フォーラム

FileVault-はいまたはいいえ

SRQrws

オリジナルポスター
2020年8月4日
  • 2020年8月12日
FileVaultを使用している人の数と、SSD、T2チップ、自動ログインが無効になっているMacで本当に必要かどうかについて知りたいです。私の質問は、ログインに常にパスワードを要求するように設定されていて、盗まれてアクセスされた場合に取り外すことができるプラッターHDDがない場合、FileVaultは本当に必要ですか? Time Machineのバックアップを外付けドライブで暗号化し、その理由を明確に理解しています。しかし、T2チップでは、誰かがMacを盗んでSSDを取り外した場合、そこからデータを取得できますか?これはここの専門家にとっては些細な質問かもしれませんが、私は誰の考えにも感謝します。 NS

hobowankenobi

2015年8月27日


固定電話さんスミス。
  • 2020年8月12日
公正な質問。答えは、全体的なセキュリティ構成、使用/移動/盗難のリスク、マシン上にあるもの(機密性)など、多くの変数に基づいて大きく異なると思います。

古き良き時代に戻って、あなたが正しく指摘しているように、TDMを介してドライブにアクセスするか、データにアクセスするためにドライブを取り外すことはかなり簡単でした。
OTOH ...ディスクを回転させている間、パフォーマンスの低下と初期暗号化時間は、それを暗号化しない正当な理由でした。

そのすべてが(少なくとも最近のMacでは)本質的になくなったので...古い習慣(賛成と反対の両方)を廃止する必要があります。

filevaultの使用を一時停止する唯一の理由は、学校の研究室や共有ワークステーションなどのマルチユーザーマシンであるためです。

それ...そして、一部のユーザーが単に自分のPWを忘れてしまうことへの恐れ、そしてそれは、ログイン資格情報を忘れただけの場合よりもはるかに大きな意味で、すべての人にとって苦痛になります。 NS

TrevorR90

2009年10月1日
  • 2020年8月14日
装着してもパフォーマンスが低下することはないと思います。これはセキュリティのもう1つの層であり、私が言ったように、それをオンにしても問題はありません。 NS

hobowankenobi

2015年8月27日
固定電話さんスミス。
  • 2020年8月14日
SSDとAPFSの両方の理由から、現在はパフォーマンスに影響はありません。それ だった 痛い....何年も前。古き良き時代からまだ口の中に悪い味がある人もいるかもしれません。
反応:thetillyt NS

thetillyt

2020年4月8日
  • 2020年8月14日
hobowankenobi氏は次のように述べています。SSDとAPFSの両方の理由から、現在はパフォーマンスに影響はありません。それ だった 痛い....何年も前。古き良き時代からまだ口の中に悪い味がある人もいるかもしれません。
オンにすると、パフォーマンスがかなり悪くなるのを覚えています...
反応:hobowankenobi

Boyd01

モデレータ
スタッフ
2012年2月21日
ニュージャージーパインバレンズ
  • 2020年8月14日
私は外部GPUを持っていませんが、Miniフォーラムで、filevaultを有効にすると、パスワードプロンプトは直接接続されたモニターにのみ表示されるという議論がありました。そのため、モニターがeGPUに接続されている場合、起動時にパスワードダイアログは表示されません。
反応:イェバブルマン

Apple_Robert

2012年9月21日
数冊の本の真ん中で。
  • 2020年8月14日
新しいマシンでは、FVがオンになっていることはわかりません。それはとてもシームレスです。オンにすることを強くお勧めします。

私は、遅い昔について話している以前の投稿に同意します。ラグは顕著で、大きなドライブを暗号化するには数日かかります。あの頃が終わってよかった。
反応:Photopooba

mj_

2017年5月18日
テキサス州オースティン
  • 2020年8月15日
SRQrwsは次のように述べています。しかし、T2チップを使用すると、誰かがMacを盗んでSSDを取り外した場合、そこからデータを取得できますか?
確かに、それはもはや不可能でしょう。ただし、FileVault2を無効にしてファイルにアクセスする方法はまだ複数あります。たとえば、ターゲットディスクモードで起動して、ドライブに完全にアクセスできます。 Macで外部ソースからの起動が有効になっている場合は、USBドライブから起動して、ドライブに完全にアクセスすることもできます。外部ソースからの起動が有効になっていませんか?大したことではありません。リカバリを起動し、ディスクユーティリティを使用して完全なコピーを作成するか、ターミナルを使用してユーザーのパスワードをリセットしてから、通常どおりMacを起動して、ドライブ上のすべてに完全にアクセスできます。

私が今考えていなかった方法はおそらくもっとあるでしょう。
反応:Leon1das

SRQrws

オリジナルポスター
2020年8月4日
  • 2020年8月15日
mj_は言った:確かに、それはもはや不可能だろう。ただし、FileVault2を無効にしてファイルにアクセスする方法はまだ複数あります。たとえば、ターゲットディスクモードで起動して、ドライブに完全にアクセスできます。 Macで外部ソースからの起動が有効になっている場合は、USBドライブから起動して、ドライブに完全にアクセスすることもできます。外部ソースからの起動が有効になっていませんか?大したことではありません。リカバリを起動し、ディスクユーティリティを使用して完全なコピーを作成するか、ターミナルを使用してユーザーのパスワードをリセットしてから、通常どおりMacを起動して、ドライブ上のすべてに完全にアクセスできます。

私が今考えていなかった方法はおそらくもっとあるでしょう。
詳細情報ありがとうございます。ログインパスワードを回避してデー​​タにアクセスする方法が複数あるとは思いもしませんでした。すべてのMacでFileVaultを有効にしました。

sgtaylor5

寄稿者
2017年8月6日
Cheney, WA, USA
  • 2020年8月21日
興味のあるポイント:この事実はT2チップを搭載した最新のMacBook Proとは関係がないことは知っていますが、最近、FVによって2013年後半のMBP(i5 / 8/256)が2〜3度暖かくなりました(一貫してHighでSierraとMojave、3000rpmに設定されたMacのファンコントロールと一時的なソースとしてCPUPECIを使用)

mj_

2017年5月18日
テキサス州オースティン
  • 2020年8月21日
これは、2013年のCPUが非常に古いため、迅速かつ効率的なオンザフライの暗号化解除と暗号化に必要なハードウェア復号化ロジック(AES-NI)がないため、通常のx86ALU実行ユニットを使用して実行する必要があります。私が理解している限り、AES-NIの古い実装は、AppleがFileVault2暗号化に使用する特定のアルゴリズムのサポートを欠いていますが、それについては引用しません。

AES-NIの最近の実装では、もはやその問題は発生しないはずです。
反応:cool11、sgtaylor5、Weaselboyと他の1人

sgtaylor5

寄稿者
2017年8月6日
Cheney, WA, USA
  • 2020年8月21日
その説明をありがとう。このスレッドにアクセスする他の人はそれを見たいと思うでしょう。

2013年のデバイスは、コンピューター業界でのみ古いと見なすことができました。私の人生の状況が正しくなり、現在のMacを5歳のときに半額で購入できるようになるまで、何十年もかかりました。大好きです;それは私にとって主力でした。
反応:Boyd01

avz

2018年10月7日
  • 2020年8月21日
sgtaylor5は言った:その説明をありがとう。このスレッドにアクセスする他の人はそれを見たいと思うでしょう。

2013年のデバイスは、コンピューター業界でのみ古いと見なすことができました。私の人生の状況が正しくなり、現在のMacを5歳のときに半額で購入できるようになるまで、何十年もかかりました。大好きです;それは私にとって主力でした。

両方のドライブ(HFS +オリジナルの5400rpmHDDのMavericksとAPFSSSDのMojave)の2008年後半のMacBookでFVを有効にしました。パフォーマンスの低下や温度の変化には気づきません。サーマルコンパウンドの交換と、マシン内部のほこりのクリーニング/バッテリーの交換を検討することをお勧めします。

sgtaylor5

寄稿者
2017年8月6日
Cheney, WA, USA
  • 2020年8月21日
ありがとう;私はすでに最初の2つの提案を行いましたが、これまでのところ、バッテリーは368サイクルで問題ありません。

BuffyzDead

2008年12月30日
  • 2020年8月21日
SRQrwsは次のように述べています。FileVaultを使用している人の数と、SSD、T2チップ、自動ログインが無効になっているMacで本当に必要かどうかについて知りたいです。私の質問は、ログインに常にパスワードを要求するように設定されていて、盗まれてアクセスされた場合に取り外すことができるプラッターHDDがない場合、FileVaultは本当に必要ですか? Time Machineのバックアップを外付けドライブで暗号化し、その理由を明確に理解しています。しかし、T2チップでは、誰かがMacを盗んでSSDを取り外した場合、そこからデータを取得できますか?これはここの専門家にとっては些細な質問かもしれませんが、私は誰の考えにも感謝します。

このタイムリーな記事は、すべての人が決定するためのより多くの光を当てるでしょう。

新しいMacでFileVaultとT2セキュリティチップがどのように連携するか

T2チップを搭載したMacは、常にドライブを暗号化します。なぜFileVaultが必要なのですか?
反応:ガンワニとスヴァンストロム

イェバブルマン

2010年5月20日
カリフォルニア州ロサンゼルス
  • 2020年8月21日
SRQrwsは次のように述べています。FileVaultを使用している人の数と、SSD、T2チップ、自動ログインが無効になっているMacで本当に必要かどうかについて知りたいです。私の質問は、ログインに常にパスワードを要求するように設定されていて、盗まれてアクセスされた場合に取り外すことができるプラッターHDDがない場合、FileVaultは本当に必要ですか? Time Machineのバックアップを外付けドライブで暗号化し、その理由を明確に理解しています。しかし、T2チップでは、誰かがMacを盗んでSSDを取り外した場合、そこからデータを取得できますか?これはここの専門家にとっては些細な質問かもしれませんが、私は誰の考えにも感謝します。

FileVault2が「必要」であることは主観的です。ビジネスをしている場合は、BitLockerやその他のWindowsフルディスク暗号化ソフトウェアパッケージとまったく同じ理由で必要になる可能性があります。それがあなただけで、Macに機密情報がない場合、それは個人的な好みの問題です。

あなたの質問に答えるために、「誰かがT2 MacでSSDを取り外すことができた場合、彼らはデータを取得することができますか?」、簡単な答えはノーです。

SSDは、2018年以降に導入されたMacBook Pro、MacBook Air、およびMac miniのメインロジックボードに統合(読み取り:はんだ付け)されているため、物理的にも不可能です。これらは、MacProおよびiMacProで技術的に完全に取り外し可能であり、4TBおよび8TB 2020 27'iMacで部分的に取り外し可能です(ドライブの一部はロジックボード上にあり、一部は2〜4 TB拡張モジュール内にあります) 。 T2はすべてのT2MacのSSDコントローラーであり、T2は工場でストレージとペアになっています。最初にペアリングされたT2Macのロジックボードからストレージモジュールを取り外すと、データは事実上失われます。

上で述べたように、Macでターゲットディスクモードを使用すると、パスワードを入力しなくてもファイルを取得できます。はい、データは常にT2 Macで暗号化されますが、ターゲットディスクモードがT2Macを別のMacにアクセスできるようにするための保護メカニズムはありません。

T2MacでFileVault2をオンにしても、ドライブは暗号化されません。ドライブはデフォルトですでに暗号化されています(オフスイッチはありません)。ターゲットディスクモードなどを介してドライブにアクセスするときに、キーまたはユーザー名とパスワードのいずれかを入力する必要があるという保護を関連付け(および適用)するだけです。ファームウェアパスワードを設定することにより、ドライブに対して同じ保護を機能的に有効にすることができます。ビジネス環境では、組織のFileVault2キーを使用してすべてのFileVault2キーを一元化されたデータベースにエスクローできるため、FileVault2の方がはるかに適しています。さらに、高レベルのIT従業員が会社を辞めたときに、すべてのMacのファームウェアパスワードを変更する必要がなくなります。

個人的には、私はFileVault2で最大ではありません。私はそれが不格好だと思います、そして、有効にされたとき、問題でMacを診断することをさらに難しくすることができる固有の癖があります。しかし、確かに、T2 Macでは、非常に迅速かつ簡単に作成されているため、実際に考える必要はありません。オンとオフを切り替えるのは瞬時であり、最終的にはT2以外のMacで発生するような影響はありません。

TrevorR90は、次のように述べています。これをオンにしても、パフォーマンスが低下することはないと思います。これはセキュリティのもう1つの層であり、私が言ったように、それをオンにしても問題はありません。

T2 Macでは、パフォーマンスにはまったく影響しません。 T2MacでFileVault2をオンにすると、FileVaultが既存のハードウェア暗号化に関連付けられます。

一方、T2より前のMacでは、FileVault 2を有効にするには、実際にドライブを暗号化する必要があり、ドライブのパフォーマンスが確実に低下します。ただし、スーパーディスクを多用するワークフローで安全なSSDでは、パフォーマンスの違いは目立ちません。カジュアルユーザーは、パフォーマンスの違いにまったく気付かないはずです。
反応:0279317とホボワンケノービ

mj_

2017年5月18日
テキサス州オースティン
  • 2020年8月22日
Yebubbleman氏は次のように述べています。一方、T2より前のMacでは、FileVault 2を有効にするには、実際にドライブを暗号化する必要があり、ドライブのパフォーマンスが低下することは間違いありません。ただし、スーパーディスクを多用するワークフローで安全なSSDでは、パフォーマンスの違いは目立ちません。カジュアルユーザーは、パフォーマンスの違いにまったく気付かないはずです。
素晴らしい点、私はそれについて言及するのを忘れました。私は、2017iMacのUSB3.2 Gen 1ケース(別名T2チップなし)内の外部Samsung 970EVOでベンチマークを実行しました。 FileVault2がないと、読み取りと書き込みの両方で950 MB / sを超える速度になります。 FileVault2を有効にすると、約650 MB / sの書き込みが約750MB / sの読み取りになります。したがって、ストレージのパフォーマンスに測定可能でありながら目立たない影響があります。
反応:hobowankenobiとBoyd01

cool11

2006年9月3日
  • 2020年12月2日
mj_によると:2013年のCPUは非常に古いため、迅速かつ効率的なオンザフライの復号化と暗号化に必要なハードウェア復号化ロジック(AES-NI)がないため、通常のx86ALU実行を使用して実行する必要があります。ユニット。私が理解している限り、AES-NIの古い実装は、AppleがFileVault2暗号化に使用する特定のアルゴリズムのサポートを欠いていますが、それについては引用しません。

AES-NIの最近の実装では、もはやその問題は発生しないはずです。

それで、2013年後半に私のmbp 15 'でfilevaultをオンにするのは苦痛でしょうか?

私はまだ、filevaultがユーザーに何を提供できるかを実際には理解していません。

私は、暗号化されたdmgイメージで、すべての貴重な/プライベートデータを持っていました。
そこから何かが必要なときに開きます。まれなものもあれば、毎日のものもあります。
私はそれがおそらく最高の暗号化ツールであるとは言いませんが、何もないよりはましです。

しかし、それでも、古いまたは新しいMacでは、長所と短所を測定することはできません。

mj_

2017年5月18日
テキサス州オースティン
  • 2020年12月2日
特定の場合におけるFileVaultの最大の利点は、暗号化されたディスクイメージをいじくり回す必要がないことです。ブラウザの履歴、ローカルキャッシュ、サムネイルなど、ドライブ全体が暗号化されます。すべて。暗号化されたディスクイメージを処理するよりもはるかに安全で、最も重要なこととして、はるかに簡単でスムーズです。
反応:ほぼわんけのびとcool11

cool11

2006年9月3日
  • 2020年12月3日
実際には、Filevaultはどのように機能しますか?
つまり、技術的な意味ではなく、ユーザーとの日常的なやり取りです。
「セキュリティ」パネルでのチェック以外に、他に何をすべきですか?
そして実際には、私は何を得るのですか? mbpが盗まれた場合、または突然修理サービスに送信する必要がある場合、データは安全で暗号化されていますか?暗号化されたdmgを扱う以上のものですか?
それとも、データの実際のセキュリティという点ではかなり同等ですか? NS

hobowankenobi

2015年8月27日
固定電話さんスミス。
  • 2020年12月3日
cool11は言った:実際的な方法で、Filevaultはどのように機能しますか?
つまり、技術的な意味ではなく、ユーザーとの日常的なやり取りです。
「セキュリティ」パネルでのチェック以外に、他に何をすべきですか?
そして実際には、私は何を得るのですか? mbpが盗まれた場合、または突然修理サービスに送信する必要がある場合、データは安全で暗号化されていますか?暗号化されたdmgを扱う以上のものですか?
それとも、データの実際のセキュリティという点ではかなり同等ですか?
はい。ドライブは暗号化されているため、PWが入力されるまで、データは利用できません。つまり...マシンが盗まれた場合、アクセスを取得する簡単な方法は、ログインしてスリープ解除することだけでした。スリープ時の自動ログアウト(および蓋を閉じる)を無効にしないと仮定すると、非常にまれなシナリオです。ログインして起きている間にどういうわけかマシンを盗むことができたとしても、マシンをスリープさせないように細心の注意を払う必要があり、PWに簡単にアクセスしたり変更したりすることはできませんでした。

前述のように、常にオンになっているため、ユーザーが行うことは何もありません。すべてのデータと情報は100%安全です。

私が見ることができた唯一の欠点は、ユーザーがログインしているときにマシンが何らかの形でハッキングされた場合、ハッカーが開いてログインしているMacに完全にアクセスできると仮定すると、データが表示またはコピーされる可能性があることです。リモート管理者アクセスを許可するMacのハッキングがほとんどなかったことを考えると、盗まれる可能性は非常にわずかです。そして一般的に言えば、OSとセキュリティ機能が成熟するにつれて、セキュリティは毎年向上します。ちょうど最後の2〜3回のOSアップデートで、Macのセキュリティが大幅に向上したため、リモートの攻撃者が制御を奪う可能性は低くなり続けていますが、物理的な盗難は相変わらず危険です。

はい、マシンが修理のために送られ、管理者/復号化PWが与えられた場合、データはスヌーパーが利用できます。それを難し​​くする簡単な方法の1つは、別のPWを使用して2番目の管理者アカウントを作成することです。そのため、技術者はプライマリアカウントに簡単にログインできません。それはスヌーピングを拒否し、パーミッションを変更するためのかなり深刻な作業でのみデータにアクセスできます。スヌーパーが行う以上のこと...深刻なハッキング/盗難のみが試みられます。最終編集日:2020年12月3日
反応:cool11

cool11

2006年9月3日
  • 2020年12月4日
Filevaultのパスワード、ログインパスワードと同じですか?

ユーザーが自分のマシンを公式のアップル修理センターに送ったときに、アップルはそのようなパスワードを与える必要がありますか? NS

hobowankenobi

2015年8月27日
固定電話さんスミス。
  • 2020年12月4日
cool11は言った:Filevaultパスワード、ログインパスワードと同じですか?

ユーザーが自分のマシンを公式のアップル修理センターに送ったときに、アップルはそのようなパスワードを与える必要がありますか?
はい、同じPWです。他に何もすることも覚えることもありません。

ドライブを復号化してログインできるのは、有効になっているユーザーのみです 。そうです、技術者がログインする必要がある場合は、PWを提供する必要があります。有効になっている場合は、別のアカウントである可能性があります。
反応:cool11

ジャクル

2021年1月12日
  • 2021年1月12日
Apple_Robertによると:新しいマシンでは、FVがオンになっていることはわかりません。それはとてもシームレスです。オンにすることを強くお勧めします。
最初の文であなたが何を意味しているのか完全にはわかりません。パフォーマンスの低下に気付かないという意味で、私は同意します。ただし、FVがオンになっているかどうかはわかりますが、

diskutilapfsリスト

また、ボリュームごとにFileVaultステータスが一覧表示されます

Apple_Robert

2012年9月21日
数冊の本の真ん中で。
  • 2021年1月12日
ジャクルは言った:あなたが最初の文で何を意味しているのか完全にはわからない。パフォーマンスの低下に気付かないという意味で、私は同意します。ただし、FVがオンになっているかどうかはわかりますが、

diskutilapfsリスト

また、ボリュームごとにFileVaultステータスが一覧表示されます
わからないということで、パフォーマンスの低下について言及していました。
反応:ジャクル
  • 1
  • 2
  • 3
  • 4

ページに移動

行け 最後