全盘加密 (FDE) 是一种省力的方法,可确保如果有人在卸载时获取您的一个驱动器或在关机时获取 Mac,驱动器上的内容将无法在不知道密码的情况下使用或其他加密信息。Apple 提供了两种不同的加密驱动器卷的方法,了解它们之间的区别以及连接到基于 M1 的 Apple Silicon Mac 的驱动器的当前限制非常重要。
FileVault: FileVault 可让您控制对启动卷的访问,无论是在内部驱动器还是外部驱动器上,包括在必要时加密驱动器。这不能与带有基于 M1 的 Mac 的外部启动驱动器一起使用。
驱动器加密:可以通过 Finder加密Finder 可安装的非系统卷,也可以通过命令行和磁盘工具进行高级加密。您可以在任何 Mac 上加密非启动外置驱动器的卷。
文件保险箱加密
您可以在 Macworld 的其他地方阅读有关 FileVault 来龙去脉的完整详细信息,但这是将基于帐户的访问的安全性与完全加密数据的保证相结合的一种方式。FileVault 通过安全与隐私首选项面板的 FileVault 面板进行管理。
FileVault 的工作方式因您的 Mac 型号而异:
没有 T2 安全的英特尔 Mac:这些较旧的 Mac(主要是 2018 年之前推出的型号)使用 FileVault 来确保启动安全和处理磁盘加密。您还可以使用 FileVault 在外部启动或可启动驱动器启动到 macOS 时对其进行加密和保护。
配备 T2 安全的 英特尔 Mac :2018 年开始发布的大多数英特尔 Mac 机型都配备 T2 安全,该设置为始终加密驱动器,即使 FileVault 被禁用。(有一种方法可以禁用它,但没有理由这样做。) Secure Enclave 处理所有必要的部分。配备 T2 的 Mac 上的 FileVault 可在冷启动时保护 Mac 的数据。使用此类模型,您还可以在外部可启动卷上使用 FileVault,但 FileVault 在这些情况下处理加密。
Apple 硅 M1 Mac: Apple 于 2020 年末推出的基于 M1 的新款 Mac 具有 Secure Enclave 模块,并且始终对启动驱动器进行加密。但是,到目前为止,这些 Mac 无法在外部可启动宗卷上正确使用 FileVault。不幸的是,您可以在外部驱动器上打开 FileVault,但在重新启动时,它不再被识别。这可能与 M1 Mac 从 Big Sur 的系统卷启动的方式有关。Apple 应该禁用该功能或修复问题。
当您在 T2/M1 Mac 的内部驱动器上启用或禁用 FileVault 保护时,因为加密始终处于开启状态,FileVault 会立即打开或关闭。通过与 Intel Mac 一起使用的外置驱动器,您可以从安全与隐私首选项窗格的文件保险箱窗格中大致监控进度或参见下文。
FileVault 可在 T2 之前的 Mac 和 T2/M1 Mac 断电时启用安全性:它可以防止在启动时在没有密码的情况下访问 Mac 上的有效帐户,或防止驱动器上的任何解密数据被另一台 Mac 以任何方式访问或法医检查设备。
驱动器加密
整个卷可以直接加密,但它们不能用于启动 Mac,因为 FileVault 和 Mac 上的启动元素是如何交互的。当您将此类驱动器用于存储和备份时,加密此类驱动器非常有用。
以这种方式加密卷的驱动器在安装并输入密码后完全可用。如果您选择将密码存储在钥匙串中,那么任何可以访问您未锁定的 Mac 并且可以从驱动器安装一个或多个卷的人都可以访问,就像内容未加密一样。
但是,在这些情况下,如果没有任何一方但您拥有 Mac 或卷的密码,则加密内容不可用:
您没有存储一个或多个卷的密码并且驱动器已卸载。
您存储了密码,但您的 Mac 已关机。
您存储了密码或安装了驱动器,但您的 Mac 被锁定。那时,有人需要克服闯入正在运行的 Mac 的障碍。
您可以非常简单地从 Finder 在驱动器上启用加密:
按住 Control 键并单击桌面上或 Finder 窗口中的驱动器。
选择加密。(此选项通常不会出现在可启动卷中,因为对其进行加密会使其无法启动;请参见上文!)
在出现的对话框中,输入密码管理器生成的密码,或使用钥匙图标在 macOS 中生成密码。(警告!确保您为自己安全存储了一份密码副本,否则驱动器的内容将永久无法访问。)
在验证密码字段中输入密码,然后输入密码提示。我更喜欢安全地存储我的密码,我的提示会告诉我我将密码存储在哪个管理器中,例如 1Password。
单击加密磁盘。
磁盘通常需要卸载和重新安装,并且后台加密过程开始,这可能需要数小时甚至数天,具体取决于存储的数据量和您机器的加密能力。
在磁盘工具中,如果您检查使用 macOS 10.14 Mojave 或更高版本加密的任何卷,它会在卷类型的括号中显示已加密为APFS(加密)。磁盘工具在此过程中将格式化为 Mac OS 扩展(日志式)(也称为 HFS+)的卷转换为 APFS,并使用 APFS(加密)子类型。
一个重要的旁注:如果您使用驱动器上的任何卷作为 Mojave 或更高版本中 Time Machine 的备份目的地,直接从您的 Mac 或通过您的本地网络,您不想加密驱动器。只有配备 Big Sur 的 Mac 才能通过 Time Machine 备份到 APFS 格式的宗卷。而且,在测试中,只有 HFS+ 可以用作网络 Time Machine 备份目标卷的格式,无论被备份的 Mac 是运行 Big Sur 还是较早版本的 macOS。
您可以通过选择驱动器、选择解密、输入密码来反转操作,然后发生类似冗长的操作来解密驱动器。如果它是从 HFS+ 转换而来的,则重新
对于更高级的用户,您可以直接通过磁盘工具或命令行创建加密卷,尽管这涉及对卷、容器或分区的破坏性擦除,具体取决于您要保护的内容。
检查驱动器加密状态
使用不带 T2 的 Intel Mac,使用 FileVault 加密任何 Intel Mac 上的外部驱动器,或使用任何型号的 Mac 加密外部非启动卷,您可以使用命令行工具监控进度。(FileVault 的进度条不是那么准确。)
从Applications Utilities Terminal,输入以下内容并按回车键:
diskutil apfs list
这会显示所有 APFS 容器和卷,以及正在进行的加密状态。您必须滚动浏览许多磁盘和卷才能找到该信息,因此您可以改为键入以下命令来仅提取进度行:
diskutil apfs list | grep Encryption
这将与以下行匹配:
Encryption Progress: 69.0% (Unlocked)
令人困惑的是,加密完成后,无论是由 FileVault 保护的启动卷还是通过 Finder 或其他方式加密的外部卷,该diskutil应用程序都显示加密始终处于启用状态:
FileVault: Yes (Unlocked)