Apple 平台部署
- 歡迎
- Apple 平台部署簡介
- 新功能
-
-
-
- 「輔助使用」承載資料設定
- 「Active Directory 證書」承載資料設定
- AirPlay 承載資料設定
- 「AirPlay 保安」承載資料設定
- AirPrint 承載資料設定
- 「App 鎖定」承載資料設定
- 「相關網域」承載資料設定
- 「自動證書管理環境」(ACME)承載資料設定
- 「自主單一 App 模式」承載資料設定
- 「日曆」承載資料設定
- 「流動網絡」承載資料設定
- 「私人流動網絡」承載資料設定
- 「證書偏好設定」承載資料設定
- 「證書撤銷」承載資料設定
- 「證書透明度」承載資料設定
- 「證書」承載資料設定
- 「會議室顯示器」承載資料設定
- 「通訊錄」承載資料設定
- 「內容快取」承載資料設定
- 「目錄服務」承載資料設定
- 「DNS 代理」承載資料設定
- 「DNS 設定」承載資料設定
- Dock 承載資料設定
- 「網域」承載資料設定
- 「能源節約器」承載資料設定
- Exchange ActiveSync(EAS)承載資料設定
- Exchange Web Services(EWS)承載資料設定
- 「可延伸的單一登入」承載資料設定
- 「可延伸的單一登入 Kerberos」承載資料設定
- 「延伸功能」承載資料設定
- 「檔案保險箱」承載資料設定
- Finder 承載資料設定
- 「防火牆」承載資料設定
- 「字體」承載資料設定
- 「全域 HTTP 代理」承載資料設定
- 「Google 帳户」承載資料設定
- 「主畫面圖示排列」承載資料設定
- 「識別身份」承載資料設定
- 「身份偏好設定」承載資料設定
- 「核心延伸功能規則」承載資料設定
- LDAP 承載資料設定
- 「Lights Out 管理」承載資料設定
- 「鎖定畫面訊息」承載資料設定
- 「登入視窗」承載資料設定
- 「受管理的登入項目」承載資料設定
- 「郵件」承載資料設定
- 「網絡使用規則」承載資料設定
- 「通知」承載資料設定
- 「分級保護控制」承載資料設定
- 「密碼」承載資料設定
- 「列印」承載資料設定
- 「私隱偏好設定規則控制項目」承載資料設定
- 「轉送」承載資料設定
- SCEP 承載資料設定
- 「保安」承載資料設定
- 「設定輔助程式」承載資料設定
- 「單一登入」承載資料設定
- 「智慧卡」承載資料設定
- 「已訂閲的日曆」承載資料設定
- 「系統延伸功能」承載資料設定
- 「系統轉移」承載資料設定
- 「時光機」承載資料設定
- 「電視遙控器」承載資料設定
- Web Clip 承載資料設定
- 「網頁內容過濾器」承載資料設定
- Xsan 承載資料設定
- 詞彙表
- 文件修正記錄
- 版權
「檔案保險箱」簡介
Mac 電腦會提供「檔案保險箱」,這是用來保障所有資料安全的內置加密功能。 「檔案保險箱」使用 AES-XTS 資料加密演算法來保護內置和可移除儲存裝置的完整卷宗。
配備 Apple 晶片的 Mac 上的「檔案保險箱」,是使用「資料保護」的「類別 C」(採用卷宗密鑰)所導入。 在配備 Apple 晶片的 Mac 電腦以及配備 Apple T2 安全晶片的 Mac 電腦上,已加密的內置儲存裝置會直接連接到「安全隔離區」來運用其硬件保安功能以及 AES 引擎。 用户在 Mac 上開啟「檔案保險箱」後,系統會在啟動過程中要求憑證。
開啟「檔案保險箱」的內置儲存裝置
在使用 macOS 11 或較新版本的 Mac 中,系統卷宗受已簽署的系統卷宗(SSV)功能保護,但資料卷宗仍由加密方式保護。 在配備 Apple 晶片或 T2 晶片的 Mac 電腦,內部卷宗加密是透過建構和管理密鑰階層來完成導入。 加密亦建基於指定晶片內置的硬件加密技術。 此管理密鑰階層的設計用意是同時達到四個目標:
需要用户密碼以進行解密
保護系統免受針對從 Mac 上移除的儲存空間媒體的暴力密碼破解攻擊
提供快捷及安全的方法以透過刪除必要的加密編譯材料來清除內容
讓用户更改其密碼(加密編譯密鑰則用於保護其檔案),而無需將整個卷宗重新加密
在配備 Apple 晶片以及配備 T2 晶片的 Mac 電腦上,所有「檔案保險箱」密鑰的處理作業會在「安全隔離區」中進行;系統永不會向 Intel CPU 直接提供加密密鑰。 所有 APFS 卷宗預設使用卷宗加密密鑰建立。 卷宗及後設資料內容會以此卷宗密鑰加密,此卷宗加密密鑰使用加密密鑰(KEK)封裝。 當「檔案保險箱」已開啟時,KEK 受用户密碼和硬件 UID 的組合保護。
即使其實體裝置機被移除並連接至其他電腦,如無有效的登入憑證或加密還原密鑰,內部 APFS 卷宗會維持加密狀態並阻止未經授權的存取。 在使用 macOS 10.15 或較新版本的 Mac 中,這包括系統卷宗和資料卷宗。
附有「檔案保險箱」的內部儲存已關閉
如在配備 Apple 晶片或配備 T2 晶片的 Mac 上,「檔案保險箱」在初始「設定輔助程式」步驟中未有開啟,卷宗仍會維持加密,但卷宗加密密鑰只會由「安全隔離區」中的硬件 UID 保護。
如稍後「檔案保險箱」被開啟(在檔案被加密後的即時步驟),反重播機制會防止舊密鑰(只以硬件 UID 為基礎)被用於解密卷宗。 卷宗之後會受用户密碼和之前提及的硬件 UID 的組合保護。
刪除「檔案保險箱」卷宗
在卷宗被刪除時,其卷宗加密密鑰會被「安全隔離區」安全刪除。 這可避免將來使用此密鑰進行存取(即使透過「安全隔離區」)。 此外,所有卷宗加密密鑰都會以媒體密鑰封裝。 媒體密鑰不會提供額外的資料機密性,不過其設計目標是快捷及安全地刪除資料,因為如沒有此密鑰將不可能解密。
在配備 Apple 晶片以及配備 T2 晶片的 Mac 電腦上,媒體密鑰保證會由「安全隔離區」支援的科技所清除,例如由遙距 MDM 指令。 以此方式清除媒體密鑰將會透過加密編譯的方式讓裝置上的卷宗無法被存取。
可移除的儲存裝置
可移除儲存空間裝置的加密不會使用「安全隔離區」的保安功能,其加密方式與沒有配備 T2 晶片以 Intel 為基礎的 Mac 電腦的方式相同。