SRQrws
Původní plakát- 4. srpna 2020
- 12. srpna 2020
hobowankenobi
- 27. srpna 2015
- na pevné lince Mr. Kovář.
- 12. srpna 2020
Jak správně podotýkáte, v dávných dobách bylo docela triviální přistupovat k disku přes TDM nebo jej vyjmout, abyste získali přístup k datům.
OTOH...s rotujícími disky, výkonovými zásahy a počáteční dobou šifrování byly dobrým důvodem, proč to NEŠifrovat.
To vše je nyní v podstatě pryč (alespoň na nedávných počítačích Mac), takže...staré zvyky (pro i proti) je třeba skoncovat.
Jediný důvod, proč se pozastavuji nad používáním filevaultu, jsou stroje s více uživateli, jako je školní laboratoř nebo sdílená pracovní stanice.
To...a strach, že někteří uživatelé jednoduše zapomenou své PW, a to se stane bolestí pro všechny, mnohem větší než jen zapomenuté přihlašovací údaje. T
TrevorR90
- 1. října 2009
- 14. srpna 2020
hobowankenobi
- 27. srpna 2015
- na pevné lince Mr. Kovář.
- 14. srpna 2020
thetillyt
- 8. dubna 2020
- 14. srpna 2020
hobowankenobi řekl: Nyní to není žádný výkonový hit, a to jak kvůli SSD, tak APFS. To byl bolestivé....před mnoha lety. Někomu se možná v ústech ještě znechucuje pachuť ze starých špatných časů.Pamatuji si, že když jsem to zapnul, tak to hodně poškodilo výkon...
Boyd01
Moderátor
Zaměstnanec- 21. února 2012
- New Jersey Pine Barrens
- 14. srpna 2020
Apple_Robert
- 21. září 2012
- Uprostřed několika knih.
- 14. srpna 2020
Souhlasím s předchozími příspěvky, které hovořily o starých pomalých časech. Zpoždění bylo patrné a zašifrování velkého disku by trvalo několik dní. Jsem rád, že ty dny jsou pryč.
mj_
- 18. května 2017
- Austin, TX
- 15. srpna 2020
SRQrws řekl: Ale s čipem T2, kdyby někdo ukradl Mac a odstranil SSD, mohl by z něj získat data?Je pravda, že by to již nebylo možné. Stále však existuje několik způsobů, jak přistupovat k souborům se zakázaným FileVault2. Můžete například zavést systém do režimu cílového disku a mít plný přístup k jednotce. Pokud má váš Mac povoleno spouštění z externích zdrojů, můžete také zavést systém z jednotky USB a mít k jednotce plný přístup. Není povoleno spouštění z externích zdrojů? Žádný problém, stačí spustit obnovu a buď vytvořit úplnou kopii pomocí nástroje na disku, nebo ještě lépe pomocí terminálu resetovat heslo uživatele, pak jednoduše spustit Mac normálně a mít plný přístup ke všemu na disku.
Pravděpodobně existuje více způsobů, které mě teď nenapadly.
SRQrws
Původní plakát- 4. srpna 2020
- 15. srpna 2020
mj_ řekl: Přiznávám, že už by to nebylo možné. Stále však existuje několik způsobů, jak přistupovat k souborům se zakázaným FileVault2. Můžete například zavést systém do režimu cílového disku a mít plný přístup k jednotce. Pokud má váš Mac povoleno spouštění z externích zdrojů, můžete také zavést systém z jednotky USB a mít k jednotce plný přístup. Není povoleno spouštění z externích zdrojů? Žádný problém, stačí spustit obnovu a buď vytvořit úplnou kopii pomocí nástroje na disku, nebo ještě lépe pomocí terminálu resetovat heslo uživatele, pak jednoduše spustit Mac normálně a mít plný přístup ke všemu na disku.Děkuji za podrobné informace. Netušil jsem, že existuje více způsobů, jak obejít přihlašovací heslo pro přístup k datům. Právě jsem povolil FileVault na všech svých počítačích Mac.
Pravděpodobně existuje více způsobů, které mě teď nenapadly.
sgtaylor5
Přispěvatel
- 6. srpna 2017
- Cheney, WA, USA
- 21. srpna 2020
mj_
- 18. května 2017
- Austin, TX
- 21. srpna 2020
Novější implementace AES-NI by již neměly mít tento problém.
sgtaylor5
Přispěvatel
- 6. srpna 2017
- Cheney, WA, USA
- 21. srpna 2020
Pouze v počítačovém průmyslu lze zařízení z roku 2013 považovat za staré. Trvalo mi mnoho desetiletí, než byla situace v mém životě správná a mohl jsem si koupit svůj současný Mac za poloviční cenu, když mu bylo pět let. Miluji to; byl to pro mě dříč.
avz
- 7. října 2018
- 21. srpna 2020
sgtaylor5 řekl: Děkuji za vysvětlení; ostatní, kteří navštíví toto vlákno, to budou chtít vidět.
Pouze v počítačovém průmyslu lze zařízení z roku 2013 považovat za staré. Trvalo mi mnoho desetiletí, než byla situace v mém životě správná a mohl jsem si koupit svůj současný Mac za poloviční cenu, když mu bylo pět let. Miluji to; byl to pro mě dříč.
Na svém MacBooku z konce roku 2008 mám povolenou FV na obou discích (Mavericks na HFS+ původním 5400rpm HDD a Mojave na APFS SSD). Nepozoruji žádné výkonové zásahy ani změny teplot. Možná se budete chtít podívat na výměnu tepelné směsi a čištění prachu uvnitř stroje/výměnu baterie.
sgtaylor5
Přispěvatel
- 6. srpna 2017
- Cheney, WA, USA
- 21. srpna 2020
BuffyzDead
- 30. prosince 2008
- 21. srpna 2020
SRQrws řekl: Jsem zvědavý, kolik lidí používá FileVault a jestli je to opravdu nutné na počítačích Mac s SSD, čipy T2 a deaktivovaným automatickým přihlašováním. Myslím, že moje otázka zní, pokud jste nastaveni tak, že vždy vyžadujete heslo pro přihlášení a nemáte pevný disk, který by bylo možné v případě krádeže a přístupu k němu odstranit, je FileVault opravdu nezbytný? Své zálohy Time Machine na externích discích šifruji a jasně chápu důvod, proč tak dělám. Ale s čipem T2, kdyby někdo ukradl Mac a odstranil SSD, mohl z něj získat data? Pro zdejší odborníky je to možná triviální otázka, ale oceňuji každý názor.
Tento aktuální článek vnese více světla do rozhodování všem.
Jak FileVault a bezpečnostní čip T2 spolupracují na novějších počítačích Mac
Macy s čipem T2 vždy šifrují své disky. Proč je FileVault nutný?Yebubbleman
- 20. května 2010
- Los Angeles, CA
- 21. srpna 2020
SRQrws řekl: Jsem zvědavý, kolik lidí používá FileVault a jestli je to opravdu nutné na počítačích Mac s SSD, čipy T2 a deaktivovaným automatickým přihlašováním. Myslím, že moje otázka zní, pokud jste nastaveni tak, že vždy vyžadujete heslo pro přihlášení a nemáte pevný disk, který by bylo možné v případě krádeže a přístupu k němu odstranit, je FileVault opravdu nezbytný? Své zálohy Time Machine na externích discích šifruji a jasně chápu důvod, proč tak dělám. Ale s čipem T2, kdyby někdo ukradl Mac a odstranil SSD, mohl z něj získat data? Pro zdejší odborníky je to možná triviální otázka, ale oceňuji každý názor.
To, že je FileVault 2 „nezbytný“, je subjektivní. Pokud podnikáte, je to pravděpodobně nutné ze stejných důvodů jako BitLocker nebo jiný softwarový balíček pro šifrování celého disku pro Windows. Pokud jste to jen vy a na Macu nemáte žádné citlivé informace, pak je to věc osobních preferencí.
K zodpovězení vaší otázky „pokud by někdo dokázal odstranit SSD na T2 Mac, byl by schopen dostat se k datům?“, krátká odpověď je ne.
SSD jsou integrovány (čti: připájeny) na hlavní logickou desku na MacBooku Pro, MacBooku Air a Macu mini představeném od roku 2018, takže to není ani fyzicky možné. Jsou technicky zcela odnímatelné na Mac Pro a iMac Pro a částečně vyjímatelné na 4TB a 8TB 2020 27' iMacích (v tom, že část disku je na logické desce a část je v rozšiřujícím modulu 2-4TB) . T2 je řadič SSD na všech počítačích Mac T2 a T2 je spárován s úložištěm ve výrobě. Pokud vyjmete úložné moduly z logické desky T2 Mac, se kterou byl původně spárován, data se fakticky ztratí.
Jak bylo uvedeno výše, stále můžete na Macu používat režim Target Disk Mode k odstranění souborů, aniž byste museli zadávat jakékoli heslo. Ano, vaše data jsou na T2 Mac vždy zašifrována, ale nemáte žádný ochranný mechanismus, který by zablokoval režim Target Disk Mode, aby váš T2 Mac stále zpřístupnil jinému Macu.
Zapnutím FileVault 2 na T2 Mac se váš disk nezašifruje. Disk je již ve výchozím nastavení zašifrován (a není zde žádný vypínač). Jediné, co dělá, je přidružit (a vynutit) ochranu nutnosti zadat klíč nebo uživatelské jméno a heslo při přístupu k jednotce přes něco jako režim cílového disku. Stejnou ochranu disku můžete funkčně povolit nastavením hesla firmwaru. V obchodním prostředí je FileVault 2 mnohem preferovanější, protože KAŽDÝ klíč FileVault 2 můžete uložit do centralizované databáze pomocí institucionálního klíče FileVault 2. Navíc odstraňuje potřebu měnit HESLO FIRMWARU KAŽDÉHO Macu, když ze společnosti odejde vysoce postavený zaměstnanec IT.
Osobně nejsem největší na FileVault 2. Myslím si, že je to neohrabané a jsou tam vrozené zvláštnosti, díky kterým je diagnostikování problémů Macu ještě těžší, když je povoleno. Ale na T2 Mac je to určitě tak rychlé a snadné, že o tom nemusíte opravdu přemýšlet. Zapnutí a vypnutí je okamžité a nakonec nemá takové důsledky, jaké byste mohli mít na Macu bez T2.
TrevorR90 řekl: Nemyslím si, že by to mělo nějakým způsobem zhoršit výkon. Je to další vrstva zabezpečení a jak jsem řekl, neuškodí ji mít.
Na T2 Mac to nemá vůbec vliv na výkon. Zapnutím FileVault 2 na T2 Mac pouze přidružíte FileVault ke stávajícímu hardwarovému šifrování.
Zatímco na Macu starším než T2 vyžaduje aktivace FileVault 2 skutečně šifrování disku a rozhodně bude mít za následek pomalejší výkon disku. I když rozdíl ve výkonu nebude patrný na SSD bezpečném pro super diskově náročné pracovní postupy. Náhodní uživatelé by si rozdíl ve výkonu neměli vůbec všimnout.
mj_
- 18. května 2017
- Austin, TX
- 22. srpna 2020
Yebubbleman řekl: Zatímco na Macu starším než T2 vyžaduje aktivace FileVault 2 skutečně šifrování disku a rozhodně bude mít za následek pomalejší výkon disku. I když rozdíl ve výkonu nebude patrný na SSD bezpečném pro super diskově náročné pracovní postupy. Náhodní uživatelé by si rozdíl ve výkonu neměli vůbec všimnout.Skvělá poznámka, to jsem zapomněl zmínit. Provedl jsem benchmarky na svém externím Samsung 970 EVO uvnitř pouzdra USB 3.2 Gen 1 na iMacu 2017, známém jako jeden bez čipu T2. Bez FileVault2 dostanu přes 950 MB/s při čtení i zápisu. S povoleným FileVault2 dostanu kolem 650 MB/s zápisů kolem 750 MB/s čtení. Existuje tak měřitelný, ale nepozorovatelný dopad na výkon úložiště.
cool11
- 3. září 2006
- 2. prosince 2020
mj_ řekl: Je to proto, že CPU ve vašem 2013 je tak staré, že postrádá logiku hardwarového dešifrování (AES-NI) potřebnou pro rychlé a efektivní dešifrování a šifrování za běhu, které je proto nutné provádět pomocí běžného x86 ALU provádění Jednotky. Pokud jsem pochopil, starší implementace AES-NI postrádají podporu pro konkrétní algoritmus, který Apple používá pro šifrování FileVault2, ale o tom mě necitujte.
Novější implementace AES-NI by již neměly mít tento problém.
Takže by to byla bolest zapnout filevault v mém mbp 15' koncem roku 2013?
Stále nechápu, co prakticky může filevault uživateli nabídnout.
Míval jsem všechna svá drahocenná/soukromá data v zašifrovaných dmg obrázcích.
Otevírám je, když odtamtud něco potřebuji, některé jsou vzácné, jiné každý den.
Neříkám, že je to možná nejlepší šifrovací nástroj, ale lepší než nic.
Stále však nemohu změřit výhody a nevýhody na starších nebo novějších počítačích Mac.
mj_
- 18. května 2017
- Austin, TX
- 2. prosince 2020
cool11
- 3. září 2006
- 3. prosince 2020
Myslím, ne moc po technické stránce, ale v každodenní interakci s uživatelem.
Co jiného bych měl dělat kromě kontroly na panelu „zabezpečení“?
A co prakticky získám? Pokud je můj mbp odcizen nebo by měl být náhle odeslán do opravny, jsou moje data v bezpečí a zašifrována? Víc než řešit šifrované dmg?
Nebo je to něco spíše ekvivalentního z hlediska skutečné bezpečnosti dat? H
hobowankenobi
- 27. srpna 2015
- na pevné lince Mr. Kovář.
- 3. prosince 2020
cool11 řekl: Prakticky, jak Filevault funguje?Ano. Protože je disk zašifrován, nejsou k dispozici žádná data, dokud a dokud nezadáte PW. Takže...pokud je stroj ukraden, jediný snadný způsob, jak získat přístup, byl, kdyby byl přihlášený a vzhůru. Za předpokladu, že člověk nezakáže automatické odhlášení při spánku (a zavře víko), je to velmi nepravděpodobný scénář. I kdyby bylo možné nějakým způsobem ukrást stroj, když je přihlášený a vzhůru, museli by být velmi opatrní, aby stroj neuspali, a nemohli by snadno získat přístup k PW nebo jej změnit.
Myslím, ne moc po technické stránce, ale v každodenní interakci s uživatelem.
Co jiného bych měl dělat kromě kontroly na panelu „zabezpečení“?
A co prakticky získám? Pokud je můj mbp odcizen nebo by měl být náhle odeslán do opravny, jsou moje data v bezpečí a zašifrována? Víc než řešit šifrované dmg?
Nebo jde o něco spíše ekvivalentního z hlediska skutečné bezpečnosti dat?
Jak již bylo zmíněno, uživatel nemusí nic dělat, protože je vždy zapnutý. Všechna data a informace jsou 100% času v bezpečí.
Jedinou nevýhodu, kterou jsem viděl, je, že pokud byl počítač nějak hacknut, když byl uživatel přihlášen, data by mohla být viděna nebo zkopírována, za předpokladu, že má hacker plný přístup k otevřenému, přihlášenému Macu. Šance na to, ve srovnání s ukradením, je velmi, velmi malá, vezmeme-li v úvahu, že u počítačů Mac nebylo téměř žádné hackování, které by umožňovalo vzdálený přístup správce. A obecně řečeno, zabezpečení se každým rokem zlepšuje, jak OS a bezpečnostní funkce dozrávají. Právě v posledních 2-3 aktualizacích operačního systému jsme zaznamenali podstatné zvýšení zabezpečení Macu, takže šance, že kontrolu převezme vzdálený útočník, stále klesají, zatímco fyzická krádež je stejně riskantní jako vždy.
A ano, pokud je stroj odeslán k opravě a je přiděleno administrátorské/dešifrovací PW, vaše data jsou k dispozici slídům. Jeden snadný způsob, jak to ztížit, je jednoduše vytvořit druhý účet správce s jiným PW, takže se žádný technik nemůže snadno přihlásit k vašemu primárnímu účtu. To by popřelo jakékoli slídění a k vašim datům by se člověk mohl dostat jen s poměrně seriózní prací na změně oprávnění. Víc než co by udělal slídil...pokusí se jen o vážný hack/krádež. Poslední úprava: 3. prosince 2020
cool11
- 3. září 2006
- 4. prosince 2020
Vyžaduje Apple takové heslo, když uživatelé posílají své stroje do oficiálních opravárenských center Apple? H
hobowankenobi
- 27. srpna 2015
- na pevné lince Mr. Kovář.
- 4. prosince 2020
cool11 řekl: Heslo Filevault, je stejné jako heslo pro přihlášení?Ano, stejný PW. Nic jiného, co by se dalo dělat nebo pamatovat.
Vyžaduje Apple takové heslo, když uživatelé posílají své stroje do oficiálních opravárenských center Apple?
Dešifrovat disk a přihlásit se mohou pouze uživatelé s povolením . Takže ano, pokud se technik potřebuje přihlásit, museli byste dát PW. Mohl by to být jiný účet, pokud by byl povolen.
jaclu
- 12. ledna 2021
- 12. ledna 2021
Apple_Robert řekl: U novějších strojů nemůžete poznat, že je FV zapnuté. Je to tak bezproblémové. Vřele doporučuji zapnout.Nejste si úplně jisti, co máte na mysli v první větě. V tom smyslu, že si nevšimnete žádné ztráty výkonu, souhlasím. Můžete však zjistit, zda je FV zapnuto, stačí provést a
diskutil seznam apfs
A pro každý svazek je uveden jeho stav FileVault
Apple_Robert
- 21. září 2012
- Uprostřed několika knih.
- 12. ledna 2021
jaclu řekl: Nejsem si úplně jistý, co máte na mysli v první větě. V tom smyslu, že si nevšimnete žádné ztráty výkonu, souhlasím. Můžete však zjistit, zda je FV zapnuto, stačí provést aMěl jsem na mysli snížení výkonu, protože to nelze říct....
diskutil seznam apfs
A pro každý svazek je uveden jeho stav FileVault
- 1
- 2
- 3
- 4
Populární Příspěvky