SRQrws
Eredeti plakát- 2020. augusztus 4
- 2020. augusztus 12
hobowankenobi
- 2015. augusztus 27
- vezetékes vonalon mr. Kovács.
- 2020. augusztus 12
A régi rossz időkben, amint helyesen rámutat, meglehetősen triviális volt TDM-en keresztül elérni a meghajtót, vagy eltávolítani a meghajtót az adatok eléréséhez.
OTOH...a pörgő lemezek, a teljesítmény ütések, valamint a kezdeti titkosítási idő jó ok volt arra, hogy NE titkosítsuk.
Mindez lényegében eltűnt mára (legalábbis a legújabb Mac-eken), így... a régi szokásokat (pro és kontra) visszavonni kell.
Az egyetlen ok, ami miatt szüneteltetem a filevault használatát, az többfelhasználós gépeken van, például iskolai laborban vagy megosztott munkaállomáson.
Ez...és attól a félelemtől, hogy egyes felhasználók egyszerűen elfelejtik a PW-jüket, és ez mindenki számára fájdalmat okoz, sokkal nagyobb mértékben, mint az elfelejtett bejelentkezési adatok. T
TrevorR90
- 2009. október 1
- 2020. augusztus 14
hobowankenobi
- 2015. augusztus 27
- vezetékes vonalon mr. Kovács.
- 2020. augusztus 14
thetillyt
- 2020. április 8
- 2020. augusztus 14
hobowankenobi azt mondta: Ez most nem a teljesítmény sikere, mind az SSD, mind az APFS miatt. Azt volt fájdalmas....sok évvel ezelőtt. Vannak, akiknek még mindig rossz íze van a szájában a régi rossz időkből.Emlékszem, amikor bekapcsoltam, nagyon rontott a teljesítmény...
Boyd01
Moderátor
Munkatárs- 2012. február 21
- New Jersey Pine Barrens
- 2020. augusztus 14
Apple_Robert
- 2012. szeptember 21
- Több könyv közepén.
- 2020. augusztus 14
Egyetértek az előző hozzászólásokkal, amelyek a lassú régi időkről szólnak. A késés észrevehető volt, és napokba telt egy nagy meghajtó titkosítása. Örülök, hogy elmúltak azok az idők.
mj_
- 2017. május 18
- Austin, TX
- 2020. augusztus 15
Az SRQrws azt mondta: De a T2 chip esetén, ha valaki ellopja a Mac-et és eltávolítja az SSD-t, kaphat-e róla adatokat?Igaz, ez már nem lenne lehetséges. A fájlokhoz azonban továbbra is többféleképpen hozzáférhet, ha a FileVault2 le van tiltva. Például indíthat céllemez módban, és teljes hozzáféréssel rendelkezik a meghajtóhoz. Ha a Mac-en engedélyezve van a külső forrásról való rendszerindítás, akkor USB-meghajtóról is indíthat, és teljes hozzáférést biztosít a meghajtóhoz. A külső forrásból történő rendszerindítás nincs engedélyezve? Nem nagy baj, csak indítsa el a helyreállítást, és vagy készítsen egy teljes másolatot a lemez segédprogrammal, vagy ami még jobb, használja a terminált a felhasználó jelszavának visszaállításához, majd egyszerűen indítsa el a Macet, és teljes hozzáférést kap a meghajtón található összeshez.
Valószínűleg több mód is van, amelyekre most nem gondoltam.
SRQrws
Eredeti plakát- 2020. augusztus 4
- 2020. augusztus 15
mj_ mondta: Igaz, ez már nem lenne lehetséges. A fájlokhoz azonban továbbra is többféleképpen hozzáférhet, ha a FileVault2 le van tiltva. Például indíthat céllemez módban, és teljes hozzáféréssel rendelkezik a meghajtóhoz. Ha a Mac-en engedélyezve van a külső forrásról való rendszerindítás, akkor USB-meghajtóról is indíthat, és teljes hozzáférést biztosít a meghajtóhoz. A külső forrásból történő rendszerindítás nincs engedélyezve? Nem nagy baj, csak indítsa el a helyreállítást, és vagy készítsen egy teljes másolatot a lemez segédprogrammal, vagy ami még jobb, használja a terminált a felhasználó jelszavának visszaállításához, majd egyszerűen indítsa el a Macet, és teljes hozzáférést kap a meghajtón található összeshez.Köszönöm a részletes infót. Fogalmam sem volt, hogy többféle módon lehet megkerülni a bejelentkezési jelszót az adatok eléréséhez. Most engedélyeztem a FileVault-ot az összes Mac gépemen.
Valószínűleg több mód is van, amelyekre most nem gondoltam.
sgtaylor5
Hozzájáruló
- 2017. augusztus 6
- Cheney, WA, USA
- 2020. augusztus 21
mj_
- 2017. május 18
- Austin, TX
- 2020. augusztus 21
Az AES-NI újabb implementációinál már nem lehet ilyen probléma.
sgtaylor5
Hozzájáruló
- 2017. augusztus 6
- Cheney, WA, USA
- 2020. augusztus 21
Egy 2013-as készüléket csak a számítástechnikában lehetett réginek tekinteni . Hosszú évtizedekbe telt, amíg a helyzet megfelelő lett az életemben, és féláron megvehettem a jelenlegi Macemet, amikor öt éves volt. Szeretem; igásló volt számomra.
avz
- 2018. október 7
- 2020. augusztus 21
sgtaylor5 mondta: Köszönöm a magyarázatot; mások, akik meglátogatják ezt a szálat, látni fogják.
Egy 2013-as készüléket csak a számítástechnikában lehetett réginek tekinteni . Hosszú évtizedekbe telt, amíg a helyzet megfelelő lett az életemben, és féláron megvehettem a jelenlegi Macemet, amikor öt éves volt. Szeretem; igásló volt számomra.
A 2008 végi MacBookomon mindkét meghajtón engedélyezve van az FV (Mavericks HFS+ eredeti 5400rpm-es HDD-n és Mojave APFS SSD-n). Nem észlelek semmilyen teljesítménybeli ütést vagy hőmérsékletváltozást. Érdemes lehet megvizsgálni a termikus keverék cseréjét és a gép belsejében lévő por tisztítását/akkumulátor cseréjét.
sgtaylor5
Hozzájáruló
- 2017. augusztus 6
- Cheney, WA, USA
- 2020. augusztus 21
BuffyzDead
- 2008. december 30
- 2020. augusztus 21
SRQrws azt mondta: Kíváncsi vagyok, hányan használják a FileVault-ot, és valóban szükséges-e ez az SSD-vel, T2 chipekkel és letiltott automatikus bejelentkezéssel rendelkező Mac-eken. Azt hiszem, a kérdésem az, hogy ha úgy van beállítva, hogy mindig jelszót kérjen a bejelentkezéshez, és nincs tányéros HDD-je, amelyet lopás és hozzáférés esetén eltávolíthatna, akkor valóban szükséges a FileVault? Titkosítom a Time Machine biztonsági másolataimat külső meghajtókon, és egyértelműen megértem ennek okát. De a T2 chipnél, ha valaki ellopná a Mac-et és eltávolította az SSD-t, kaphatna róla adatokat? Lehet, hogy ez triviális kérdés a szakértők számára, de szívesen fogadom bárki véleményét.
Ez az időszerű cikk több megvilágításba helyezi mindenki döntését.
Hogyan működik együtt a FileVault és a T2 biztonsági chip az újabb Mac-eken
A T2 chippel rendelkező Macek mindig titkosítják meghajtóikat. Miért szükséges a FileVault?
Yebubbleman
- 2010. május 20
- Los Angeles, CA
- 2020. augusztus 21
SRQrws azt mondta: Kíváncsi vagyok, hányan használják a FileVault-ot, és valóban szükséges-e ez az SSD-vel, T2 chipekkel és letiltott automatikus bejelentkezéssel rendelkező Mac-eken. Azt hiszem, a kérdésem az, hogy ha úgy van beállítva, hogy mindig jelszót kérjen a bejelentkezéshez, és nincs tányéros HDD-je, amelyet lopás és hozzáférés esetén eltávolíthatna, akkor valóban szükséges a FileVault? Titkosítom a Time Machine biztonsági másolataimat külső meghajtókon, és egyértelműen megértem ennek okát. De a T2 chipnél, ha valaki ellopná a Mac-et és eltávolította az SSD-t, kaphatna róla adatokat? Lehet, hogy ez triviális kérdés a szakértők számára, de szívesen fogadom bárki véleményét.
A FileVault 2 „szükséges”-e szubjektív. Ha vállalkozásban dolgozik, valószínűleg pontosan ugyanazok miatt szükséges, mint a BitLocker vagy más Windows teljes lemeztitkosító szoftvercsomag. Ha csak Önről van szó, és nem rendelkezik érzékeny információval a Mac számítógépén, akkor ez személyes preferenciák kérdése.
Arra a kérdésre válaszolva, hogy „ha valaki el tudja távolítani az SSD-t egy T2 Mac-en, képes lenne hozzáférni az adatokhoz?”, a rövid válasz: nem.
Az SSD-ket a 2018-tól bevezetett MacBook Pro, MacBook Air és Mac mini fő logikai kártyájára integrálják (értsd: forrasztják), így ez még fizikailag sem lehetséges. Technikailag teljesen eltávolíthatók a Mac Pro és az iMac Pro rendszeren, és részben eltávolíthatók a 4 TB-os és 8 TB-os 2020 27 hüvelykes iMac-eken (ebben a meghajtó egy része a logikai kártyán, egy része pedig egy 2-4 TB-os bővítőmodulban található) . A T2 az összes T2 Mac SSD-vezérlője, a T2 pedig gyárilag párosítva van a tárolóval. Ha eltávolítja a tárolómodulokat a T2 Mac logikai kártyájáról, amellyel eredetileg párosították, az adatok gyakorlatilag elvesznek.
Mint fentebb említettük, továbbra is használhatja a Céllemez módot Mac számítógépen a fájlok eltávolításához anélkül, hogy bármiféle jelszót kellene megadnia. Igen, az adatok mindig titkosítva vannak T2 Mac-en, de nincs olyan védelmi mechanizmus, amely megakadályozná, hogy a Target Disk Mode ne tegye T2 Mac-jét egy másik Mac számára.
A FileVault 2 bekapcsolása T2 Mac számítógépen nem titkosítja a meghajtót. A meghajtó alapértelmezés szerint már titkosított (és nincs kikapcsoló). Mindössze annyit tesz, hogy hozzárendeli (és érvényesíti) azt a védelmet, hogy kulcsot vagy felhasználónevet és jelszót kell megadnia, amikor a meghajtóhoz hozzáférnek, például céllemez módban. Funkcionálisan engedélyezheti ugyanazt a védelmet a meghajtón, ha beállít egy firmware-jelszót. Üzleti környezetben a FileVault 2 sokkal előnyösebb, mivel MINDEN FileVault 2 kulcsot letétbe helyezhet egy központi adatbázisba egy intézményi FileVault 2 kulccsal. Ezenkívül szükségtelenné válik MINDEN Mac FIRMWARE JELSZÓ megváltoztatása, amikor egy magas szintű IT-alkalmazott elhagyja a vállalatot.
Személy szerint nem én vagyok a legnagyobb a FileVault 2-ben. Szerintem nehézkes, és vannak benne rejlő furcsaságok, amelyek megnehezíthetik a problémákkal kapcsolatos Mac-ek diagnosztizálását, ha engedélyezve van. De minden bizonnyal a T2 Mac-en olyan gyors és egyszerű, hogy nem kell igazán gondolkodni rajta. A be- és kikapcsolása azonnali, és végső soron nincsenek olyan következményei, mint egy nem T2 Mac esetében.
TrevorR90 azt mondta: Nem hiszem, hogy a bekapcsolása semmilyen módon rontja a teljesítményt. Ez egy másik biztonsági réteg, és ahogy mondtam, nem árt, ha be van kapcsolva.
T2 Mac esetén ez egyáltalán nem befolyásolja a teljesítményt. A FileVault 2 bekapcsolása T2 Mac számítógépen csak társítja a FileVaultot a meglévő hardveres titkosítással.
Míg a T2 előtti Mac gépeken a FileVault 2 engedélyezéséhez ténylegesen titkosítani kell a meghajtót, és ez határozottan lassabb meghajtóteljesítményt jelent. Bár a teljesítménybeli különbség nem lesz észrevehető az SSD széfeken a rendkívül lemezigényes munkafolyamatokhoz. Az alkalmi felhasználóknak egyáltalán nem szabad észrevenniük a teljesítménybeli különbségeket.
mj_
- 2017. május 18
- Austin, TX
- 2020. augusztus 22
Yebubbleman azt mondta: Míg a T2 előtti Mac gépeken a FileVault 2 engedélyezéséhez ténylegesen titkosítani kell a meghajtót, és ez határozottan lassabb meghajtóteljesítményt jelent. Bár a teljesítménybeli különbség nem lesz észrevehető az SSD széfeken a rendkívül lemezigényes munkafolyamatokhoz. Az alkalmi felhasználóknak egyáltalán nem szabad észrevenniük a teljesítménybeli különbségeket.Kiváló pont, ezt elfelejtettem megemlíteni. Lefuttattam a benchmarkokat a külső Samsung 970 EVO-mon, egy USB 3.2 Gen 1 tokban egy 2017-es iMac-en, más néven egy T2 chip nélkül. FileVault2 nélkül 950 MB/s feletti sebességet érek el írásban és olvasásban egyaránt. Ha a FileVault2 engedélyezve van, akkor körülbelül 650 MB/s írási sebességet érek el, körülbelül 750 MB/s olvasást. Így mérhető, de észrevehetetlen hatása van a tárolási teljesítményre.
menő 11
- 2006. szeptember 3
- 2020. december 2
mj_ mondta: Ennek az az oka, hogy a 2013-as CPU olyan régi, hogy hiányzik a hardveres visszafejtési logika (AES-NI), amely a gyors és hatékony menet közbeni dekódoláshoz és titkosításhoz szükséges, ezért ezt normál x86 ALU végrehajtással kell végrehajtani. egységek. Amennyire én értem, az AES-NI régebbi megvalósításai nem támogatják az Apple által a FileVault2 titkosításhoz használt algoritmust, de ne idézzenek erről.
Az AES-NI újabb implementációinál már nem lehet ilyen probléma.
Szóval kínos lenne bekapcsolni a filevault-ot az mbp 15'-emben 2013 végén?
Még mindig nem értem, hogy gyakorlatilag mit tud nyújtani a filevault a felhasználónak.
Régebben minden értékes/magán adatom titkosított dmg-képekben van.
Kinyitom őket, amikor szükségem van valamire onnan, néhány ritka, van, amelyik mindennapi.
Nem mondom, hogy ez a lehető legjobb titkosító eszköz, de jobb a semminél.
De mégsem tudom felmérni az előnyöket és a hátrányokat, régebbi vagy újabb Mac-eken.
mj_
- 2017. május 18
- Austin, TX
- 2020. december 2
menő 11
- 2006. szeptember 3
- 2020. december 3
Úgy értem, technikailag nem nagyon, hanem a napi felhasználói interakcióban.
A „biztonsági” panelen lévő ellenőrzésen kívül mit tegyek még?
És gyakorlatilag mit nyerek? Ha az mbp-met ellopják, vagy hirtelen javítószolgálathoz kellene küldeni, az adataim biztonságosak és titkosítva vannak? Több, mint titkosított dmg-vel foglalkozni?
Vagy az adatok valódi biztonsága szempontjából ez valamivel egyenértékű? H
hobowankenobi
- 2015. augusztus 27
- vezetékes vonalon mr. Kovács.
- 2020. december 3
cool11 mondta: Gyakorlatilag hogyan működik a Filevault?Igen. Mivel a meghajtó titkosított, nem állnak rendelkezésre adatok a PW beírásáig. Tehát...ha egy gépet ellopnak, az egyetlen egyszerű módja annak, hogy hozzáférhessen, ha bejelentkezett és ébren van. Feltételezve, hogy valaki nem tiltja le az automatikus kijelentkezést alvó üzemmódban (és a fedél zárásakor), ez egy nagyon valószínűtlen forgatókönyv. Még akkor is, ha valaki valahogy el tudna lopni egy gépet bejelentkezve és ébren, nagyon ügyelnie kell arra, hogy a gép ne aludjon el, és nem tud könnyen hozzáférni vagy megváltoztatni a PW-t.
Úgy értem, technikailag nem nagyon, hanem a napi felhasználói interakcióban.
A „biztonsági” panelen lévő ellenőrzésen kívül mit tegyek még?
És gyakorlatilag mit nyerek? Ha az mbp-met ellopják, vagy hirtelen javítószolgálathoz kellene küldeni, az adataim biztonságosak és titkosítva vannak? Több, mint titkosított dmg-vel foglalkozni?
Vagy az adatok valódi biztonsága szempontjából ez valamivel egyenértékű?
Mint már említettük, mivel mindig be van kapcsolva, a felhasználónak nincs mit tennie. Minden adat és információ biztonságban van, az esetek 100%-ában.
Az egyetlen hátrány, amit láttam, az az, hogy ha egy gépet valahogy feltörtek, miközben a felhasználó bejelentkezett, akkor az adatok láthatóak vagy másolhatók, feltételezve, hogy a hacker teljes hozzáféréssel rendelkezik a nyitott, bejelentkezett Mac-hez. Ennek az esélye, hogy ellopják, nagyon-nagyon csekély, tekintve, hogy szinte nulla feltörés történt a távoli adminisztrátori hozzáférést lehetővé tevő Maceken. Általánosságban elmondható, hogy a biztonság évről évre javul, ahogy az operációs rendszer és a biztonsági funkciók érnek. Csak az utolsó 2-3 operációs rendszer-frissítés során tapasztalhattuk a Mac biztonságának jelentős növekedését, így tovább csökken annak az esélye, hogy egy távoli támadó átvegye az irányítást, miközben a fizikai lopás ugyanolyan kockázatos, mint valaha.
És igen, ha egy gépet javításra küldenek, és megadják az admin/decrypt PW-t, akkor az adataid elérhetőek a leskelők számára. Az egyik egyszerű módja annak, hogy megnehezítse a helyzetet, ha egyszerűen létrehoz egy második rendszergazdai fiókot egy másik PW-vel, így egyetlen technikus sem tud egyszerűen bejelentkezni az elsődleges fiókjába. Ez megtagadná a leskelődést, és csak az engedélyek megváltoztatásával járó komoly munkával lehetne hozzáférni az adataihoz. Többet, mint egy leskelődő... csak egy komoly feltörés/lopás kísérelné meg. Utoljára szerkesztve: 2020. december 3
menő 11
- 2006. szeptember 3
- 2020. december 4
Megköveteli az Apple ilyen jelszó megadását, amikor a felhasználók elküldik a gépeiket a hivatalos Apple javítóközpontokba? H
hobowankenobi
- 2015. augusztus 27
- vezetékes vonalon mr. Kovács.
- 2020. december 4
cool11 mondta: A Filevault jelszó megegyezik a bejelentkezési jelszóval?Igen, ugyanaz a PW. Nincs más tennivaló vagy emlékeznivaló.
Megköveteli az Apple ilyen jelszó megadását, amikor a felhasználók elküldik a gépeiket a hivatalos Apple javítóközpontokba?
Csak az engedélyezett felhasználók dekódolhatják a meghajtót és jelentkezhetnek be . Tehát igen, ha egy technikusnak be kell jelentkeznie, akkor PW-t kell adnia. Lehet, hogy egy másik fiók is, ha engedélyezve van.
jaclu
- 2021. január 12
- 2021. január 12
Apple_Robert mondta: Az újabb gépekről nem lehet tudni, hogy az FV be van kapcsolva. Ez zökkenőmentes. Nagyon ajánlom a bekapcsolását.Nem egészen biztos benne, hogy mit értesz az első mondatban. Abban az értelemben, hogy nem vesz észre teljesítménycsökkenést, egyetértek. Azonban láthatja, hogy az FV be van kapcsolva, csak tegye a
diskutil apfs list
És minden kötetnél megjelenik a FileVault állapota
Apple_Robert
- 2012. szeptember 21
- Több könyv közepén.
- 2021. január 12
jaclu mondta: Nem egészen biztos benne, hogy mit akarsz mondani az első mondatban. Abban az értelemben, hogy nem vesz észre teljesítménycsökkenést, egyetértek. Azonban láthatja, hogy az FV be van kapcsolva, csak tegye aA teljesítmény romlására utaltam, hogy nem tudom megmondani....
diskutil apfs list
És minden kötetnél megjelenik a FileVault állapota
- 1
- 2
- 3
- 4
Népszerű Bejegyzések