsker det; det har været en arbejdshest for mig.

Jeg har FV aktiveret på min Late 2008 MacBook på begge drev (Mavericks på HFS+ original 5400rpm HDD og Mojave på APFS SSD). Jeg bemærker ingen præstationshits eller ændringer i temperaturer. Du vil måske overveje at udskifte en termisk forbindelse og rense støvet inde i maskinen/udskifte et batteri.

sgtaylor5

Bidragyder
6. august 2017
Cheney, WA, USA
  • 21. august 2020
Tak; Jeg har allerede lavet de to første forslag, og mit batteri er fint med 368 cyklusser indtil videre.

BuffyzDead

30. december 2008
  • 21. august 2020
SRQrws sagde: Jeg er nysgerrig efter, hvor mange mennesker der bruger FileVault, og om det virkelig er nødvendigt på Mac'er med SSD'er, T2-chips og auto-login deaktiveret. Jeg gætter på, at mit spørgsmål er, hvis du er indstillet til altid at kræve en adgangskode til login, og du ikke har en tallerken-harddisk, der kan fjernes, hvis den bliver stjålet og tilgås, er FileVault så virkelig nødvendig? Jeg krypterer mine Time Machine-sikkerhedskopier på eksterne drev og forstår klart årsagen til at gøre det. Men med T2-chippen, hvis nogen stjal Mac'en og fjernede SSD'en, kunne de så få data fra den? Dette kan være et trivielt spørgsmål for eksperterne her, men jeg sætter pris på nogens tanker.

Denne rettidige artikel vil kaste mere lys, så alle kan beslutte.

Hvordan FileVault og T2 Security Chip arbejder sammen på nyere Macs

Mac'er med en T2-chip krypterer altid deres drev. Hvorfor er FileVault nødvendigt?
Reaktioner:ghanwani og svanstrom

Yebubbleman

20. maj 2010
Los Angeles, CA
  • 21. august 2020
SRQrws sagde: Jeg er nysgerrig efter, hvor mange mennesker der bruger FileVault, og om det virkelig er nødvendigt på Mac'er med SSD'er, T2-chips og auto-login deaktiveret. Jeg gætter på, at mit spørgsmål er, hvis du er indstillet til altid at kræve en adgangskode til login, og du ikke har en tallerken-harddisk, der kan fjernes, hvis den bliver stjålet og tilgås, er FileVault så virkelig nødvendig? Jeg krypterer mine Time Machine-sikkerhedskopier på eksterne drev og forstår klart årsagen til at gøre det. Men med T2-chippen, hvis nogen stjal Mac'en og fjernede SSD'en, kunne de så få data fra den? Dette kan være et trivielt spørgsmål for eksperterne her, men jeg sætter pris på nogens tanker.

FileVault 2 er 'nødvendig' er subjektiv. Hvis du er i en virksomhed, er det sandsynligvis nødvendigt af nøjagtig de samme grunde, som BitLocker eller en anden Windows fuld-disk-kryptering softwarepakke er. Hvis det kun er dig, og du ikke har nogen følsomme oplysninger på din Mac, så er det et spørgsmål om personlig præference.

For at besvare dit spørgsmål 'hvis nogen var i stand til at fjerne SSD'en på en T2 Mac, ville de være i stand til at få fat i dataene?', er det korte svar nej.

SSD'erne er integreret (læs: loddet) på hovedlogikkortet på MacBook Pros, MacBook Airs og Mac minis introduceret fra 2018 og frem, så det er ikke engang fysisk muligt. De er teknisk set fuldstændigt aftagelige på Mac Pro og iMac Pro, og delvist aftagelige på 4TB og 8TB 2020 27' iMac'er (i den del af drevet er på logikkortet, og en del af det er i et 2-4TB udvidelsesmodul) . T2 er SSD-controlleren på alle T2 Mac'er, og T2 er parret med lageret på fabrikken. Hvis du fjerner lagringsmodulerne fra logikkortet på den T2 Mac, som det oprindeligt blev parret med, går dataene faktisk tabt.

Som nævnt ovenfor kan du stadig bruge Target Disk Mode på en Mac til at fjerne filer uden at skulle indtaste nogen form for adgangskode. Ja, dine data er altid krypteret på en T2 Mac, men du har ingen beskyttelsesmekanisme på plads til at blokere Target Disk Mode fra at gøre din T2 Mac stadig tilgængelig for en anden Mac.

At tænde for FileVault 2 på en T2 Mac krypterer ikke dit drev. Drevet er allerede krypteret som standard (og der er ingen sluk-knap). Det eneste, det gør, er at tilknytte (og håndhæve) beskyttelsen af ​​at skulle indtaste enten en nøgle eller et brugernavn og adgangskode, når du får adgang til drevet via noget som Target Disk Mode. Du kan funktionelt aktivere den samme beskyttelse til dit drev ved at indstille en firmwareadgangskode. I en virksomhedsindstilling er FileVault 2 meget mere foretrukket, da du kan deponere HVER FileVault 2-nøgle til en centraliseret database ved hjælp af en institutionel FileVault 2-nøgle. Derudover fjerner det behovet for at ændre HVER Macs FIRMWARE-PASSWORD, når en IT-medarbejder på højt niveau forlader virksomheden.

Jeg er personligt ikke den største på FileVault 2. Jeg synes, det er klodset, og der er iboende særheder, der kan gøre diagnosticering af en Mac med problemer endnu sværere at håndtere, når den er aktiveret. Men på en T2 Mac er det bestemt lavet til at være så hurtigt og nemt, at du ikke behøver at tænke over det. Det er øjeblikkeligt at tænde og slukke for det, og det har i sidste ende ikke den slags konsekvenser, som du måske har på en ikke-T2 Mac.

TrevorR90 sagde: Jeg tror ikke, at det vil skade præstationen på nogen måde at have den på. Det er endnu et lag af sikkerhed, og som sagt skader det ikke at have det på.

På en T2 Mac påvirker det ikke ydeevnen overhovedet. At tænde for FileVault 2 på en T2 Mac forbinder bare FileVault med den eksisterende hardwarekryptering.

Hvorimod, på en pre-T2 Mac, kræver aktivering af FileVault 2 faktisk kryptering af drevet og vil helt sikkert medføre langsommere drevydelse. Omend forskellen i ydeevne vil ikke være mærkbar på en SSD sikker til super disk intensive arbejdsgange. Casual brugere burde slet ikke bemærke en forskel i ydeevne.
Reaktioner:0279317 og hobowankenobi

mj_

18. maj 2017
Austin, TX
  • 22. august 2020
Yebubbleman sagde: Hvorimod, på en pre-T2 Mac, kræver aktivering af FileVault 2 faktisk kryptering af drevet og vil helt sikkert medføre langsommere drevydelse. Omend forskellen i ydeevne vil ikke være mærkbar på en SSD sikker til super disk intensive arbejdsgange. Casual brugere burde slet ikke bemærke en forskel i ydeevne.
Fremragende pointe, det glemte jeg at nævne. Jeg kørte benchmarks med på min eksterne Samsung 970 EVO inde i et USB 3.2 Gen 1-cover på en 2017 iMac, også kendt som en uden T2-chip. Uden FileVault2 får jeg over 950 MB/s i både læse og skrive. Med FileVault2 aktiveret får jeg omkring 650 MB/s læsninger omkring 750 MB/s. Der er således en målbar, men umærkelig indvirkning på lagringsydelsen.
Reaktioner:hobowankenobi og Boyd01

cool 11

3. september 2006
  • 2. december 2020
mj_ ​​sagde: Det er fordi CPU'en i din 2013 er så gammel, at den mangler den hardware dekrypteringslogik (AES-NI), der kræves for hurtig og effektiv on-the-fly de- og kryptering, som derfor skal udføres ved hjælp af almindelig x86 ALU udførelse enheder. Så vidt jeg forstår mangler ældre implementeringer af AES-NI understøttelse af en specifik algoritme, som Apple bruger til FileVault2-kryptering, men citer mig ikke om det.

Nyere implementeringer af AES-NI burde ikke længere have det problem.

Så det ville være en smerte at slå filevault til i min mbp 15' sidst i 2013?

Jeg forstår stadig ikke, hvad filevault kan tilbyde en bruger.

Jeg plejer at have alle mine dyrebare/private data i krypterede dmg-billeder.
Jeg åbner dem, når jeg har brug for noget derfra, nogle af dem sjældne, nogle af dem hver dag.
Jeg siger ikke, at det er det bedste krypteringsværktøj muligvis, men bedre end ingenting.

Men alligevel kan jeg ikke måle fordele og ulemper, på ældre eller nyere macs.

mj_

18. maj 2017
Austin, TX
  • 2. december 2020
Den største fordel ved FileVault i dit specifikke tilfælde ville være, at du ikke skulle rode rundt med krypterede diskbilleder. Hele dit drev ville blive krypteret, inklusive din browserhistorik, din lokale cache, thumbnails osv. Alt. Det ville være meget mere sikkert og, vigtigst af alt, meget mere smertefrit og glattere end at skulle håndtere krypterede diskbilleder.
Reaktioner:hobowankenobi og cool11

cool 11

3. september 2006
  • 3. december 2020
Hvordan fungerer Filevault på en praktisk måde?
Jeg mener, ikke meget på teknisk måde, men i den daglige basis af en brugerinteraktion.
Hvad skal jeg gøre udover checken i 'sikkerheds'-panelet?
Og praktisk talt, hvad vinder jeg? Hvis min mbp bliver stjålet, eller pludselig skulle sendes til en reparationsservice, er mine data så sikre og krypteret? Mere end at beskæftige sig med krypteret dmg?
Eller er det noget ret tilsvarende med hensyn til reel datasikkerhed? H

hobowankenobi

27. august 2015
på fastnet mr. smed.
  • 3. december 2020
cool11 sagde: Hvordan fungerer Filevault på en praktisk måde?
Jeg mener, ikke meget på teknisk måde, men i den daglige basis af en brugerinteraktion.
Hvad skal jeg gøre udover checken i 'sikkerheds'-panelet?
Og i praksis, hvad vinder jeg? Hvis min mbp bliver stjålet, eller pludselig skulle sendes til en reparationsservice, er mine data så sikre og krypteret? Mere end at beskæftige sig med krypteret dmg?
Eller er det noget ret tilsvarende med hensyn til reel datasikkerhed?
Ja. Da drevet er krypteret, er ingen data tilgængelige, før og medmindre PW er indtastet. Så...hvis en maskine bliver stjålet, var den eneste nemme måde at få adgang på, hvis den var logget ind og vågen. Forudsat at man ikke deaktiverer automatisk log ud ved dvale (og låget lukker), er et meget usandsynligt scenarie. Selvom man på en eller anden måde kunne stjæle en maskine, mens man er logget ind og vågen, skulle de være meget forsigtige med ikke at lade maskinen sove, og de kunne ikke nemt få adgang til eller ændre PW.

Som nævnt, da den altid er tændt, er der ikke noget for brugeren at gøre. Alle data og informationer er sikre, 100 % af tiden.

Den eneste ulempe, jeg kunne se, er, at hvis en maskine på en eller anden måde blev hacket, mens brugeren var logget ind, kunne data muligvis ses eller kopieres, forudsat at hackeren har fuld adgang til den åbne, loggede Mac. Oddsene for dette, sammenlignet med at blive stjålet, er meget, meget små, i betragtning af at der næsten ikke har været hacks af Macs, der tillader fjernadmin. Og generelt set forbedres sikkerheden hvert år, efterhånden som OS og sikkerhedsfunktioner modnes. Bare i de sidste 2-3 OS-opdateringer har vi set betydelige Mac-sikkerhedsstigninger, så oddsene for, at en fjernangriber tager kontrol, fortsætter med at falde, mens fysisk tyveri er lige så risikabelt som nogensinde.

Og ja, hvis en maskine sendes til reparation, og admin/dekryptering af PW er givet, er dine data tilgængelige for snoopere. En nem måde at gøre det sværere på er simpelthen at oprette en anden administratorkonto med en anden PW, så ingen teknikere kan nemt logge ind på din primære konto. Det ville nægte enhver snooping, og man kunne kun få adgang til dine data med noget ret seriøst arbejde for at ændre tilladelser. Mere end en snooper ville gøre ... kun et alvorligt hack/tyveri ville forsøge. Sidst redigeret: 3. december 2020
Reaktioner:cool 11

cool 11

3. september 2006
  • 4. december 2020
Filevault-adgangskode, er det samme med log-in-adgangskode?

Kræver Apple, at en sådan adgangskode gives, når brugere sendte deres maskiner til officielle Apple-reparationscentre? H

hobowankenobi

27. august 2015
på fastnet mr. smed.
  • 4. december 2020
cool11 sagde: Filevault-adgangskode, er det samme med log-in-adgangskode?

Kræver Apple, at en sådan adgangskode gives, når brugere sendte deres maskiner til officielle Apple-reparationscentre?
Ja, samme PW. Intet andet at gøre eller huske.

Kun aktiverede brugere kan dekryptere drevet og logge på . Så ja, hvis en tekniker skal logge ind, skal du give en PW. Det kunne være en anden konto, hvis den var aktiveret.
Reaktioner:cool 11

jaclu

12. januar 2021
  • 12. januar 2021
Apple_Robert sagde: Med de nyere maskiner kan du ikke se, at FV er tændt. Det er så sømløst. Jeg anbefaler stærkt at tænde det.
Ikke helt sikker på, hvad du mener med den første sætning. I den forstand, at du ikke bemærker noget tab af ydeevne, er jeg enig. Du kan dog se, om FV er tændt, bare gør en

diskutil apfs liste

Og for hver bind er dets FileVault-status angivet

Apple_Robert

21. september 2012
Midt i flere bøger.
  • 12. januar 2021
jaclu sagde: Ikke helt sikker på, hvad du mener i første sætning. I den forstand, at du ikke bemærker noget tab af ydeevne, er jeg enig. Du kan dog se, om FV er tændt, bare gør en

diskutil apfs liste

Og for hver bind er dets FileVault-status angivet
Jeg henviste til præstationsforringelse, som til ikke at kunne fortælle....
Reaktioner:jaclu
  • 1
  • 2
  • 3
  • 4
Næste

Gå til side

Næste Sidst
anmeldelse Apple Nyheder Andet hvordan Hvordan Tos
Sådan konfigureres teksterstatning på iPhone, iPad og Mac
Tilbud: Få op til $100 i rabat på 2021 iPad Pro-modeller i Wi-Fi og mobil
Populære Indlæg

Populære Indlæg

Apple Nyheder
iPhone 12 og iPhone 12 Mini lækket i blå, rød, grøn, sort og hvid
Apple Nyheder
Apple Seeds macOS Big Sur 11.4 udgivelseskandidat til udviklere
Fora
Apple KAN IKKE AAA-gaming og har hårdt brug for at ansætte spil-guru-leads.
Apple Nyheder
Apple Store-webstedet går ned [Opdatering: Sikkerhedskopier]
Apple Nyheder
VUDU bekræfter Apple TV-app under udvikling, men udgivelsesdato ukendt
Apple Nyheder
Apple sænker prisen på iPhone 6s og 6s Plus i Indien