如何使用 FileVault 來保護 Mac 電腦裡的企業機密?

若你的工作性質會使用到 MacBook,那麼你更應該要熟悉堪稱 Apple 內建防毒軟體的 FileVault,它是 Apple原生的磁碟加密系統,當裝置遺失或被竊取,若有使用 FileVault 這項功能的話,將可以大幅降低企業商業資料被盜用的風險。

FileVault 想要解決的問題是什麼?

絕大多數的企業組織勢必都擁有各種形式的敏感資料,不管是上下游廠商的資訊、財務紀錄、或負責人的聯絡資料等,都具有一定程度的參考價值,因此若是這些資訊受到損害,可能都會讓公司、員工、或上下游的廠商面臨被駭客入侵的風險。

Apple 的 FileVault 讓未經授權的使用者無法存取 MacBook 上的機密資料,只有經過授權的使用者並且在正確的解密之後,才能存取資料。FileVault 的加密與解密可以在背景中執行,儘管電腦在使用其他程式,也可以使用 FileVault。

什麼是 FileVault?

首先見到 FileVault 這項功能是在 2005 年,Apple 在推出 macOS X Panther (10.3) 時一併宣布了這項功能,但 FileVault 在當時還是只能用來保護使用者的個人資料夾,但隨著技術不斷發展,現在的 FileVault 已經可以為整顆硬碟來作加密,並提供 256 位元的密碼才可解密。

而在企業組織方面,IT 管理員可以使用大部分的 MDM 解決方案來管理 FileVault,當 Mac 受到 FileVault 保護時,除非是擁有 FileVault 的密鑰、或使用者帳號憑證,否則任何人都無法存取 Mac 裡的任何資料。

如何啟用 FileVault?

若要啟用 FileVault,你必須要擁有這台 Mac 的管理員權限,才可以在「系統偏好設定」裡的「安全性與隱私權」中啟用 FileVault(檔案保險箱)。

要使用 FileVault 來加密及解密有兩種選擇,一種是使用 iCloud 的帳號及密碼來保護 Mac;另外一種則是使用恢復密鑰,前者適合個人使用者;後者則是大多數企業組織會使用。

在啟用 FileVault 時,請務必將你的登入密碼以及專屬這台 Mac 的恢復金鑰記錄下來,因為若是你忘記了,那麼在這台電腦上的所有資料將無法再使用,這是一個保護措施;但若是這台電腦是屬於 MDM 解決方案中受監管的裝置,則可以透過遠端的方式生成新的金鑰。

特別注意的是,在第一次啟用 FileVault,在完成整機加密之前,是無法關閉的,第一次加密會需要一些時間,這取決於你電腦上的資訊量。

Know your limits 了解你的底線在哪裡

請務必記得你的恢復密碼,因為若是忘記了,將無法再存取該電腦上的任何資料,而最終只能面臨格式化並重新安裝 macOS。但是可以透過 MDM 的管理解決方案來遠端設定新的恢復密鑰,進而重新登入該電腦。

設定密碼時要考慮的因素是什麼

不管是哪一間公司,都必須優先考慮密碼的強度,而使用較長的密碼較不易被破解,只要他們不是一連串連貫的數字即可(比如說 12345678910),密碼中包含英文大小寫字母及數字也可增加複雜性,而定期的更換密碼也很重要。

使用 FileVault 的恢復金鑰之所以有一定的難度是因為這一串密碼很少使用,一般登入電腦並不會使用到這組密碼,因此很容易被遺忘,最保險的方法就是將其超錄下來,並保存在某個地方。

部分 Mac 電腦本身已有加密的技術

部分搭載 T2 安全晶片的 MacBook 皆已經自動加密電腦上的資訊,儘管如此,它們還是可以使用 FileVault 來保護電腦。這邊列出了所有使用 T2 安全晶片的裝置及型號,請點擊這裡

所有的文件都應該要使用 FileVault 來保護嗎?

根據經驗,任何一台 Mac 電腦擁有可以存取個人資訊、或企業敏感資訊的權限都建議使用 FileVault 來加密。

使用 FileVault 會發生什麼事?

除了忘記金鑰,會導致資料完全消失之外,最大的影響是 I/O 的性能有時候會受到影響。

哪裡可以找到更多關於 FileVault 的資訊?

你可以在這裡找到許多關於 FileVault 的官方資訊

你的下一步

TWDC 提供 macOS IT 人員相關學習課程,進一步了解 macOS 安全防護科技。或歡迎與我們諮詢  macOS 相關的終端防護軟體。

原文連結:https://www.computerworld.com/article/3643332/how-to-use-filevault-to-protect-business-data-on-macs.html
圖片來源:https://support.apple.com/zh-tw/HT204837