通过在待机模式下破坏密钥存储来最大化 FileVault 安全性

最高 FileVault 安全性 FileVault 加密的 Mac 进入待机模式时,会存储一个 FileVault 密钥(是的,此密钥已加密)在 EFI(固件)中,以便在从深度睡眠中唤醒时可以快速退出待机模式。对于 99% 的用户来说,这无关紧要,也不是安全问题,但对于那些关心绝对最大安全性和保护 Mac 免受一些异常攻击(即间谍级别)的用户,您可以将 OS X 设置为自动销毁它FileVault 密钥处于省电待机模式时,可防止存储的密钥成为潜在的弱点或攻击目标。

启用此设置后,当 Mac 从待机模式唤醒时,FileVault 用户必须输入其 FileVault 密码,因为不再存储用于快速唤醒的 FV 密钥。几乎没有什么不便,但它确实会稍微减慢从深度睡眠中醒来的速度,并且它确实需要用户进行额外级别的身份验证 在 Mac 再次可用之前,标准锁定和登录功能

通过在待机模式下销毁 FileVault 密钥来提高 FileVault 的安全性

此命令必须输入终端,位于/Applications/Utilities/

pmset -a destroyfvkeyonstandby 1

-a 标志将设置应用于所有电源配置文件,即电池和充电器。

如果您发现此功能不必要或令人沮丧,可以通过将 1 设置为 0 并再次使用命令轻松地取消它,如下所示:

pmset -a destroyfvkeyonstandby 0

请注意,根据活动用户帐户的权限,您可能需要在这两个命令前加上 sudo 前缀,以便它们从超级用户执行,因此命令如下:

启用 FileVault 密钥销毁

sudo pmset -a destroyfvkeyonstandby 1

设置 Filevault 在待机模式下销毁密钥 禁用 FileVault 密钥销毁

sudo pmset -a destroyfvkeyonstandby 0

您始终可以使用以下命令检查 pmset 设置以查看当前是启用还是禁用:

pmset -g

不可否认,这有点技术性,也有点极端,因此不适用于绝大多数 Mac 用户。尽管如此,对于那些处于敏感安全环境中的人、那些在他们的计算机上存储了非常敏感数据的人,或者甚至对于那些希望最大限度地保护个人安全的人来说,这是一个非常有价值的选择,如果要权衡 < href="https://ipressx.com/mac-slow-wake-from-sleep-fix/">较慢的唤醒时间值得额外的安全优势。

与 FileVault 一样,不要忘记密码,否则 Mac 上的所有内容将永久无法访问,因为加密级别非常强,在人类时间尺度内几乎没有任何东西可以破解它。如果您不熟悉 FileVault 和全盘加密的概念,请确保正确设置,永远不要丢失 FileVault 恢复密钥。

有关此主题的更多技术信息,Apple 提供了出色的 FileVault 部署指南PDF 格式.