0

Mac filevault

Защита и безопасность в macOS управляется системными настройками и позволяет контролировать уровень безопасности учетных записей пользователей на компьютерах и ноутбуках марки Mac. Кроме того, включить или выключить шифрование данных, настроить брандмауэр и параметры конфиденциальности.
Панель защиты и безопасности разделена на четыре секции.
Основные: контролирует использование паролей, запрашивает ввод пароля для определенных действий. Управляет автоматическим выводом в учетную запись пользователя и выводом сообщений на экран блокировки. Позволяет определить, какие типы приложений можно загрузить и установить.
FileVault: предоставляет защиту данных на диске, автоматически шифруя его содержимое.
Брандмауэр: позволяет включить или отключить встроенный брандмауэр в macOS, а также настроить различные параметры.
Конфиденциальность: предназначена для определения того, какие приложения имеют доступ к определенным службам.
Давайте начнем с основных параметров безопасности для вашего Mac.
Запуск панели защиты и безопасности

  • Нажмите значок «Системные настройки» на Dock-станции или выберите в меню Apple.
  • Нажмите значок «Защита и безопасность» в главном разделе «Системных настроек».

Основные параметры

Прежде чем вы сможете вносить изменения, подтвердите свою личность. Щелкните значок блокировки в нижнем левом углу. Вам будет предложено ввести имя пользователя и пароль администратора, заполните данные и нажмите «ОК». Замок изменится на разблокированное состояние и можно приступить к настройке.
Основные настройки подставлены в двух разделах: первый — использование паролей, а второй — установка приложений из определенных источников.
Если требуется изменить пароль для текущего пользователя, нажмите кнопку «Сменить пароль» и вы получите доступ к листу, в котором нужно ввести старый пароль, затем новый, подтвердить его и добавить подсказку.
Следующие три пункта предназначены для защиты компьютера во время вашего отсутствия.
Первый. При активации делает так, ваш пароль от учетной записи будет необходим для выхода из режима сна или экранной заставки; срок может быть установлен на одно из восьми предварительных значений, включая «сразу» и от «5 секунд до 8 часов».
Второй. Позволяет добавить сообщение на экран блокировки для всех, кто пытается войти в систему во время работы блокировки экрана.
Третий. Отключает автоматический вход в систему и требует аутентификации с помощью пароля для всех пользователей.
Соседний раздел определяет, какие типы приложений можно загрузить и установить. По умолчанию установлено значение App Store и от установленных разработчиков; лучше оставьте настройку как есть, если у вас нет веских причин для ее изменения.

Шифрование FileVault

FileVault автоматически шифрует ваши данные — фактически, он шифрует весь диск. При использовании данной опции во время загрузи macOS для разблокировки диска требуется пароль. Без пароля учетной записи (или ключа восстановления, созданного при настройке) вы навсегда потеряете доступ к своим данным, поэтому будьте осторожны, если решите использовать FileVault.

Для включения шифрования нажмите на единственную кнопку «Включить FileVault». Выберите настроить учетную запись iCloud на сброс пароля или создайте свой ключ восстановления. Процесс шифрования диска может занять несколько минут или часов, в зависимости от размера диска и данных на нем.
Для отключения шифрования, просто нажмите кнопку «Отключить FileVault» на вкладке FileVault.

Использование Брандмауэра

Панель «Брандмауэр» предназначена для активации и настройки брандмауэра в macOS, предназначенного для предотвращения несанкционированных входящих сетевых или интернет-подключений для приложений, программ и служб.
Для активации нажмите кнопку «Включить брандмауэр», а затем «Параметры брандмауэра». Используя эти настройки, вы можете разрешить или запретить входящие соединения для предустановленных приложений или добавить свои, используя кнопку +. По умолчанию подписанное (доверенное) программное обеспечение может принимать входящие соединения. Вы можете включить режим невидимости, и устройство macOS не будет отвечать на не авторизованные попытки доступа к этому компьютеру или ноутбуку.

Конфиденциальность

В разделе «Конфиденциальность» определяются приложения для доступа к определенным службам. Такие запросы производятся по различным причинам: например, некоторые приложение для правильной работы могут потребовать доступ к вашим календарям; кроме того, приложениям, которые управляют компьютером, необходимы определенные права, а разрешения им предоставляется в разделе «Универсальный доступ». Для приложений, которые хотят определить ваше местоположение, существует раздел «Службы геолокации и конфиденциальности».
Выберите из списка слева нужный раздел и установите флажки, чтобы определить приложениям, доступ к необходимым службам. Или снимите, чтобы запретить.
И наконец, в нижнем правом углу есть кнопка «Дополнительно» с возможностями автоматически закрывать сеансы пользователей при бездействии компьютера в течение определенного времени. Запроса пароля администратора для системных настроек и запрета принимать команды с инфракрасного пульта дистанционного управления.

Большинство пользователей Mac для защиты своих данных и файлов от несанкционированного доступа пользуются паролем для входа в систему. Однако так ли это безопасно, как принято считать? Как оказалось, не совсем. Есть много способов, которые позволяют сбросить пароль, предоставляя возможность получить доступ ко всей информации, которая хранится на вашем Mac. Впрочем, решение этой проблемы есть – FileVault. О нем мы сегодня и поговорим.

Что такое FileVault

FileVault – это система шифрования данных, которая использует алгоритм XTS-AES-128 с длиной ключа 256 бит, что обеспечивает крайне высокий уровень безопасности. Сам ключ шифрования вырабатывается на основе пароля пользователя при помощи алгоритма PBKDF2. Вся информация в дальнейшем будет храниться фрагментами по 8 МБ.

Как ни странно, но функция работает достаточно просто – все данные копируются на зашифрованный образ диска, а затем удаляются из незащищенного пространства. После того как первичная обработка данных завершена, далее новые файлы будут шифроваться «на лету» в фоновом режиме. Есть поддержка Instant Wipe, которая позволяет безопасно затереть всю информацию на диске без возможности восстановления. Кроме того, этот инструмент предоставляет возможность шифрования резервных копий Time Machine.

Как работает FileVault

При первой настройке для защиты от утери пароля создается ключ восстановления, который необходимо обязательно запомнить, поскольку в случае утери кода восстановить данные будет нельзя. В качестве альтернативы можно настроить сброс пароля, используя учетную запись iCloud.

После того как мы активировали FileVault, процесс загрузки компьютера меняется для обеспечения безопасности. Если раньше пароль нужно было вводить после загрузки учетной записи, то теперь это происходит до, что исключает даже потенциальную возможность сброса пароля пользователя любым из известных способов (Single User Mode, загрузка с внешнего носителя и другие методы).

Почему стоит использовать FileVault

Пароля пользователя явно недостаточно для обеспечения полной безопасности и конфиденциальности. При наличии физического доступа к компьютеру сброс пароля – лишь вопрос времени. 
В случае же с шифрованием можно быть уверенным, что доступ к данным никто не получит. Кроме того, утилита разработана Apple и уже встроена в систему, что говорит о полной интеграции с системой.

Еще плюсом можно отметить то, что объём данных до и после шифрования не меняется.

Какие есть недостатки

  • Шифрование с помощью FileVault достаточно серьезно влияет на производительность Mac.
  • Нельзя восстановить данные, если забыты пароль и ключ восстановления.
  • В случае поломки накопителя данные также будут утеряны навсегда.
  • Зашифрованные копии Time Machine не позволяют восстановить конкретный файл, а только копию целиком.

Как настроить FileVault

  • Запускаем «Системные настройки».
  • Заходим в пункт меню «Защита и безопасность», затем во вкладку «FileVault».
  • Снимаем блокировку, нажав замочек в левом нижнем углу.
  • Выбираем «Включить FileVault».
  • Здесь мы должны выбрать подходящий нам вариант сброса пароля.
  • В случае, если мы выбрали ключ восстановления, нам предоставят код, который обязательно нужно запомнить и сохранить в безопасном месте.

Осталось перегрузить наш Mac. Сразу после этого будет выполняться фоновое шифрование, при этом компьютером можно будет пользоваться без ограничений.

Повышенная безопасность данных в Apple Mac — один из важных критериев, по которым пользователи выбирают данную технику, по сравнению с аналогами. Хотя в последнее время все больше говорят о том, что для macOS появляются новые вредоносные программы, все же по сравнению с устройствами на Windows — показатель взломов и заражения вирусами на порядок ниже. Кроме того, MacBook, iMac, Mac mini и другие компьютеры намного лучше защищены от несанкционированного входа, взлома, подбора пароля и др.

Для защиты данных на диске в системе macOS встроена специальная утилита шифрования FileVault (на данный момент версия 2). Работу программы можно упрощенно описать так: пароль входа шифруется алгоритмом XTS-AES-128 с 256-битным ключом, то есть вся информация хранится небольшими фрагментами по 8 Мб. Таким образом, подобрать пароль, даже имея физический доступ к Мак просто невозможно. В истории существовали прецеденты когда даже специализированные службы не могли получить доступ к информации, используя огромные вычислительные мощности.

Данная функция будет полезна всем, кто хранит на компьютере конфиденциальные данные, личную секретную информацию и др. В новых Mac оснащенных чипом T2, безопасность входа еще более повышается, так как процедура входа обрабатывается без подключения к диску.

Как включить FileVault на Мак?

Для включения шифрования перейдите в «Системные настройки» — «Защита и безопасность» — «FileVault». Нажимаем замочек, чтоб разблокировать, включаем функцию и выбираем вариант сброса пароля. По умолчанию их всего два: с помощью Apple ID через iCloud, или с помощью сгенерированного ключа восстановления, который нужно обязательно запомнить/записать. После перезагрузки компьютера диск будет шифроваться «на лету».

Как отключить (остановить) FileVault? Опасность и недостатки шифрования

Для отключения FileVault перейдите в «Системные настройки» — «Защита и безопасность» — «FileVault». Разблокируйте настройку нажатием на замочек. Выберите «Выключить FileVault». Необходимо выждать некоторое время для дешифровки (не отключайте компьютер).

В случае с шифрованием данных, существует и обратная сторона медали. Несмотря на высокую безопасность, будьте готовы столкнуться и с недостатками данного вида защиты. Из самых безобидных — система может начать работать несколько медленнее. Второе, — если вы забудете, потеряете ключ восстановления пароля (и сам пароль) — войти в систему уже будет невозможно. Тоже самое произойдет, если диск повредится, в таком случае восстановить данные не получится. Ну и напоследок, при восстановлении системы из Time Machine, отдельный файл не получится восстановить, только полностью всю систему.

Выводы

Шифрование FileVault 2 — мощный и надежный способ защитить свои данные от несанкционированного доступа. Включить и выключить функцию очень просто и не требует специальных знаний. В тоже время не забываем об опасности, ведь если будет утерян ключ восстановления или повредится сам диск с данными — восстановить информацию уже не удастся.

«Выживают только параноики»
— Эндрю Гроув, экс-глава Intel

Для тех пользователей, которые хранят на своем компьютере важные файлы, в Mac OS X существует функция FileVault, которая позволяет зашифровать все содержимое домашней директории (Macintosh HD -> Users -> Your_Name) стойким алгоритмом AES 128 (Advanced Encryption Standart с длинной ключа в 128 бит, он является государственным стандартом в США).

Не забывайте, что обычная установка пароля на вход в систему не шифрует данные, при желании, получить к ним доступ достаточно просто. Поэтому для реальной защиты самих файлов используйте FileVault, или другие криптографические решения.

Для активации FileVault, в панели System Preferences выберите пункт Security (как показано на скриншоте), установите необходимые параметры и создайте Master Password (если он еще не создан), с помощью которого вы сможете получить доступ к данным, если забудете пароль своего аккаунта (очень пригодится системным администраторам — в любой момент можно будет получить доступ к файлам, даже если сотрудник уже не работает в компании и отказывается сообщать пароль). После активации система будет перезагружена и все содержимое домашней директории будет зашифровано (процесс может занять довольно продолжительное время — в зависимости от объема информации).

После этого иконка вашей домашней директории будет изменена, и все ее содержимое будет храниться в зашифрованном виде — при обращении к какому-либо файлу, он будет дешифрован на время работы с ним и автоматически зашифрован по ее окончании. Все это Apple сделала со свойственной ей простотой и удобством. Работа пользователя с включенным FileVault практически никак не усложняет использование системы.

Тем не менее, вы можете столкнуться со следующими особенностями:

  1. Дополнительная нагрузка на процессор. Постоянное шифрование и дешифрование файлов «на ходу» создает дополнительную нагрузку на процессор. В большинстве случаев она практически не заметна, вы обратите внимание на нее лишь при работе с файлами большого объема, требующими активной работы с жестким диском (например, при работе с видео). Поэтому особо крупные и не конфиденциальные файлы (например, фильмы), лучше хранить не в домашней директории, а в обычной папке на жестком диске (следующий пункт лишь подтвердит эту рекомендацию).
  2. Необходимость восстановления свободного дискового пространства. При удалении файла из вашей домашней директории и очистки корзины место на диске не освободится. Дело в том, что зашифрованный образ вашей директории — это большой файл, который, по причинам криптографических особенностей, не может быть быстро уменьшен в размерах. При выходе из вашей учетной записи (или при полной перезагрузке системы), система предложит выполнить Disk Space Recovery, то есть реально освободить свободное место на диске за счет удаленных ранее файлов. Эта операция может занять не один десяток минут, поэтому, если вы используете ноутбук, не подключенный к сети питания, система не предложит вам Disk Space Recovery. Think Different.
  3. Уязвимость в случае возникновения дисковых ошибок. Обязательно делайте резервное копирование данных, ведь зашифрованная директория представляет собой один большой файл, доступ к которому может быть невозможен при наличии испорченного кластера. Если вы не используете шифрование, то рискуете одним или несколькими файлами, а во время активированного FileVault — всей директорией сразу.
  4. Невозможность восстановления данных. Не забывайте пароль. Вы можете восстановить данные либо паролем соответствующего аккаунта, либо с помощью Master Password. Если вы не помните ни тот, ни другой, то данные потеряны навсегда.
  5. В Mac OS X 10.4 Tiger появилась новая возможность шифрования виртуальной памяти (своп-файла). Когда вы работаете с документами, часть из них хранится в этом файле, и получив доступ к вашему жесткому диску, возможно восстановить некоторые документы, с которыми недавно велась работа. Конечно, включение этой функции дополнительно увеличит нагрузку на процессор.

Хотя включение и использование шифрования диска FileVault настоятельно рекомендуется для пользователей Mac с поддержкой безопасности с использованием современных аппаратных средств и томов SSD, некоторые пользователи могут решить, что им не нужно использовать FileVault по разным причинам или, возможно, они просто хотят отключить его для другого цель. Это мы продемонстрируем здесь, отключив FileVault и, следовательно, расшифруем жесткий диск и все его содержимое.

Одной из наиболее распространенных причин отключения FileVault является дублирование диска, а еще одно — некоторые пользователи могут обнаружить поражение производительности на своем компьютере, что делает его непрактичным или раздражающим, чтобы оставить реализованным. Подобный удар производительности встречается редко с новыми Mac, но некоторые старые Mac с вращающимися жесткими дисками и более старыми версиями Mac OS X могут обнаружить заметное замедление при включенной функции шифрования, что явно меньше желаемого.

Само собой разумеется, но имейте в виду, что отключение FileVault полностью отключает шифрование диска, что означает, что преданный неавторизованный человек теоретически может обращаться к файлам, если у них есть доступ к вашему Mac. Независимо от того, касается вас или нет, это зависит от вас, ваших требований безопасности и конфиденциальности, а также от вашей среды использования. Кроме того, если вам просто нужно обойти FileVault на основе каждой перезагрузки, описанный здесь метод позволяет это без полного отключения функции, как мы продемонстрируем в пошаговом руководстве ниже.

Как отключить шифрование диска FileVault в Mac OS X

  1. Перейдите в меню Apple и выберите «Системные настройки», затем выберите панель предпочтений «Безопасность и конфиденциальность»
  2. Выберите вкладку «FileVault» в верхней части панели управления безопасностью, затем щелкните значок блокировки в нижнем левом углу окна — выполните аутентификацию с помощью пароля администратора, как обычно
  3. Нажмите кнопку «Отключить FileVault»
  4. Подтвердите, что вы хотите отключить FileVault и перезагрузить Mac, выбрав «Перезапустить и выключить шифрование»,

Mac автоматически перезагрузится и начнет процесс дешифрования, что необходимо для отключения FileVault.

Расшифровка диска может занять некоторое время или может быстро развиваться, в зависимости от скорости работы Mac, скорости диска (SSD намного быстрее, чем на жестком диске), насколько велик накопитель и сколько материала вы сохранили в теме. Как показывает диалоговое окно предупреждения, вы можете использовать Mac, пока диск дешифруется, но, без сомнения, он будет работать медленнее и чувствовать себя вялым, поэтому часто лучше отключить шифрование, если вы не собираетесь использовать Mac некоторое время, возможно оставляя его для дешифрования в одночасье или в начале выходных. Если у вас большой накопитель с большим объемом памяти на более медленном Mac, будьте готовы подождать некоторое время для завершения дешифрования.

Вы можете проверить статус процесса дешифрования диска в области предпочтений Security> FileVault, и, конечно, вы можете снова снова включить FileVault, если в будущем вы решите использовать шифрование диска на Mac.

Если вы собираетесь отключить Filevault и расшифровать Mac таким образом, вы должны по крайней мере установить пароль блокировки экрана и активировать экранную заставку после разумного периода бездействия. Хотя этот метод не так безопасен, как FileVault, он, по крайней мере, предлагает обязательную проверку подлинности, прежде чем неавторизованный пользователь или snooper могут получить доступ к физическому Mac, который остался один.

admin

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *