今天看到群组小伙伴讨论这个,就想起来了多年前做的笔记,找了下没找到,已经不懂现在躺在那块硬盘里吃灰,算了,让它继续躺着吧,最近事情有点多,公众号都没时间更新……。本篇直接使用的Apple官方文档,针对"Mac文件保险箱"和"Mac时间机器",以及自行外延了一点小知识做个小结科普,感兴趣的可以自行去Apple官网查看---【蘇小沐】
1
(一)
Mac文件保险箱
搭载 Apple 芯片或 Apple T2 安全芯片的 Mac数据已自动加密!!!
搭载 Apple 芯片或 Apple T2 安全芯片的 Mac数据已自动加密!!!
搭载 Apple 芯片或 Apple T2 安全芯片的 Mac数据已自动加密!!!
打开文件保险箱可防止他人在未输入登录密码的情况下解密或访问你的数据,以提供一层额外的安全保护。如果 Mac 未搭载 Apple 芯片或 T2 芯片,需要手动打开文件保险箱以加密数据。
1
文件保险箱介绍
Mac 电脑会提供文件保险箱,这是一项内建加密功能,用于保护所有静态数据安全。文件保险箱使用<font color='red'> AES-XTS</font> 数据加密算法保护内部和可移除储存设备上的完整宗卷。
搭载 Apple 芯片的 Mac 上的文件保险箱会通过使用宗卷密钥的数据保护 C 类来实施。在搭载 Apple 芯片的 Mac 电脑和搭载 Apple T2 安全芯片的 Mac 电脑上,直接连接到安全隔区的加密内部储存设备会使用安全隔区的硬件安全性功能和 AES 引擎的功能。用户在 Mac 上启用文件保险箱后,启动过程中将需要其凭证。
Windows操作系统中也使用了一种加密算法来保护静态数据安全,那就是:EFS(Encrypting File System,加密文件系统),基于公钥密码策略,是Windows 2000/XP及之后的版本所特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接被操作系统加密保存,在很大程度上提高了数据的安全性。
2
文件保险箱已打开的内部储存设备
如果没有有效的登录凭证或加密恢复密钥,即使物理储存设备被移除并连接到其他电脑,内置 APFS 宗卷仍保持加密状态,以防止未经授权的访问。在 macOS 10.15 中,此类宗卷同时包括系统宗卷和数据宗卷。在 macOS 11 或更高版本中,系统宗卷通过签名系统宗卷 (SSV) 功能进行保护,而数据宗卷仍通过加密进行保护。搭载 Apple 芯片或 T2 芯片的 Mac 电脑通过构建和管理密钥层级实施内部宗卷加密。加密还建立在特定芯片内建的硬件加密技术基础上。此密钥层级的设计旨在同时实现四个目标:
- 请求用户密码用于解密
- 保护系统免受针对从 Mac 上移除的储存媒介的直接暴力破解攻击
- 提供快速擦除内容的安全方法,即通过删除必要的加密材料
- 让用户无需重新加密整个宗卷即可更改其密码(同时也会更改用于保护其文件的加密密钥)
在搭载 Apple 芯片的 Mac 以及搭载 T2 芯片的 Mac 上,所有文件保险箱密钥的处理都发生在安全隔区中;加密密钥绝不会直接透露给 Intel CPU。所有 APFS 宗卷默认使用宗卷加密密钥创建。宗卷和元数据内容使用此宗卷加密密钥加密,此宗卷加密密钥使用类密钥封装。文件保险箱启用时,类密钥受用户密码和硬件 UID 共同保护。
3
文件保险箱已关闭的内部储存设备
如果稍后启用了文件保险箱(由于数据已加密,该过程可立即完成),反重放机制会阻止旧密钥(仅基于硬件 UID)被用于解密宗卷。然后宗卷将受用户密码和硬件 UID 共同保护(如前文所述)。
【这一步的操作让我想起了Windows中自动加密BitLocker的骚操作:【加解密篇】电子数据分析之特殊的自加密BitLocker解密 】
▲ 【加解密篇】电子数据分析之特殊的自加密BitLocker解密
2
(二)
在Mac上打开文件保险箱
1
打开文件保险箱
2
忘记密码Mac文件保险箱密码
3
(三)
在Mac上关闭文件保险箱
4
(四)
使用"时间机器"备份您的 Mac
了解如何在 Mac 上创建文件的备份。
使用 Mac 的内建备份功能"时间机器"自动备份您的个人数据,包括 App、音乐、照片、电子邮件和文稿。拥有备份能让您恢复因 Mac 中的硬盘(或 SSD)需要抹掉或更换而删除或丢失的文件。
1
创建"时间机器"备份
要使用"时间机器"创建备份,您只需一个外置储存设备。连接储存设备并选择它作为您的备份磁盘后,"时间机器"会自动制作过去 24 小时的每小时备份、过去一个月的每天备份以及之前所有月份的每周备份。如果备份磁盘已满,则最早的备份会被删除。
2
连接外置储存设备
连接以下其中一种外置储存设备。
- 连接到 Mac 的外置驱动器,例如 USB 或雷雳驱动器
- 支持通过 SMB 进行"时间机器"备份的联网储存 (NAS) 设备
- 共享为"时间机器"备份目标位置的 Mac
- AirPort 时间返回舱,或连接到 AirPort 时间返回舱或 AirPort Extreme 基站 (802.11ac) 的外置驱动器
3
选择储存设备作为备份磁盘
1)从菜单栏的"时间机器"菜单中打开"时间机器"偏好设置。或者选取苹果菜单 >"系统偏好设置",然后点按"时间机器"。
2)点按"选择备份磁盘"。
从可用磁盘列表中选择您的备份磁盘。为了使您的备份仅供拥有备份密码的用户访问,您可以选择"加密备份"。然后点按"使用磁盘":
如果您选择的磁盘没有按照"时间机器"的要求进行格式化,系统会提示您先抹掉磁盘。点按"抹掉"以继续操作。这样操作会抹掉备份磁盘上的所有信息。
|
记录 |
|
开始编辑:2024年 04月 09日 |
|
|
END
原文始发于微信公众号(DFIR蘇小沐):【Mac取证篇】macOS取证注意事项
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论