SRQrws
Original plakat- 4. august 2020
- 12. august 2020
hobowankenobi
- 27. august 2015
- på fastnet mr. smed.
- 12. august 2020
Tilbage i de dårlige gamle dage, som du med rette påpeger, var det ret trivielt at få adgang til et drev via TDM, eller fjerne drevet for at få adgang til data.
OTOH...med roterende diske, ydeevnehits samt indledende krypteringstid var god grund til IKKE at kryptere det.
Alt det er i det væsentlige væk nu (i hvert fald på de seneste Mac'er), så...de gamle vaner (både for og imod) skal trækkes tilbage.
Den eneste grund, der giver mig pause for at bruge filevault, er på multi-bruger maskiner, såsom et skolelaboratorium eller en delt arbejdsstation.
Det...og frygten for, at nogle brugere simpelthen glemmer deres PW, og det bliver en smerte for alle, på en meget større måde end blot glemte log-in-legitimationsoplysninger. T
TrevorR90
- 1. oktober 2009
- 14. august 2020
hobowankenobi
- 27. august 2015
- på fastnet mr. smed.
- 14. august 2020
thetilyt
- 8. april 2020
- 14. august 2020
hobowankenobi sagde: Det er ikke et præstationshit nu, både på grund af SSD og APFS. Det var smertefuldt....mange år tilbage. Nogle kan stadig have en dårlig smag i munden fra de dårlige gamle dage.Jeg kan huske, at det skadede ydeevnen ret dårligt, da jeg tændte den...
Boyd01
Moderator
Medarbejder- 21. februar 2012
- New Jersey Pine Barrens
- 14. august 2020
Apple_Robert
- 21. september 2012
- Midt i flere bøger.
- 14. august 2020
Jeg er enig med de tidligere indlæg, der taler om de langsomme gamle dage. Forsinkelsen var mærkbar, og det ville tage dage at kryptere et stort drev. Godt de dage er forbi.
mj_
- 18. maj 2017
- Austin, TX
- 15. august 2020
SRQrws sagde: Men med T2-chippen, hvis nogen stjal Mac'en og fjernede SSD'en, kunne de så få data fra den?Det ville ganske vist ikke længere være muligt. Der er dog stadig flere måder at få adgang til dine filer med FileVault2 deaktiveret. For eksempel kan du starte op i måldisktilstand og have fuld adgang til drevet. Hvis din Mac har opstart fra eksterne kilder aktiveret, kan du også starte fra et USB-drev og have fuld adgang til drevet. Opstart fra eksterne kilder er ikke aktiveret? No biggie, bare start ind i gendannelsen og lav enten en fuld kopi ved hjælp af diskværktøj eller, endnu bedre, brug terminalen til at nulstille brugerens adgangskode, og start derefter Mac'en normalt og få fuld adgang til alt på drevet.
Der er sikkert flere måder, som jeg ikke tænkte på lige nu.
SRQrws
Original plakat- 4. august 2020
- 15. august 2020
mj_ sagde: Det ville ganske vist ikke længere være muligt. Der er dog stadig flere måder at få adgang til dine filer med FileVault2 deaktiveret. For eksempel kan du starte op i måldisktilstand og have fuld adgang til drevet. Hvis din Mac har opstart fra eksterne kilder aktiveret, kan du også starte fra et USB-drev og have fuld adgang til drevet. Opstart fra eksterne kilder er ikke aktiveret? No biggie, bare start ind i gendannelsen og lav enten en fuld kopi ved hjælp af diskværktøj eller, endnu bedre, brug terminalen til at nulstille brugerens adgangskode, og start derefter Mac'en normalt og få fuld adgang til alt på drevet.Tak for den detaljerede info. Jeg anede ikke, at der var flere måder at omgå login-adgangskoden for at få adgang til data. Jeg har lige aktiveret FileVault på alle mine Mac'er.
Der er sikkert flere måder, som jeg ikke tænkte på lige nu.
sgtaylor5
Bidragyder
- 6. august 2017
- Cheney, WA, USA
- 21. august 2020
mj_
- 18. maj 2017
- Austin, TX
- 21. august 2020
Nyere implementeringer af AES-NI burde ikke længere have det problem.
sgtaylor5
Bidragyder
- 6. august 2017
- Cheney, WA, USA
- 21. august 2020
Kun i computerindustrien kunne en 2013-enhed betragtes som gammel. Det tog mig mange årtier, før situationen var den rigtige i mit liv, og jeg kunne købe min nuværende Mac til halv pris, da den var fem år gammel. Elsker det; det har været en arbejdshest for mig.
avz
- 7. oktober 2018
- 21. august 2020
sgtaylor5 sagde: Tak for den forklaring; andre, der besøger denne tråd, vil gerne se den.
Kun i computerindustrien kunne en 2013-enhed betragtes som gammel. Det tog mig mange årtier, før situationen var den rigtige i mit liv, og jeg kunne købe min nuværende Mac til halv pris, da den var fem år gammel. Elsker det; det har været en arbejdshest for mig.
Jeg har FV aktiveret på min Late 2008 MacBook på begge drev (Mavericks på HFS+ original 5400rpm HDD og Mojave på APFS SSD). Jeg bemærker ingen præstationshits eller ændringer i temperaturer. Du vil måske overveje at udskifte en termisk forbindelse og rense støvet inde i maskinen/udskifte et batteri.
sgtaylor5
Bidragyder
- 6. august 2017
- Cheney, WA, USA
- 21. august 2020
BuffyzDead
- 30. december 2008
- 21. august 2020
SRQrws sagde: Jeg er nysgerrig efter, hvor mange mennesker der bruger FileVault, og om det virkelig er nødvendigt på Mac'er med SSD'er, T2-chips og auto-login deaktiveret. Jeg gætter på, at mit spørgsmål er, hvis du er indstillet til altid at kræve en adgangskode til login, og du ikke har en tallerken-harddisk, der kan fjernes, hvis den bliver stjålet og tilgås, er FileVault så virkelig nødvendig? Jeg krypterer mine Time Machine-sikkerhedskopier på eksterne drev og forstår klart årsagen til at gøre det. Men med T2-chippen, hvis nogen stjal Mac'en og fjernede SSD'en, kunne de så få data fra den? Dette kan være et trivielt spørgsmål for eksperterne her, men jeg sætter pris på nogens tanker.
Denne rettidige artikel vil kaste mere lys, så alle kan beslutte.
Hvordan FileVault og T2 Security Chip arbejder sammen på nyere Macs
Mac'er med en T2-chip krypterer altid deres drev. Hvorfor er FileVault nødvendigt?Yebubbleman
- 20. maj 2010
- Los Angeles, CA
- 21. august 2020
SRQrws sagde: Jeg er nysgerrig efter, hvor mange mennesker der bruger FileVault, og om det virkelig er nødvendigt på Mac'er med SSD'er, T2-chips og auto-login deaktiveret. Jeg gætter på, at mit spørgsmål er, hvis du er indstillet til altid at kræve en adgangskode til login, og du ikke har en tallerken-harddisk, der kan fjernes, hvis den bliver stjålet og tilgås, er FileVault så virkelig nødvendig? Jeg krypterer mine Time Machine-sikkerhedskopier på eksterne drev og forstår klart årsagen til at gøre det. Men med T2-chippen, hvis nogen stjal Mac'en og fjernede SSD'en, kunne de så få data fra den? Dette kan være et trivielt spørgsmål for eksperterne her, men jeg sætter pris på nogens tanker.
FileVault 2 er 'nødvendig' er subjektiv. Hvis du er i en virksomhed, er det sandsynligvis nødvendigt af nøjagtig de samme grunde, som BitLocker eller en anden Windows fuld-disk-kryptering softwarepakke er. Hvis det kun er dig, og du ikke har nogen følsomme oplysninger på din Mac, så er det et spørgsmål om personlig præference.
For at besvare dit spørgsmål 'hvis nogen var i stand til at fjerne SSD'en på en T2 Mac, ville de være i stand til at få fat i dataene?', er det korte svar nej.
SSD'erne er integreret (læs: loddet) på hovedlogikkortet på MacBook Pros, MacBook Airs og Mac minis introduceret fra 2018 og frem, så det er ikke engang fysisk muligt. De er teknisk set fuldstændigt aftagelige på Mac Pro og iMac Pro, og delvist aftagelige på 4TB og 8TB 2020 27' iMac'er (i den del af drevet er på logikkortet, og en del af det er i et 2-4TB udvidelsesmodul) . T2 er SSD-controlleren på alle T2 Mac'er, og T2 er parret med lageret på fabrikken. Hvis du fjerner lagringsmodulerne fra logikkortet på den T2 Mac, som det oprindeligt blev parret med, går dataene faktisk tabt.
Som nævnt ovenfor kan du stadig bruge Target Disk Mode på en Mac til at fjerne filer uden at skulle indtaste nogen form for adgangskode. Ja, dine data er altid krypteret på en T2 Mac, men du har ingen beskyttelsesmekanisme på plads til at blokere Target Disk Mode fra at gøre din T2 Mac stadig tilgængelig for en anden Mac.
At tænde for FileVault 2 på en T2 Mac krypterer ikke dit drev. Drevet er allerede krypteret som standard (og der er ingen sluk-knap). Det eneste, det gør, er at tilknytte (og håndhæve) beskyttelsen af at skulle indtaste enten en nøgle eller et brugernavn og adgangskode, når du får adgang til drevet via noget som Target Disk Mode. Du kan funktionelt aktivere den samme beskyttelse til dit drev ved at indstille en firmwareadgangskode. I en virksomhedsindstilling er FileVault 2 meget mere foretrukket, da du kan deponere HVER FileVault 2-nøgle til en centraliseret database ved hjælp af en institutionel FileVault 2-nøgle. Derudover fjerner det behovet for at ændre HVER Macs FIRMWARE-PASSWORD, når en IT-medarbejder på højt niveau forlader virksomheden.
Jeg er personligt ikke den største på FileVault 2. Jeg synes, det er klodset, og der er iboende særheder, der kan gøre diagnosticering af en Mac med problemer endnu sværere at håndtere, når den er aktiveret. Men på en T2 Mac er det bestemt lavet til at være så hurtigt og nemt, at du ikke behøver at tænke over det. Det er øjeblikkeligt at tænde og slukke for det, og det har i sidste ende ikke den slags konsekvenser, som du måske har på en ikke-T2 Mac.
TrevorR90 sagde: Jeg tror ikke, at det vil skade præstationen på nogen måde at have den på. Det er endnu et lag af sikkerhed, og som sagt skader det ikke at have det på.
På en T2 Mac påvirker det ikke ydeevnen overhovedet. At tænde for FileVault 2 på en T2 Mac forbinder bare FileVault med den eksisterende hardwarekryptering.
Hvorimod, på en pre-T2 Mac, kræver aktivering af FileVault 2 faktisk kryptering af drevet og vil helt sikkert medføre langsommere drevydelse. Omend forskellen i ydeevne vil ikke være mærkbar på en SSD sikker til super disk intensive arbejdsgange. Casual brugere burde slet ikke bemærke en forskel i ydeevne.
mj_
- 18. maj 2017
- Austin, TX
- 22. august 2020
Yebubbleman sagde: Hvorimod, på en pre-T2 Mac, kræver aktivering af FileVault 2 faktisk kryptering af drevet og vil helt sikkert medføre langsommere drevydelse. Omend forskellen i ydeevne vil ikke være mærkbar på en SSD sikker til super disk intensive arbejdsgange. Casual brugere burde slet ikke bemærke en forskel i ydeevne.Fremragende pointe, det glemte jeg at nævne. Jeg kørte benchmarks med på min eksterne Samsung 970 EVO inde i et USB 3.2 Gen 1-cover på en 2017 iMac, også kendt som en uden T2-chip. Uden FileVault2 får jeg over 950 MB/s i både læse og skrive. Med FileVault2 aktiveret får jeg omkring 650 MB/s læsninger omkring 750 MB/s. Der er således en målbar, men umærkelig indvirkning på lagringsydelsen.
cool 11
- 3. september 2006
- 2. december 2020
mj_ sagde: Det er fordi CPU'en i din 2013 er så gammel, at den mangler den hardware dekrypteringslogik (AES-NI), der kræves for hurtig og effektiv on-the-fly de- og kryptering, som derfor skal udføres ved hjælp af almindelig x86 ALU udførelse enheder. Så vidt jeg forstår mangler ældre implementeringer af AES-NI understøttelse af en specifik algoritme, som Apple bruger til FileVault2-kryptering, men citer mig ikke om det.
Nyere implementeringer af AES-NI burde ikke længere have det problem.
Så det ville være en smerte at slå filevault til i min mbp 15' sidst i 2013?
Jeg forstår stadig ikke, hvad filevault kan tilbyde en bruger.
Jeg plejer at have alle mine dyrebare/private data i krypterede dmg-billeder.
Jeg åbner dem, når jeg har brug for noget derfra, nogle af dem sjældne, nogle af dem hver dag.
Jeg siger ikke, at det er det bedste krypteringsværktøj muligvis, men bedre end ingenting.
Men alligevel kan jeg ikke måle fordele og ulemper, på ældre eller nyere macs.
mj_
- 18. maj 2017
- Austin, TX
- 2. december 2020
cool 11
- 3. september 2006
- 3. december 2020
Jeg mener, ikke meget på teknisk måde, men i den daglige basis af en brugerinteraktion.
Hvad skal jeg gøre udover checken i 'sikkerheds'-panelet?
Og praktisk talt, hvad vinder jeg? Hvis min mbp bliver stjålet, eller pludselig skulle sendes til en reparationsservice, er mine data så sikre og krypteret? Mere end at beskæftige sig med krypteret dmg?
Eller er det noget ret tilsvarende med hensyn til reel datasikkerhed? H
hobowankenobi
- 27. august 2015
- på fastnet mr. smed.
- 3. december 2020
cool11 sagde: Hvordan fungerer Filevault på en praktisk måde?Ja. Da drevet er krypteret, er ingen data tilgængelige, før og medmindre PW er indtastet. Så...hvis en maskine bliver stjålet, var den eneste nemme måde at få adgang på, hvis den var logget ind og vågen. Forudsat at man ikke deaktiverer automatisk log ud ved dvale (og låget lukker), er et meget usandsynligt scenarie. Selvom man på en eller anden måde kunne stjæle en maskine, mens man er logget ind og vågen, skulle de være meget forsigtige med ikke at lade maskinen sove, og de kunne ikke nemt få adgang til eller ændre PW.
Jeg mener, ikke meget på teknisk måde, men i den daglige basis af en brugerinteraktion.
Hvad skal jeg gøre udover checken i 'sikkerheds'-panelet?
Og i praksis, hvad vinder jeg? Hvis min mbp bliver stjålet, eller pludselig skulle sendes til en reparationsservice, er mine data så sikre og krypteret? Mere end at beskæftige sig med krypteret dmg?
Eller er det noget ret tilsvarende med hensyn til reel datasikkerhed?
Som nævnt, da den altid er tændt, er der ikke noget for brugeren at gøre. Alle data og informationer er sikre, 100 % af tiden.
Den eneste ulempe, jeg kunne se, er, at hvis en maskine på en eller anden måde blev hacket, mens brugeren var logget ind, kunne data muligvis ses eller kopieres, forudsat at hackeren har fuld adgang til den åbne, loggede Mac. Oddsene for dette, sammenlignet med at blive stjålet, er meget, meget små, i betragtning af at der næsten ikke har været hacks af Macs, der tillader fjernadmin. Og generelt set forbedres sikkerheden hvert år, efterhånden som OS og sikkerhedsfunktioner modnes. Bare i de sidste 2-3 OS-opdateringer har vi set betydelige Mac-sikkerhedsstigninger, så oddsene for, at en fjernangriber tager kontrol, fortsætter med at falde, mens fysisk tyveri er lige så risikabelt som nogensinde.
Og ja, hvis en maskine sendes til reparation, og admin/dekryptering af PW er givet, er dine data tilgængelige for snoopere. En nem måde at gøre det sværere på er simpelthen at oprette en anden administratorkonto med en anden PW, så ingen teknikere kan nemt logge ind på din primære konto. Det ville nægte enhver snooping, og man kunne kun få adgang til dine data med noget ret seriøst arbejde for at ændre tilladelser. Mere end en snooper ville gøre ... kun et alvorligt hack/tyveri ville forsøge. Sidst redigeret: 3. december 2020
cool 11
- 3. september 2006
- 4. december 2020
Kræver Apple, at en sådan adgangskode gives, når brugere sendte deres maskiner til officielle Apple-reparationscentre? H
hobowankenobi
- 27. august 2015
- på fastnet mr. smed.
- 4. december 2020
cool11 sagde: Filevault-adgangskode, er det samme med log-in-adgangskode?Ja, samme PW. Intet andet at gøre eller huske.
Kræver Apple, at en sådan adgangskode gives, når brugere sendte deres maskiner til officielle Apple-reparationscentre?
Kun aktiverede brugere kan dekryptere drevet og logge på . Så ja, hvis en tekniker skal logge ind, skal du give en PW. Det kunne være en anden konto, hvis den var aktiveret.
jaclu
- 12. januar 2021
- 12. januar 2021
Apple_Robert sagde: Med de nyere maskiner kan du ikke se, at FV er tændt. Det er så sømløst. Jeg anbefaler stærkt at tænde det.Ikke helt sikker på, hvad du mener med den første sætning. I den forstand, at du ikke bemærker noget tab af ydeevne, er jeg enig. Du kan dog se, om FV er tændt, bare gør en
diskutil apfs liste
Og for hver bind er dets FileVault-status angivet
Apple_Robert
- 21. september 2012
- Midt i flere bøger.
- 12. januar 2021
jaclu sagde: Ikke helt sikker på, hvad du mener i første sætning. I den forstand, at du ikke bemærker noget tab af ydeevne, er jeg enig. Du kan dog se, om FV er tændt, bare gør enJeg henviste til præstationsforringelse, som til ikke at kunne fortælle....
diskutil apfs liste
Og for hver bind er dets FileVault-status angivet
- 1
- 2
- 3
- 4
Populære Indlæg