macOS 安全基礎知識系列： 資料未使用「檔案保險箱」FileVault 加密的問題

對很多人來說，加密可能代表著不同的事情。根據您的經驗水準，加密可以很簡單，例如標記一個隱藏在目錄中的檔案或資料夾，加密也可以很複雜，像是用可變密鑰 64 個字元密碼保護 ZIP 檔案，讓密碼破解軟體無機可乘。也就是說，「加密」一詞本身包括了許多可能性和變數，複雜程度也有所不同，例如對雜湊值進行「鹽值」處理（鹽值是一個隨機生成的字符串，附加在密碼明文前或後，再進行雜湊處理），或是編寫自己的密碼 ── 這兩項都是進階的加密方式，遠超出了本部落格的範疇。

在這裡，我們將討論：

• macOS 加密基本功能
• 「檔案保險箱」FileVault 的是如何運作的（以及怎麼樣的狀況下無法運作）
• 以及在 Mac 上啟用 「檔案保險箱」FileVault 的好處

什麼是 FileVault 磁碟加密？

在深入探討上述幾點之前，讓我們先回顧一下 2003 年。Apple 發布了 OS X 「Panther」，即 10.3 版，其中引入了「檔案保險箱」 FileVault （FV） ── 在 Mac 上提供資料加密的技術。啟用後，FileVault 只能在使用者登出或成功驗證時，利用使用者的憑證作為鎖定和解鎖磁碟區的方法，加密使用者主磁碟區的內容

它透過使用 Apple 的稀疏磁碟映像（類似 DMG 文件，但已加密）來加密使用者的磁碟區，包括桌面和文件目錄等。

但在 2007 年，隨著 OS X「Lion」（10.7）的發布，Apple 開發的加密技術進行了重新設計，增加了新的功能，並命名為 FileVault 2 （FV2）。此後，FV2 成為 OS X 和 macOS 所有迭代版本的標準加密技術。稍後我們將深入探討 FV2 的功能及其運作方式。

「打蠟，脱蠟」

作為武術大師，宮城先生以簡化基礎防禦的課程傳授丹尼爾空手道，關於我們今天在這裡討論的安全防護議題， Apple在啟用／禁用上採取了類似的方法。

注意：由於 FV 的原始版本（稱為 舊版 FileVault）已被 FV2 取代，因此所有接下來的討論將僅與 FileVault 2 有關。

如何在 Mac 上啟用 FileVault

啟用 FV2 是一個簡單明了的過程。無論是手動啟用（由使用者）或自動啟用（由 IT 部門透過 MDM 啟用），該流程都需要：

1. 使用管理員級憑據對 Mac 進行身份驗證。
2. 啟動系統設定。
3. 點擊「隱私＆安全性偏好設定」。
4. 選擇「檔案保險箱」FileVault 標籤
5. 點擊「啟用」。

這樣就完成了，FV2 現在已啟用，並將開始加密資料。完成後，系統會提示您重新啟動電腦，完成加密過程。

如何在 Mac 上 停用FileVault

既然這可以保護 Mac 的安全，為什麼還要禁用呢？禁用 FV2 可能有幾個原因，即使只是暫時的。若要禁用此安全功能：

1. 請按照上述步驟 1 - 4 操作。
2. 點擊「禁用」。

再次提醒，當您使用 Mac 時，Mac 需要一些時間在後台解密您所有的資料。需要注意的是，啟用和禁用 FV2 時，Mac 須處於喚醒狀態，且充電器插入電源插座，才能完成加密和解密。

如何查找 FileVault 恢復金鑰

啟用 FV2 后，系統將提示使用者建立恢復金鑰。這是一種後門存取，如果使用者更改其帳戶密碼、帳戶被盜或只是單純忘記憑證密碼，便可以使用它來解密資料。

此金鑰的重要性不容低估，因此建議將其存放在安全的地方，不能讓他人輕易取得。

擁有 iCloud 帳戶的使用者如果希望使用雲端，可以選擇在雲端儲存恢復金鑰的副本。這樣做既安全又可靠，因為即使是 Apple 公司也無法讀取密鑰，只要有可以存取 iCloud 的裝置，使用者可以隨時隨地從任何安全地檢索密鑰，使用者可以更加放心。

在企業和共享環境中使用 FileVault 的優勢

為什麼應該使用 FileVault？

FileVault 最重要、也可以說是最棒的功能就是加密。畢竟，這是一開始啟用安全控制的主要原因，不是嗎？Apple 表示，這種加密演算法是以 XTS-AES-128 密碼為基礎，有 256 位元金鑰，有助於「防止未經授權者存取啟動磁碟上的訊息」。

是的，您沒看錯。整個磁碟區加密，而不僅僅是使用者的主資料夾。這可不是誤植，而是 FileVault 2 和舊版 FileVault 之間的一個關鍵差異。您應該還記得剛剛提到的，傳統 FileVault 只保護使用者的主資料夾。這需要每個使用者啟用 FV 來保護自己的主資料夾。這樣，其他使用者的主磁碟區和作業系統就很容易受到安全威脅和攻擊。

然而，FileVault 2 以全磁碟（又稱為磁碟區）加密修正了這個問題。透過利用整個磁碟，儲存在磁碟上的所有資料都能有效加密。經 FV2 授權的使用者要先登入 Mac，接著解鎖儲存磁碟並允許其他使用者登入。

這會造成什麼結果呢？加密系統涵蓋整個儲存磁碟區，全面保護所有資料，不只是那些已標記的重要資料。

保護業務、個人和隱私資料，同時將風險降至最低

就像《小子難纏》電影系列中，介紹了宮城道空手道藝術中令人念念不忘（且經常被模仿）的功夫技巧：鈴鼓反擊、套拳和難忘的鶴踢等，都只是丹尼爾在比賽中為了保護自己而學會的幾個招牌動作。

同樣地，FileVault 2 的加密功能也為使用者帶來了許多好處，不僅是透過加密來保護資料安全。

• 部署磁碟區或啟動磁碟加密 代表著也要保護系統磁碟機上未使用的空間。這就縮小了攻擊面，防止有心人士利用這些空間植入惡意軟體。此外，加密通常被資安專 業人士視為「最後一搏」，當MacBook 筆記型電腦被竊、硬碟被移除，或使用其他形式的磁碟攻擊試圖破壞資料時，它能維護個人、企業和隱私資料的完整性。
• 支援 FV2 的裝置也會要求該裝置的每個使用者帳戶都啟用 FV。任何沒有安全代號或啟動代號的 使用者，在啟用 FV2 的使用者先進行身份驗證並解鎖磁碟之前，實際上都無法登入 Mac。透過這項功能和其他功能配置， 來防止未經授權的使用者存取硬碟內容，無論是從 Mac 本機存取，還是將硬碟移除並連接到另一台Mac（這是一種常見的資料竊取攻擊類型）。
• 兩個版本的 FileVault 都遵循資安鐵三角的保密原則。也就是說，您的資料不僅可以抵禦未經授權的威脅， FV 還遵守美國國家標準暨技術研究院 （NIST） 的指導方針。NIST是一個美國政府機構 ，除其他標準計劃外，還為企業管理和降低網路安全風險提供指導。他們在SP 800-179 修訂版 1中提供了以最佳實踐為基礎的指導，以降低風險，同時 加強Apple 終端的安全態勢。
• 利用 Jamf Pro 管理使用者對支援 FV 的裝置之存取權限是一件簡單的事情，但對於那些希望手動操作的人來說，管理員可以根據需求，輕鬆地利用「終端機」來啟用／禁用每個使用者帳戶的安全代號存取，以及重置密碼。以下是 sysadminctl 命令的輸出結果，該命令用於管理使用 FileVault 2 加密的裝置之每個使用者帳戶存取權：

Jamf + FileVault 加密

自動和 強制執行加密

上述內容當然也能套用於個人和專業用途的 Mac，但本章節介紹的情況主要是適用於透過行動裝置管理 (MDM) 軟體（如 Jamf Pro）管理其 Mac 機群的企業組織。

MDM 解決方案不僅讓 IT 部門能集中管理裝置，還能提供配置設定，自動啟用 FV2。此外，它還可以簡化對每個裝置獨有的復原金鑰的管理，並將它們安全地儲存在每台裝置的記錄中，以便於管理，在必要時也更容易由 IT 人員檢索。

如何使用 Jamf Pro 設定、管理 FileVault 2 和恢復密鑰的詳細方法，這份管理指南專門寫給有興趣提升裝置安全等級的 IT 團隊，提供了詳盡的資訊，同時以業界最佳實踐為基礎來管理其機群，同時也遵守 Apple 的安全性和隱私框架。

確保裝置符合要求 並 保持合規狀態

在合規性方面，沒有放之四海而皆準的方法，但有一些最佳實踐和解決方案可以大幅降低各種威脅因素帶來的風險。將其視為全方位安全策略的一部分，整合原生 Apple 解決方案（如上所述，如 FileVault 與 Jamf Pro）可協助企業組織啟用和強制執行磁碟區加密，以確保資料安全。

但是，深度防禦戰略並不是透過一個解決方案就能實現的。IT 和資安團隊需要找到以下問題的答案，才能用更好的方式保護資料，並保持安全狀態。考慮因素包括了：

• 哪些裝置沒有啟用 FileVault 加密？
  • 如果曾經啟用過 FileVault，為什麼沒有強制執行？
  • 如果以前從未啟用過 FileVault，為什麼沒有設定配置？
• 是不是有什麼變更導致無法照計畫執行加密？
• 使用者的變更是否影響了 FileVault 的功效？
  • 如果是這樣，哪些行為會影響 FileVault 的運作？
• 還有哪些問題會影響磁碟區加密的強制執行？

Jamf Protect 的 端點安全解決方案可主動監控裝置，評估端點的運作狀況，例如 FV 是否處於啟用狀態並保持啟用狀態。透過蒐集豐富的遙測資料，並與 Jamf Pro 安全共享，管理員可以設定政策，在 Jamf Protect 偵測到後，於 Jamf Pro 中強制執行磁碟區加密。兩者都能與 Apple 框架進行安全溝通，拓展原生解決方案，同時也為管理團隊增加了更強大的功能，例如：

• 主動監控端點運行狀況
• 記錄並通知已知的合規性問題
• 以策略為基礎的合規執行
• 自動修復工作流程
• 持續監控威脅和有風險的使用者行為