较新的Mac随附带有自己的Secure Enclave的T2安全芯片,该芯片具有防篡改功能,可像iPhone和iPad一样提供高级别的安全性。它用于启用Touch ID并允许在笔记本电脑上使用Apple Pay,但它还处理许多其他任务,包括全盘加密。(T2芯片于2017年末开始在Mac上随iMac Pro出现;请查看此列表以检查是否不确定自己是其中之一。)
在T2之前的型号上,macOS使用软件和硬件加速加密的组合来使用FileVault加密磁盘上的所有数据,可以通过“安全性和隐私”首选项窗格的FileVault选项卡来打开和关闭它。在这些旧版Mac上,FileVault第一次完全加密驱动器并在运行过程中使系统瘫痪可能会花费极长时间。之后,Mac通常以与未加密数据几乎相同的速度处理实时读写。
FileVault可以防止以任何有效方式提取静态磁盘(未通电且未登录)上的数据。数据只是一堆数字垃圾,无法访问密钥,而没有Mac上与FileVault关联的帐户之一的密码,就无法检索密钥,必须在启动时输入该密码才能解锁驱动器。
[进一步阅读:了解有关macOS Catalina的更多信息]
imac27inch
IDG /罗马·洛约拉刚刚发布的27英寸iMac配备了T2安全芯片。
使用T2芯片管理加密,这些模型上的FileVault还剩下什么呢?相当微妙。
在装有T2的Mac上关闭FileVault的情况下,如果需要从Mac提取驱动器,则无法访问其中的内容。这是对T2之前的Mac的改进,在Mac上,不受FileVault保护的内容将完全可读。这是基线安全性的改进。(因此,通过T2配备Mac且通过“查找我的设备”接收“擦除此设备”命令的Mac几乎立即被“擦除”,就像没有T2芯片且启用了FileVault的Mac:擦除加密密钥将呈现驱动器的内容永久无法检索。)
但是,如果不启用FileVault,则即使Mac不能自动登录帐户,也仅需引导Mac才能启动全盘加密。当加密锁定到T2芯片中由Secure Enclave管理的硬件密钥时,一旦Mac启动到登录屏幕,解密就会立即开始。恶意方可能会破坏macOS或使用硬件方法从已安装并正在运行的驱动器访问数据。
但是,打开FileVault,配备T2的Mac与处理软件中磁盘加密的Mac具有相同的启动行为。恢复分区不是直接加载macOS,而是以一种特殊模式启动,该模式要求输入允许使用FileVault的任何帐户的密码。在输入该密码之前,磁盘的内容将保持加密状态,就像静止时一样。
我建议在配备T2的Mac上启用FileVault,以获得最大的安全性和安心。奖金?由于T2芯片已经对驱动器进行了加密,因此没有开销,也没有延迟:立即启用FileVault。
询问Mac 911
我们已经整理了最常见问题的列表,以及答案和列的链接:阅读我们的超级常见问题解答,看看是否涵盖了您的问题。如果没有,我们一直在寻找新的问题来解决!通过电子邮件将其发送至mac911@macworld.com,包括适当的屏幕截图以及是否要使用全名。并非所有问题都会得到解答,我们不会回复电子邮件,也无法提供直接的故障排除建议。