Что такое шифрование диска FileVault и как его включить на Mac?

В 2023 году предприятия по всему миру потеряли в среднем 4.45 млн долларов США из-за утечек данных, что на 15% больше, чем в 2020 году.^[1] Потеря данных представляет собой серьезную проблему для малого бизнеса и крупных предприятий, и защита конфиденциальных данных больше не является необязательной.

Резервное копирование данных на зашифрованные жесткие диски или флэш-накопители добавляет дополнительный уровень безопасности. Это гарантирует вам возможность восстановления, если ваша система когда-либо будет скомпрометирована. Шифрование также обеспечивает безопасность ваших резервных дисков, блокируя несанкционированный доступ в случае их утери или кражи.

Вот где в игру вступает шифрование диска FileVault. Оно защищает ваши устройства Mac, шифруя весь диск. Хотя шифрование важно, эффективное управление FileVault в соответствии с потребностями вашего бизнеса также необходимо. Вот где решение UEM, такое как Scalefusion, имеет значение.

Это больше, чем просто руководство; это ресурс по безопасности, разработанный для ИТ-команд, которые хотят обеспечить соответствие требованиям в масштабе с помощью шифрования дисков FileVault. Вы также узнаете, как включить и управлять FileVault на устройствах macOS с помощью Scalefusion UEM.

Что такое шифрование диска FileVault на Mac?

Шифрование диска FileVault для устройств Mac — встроенная функция безопасности данных Apple, доступная в macOS версии 10.3 и выше. Эта функция работает в фоновом режиме, автоматизируя шифрование диска. FileVault предотвращает несанкционированный доступ к данным и документам, хранящимся на диске, путем шифрования диска и требует ключа восстановления для доступа к зашифрованным данным.

Шифрование диска FileVault: плюсы и минусы

FileVault гарантирует, что только авторизованные пользователи с правильным паролем или ключом восстановления смогут получить доступ к данным. Это мощный инструмент безопасности, особенно для защиты конфиденциальной информации на утерянных или украденных устройствах. Однако, как и любая функция безопасности, FileVault имеет как преимущества, так и потенциальные недостатки, которые пользователи и компании должны учитывать.

Преимущества использования шифрования FileVault на Mac

1. Надежная безопасность

• Шифрует весь ваш диск с помощью Шифрование XTS-AES-128 с 256-битным ключом.
• Защищает ваши данные в случае потери, кражи или получения несанкционированного доступа к вашему Mac.

2. Встроенный и бесплатный

• Он поставляется с предустановленной macOS, поэтому никакого дополнительного программного обеспечения или затрат не требуется.
• Полная интеграция с такими функциями macOS, как ICloud и варианты восстановления.

3. Соблюдение правил

• Помогает компаниям соблюдать законы о защите данных, такие как HIPAA, GDPR, PCI DSS и ISO 27001, которые требуют шифрования при хранении.

4. Поддерживает безопасные варианты восстановления

• Предлагает восстановление через ICloud или Восстановление ключей, чтобы вы могли восстановить доступ, если забудете пароль.

5. Необходим для BYOD и удаленной работы

• Обеспечивает защиту конфиденциальных данных компании даже устройства, принадлежащие сотрудникам или удаленные устройства.

Минусы использования шифрования FileVault на Mac

1. Риск потери данных в случае утери ключей

• Если вы забудете свой пароль и потеряете ключ восстановления, ваши данные навсегда станут недоступны. Без одного из них расшифровать их невозможно.

2. Начальное время шифрования

• При первом включении FileVault необходимо зашифровать весь диск, что может занять несколько часов (хотя в это время вы все еще можете пользоваться Mac).

3. Незначительное снижение производительности на старых компьютерах Mac

• На старых компьютерах Mac с вращающимися жесткими дисками (HDD) пользователи могут заметить более медленную загрузку и доступ к файлам.

4. Сложности в многопользовательских настройках

• Для доступа к FileVault необходимо отдельно включать каждую учетную запись пользователя, что может вызвать путаницу в средах с общими устройствами.

5. Проблема управления ключами восстановления

• В личных настройках надежное хранение ключа восстановления — сложная задача. В корпоративных настройках лучше всего с этим справится UEM, например Scalefusion, чтобы избежать потери ключа.

Как включить FileVault на Mac?

Защита вашего Mac с помощью FileVault — это не ракетостроение. Выполните следующие шаги, чтобы зашифровать диск и защитить данные:

1. Откройте системные настройки.

• Нажмите Меню Apple в верхнем левом углу экрана.
• Выберите Настройки системы из выпадающего списка.
  (Если вы используете более старую версию macOS, это может называться «Системные настройки».)

2. Перейдите в раздел «Конфиденциальность и безопасность».

• На левой боковой панели прокрутите вниз и выберите Приватность и Защита.
• Справа вы увидите различные параметры безопасности.

3. Включите FileVault

• Прокрутите вниз, пока не найдете FileVault.
• Нажмите "Включать…" чтобы начать процесс.

4. Выберите вариант восстановления

• macOS предложит вам выбрать метод восстановления. Это важно на случай, если вы забудете свой пароль.
  
  • Используйте свою учетную запись iCloud: Вы можете разблокировать свой диск, используя свой Apple ID.
  • Создать ключ восстановления: macOS сгенерирует уникальный ключ. Обязательно запишите его и сохраните в безопасном месте. Если вы его потеряете, вы не сможете восстановить свои данные.

5. Перезагрузите компьютер, чтобы начать шифрование.

• Вы можете продолжать пользоваться своим Mac, пока идет шифрование, хотя этот процесс может занять несколько часов в зависимости от размера вашего диска.
• После подтверждения варианта восстановления ваш Mac предложит вам перезагрузиться.
• После перезапуска, Начнется шифрование FileVault автоматически в фоновом режиме.

Примечание: если у вас Mac с процессором Apple Silicon или чипом безопасности Apple T2, ваши данные шифруются автоматически.[2]

Советы по безопасному использованию FileVault

• Всегда храните ключ восстановления в надежном месте. Рассмотрите возможность использования менеджера паролей или физического сейфа. Никогда не оставляйте его в виде открытого текста на компьютере.
• FileVault настоятельно рекомендуется для ноутбуков и портативных устройств, которые подвергаются повышенному риску потери или кражи.
• Если вы управляете несколькими компьютерами Mac в компании, рассмотрите возможность использования решения UEM, например Scalefusion, для массового включения FileVault и централизованного управления ключами восстановления.
• Проверьте статус шифрования в любое время, вернувшись в Настройки системы > Конфиденциальность и безопасность > FileVault.

Читайте также: Безопасность Mac для предприятий: экспертные стратегии, которые работают

Как включить шифрование диска FileVault на устройствах macOS с помощью Scalefusion UEM

Администраторы могут настроить и распространить политику FileVault на все Устройства MacOS под управлением Scalefusion следуя инструкциям ниже: 

Шаг 1. Нажмите 'Профили устройств' под 'Профили устройств и Политика" вкладка на панели инструментов Scalefusion.

Шаг 2. Нажмите кнопку 'Создать новый профиль' в правом верхнем углу, чтобы создать новый профиль устройства MacOS или отредактировать существующий. 

Шаг 3.  Щелкните раздел FileVault и переключитеВключите FileVault' опция для включения FileVault на управляемых устройствах. Настройте следующие параметры в соответствии с требованиями:

1. Включить FileVault: Этот параметр включает FileVault, и жесткий диск будет шифроваться в фоновом режиме. 

2. Тип ключа восстановления: ИТ-администраторы могут выбрать тип ключа, который будет использоваться для шифрования или дешифрования диска. Можно применить три типа ключей восстановления: 

• Персональный ключ восстановления (PRK): выберите этот параметр, чтобы применить только PRK.
• Институциональный ключ восстановления (IRK): выберите этот параметр, чтобы применить только IRK.
• Институциональный ключ восстановления и Персональный ключ восстановления (IRK И PRK): выберите это, чтобы применить как PRK, так и IRK. 

3. Загрузить ключ институционального восстановления: ИТ-администраторы должны загрузить файл .cer, .p12 или .pem, который будет использоваться в качестве ключа восстановления, если они выберут IRK, PRK или IRK и PRK в качестве типа ключа восстановления. Кроме того, администраторы должны ввести пароль, если файл защищен паролем. 
   
4. Предложить пользователю включить FileVault: Администраторы могут выбрать, когда показывать конечным пользователям запрос с паролем для включения FileVault на управляемых устройствах. Возможные варианты: 

• Вход и выход: при входе и выходе будет отображаться запрос.
• Вход: Подсказка будет показана только при входе в систему.
• Выход из системы: запрос будет показан только при выходе из системы.

5. Макс. попытка обхода: ИТ-команды могут выбрать, сколько раз пользователь может пропустить запрос на включение FileVault перед входом в устройство.   

6. Разрешить пользователям отключать FileVault: Включите эту опцию, чтобы пользователи могли отключать FileVault после шифрования диска. Пользователь не может отключить FileVault, если этот параметр отключен. 

Шаг 5. Проверьте статус FileVault

1. На панели инструментов Scalefusion 

• Перейдите кАппараты' и выберите представление для 'Устройства macOS' для просмотра статуса шифрования. 

• Нажмите на имя устройства, перейдите к значку настроек в правом верхнем углу и нажмите «Полная информация об устройстве', чтобы просмотреть сведения об устройстве. 

2. На устройстве Mac 

• После применения политики FileVault к устройству пользователю будет предложено включить FileVault при входе в систему или выходе из нее. 

• После включения FileVault при переходе пользователя на вкладку FileVault в разделе «Системные настройки» в разделе «Безопасность и конфиденциальность» отображается следующее. 

Подробнее: Полное шифрование диска с помощью FileVault

Ручная настройка FileVault против управления FileVault с помощью Scalefusion UEM

Особенность	Ручная настройка (настройки macOS)	С Scalefusion UEM
Процесс включения	Пользователь должен вручную включить эту функцию на каждом устройстве.	Централизованно передается на все устройства с помощью политики
Массовое развертывание	❌ Не поддерживается	✅ Включите FileVault на сотнях или тысячах компьютеров Mac за один раз
Вовлечение пользователей	Требуется ввод данных пользователем на каждом Mac	Тихое развертывание или время запроса, контролируемое администратором
Управление ключами восстановления	Пользователь должен хранить ключ восстановления вручную (высокий риск потери)	Ключи надежно хранятся на панели управления Scalefusion
Обеспечение соблюдения требований	Нет централизованного управления; пользователи могут отключить FileVault	Администраторы могут применять FileVault и предотвращать несанкционированный доступ
Видимость и мониторинг	Нет централизованного представления о том, какие устройства зашифрованы	Статус шифрования в реальном времени на панели управления Scalefusion
Настройка Zero-Touch	❌ Недоступно	✅ Поддерживается как часть первоначальной настройки устройства
Многопользовательская конфигурация	Каждый пользователь должен быть добавлен индивидуально.	Администраторы могут настраивать доступ для всех пользователей с помощью политики.
Готовность к аудиту	Требуется ручная проверка	Автоматизированная отчетность для аудитов и проверок соответствия
Best For	Частные лица, фрилансеры	Предприятия, ИТ-отделы, регулируемые отрасли

Почему лучше использовать Scalefusion UEM для включения FileVault на устройствах Mac

В то время как FileVault мощный собственный инструмент шифрования на Mac, управление им вручную на нескольких устройствах может стать сложным и трудоемким, особенно в бизнес-средах. Вот где Scalefusion UEM добавляет реальную ценность. Централизованно управляя настройками FileVault через Scalefusion, ИТ-отделы могут оптимизировать принудительное шифрование, безопасно управлять ключами восстановления и обеспечивать соответствие требованиям всей компании, и все это без ручных усилий на каждом устройстве. Он предлагает масштабируемый, безопасный и эффективный способ защиты данных на всем вашем Mac-флеt.

1. Массовая поддержка всех устройств

• Включите шифрование FileVault на сотнях или даже тысячах компьютеров Mac одновременно.
• Идеально подходит для организаций, внедряющих политики безопасности в масштабах всей компании или быстро набирающих новых сотрудников.
• Нет необходимости в ручной настройке или вмешательстве пользователя; шифрование применяется автоматически как часть политики устройства.

2. Централизованное и удаленное управление

• Управляйте и отслеживайте состояние FileVault удаленно через панель управления Scalefusion.
• Администраторы могут применять политики шифрования, не прикасаясь к устройству, даже для удаленных или гибридных сотрудников.

3. Обеспечение соблюдения и соблюдения политики

• Убедитесь, что FileVault остается включенным и защищенным от несанкционированного доступа, а конечные пользователи не могут отключить его.
• Помогает компаниям соблюдать стандарты безопасности и правила конфиденциальности, такие как HIPAA, GDPR, ISO 27001 и другие.

4. Безопасное управление ключами восстановления

• Автоматически безопасно сохраняйте ключи восстановления в консоли Scalefusion.
• Администраторы могут легко извлечь ключи во время блокировки или восстановления устройства, что исключает риск потери ключей.

5. Развертывание без участия оператора

• Активируйте FileVault автоматически во время первоначальной настройки устройства (Развертывание без участия пользователя для Mac).
• Гарантирует шифрование каждого компьютера Mac с первого дня, еще до сохранения каких-либо конфиденциальных данных.

6. Отчетность и аудит соответствия

• Получайте доступ к отчетам в реальном времени, отображающим состояние FileVault на всех управляемых компьютерах Mac.
• Быстро демонстрируйте соответствие требованиям с помощью автоматизированного мониторинга во время внутренних проверок или внешних аудитов безопасности.
• Придерживается принципа конфиденциальности триады безопасности и Рекомендации Национального института стандартов и технологий (NIST)

7. Снижение риска при работе по принципу BYOD и гибридной работе

• Убедитесь, что даже принадлежащие сотрудникам или удаленные компьютеры Mac, которые обращаются к корпоративным данным, зашифрованы и защищены.
• Защищает от утечек данных в современных моделях BYOD и работы из любого места.

Упростите управление FileVault с помощью Scalefusion UEM

Защита данных на ваших устройствах Mac становится проще и надежнее с Scalefusion. Объединяя мощное шифрование FileVault с Scalefusion Мак МДМ Простые в использовании инструменты управления помогут вашей ИТ-отделу защитить данные компании, предотвратить несанкционированный доступ и обеспечить соответствие стандартам безопасности — и все это без ручного труда.

Свяжитесь с нашими экспертами, чтобы заказать бесплатную демо-версию и выбрать 14-дневная бесплатная пробная версия прямо сейчас 

Ссылка:

1. Безопасные данные

Часто задаваемые вопросы