全磁盘加密 (FDE) 是一种省力的方法，可确保如果有人在未安装的情况下获取您的某个驱动器或在关机时获取 Mac，则驱动器上的内容将无法使用，除非他们这样做。知道密码或其他加密信息。 Apple 提供了两种不同的方法来加密驱动器上的卷，了解它们之间的区别以及当前连接到基于 M1 的 Apple Silicon Mac 的驱动器的限制非常重要。

• FileVault：FileVault 可让您控制对启动卷的访问（无论是在内部还是外部驱动器上），包括在必要时加密驱动器。这不能与基于 M1 的 Mac 的外部启动驱动器一起使用。
• 驱动器加密：可通过 Finder 以及通过命令行和磁盘工具的高级方式对 Finder 可安装的非系统卷进行加密。您可以在任何 Mac 上加密非启动外部驱动器的卷。

FileVault 加密

您可以阅读Macworld 上其他地方的完整详细信息有关来龙去脉的 FileVault，但它是一种将基于帐户的访问的安全性与完全加密的数据的保证结合起来的方法。 FileVault 通过”安全和隐私”首选项窗格的 FileVault 窗格进行管理。

FileVault 的工作方式因 Mac 型号而异：

• 不带 T2 安全芯片的 Intel Mac：这些较旧的 Mac（主要是 2018 年之前推出的型号）使用 FileVault 来实现启动安全和处理磁盘加密。您还可以使用 FileVault 在外部启动或可启动驱动器启动到 macOS 时对其进行加密和保护。
• 配备 T2 安全芯片的 Intel Mac： 从 2018 年开始发布的大多数 Intel Mac 型号 均配备 T2 安全芯片，该芯片设置为始终加密驱动器，即使 FileVault 已禁用。 （有一种方法可以禁用此功能，但没有理由这样做。）Secure Enclave 处理所有必要的部分。配备 T2 的 Mac 上的 FileVault 可在冷启动时保护 Mac 的数据。对于此类模型，您还可以在外部可启动卷上使用 FileVault，但在这些情况下 FileVault 会处理加密。
• Apple Silicon M1 Mac：Apple 在 2020 年末推出的基于 M1 的新型 Mac 配备 Secure Enclave 模块，并且始终对启动驱动器进行加密。但是，到目前为止，这些 Mac 无法在外部可启动卷上正确使用 FileVault。不幸的是，您可以在外部驱动器上打开 FileVault，但重新启动后，它不再被识别。这可能与 M1 Mac 从 Big Sur 的系统卷启动的方式有关。 Apple 应该禁用该功能或​​解决问题。

要在 macOS Big Sur 中打开 FileVault，您可以在”系统偏好设置”的”安全与隐私”下将其激活。

苹果

当您在 T2/M1 Mac 的内部驱动器上启用或禁用 FileVault 保护时，由于加密始终处于打开状态，FileVault 会立即打开或关闭。通过与 Intel Mac 配合使用的外部驱动器，您可以从”安全和隐私”首选项窗格的”FileVault”窗格大致监控进度，或参见下文。

FileVault 在 T2 之前的 Mac 和 T2/M1 Mac 断电时提供安全性：它可以防止启动时访问 Mac 上的有效帐户或驱动器上任何解密数据（如果以任何方式访问）的密码。通过另一台 Mac 或法医检查设备。

驱动器加密

整个卷可以直接加密，但由于 FileVault 和 Mac 上启动元素的交互方式，它们不能用于启动 Mac。当您使用此类驱动器进行存储和备份时，对其进行加密非常有用。

以这种方式加密卷的驱动器在安装并输入密码后完全可用。如果您选择将密码存储在钥匙串中，则任何有权访问您已解锁的 Mac 并可以从驱动器安装一个或多个卷的人都可以获得访问权限，就像内容未加密一样。

但是，在这些情况下，如果除您之外没有任何一方拥有 Mac 或卷的密码，加密内容将不可用：

• 您没有存储该卷的密码，并且该驱动器已卸载。
• 您已存储密码，但您的 Mac 已关机。
• 您已存储密码或已安装驱动器，但您的 Mac 已锁定。那时，有人需要克服闯入您正在运行的 Mac 的障碍。

您可以通过 Finder 轻松地在驱动器上启用加密：

1. 按住 Control 键并单击桌面或 Finder 窗口中的驱动器。
2. 选择加密。 （对于可启动卷，此选项通常不会出现，因为加密它会使其不可启动；请参见上文！）
3. 在出现的对话框中，输入从密码管理器生成的密码，或使用钥匙图标在 macOS 中生成密码。 （警告！请确保您有一份安全存储的密码副本，否则驱动器的内容将永久无法访问。）
4. 在验证密码字段中输入密码，然后输入密码提示。我更喜欢安全地存储我的密码，我的提示会告诉我我将密码存储在哪个管理器中，例如 1Password。
5. 点击”加密磁盘”。
6. 磁盘通常需要卸载并重新装载，并且后台加密过程将启动，这可能需要数小时甚至数天的时间，具体取决于存储的数据量和计算机的加密能力。

输入并记录外部驱动器的密码。

在”磁盘工具”中，如果您检查使用 macOS 10.14 Mojave 或更高版本加密的任何卷，它会在卷类型的括号中显示为”APFS（加密）”，并显示”已加密”。磁盘工具在此过程中将格式化为 Mac OS 扩展（日志式）（也称为 HFS+）的卷转换为 APFS，并使用 APFS（加密）子类型。

重要的旁注：如果您直接从 Mac 或通过本地网络使用驱动器上的任何卷作为 Mojave 或更高版本中 Time Machine 的备份目标，则您不希望加密该驱动器。只有配备 Big Sur 的 Mac 才能通过 Time Machine 备份到 APFS 格式的卷。而且，在测试中，无论要备份的 Mac 运行的是 Big Sur 还是早期版本的 macOS，都只能使用 HFS+ 作为网络 Time Machine 备份的目标卷的格式。

您可以通过选择驱动器、选择”解密”、输入密码来反转操作，然后执行类似的冗长操作来解密驱动器。如果是从HFS+转换过来的，则rem

对于更高级的用户，您可以直接通过”磁盘工具”或命令行创建加密卷，但这涉及对卷、容器或分区的破坏性擦除，具体取决于您要保护的内容。

检查驱动器加密状态

对于不带 T2 芯片的 Intel Mac、使用 FileVault 加密任何 Intel Mac 上的外部驱动器，或者使用任何型号的 Mac 加密外部非启动卷，您可以使用命令行工具监控进度。 （FileVault 的进度条不太准确。）

从”应用程序”>”实用程序”>”终端”，键入以下内容并按 Return 键：

diskutil apfs 列表

这显示了所有 APFS 容器和卷，以及正在进行的加密状态。您必须滚动浏览大量磁盘和卷才能找到该信息，因此您可以键入以下命令来仅提取进度线：

diskutil apfs 列表 | grep 加密

这将与以下行匹配：

加密进度：69.0%（已解锁）

令人困惑的是，加密完成后，无论是由 FileVault 保护的启动卷还是通过 Finder 或其他方式加密的外部卷，diskutil 应用程序都会显示加密始终启用，如下所示：

FileVault：是（已解锁）

询问 Mac 911

我们整理了最常被问到的问题列表以及答案和专栏​​链接：阅读我们的超级常见问题解答，看看您的问题是否得到解答。如果没有，我们总是在寻找新的问题来解决！通过电子邮件将您的信息发送至 mac911@macworld.com，包括适当的屏幕截图，以及您是否希望使用您的全名。并非所有问题都会得到解答，我们不会回复电子邮件，也无法提供直接的故障排除建议。