Apple 平台部署
- 歡迎使用
- Apple 平台部署簡介
- 新功能
-
-
- 「輔助使用」承載資料設定
- 「Active Directory 憑證」承載資料設定
- AirPlay 承載資料設定
- 「AirPlay 安全性」承載資料設定
- AirPrint 承載資料設定
- 「App 鎖定」承載資料設定
- 「相關的網域」承載資料設定
- 「自動憑證管理環境」(ACME)承載資料
- 「自主單一 App 模式」承載資料設定
- 「行事曆」承載資料設定
- 「行動網路」承載資料設定
- 「私人行動網路」承載資料設定
- 「憑證偏好設定」承載資料設定
- 「憑證撤銷」承載資料設定
- 「憑證透明度」承載資料設定
- 「憑證」承載資料設定
- 「會議室顯示器」承載資料設定
- 「聯絡人」承載資料設定
- 「內容快取」承載資料設定
- 「目錄服務」承載資料設定
- 「DNS 代理伺服器」承載資料設定
- 「DNS 設定」承載資料設定
- Dock 承載資料設定
- 「網域」承載資料設定
- 「能源節約器」承載資料設定
- Exchange ActiveSync(EAS)承載資料設定
- Exchange Web Services(EWS)承載資料設定
- 「可延伸單一登入」承載資料設定
- 「可延伸單一登入 Kerberos」承載資料設定
- 「延伸功能」承載資料設定
- 「檔案保險箱」承載資料設定
- Finder 承載資料設定
- 「防火牆」承載資料設定
- 「字體」承載資料設定
- 「全域 HTTP 代理伺服器」承載資料設定
- 「Google 帳號」承載資料設定
- 「主畫面佈局」承載資料設定
- 識別身分承載資料設定
- 「身分偏好設定」承載資料設定
- 「核心延伸功能規則」承載資料設定
- LDAP 承載資料設定
- 「無人值守管理」承載資料設定
- 「鎖定畫面訊息」承載資料設定
- 登入視窗承載資料設定
- 「受管理登入項目」承載資料設定
- 郵件承載資料設定
- 「網路使用規則」承載資料設定
- 「通知」承載資料設定
- 「分級保護控制」承載資料設定
- 密碼承載資料設定
- 「列印」承載資料設定
- 「隱私權偏好設定規則控制」承載資料設定
- 「轉送」承載資料設定
- SCEP 承載資料設定
- 「安全性」承載資料設定
- 「設定輔助程式」承載資料設定
- 「單一登入」承載資料設定
- 「智慧卡」承載資料設定
- 「已訂閱的行事曆」承載資料設定
- 「系統延伸功能」承載資料設定
- 「系統移轉」承載資料設定
- 「時光機」承載資料設定
- 「電視遙控器」承載資料設定
- Web Clip 承載資料設定
- 「網頁內容過濾器」承載資料設定
- Xsan 承載資料設定
- 詞彙表
- 文件修改記錄
- 版權聲明
檔案保險箱簡介
Mac 電腦提供「檔案保險箱」(保護所有靜態資料的內建加密功能)。「檔案保險箱」使用 AES-XTS 資料加密演算法來保護內置和可卸除式儲存裝置上的所有卷宗。
配備 Apple 晶片之 Mac 上的「檔案保險箱」會搭配卷宗密鑰使用「資料保護等級 C」執行。在配備 Apple 晶片的 Mac 電腦和配備 Apple T2 安全晶片的 Mac 電腦上,直接連接「安全隔離區」的加密內部儲存裝置會使用自身和 AES 引擎的硬體安全功能。使用者在 Mac 上開啟「檔案保險箱」後,需在開機程序進行期間提供其憑證。
已開啟「檔案保險箱」的內部儲存裝置
若無有效的登入憑證或加密復原密鑰,即使其實體裝置機遭卸除並連接至其他電腦,內部 APFS 卷宗會維持加密狀態且阻止未經授權的存取。在 macOS 10.15 中,這同時包含系統卷宗和資料卷宗。自 macOS 11 或以上版本起,系統卷宗會由已簽署的系統卷宗功能保護,但資料卷宗仍為加密保護。對於配備 Apple 晶片或 T2 晶片的 Mac 電腦,內部卷宗加密的實作方式為建構和管理密鑰階層結構。加密也會以特定晶片上內建的硬體加密技術為基礎來建置。這個密鑰階層結構的設計目的為同時達到四個目標:
要求提供使用者的密碼以進行解密
幫助系統抵禦直接來自從 Mac 卸除的儲存媒體之暴力密碼破解攻擊
透過刪除必要加密編譯材料來提供迅速且安全的清除內容方式
讓使用者可更改其密碼(因此也可更改用來保護其檔案的加密編譯密鑰),而不需要重新加密整個卷宗
在配備 Apple 晶片的 Mac 和配備 T2 晶片的 Mac 上,所有「檔案保險箱」密鑰處理都在「安全隔離區」中發生,絕對不會向 Intel CPU 洩漏加密密鑰。根據預設,所有 APFS 卷宗都是透過卷宗加密密鑰製作。卷宗和後設資料內容是以這個卷宗密鑰加密,而這個卷宗加密密鑰會和類別密鑰一起封裝。當「檔案保險箱」開啟時,類別密鑰受到使用者密碼和硬體 UID 組合的保護。
已關閉「檔案保險箱」的內部儲存裝置
在配備 Apple 晶片的 Mac 或配備 T2 晶片的 Mac 上,如果初始「設定輔助程式」程序執行期間沒有開啟「檔案保險箱」,卷宗仍會加密,但是卷宗加密密鑰只會受到「安全隔離區」中的硬體 UID 保護。
如果之後開啟「檔案保險箱」(因為資料已加密,此程序會立即生效),反重播機制會防止舊的密鑰(僅根據硬體 UID)使用解密的卷宗。卷宗便會如先前所述受到使用者密碼與硬體 UID 組合保護。
刪除「檔案保險箱」卷宗
當卷宗被刪除時,其卷宗加密密鑰會由「安全隔離區」安全地刪除。這可防止未來「安全隔離區」透過此密鑰進行存取。此外,所有卷宗加密密鑰都會以媒體密鑰封裝。媒體密鑰不會提供額外的資料保密性,而是設計為提供快速且安全的資料刪除方式,因為若沒有這個密鑰,就不可能解密。
在配備 Apple 晶片的 Mac 和配備 T2 晶片的 Mac 上,媒體密鑰保證會由支援「安全隔離區」的技術清除,例如,由遠端 MDM 指令。以此方式清除媒體密鑰,會透過加密編譯的方式讓卷宗無法存取。
可卸除式儲存裝置
可卸除式儲存裝置的加密不會使用「安全隔離區」的安全功能,且其加密的執行方式與未配備 T2 晶片的 Intel 架構式 Mac 電腦相同。