Maksimere FileVault-sikkerhet ved å ødelegge nøkkeloppbevaring i ventemodus
Standby-modus er en strømsparingsfunksjon som automatisk dvales en Mac etter at den har vært i hvilemodus en stund, noe som gjør det ytterligere å redusere drenering på batteriet. Når en Mac som bruker FileVault-kryptering, er plassert i ventemodus, blir en FileVault-nøkkel (ja, denne nøkkelen kryptert) lagret i EFI (fastvare) slik at den raskt kan komme seg ut av ventemodus når den er våknet fra dyp søvn. For 99% av brukerne, betyr det ikke noe, og det er ingen sikkerhetsproblemer, men for de som er opptatt av absolutt maksimal sikkerhet og beskyttelse av en Mac fra noen uvanlige aggressive angrep (dvs. spionasjenivå), kan du angi OS X for å automatisk ødelegge det FileVault-nøkkelen når den er plassert i strømsparingsmodus, slik at den lagrede nøkkelen ikke er et potensielt svakt punkt eller angrepsmål.
Ved å aktivere denne innstillingen, må FileVault-brukere angi sitt FileVault-passord når en Mac er våknet fra standby-modus, fordi FV-tasten ikke lenger er lagret for rask oppvåkning. Det er ikke noe ulempe, men det reduserer waking fra dyp søvn litt, og det krever at brukeren skal inngå et ekstra nivå av godkjenning utover standardlåsen og innloggingsfunksjonene før Macen blir brukbar igjen.
Øk FileVault-sikkerhet ved å ødelegge FileVault-tastene i standby-modus
Denne kommandoen må legges inn i Terminal, funnet i / Programmer / Verktøy /
pmset -a destroyfvkeyonstandby 1
- Et flagg gjelder innstillingen til alle strømprofiler, noe som betyr både batteri og lader.
Hvis du finner denne funksjonen unødvendig eller frustrerende, kan den enkelt reverseres ved å sette 1 til en 0 og bruke kommandoen på nytt som følger:
pmset -a destroyfvkeyonstandby 0
Merk at, avhengig av de aktive brukerkontrollrettighetene, må du kanskje prefikse begge disse kommandoene med sudo for at de skal kunne utføres fra superbruker, slik at kommandoene vil være som følger:
Aktiverer FileVault Nøkkel Destruction
sudo pmset -a destroyfvkeyonstandby 1
Deaktivering av FileVault Nøkkel Destruction
sudo pmset -a destroyfvkeyonstandby 0
Du kan alltid sjekke innstillingene for pmset for å se om dette er aktivert eller deaktivert ved å bruke følgende kommando:
pmset -g
Ganske vist er dette litt teknisk og litt ekstremt, og vil dermed ikke gjelde for de aller fleste Mac-brukere. Likevel, for de i sensitive sikkerhetsmiljøer, de som har svært sensitive data lagret på sine datamaskiner, eller til og med for personer som ønsker det ytterste i personlig sikkerhet, er dette et svært verdifullt alternativ og bør vurderes dersom avstanden av en langsommere vekketid er verdt den ekstra sikkerhetsfordelen.
Som alltid med FileVault, ikke glem passordet, ellers vil alt innhold på Macen bli utilgjengelig permanent fordi krypteringsnivået er så sterkt at nesten ingenting kan overvinne det i en menneskelig tidsskala. Hvis du er ny i FileVault og konseptet med fulldiskkryptering, må du sørge for å sette den opp riktig, og tap aldri FileVault-gjenopprettingsnøkkelen.
For mye mer teknisk informasjon om dette emnet, har Apple en utmerket FileVault distribusjonsguide tilgjengelig i PDF-format.