Om du driver ett företag på Mac (och många företag gör det) så bör du bekanta dig med FileVault, diskkrypteringssystemet inbyggt i macOS. När det används på rätt sätt gör det det extremt svårt för alla illvilliga personer att komma åt ditt företags känsliga data om din Mac tappas bort eller blir stulen.
Vad är problemet som FileVault försöker lösa?
De flesta företag har olika former av känsliga uppgifter. Detta kan inkludera företags- eller leverantörsdata, konfidentiella orderböcker, finansiella register, kontaktnamn och adresser med mera. Den informationen har affärsvärde, men om den äventyras kan den också utsätta dig, dina anställda eller dina kunder i riskzonen. I många branscher är skyddet av sådan information obligatoriskt och lagstadgat.
Apples FileVault gör det mycket svårare för obehöriga användare att extrahera den här typen av data från företagets Mac-datorer. Det gör det genom att kryptera data på Mac och dekryptera det bara när en korrekt inloggning används. FileVault krypterar och dekrypterar data i bakgrunden, så att systemet kan användas medan det gör det.
Vad är FileVault?
Apple introducerade FileVault 2005 med Mac OS X Panther (10.3). På den tiden skyddade den bara en användares hemmapp. Tekniken har utvecklats sedan dess och erbjuder nu XTS-AES 128-datakryptering för hela enheten, skyddad av en 256-bitars nyckel.
När det kommer till affärer kan IT hantera FileVault med de flesta tillgängliga konsoler och MDM-system. När en Mac är skyddad av FileVault kan ingen komma åt dess data om de inte har FileVault-dekrypteringsnyckeln eller användarkontouppgifter.
Den nuvarande implementeringen av FileVault är tillgänglig på de senaste Intel- och Apple Silicon Mac-datorerna.
Hur man aktiverar FileVault
FileVault är inte aktiverat som standard.
För att aktivera det måste du vara en Administratör på din Mac. Om så är fallet kan du öppna och kontrollera fliken.
Du får två alternativ: skydda Mac med ditt iCloud-konto och lösenord, eller använd en återställningsnyckel. Det första alternativet är bra för personliga användare, men de flesta företag kommer förmodligen att använda en återställningsnyckel.
Det är mycket viktigt att skriva ner ditt inloggningslösenord och återställningsnyckeln som genereras när du aktiverar FileVault. Detta beror på att om du glömmer båda kommer all data på din Mac inte att vara tillgänglig för dig. Ett skydd här är att konsolbaserade MDM-baserade system kan tilldela nya nycklar på distans.
OBS: När du väl har aktiverat FileVault kan du inte inaktivera det förrän den första fullständiga krypteringen har utförts. Den första krypteringen kan ta tid, beroende på hur mycket information du har på din Mac. Senare, om lösenfrasen eller återställningsnyckeln ändras, måste hela volymen dekrypteras och krypteras på nytt.
Känn dina gränser
Det är oerhört viktigt att notera att en enskild användare som inte kan komma ihåg sitt lösenord eller återställningsnyckel aldrig kommer att kunna komma åt dessa data, eftersom de så småningom kommer att behöva ta bort och installera om macOS.
Ett företag som använder ett modernt MDM-system för att hantera sina Mac-datorer kan dock även tilldela institutionella återställningsnycklar som kan hanteras och lagras från MDM-konsolen. Detta är användbart eftersom det betyder att om en användare glömmer sitt lösenord kan IT-avdelningen använda återställningsnyckeln för att återställa FileVault och tilldela ett nytt lösenord så att de kan komma in igen.
Vad du ska tänka på när du skapar lösenord
Företag bör överväga en lösenordspolicy för FileVault-volymer. En generalisering är att längre lösenkoder är säkrare lösenkoder (så länge de inte är 12345678910), men det är också viktigt att överväga lösenkodsrotationsprogram och alfanumeriska koder. Enligt min erfarenhet är utmaningen med FileVault-återställningsnyckeln att eftersom den används sällan är det väldigt lätt att glömma koden. Detta är kod som måste skrivas ner och låsas in någonstans, även om du använder en införlivande chiffer för att säkra den skrivna nyckeln.
[Also read: How to stay as private as possible on the Mac]
Vissa Mac-datorer krypterar redan
Mac-datorer utrustade med ett Apple T2 Security-chip krypterar redan data automatiskt. Det är fortfarande värt att använda FileVault med dessa system, eftersom det förbättrar det inneboende skyddet genom att kräva ditt inloggningslösenord för att dekryptera dina data.
Apple har en lista över Mac-datorer som använder säkerhetschippet T2 här.
Ska alla dina Mac-datorer skyddas av FileVault?
Som en allmän regel bör alla Mac-datorer som transporterar eller kommer åt personlig eller känslig affärsdata använda FileVault-kryptering.
Vilka är konsekvenserna av att använda FileVault?
Bortsett från fullständig dataförlust om du glömmer dina lösenord och förlorar åtkomst till din Mac, är det största negativa resultatet av att använda FileVault att I/O-prestanda ibland kan bli lidande.
Vad kan jag använda istället för FileVault?
Även om FileVault har den stora fördelen att vara inbyggt i Mac, kanske vissa företag föredrar att använda alternativa lösningar som t.ex VeraCrypt.
Var kan jag få mer information om FileVault?
Apples nuvarande råd om att använda FileVault på macOS Monterey är tillgänglig här.
