SRQrws
Pôvodný plagát- 4. august 2020
- 12. august 2020
hobowankenobi
- 27. augusta 2015
- na pevnú linku p. kováč.
- 12. august 2020
V starých zlých časoch, ako ste správne zdôraznili, bolo pomerne triviálne pristupovať k disku cez TDM alebo odstrániť disk, aby ste získali prístup k údajom.
OTOH...s rotujúcimi diskami, výkonovými zásahmi, ako aj počiatočným časom šifrovania boli dobrým dôvodom, prečo to NEŠifrovať.
To všetko je teraz v podstate preč (aspoň na nedávnych počítačoch Mac), takže...staré zvyky (za aj proti) sa musia zbaviť.
Jediný dôvod, ktorý mi dáva pauzu pri používaní filevaultu, sú počítače s viacerými používateľmi, ako je školské laboratórium alebo zdieľaná pracovná stanica.
To...a strach, že niektorí používatelia jednoducho zabudnú svoje PW, a to sa stane bolesťou pre každého, oveľa väčším spôsobom ako len zabudnuté prihlasovacie údaje. T
TrevorR90
- 1. októbra 2009
- 14. august 2020
hobowankenobi
- 27. augusta 2015
- na pevnú linku p. kováč.
- 14. august 2020
thetillyt
- 8. apríla 2020
- 14. august 2020
hobowankenobi povedal: Teraz to nie je výkonnostný hit, a to kvôli SSD aj APFS. to bol bolestivé....veľa rokov dozadu. Niektorí môžu mať ešte pachuť v ústach zo starých zlých čias.Pamätám si, že keď som to zapol, dosť to pokazilo výkon...
Boyd01
Moderátor
Zamestnanec- 21. február 2012
- New Jersey Pine Barrens
- 14. august 2020
Apple_Robert
- 21. september 2012
- Uprostred niekoľkých kníh.
- 14. august 2020
Súhlasím s predchádzajúcimi príspevkami, ktoré hovorili o pomalých starých časoch. Oneskorenie bolo badateľné a zašifrovanie veľkého disku by trvalo niekoľko dní. Som rád, že tie dni sú už za nami.
oi_
- 18. mája 2017
- Austin, TX
- 15. august 2020
SRQrws povedal: Ale s čipom T2, ak niekto ukradol Mac a odstránil SSD, mohol by z neho získať dáta?Pravdaže, to by už nebolo možné. Stále však existuje niekoľko spôsobov, ako získať prístup k súborom so zakázaným FileVault2. Môžete napríklad zaviesť systém do režimu cieľového disku a získať plný prístup k jednotke. Ak má váš Mac povolené zavádzanie z externých zdrojov, môžete tiež zaviesť systém z jednotky USB a získať tak úplný prístup k jednotke. Bootovanie z externých zdrojov nie je povolené? Žiaden veľký problém, stačí spustiť obnovenie a buď vytvoriť úplnú kópiu pomocou nástroja na disk, alebo ešte lepšie, použiť terminál na resetovanie hesla používateľa, potom jednoducho spustiť Mac normálne a mať úplný prístup ku všetkému na disku.
Pravdepodobne je viac spôsobov, ktoré ma teraz nenapadli.
SRQrws
Pôvodný plagát- 4. august 2020
- 15. august 2020
mj_ povedal: Pravdaže, to by už nebolo možné. Stále však existuje niekoľko spôsobov, ako získať prístup k súborom so zakázaným FileVault2. Môžete napríklad zaviesť systém do režimu cieľového disku a získať plný prístup k jednotke. Ak má váš Mac povolené zavádzanie z externých zdrojov, môžete tiež zaviesť systém z jednotky USB a získať tak úplný prístup k jednotke. Bootovanie z externých zdrojov nie je povolené? Žiaden veľký problém, stačí spustiť obnovenie a buď vytvoriť úplnú kópiu pomocou nástroja na disk, alebo ešte lepšie, použiť terminál na resetovanie hesla používateľa, potom jednoducho spustiť Mac normálne a mať úplný prístup ku všetkému na disku.Ďakujem za podrobné informácie. Netušil som, že existuje viacero spôsobov, ako obísť prihlasovacie heslo na prístup k údajom. Práve som povolil FileVault na všetkých mojich počítačoch Mac.
Pravdepodobne je viac spôsobov, ktoré ma teraz nenapadli.
sgtaylor5
Prispievateľ
- 6. augusta 2017
- Cheney, WA, USA
- 21. august 2020
oi_
- 18. mája 2017
- Austin, TX
- 21. august 2020
Novšie implementácie AES-NI by už tento problém nemali mať.
sgtaylor5
Prispievateľ
- 6. augusta 2017
- Cheney, WA, USA
- 21. august 2020
Iba v počítačovom priemysle by sa zariadenie z roku 2013 mohlo považovať za staré. Trvalo mi mnoho desaťročí, kým sa situácia v mojom živote zrovnala a môj súčasný Mac som si mohol kúpiť za polovičnú cenu, keď mal päť rokov. Milujem to; bol to pre mňa pracant.
avz
- 7. októbra 2018
- 21. august 2020
sgtaylor5 povedal: Ďakujem za vysvetlenie; ostatní, ktorí navštívia toto vlákno, ho budú chcieť vidieť.
Iba v počítačovom priemysle by sa zariadenie z roku 2013 mohlo považovať za staré. Trvalo mi mnoho desaťročí, kým sa situácia v mojom živote zrovnala a môj súčasný Mac som si mohol kúpiť za polovičnú cenu, keď mal päť rokov. Milujem to; bol to pre mňa pracant.
Na svojom MacBooku z konca roku 2008 mám povolenú FV na oboch diskoch (Mavericks na HFS+ originálnom 5400rpm HDD a Mojave na APFS SSD). Nepozorujem žiadne výkonnostné zásahy ani zmeny teplôt. Možno sa budete chcieť pozrieť na výmenu tepelnej zmesi a čistenie prachu vo vnútri stroja/výmenu batérie.
sgtaylor5
Prispievateľ
- 6. augusta 2017
- Cheney, WA, USA
- 21. august 2020
BuffyzDead
- 30. decembra 2008
- 21. august 2020
SRQrws povedal: Som zvedavý, koľko ľudí používa FileVault a či je to naozaj potrebné na počítačoch Mac s SSD, čipmi T2 a zakázaným automatickým prihlásením. Myslím, že moja otázka znie, ak ste nastavený tak, že vždy vyžadujete heslo na prihlásenie a nemáte pevný disk na tanieri, ktorý by sa dal v prípade krádeže a prístupu k nemu odstrániť, je FileVault naozaj potrebný? Svoje zálohy Time Machine na externých diskoch šifrujem a jasne chápem dôvod, prečo tak robím. Ale s čipom T2, ak by niekto ukradol Mac a odstránil SSD, mohol by z neho získať dáta? Toto je možno triviálna otázka pre tunajších odborníkov, ale oceňujem každý názor.
Tento aktuálny článok vnesie viac svetla do rozhodovania pre všetkých.
Ako FileVault a bezpečnostný čip T2 spolupracujú na novších počítačoch Mac
Počítače Mac s čipom T2 vždy šifrujú svoje disky. Prečo je potrebný FileVault?
Yebubbleman
- 20. mája 2010
- Los Angeles, CA
- 21. august 2020
SRQrws povedal: Som zvedavý, koľko ľudí používa FileVault a či je to naozaj potrebné na počítačoch Mac s SSD, čipmi T2 a zakázaným automatickým prihlásením. Myslím, že moja otázka znie, ak ste nastavený tak, že vždy vyžadujete heslo na prihlásenie a nemáte pevný disk na tanieri, ktorý by sa dal v prípade krádeže a prístupu k nemu odstrániť, je FileVault naozaj potrebný? Svoje zálohy Time Machine na externých diskoch šifrujem a jasne chápem dôvod, prečo tak robím. Ale s čipom T2, ak by niekto ukradol Mac a odstránil SSD, mohol by z neho získať dáta? Toto je možno triviálna otázka pre tunajších odborníkov, ale oceňujem každý názor.
To, že FileVault 2 je „nevyhnutné“, je subjektívne. Ak podnikáte, je to pravdepodobne potrebné z rovnakých dôvodov ako BitLocker alebo iný softvérový balík na šifrovanie celého disku systému Windows. Ak ste to len vy a na Macu nemáte žiadne citlivé informácie, potom je to vec osobných preferencií.
Ak chcete odpovedať na vašu otázku „ak by niekto dokázal odstrániť SSD na T2 Mac, mohol by sa dostať k dátam?“, krátka odpoveď je nie.
Disky SSD sú integrované (čítaj: spájkované) do hlavnej logickej dosky na MacBookoch Pro, MacBookoch Air a Mac mini predstavených od roku 2018, takže to nie je ani fyzicky možné. Technicky sú úplne odnímateľné na Mac Pro a iMac Pro a čiastočne odnímateľné na 4TB a 8TB 2020 27' iMacoch (v tom, že časť disku je na logickej doske a časť je v 2-4TB rozširujúcom module) . T2 je radič SSD na všetkých počítačoch Mac T2 a T2 je spárovaný s úložiskom vo výrobe. Ak odstránite úložné moduly z logickej dosky T2 Mac, s ktorým bol pôvodne spárovaný, dáta sa fakticky stratia.
Ako bolo uvedené vyššie, stále môžete na Macu použiť režim cieľového disku na sťahovanie súborov bez toho, aby ste museli zadávať akékoľvek heslo. Áno, vaše údaje sú na T2 Mac vždy zašifrované, ale nemáte zavedený žiadny ochranný mechanizmus, ktorý by blokoval režim cieľového disku, aby váš T2 Mac stále sprístupnil inému Macu.
Zapnutím FileVault 2 na T2 Mac sa nezašifruje váš disk. Disk je už štandardne zašifrovaný (a nie je tam žiadny vypínač). Všetko, čo robí, je priradiť (a vynútiť) ochranu pri zadávaní kľúča alebo používateľského mena a hesla pri prístupe k jednotke cez niečo ako režim cieľového disku. Rovnakú ochranu disku môžete funkčne povoliť nastavením hesla firmvéru. V obchodnom prostredí je FileVault 2 oveľa preferovanejší, pretože KAŽDÝ kľúč FileVault 2 môžete uložiť do centralizovanej databázy pomocou inštitucionálneho kľúča FileVault 2. Navyše to odstraňuje potrebu meniť HESLO KAŽDÉHO FIRMVÉRU Macu, keď zo spoločnosti odíde zamestnanec IT na vysokej úrovni.
Osobne nie som najväčší na FileVault 2. Myslím si, že je to neohrabané a existujú určité zvláštnosti, ktoré môžu sťažiť diagnostikovanie problémov na Macu, keď sú povolené. Ale na T2 Mac je to určite také rýchle a jednoduché, že o tom nemusíte naozaj premýšľať. Zapnutie a vypnutie je okamžité a v konečnom dôsledku nemá také dôsledky, aké by ste mohli mať na Macu bez T2.
TrevorR90 povedal: Nemyslím si, že by to nejakým spôsobom zhoršilo výkon. Je to ďalšia vrstva zabezpečenia a ako som povedal, nezaškodí ju mať na sebe.
Na T2 Mac to vôbec neovplyvňuje výkon. Zapnutie FileVault 2 na T2 Mac len priradí FileVault k existujúcemu hardvérovému šifrovaniu.
Zatiaľ čo na Macu pred verziou T2 vyžaduje aktivácia FileVault 2 skutočne šifrovanie disku a určite bude mať za následok pomalší výkon disku. Aj keď rozdiel vo výkone nebude badateľný na bezpečnom SSD disku pre mimoriadne náročné pracovné postupy. Príležitostní používatelia by si rozdiel vo výkone vôbec nemali všimnúť.
oi_
- 18. mája 2017
- Austin, TX
- 22. august 2020
Yebubbleman povedal: Zatiaľ čo na Macu pred verziou T2 vyžaduje aktivácia FileVault 2 skutočne šifrovanie disku a určite bude mať za následok pomalší výkon disku. Aj keď rozdiel vo výkone nebude badateľný na bezpečnom SSD disku pre mimoriadne náročné pracovné postupy. Príležitostní používatelia by si rozdiel vo výkone vôbec nemali všimnúť.Skvelá poznámka, to som zabudol spomenúť. Testy som vykonal na svojom externom Samsung 970 EVO v puzdre USB 3.2 Gen 1 na iMacu z roku 2017, teda bez čipu T2. Bez FileVault2 dostanem viac ako 950 MB/s pri čítaní aj zápise. S povoleným FileVault2 dosiahnem rýchlosť zápisu okolo 650 MB/s okolo 750 MB/s čítania. Existuje teda merateľný, ale nepozorovateľný vplyv na výkon úložiska.
cool11
- 3. september 2006
- 2. decembra 2020
mj_ povedal: Je to preto, že procesor vo vašom 2013 je taký starý, že mu chýba logika hardvérového dešifrovania (AES-NI) potrebná na rýchle a efektívne dešifrovanie a šifrovanie za chodu, ktoré sa preto musí vykonávať pomocou bežného vykonávania x86 ALU Jednotky. Pokiaľ viem, starším implementáciám AES-NI chýba podpora pre špecifický algoritmus, ktorý Apple používa na šifrovanie FileVault2, ale necitujte ma o tom.
Novšie implementácie AES-NI by už tento problém nemali mať.
Takže by bolo ťažké zapnúť úschovňu súborov v mojom mbp 15' koncom roka 2013?
Stále nechápem, čo prakticky môže filevault ponúknuť užívateľovi.
Všetky moje vzácne/súkromné dáta zvyknem mať v zašifrovaných dmg obrázkoch.
Otváram ich, keď odtiaľ niečo potrebujem, niektoré sú vzácne, iné každý deň.
Nehovorím, že je to najlepší nástroj na šifrovanie, ale lepšie ako nič.
Stále však nemôžem zmerať výhody a nevýhody na starších alebo novších počítačoch Mac.
oi_
- 18. mája 2017
- Austin, TX
- 2. decembra 2020
cool11
- 3. september 2006
- 3. decembra 2020
Myslím, nie veľmi technicky, ale v každodennej interakcii s používateľom.
Čo mám ešte urobiť okrem kontroly na paneli „zabezpečenie“?
A prakticky, čo získam? Ak je môj mbp odcudzený alebo by mal byť náhle zaslaný do servisu, sú moje údaje v bezpečí a zašifrované? Viac ako riešiť šifrované dmg?
Alebo je to niečo skôr ekvivalentné z hľadiska skutočnej bezpečnosti údajov? H
hobowankenobi
- 27. augusta 2015
- na pevnú linku p. kováč.
- 3. decembra 2020
cool11 povedal: Prakticky, ako funguje Filevault?Áno. Keďže je disk šifrovaný, nie sú dostupné žiadne údaje, kým a kým nezadáte PW. Takže... ak je počítač odcudzený, jediný jednoduchý spôsob, ako získať prístup, bol, ak by bol prihlásený a prebudený. Za predpokladu, že sa nezakáže automatické odhlásenie v režime spánku (a zatvorí sa veko), je to veľmi nepravdepodobný scenár. Aj keby niekto mohol nejakým spôsobom ukradnúť stroj, keď je prihlásený a bdelý, museli by byť veľmi opatrní, aby stroj neuspali, a nemohli by ľahko získať prístup k PW alebo ho zmeniť.
Myslím, nie veľmi technicky, ale v každodennej interakcii s používateľom.
Čo mám ešte urobiť okrem kontroly na paneli „zabezpečenie“?
A prakticky, čo získam? Ak je môj mbp odcudzený alebo by mal byť náhle zaslaný do servisu, sú moje údaje v bezpečí a zašifrované? Viac ako riešiť šifrované dmg?
Alebo je to niečo skôr ekvivalentné z hľadiska skutočnej bezpečnosti údajov?
Ako už bolo spomenuté, ako vždy zapnuté, používateľ nemá čo robiť. Všetky dáta a informácie sú 100% času v bezpečí.
Jedinou nevýhodou, ktorú som videl, je, že ak bol počítač nejakým spôsobom napadnutý, keď bol používateľ prihlásený, údaje by bolo možné vidieť alebo skopírovať za predpokladu, že hacker má úplný prístup k otvorenému a prihlásenému počítaču Mac. Šanca na to, že v porovnaní s ukradnutím je veľmi, veľmi malá, ak vezmeme do úvahy, že v počítačoch Mac neboli takmer žiadne hacky, ktoré umožňujú vzdialený prístup správcu. A vo všeobecnosti sa bezpečnosť každým rokom zlepšuje, keďže OS a bezpečnostné funkcie dozrievajú. Len v posledných 2-3 aktualizáciách operačného systému sme zaznamenali podstatné zvýšenie zabezpečenia Mac, takže pravdepodobnosť, že vzdialený útočník prevezme kontrolu, naďalej klesá, zatiaľ čo fyzická krádež je rovnako riskantná ako kedykoľvek predtým.
A áno, ak je stroj odoslaný na opravu a je pridelené správcovské/dešifrovacie PW, vaše údaje sú k dispozícii snooperom. Jedným jednoduchým spôsobom, ako to sťažiť, je jednoducho vytvoriť si druhý účet správcu s iným PW, takže žiadny technik sa nemôže ľahko prihlásiť do vášho primárneho účtu. To by odmietlo akékoľvek šmírovanie a k vašim údajom by sa dalo pristupovať iba s pomerne serióznou prácou na zmene povolení. Viac ako snooper by urobil...iba by sa pokúsil o vážny hack/krádež. Posledná úprava: 3. decembra 2020
cool11
- 3. september 2006
- 4. decembra 2020
Vyžaduje Apple zadanie takéhoto hesla, keď používatelia posielajú svoje stroje do oficiálnych servisných stredísk Apple? H
hobowankenobi
- 27. augusta 2015
- na pevnú linku p. kováč.
- 4. decembra 2020
cool11 povedal: Heslo Filevault, je rovnaké s prihlasovacím heslom?Áno, rovnaký PW. Nič iné, čo by som si mohol zapamätať alebo urobiť.
Vyžaduje Apple zadanie takéhoto hesla, keď používatelia posielajú svoje stroje do oficiálnych servisných stredísk Apple?
Dešifrovať disk a prihlásiť sa môžu iba používatelia, ktorí majú povolený prístup . Takže áno, ak sa technik potrebuje prihlásiť, museli by ste dať PW. Môže to byť iný účet, ak by bol povolený.
jaclu
- 12. januára 2021
- 12. januára 2021
Apple_Robert povedal: S novšími strojmi nemôžete povedať, že FV je zapnuté. Je to také bezproblémové. Vrelo odporúčam zapnúť.Nie ste si úplne istí, čo máte na mysli v prvej vete. V tom zmysle, že si nevšimnete žiadnu stratu výkonu, súhlasím. Môžete však zistiť, či je FV zapnuté, stačí urobiť a
diskutil zoznam apfs
A pre každý zväzok je uvedený jeho stav FileVault
Apple_Robert
- 21. september 2012
- Uprostred niekoľkých kníh.
- 12. januára 2021
jaclu povedal: Nie som si úplne istý, čo máte na mysli v prvej vete. V tom zmysle, že si nevšimnete žiadnu stratu výkonu, súhlasím. Môžete však zistiť, či je FV zapnuté, stačí urobiť aMal som na mysli znižovanie výkonu, pretože to neviem povedať....
diskutil zoznam apfs
A pre každý zväzok je uvedený jeho stav FileVault
- 1
- 2
- 3
- 4
Populárne Príspevky