Mac文件加密与权限管理全攻略

### Mac 文件加密与权限管理全攻略 #### 1. 开启 FileVault 加密 在设置助理过程中，如果提供了 Apple ID，系统会询问是否使用 FileVault 对 Mac 磁盘进行加密。若当时未开启，也可随时在“安全与隐私”偏好设置中开启。具体操作如下： 1. 点击锁形按钮，以管理员用户身份进行验证。 2. 点击“开启 FileVault”。 #### 2. 配置 FileVault 恢复选项 在 FileVault 设置过程中，会弹出对话框，提供两种在丢失启用 FileVault 的用户密码时的恢复方式： - **使用 Apple ID 恢复**： - 此方式会生成一个随机的 FileVault 恢复密钥，并将其保存到 Apple 服务器上的 iCloud 账户中。 - Mac 不会显示恢复密钥，但在验证 Apple ID 后，Mac 可以从 iCloud 中获取该密钥。 - 需注意，此方法需要联网并使用 Apple ID 登录，且只能为一个用户的 Apple ID 配置用于 FileVault 恢复。其他用户虽可登录受 FileVault 保护的 Mac，但无法访问存储在 iCloud 中的恢复密钥。 - **记录随机生成的密钥**： - FileVault 会随机生成一个密钥，需将其字母和数字记录在安全的地方，且不能存于加密的启动磁盘上。 - 可使用该密钥解锁受 FileVault 保护的卷并重置丢失的用户密码。务必制作恢复密钥的副本并妥善保存，若忘记密码且丢失恢复密钥，将无法访问启动磁盘。Apple 可使用恢复密钥帮助重置密码，但无法在密钥丢失时提供该密钥。 #### 3. 为其他用户启用 FileVault 若 Mac 上有其他用户账户，系统可能会提示用户在解锁磁盘前需输入密码。为每个用户操作如下： 1. 点击“启用用户”按钮。 2. 输入该用户的密码。 启用 FileVault 后，创建新用户账户时，默认情况下 macOS 会赋予其解锁 FileVault 的能力。若想了解使用终端列出、添加或删除具有解锁 FileVault 能力的用户，以及获取 FileVault 当前状态的更多信息，可查阅 fdesetup 手册页。 #### 4. 确认 FileVault 已开启 开启 FileVault 后，下次重启 Mac 时，登录窗口会更快出现，且只有启用 FileVault 的用户会显示在登录窗口中。启用 FileVault 的用户验证身份后，系统会继续启动直至用户自动登录到其账户。“安全与隐私”偏好设置的 FileVault 面板会显示系统卷的加密情况和预计完成时间。搭载 Apple 芯片或带有 T2 芯片的英特尔 Mac 无需启动对启动磁盘内容的加密过程，因为启动磁盘已加密；而没有 T2 芯片的英特尔 Mac 会显示加密进度条。加密过程中，可关闭“安全与隐私”偏好设置并正常使用 Mac，加密完成后无通知提示。为节省电池电量，没有 T2 芯片的便携式英特尔 Mac 在未连接电源时可能会暂停加密，连接电源后会继续。也可在“安全与隐私”偏好设置中关闭 FileVault，此时会显示解密进度。若使用的是搭载 Apple 芯片或带有 T2 芯片的英特尔 Mac，关闭 FileVault 时启动磁盘内容不会解密。 #### 5. 使用 FileVault 恢复功能 若受 FileVault 保护的 Mac 上所有启用 FileVault 的账户密码丢失，仍有可能解锁。可参考相关内容，使用 iCloud 账户或 FileVault 恢复密钥重置本地用户账户密码并解锁加密的系统磁盘。若丢失所有启用 FileVault 的账户密码且无法获取 FileVault 恢复密钥，则无法恢复启动卷上的数据。若组织的移动设备管理（MDM）解决方案支持，可在用户或 MDM 解决方案开启 FileVault 时托管用户的 FileVault 个人恢复密钥（PRK）。这样，当用户未提供密码归还 Mac 时，由于 FileVault 已开启且可获取 PRK，仍可访问数据卷上的文件。操作步骤如下： 1. 使用 MDM 解决方案获取 PRK。 2. 在登录屏幕使用 PRK 更改用户密码。 3. 即可访问数据卷和用户的主文件夹。使用 PRK 更改用户密码可保护用户钥匙串中所有项目的隐私。 #### 6. 重启受 FileVault 保护的 Mac 练习 此练习需满足以下前提条件： 1. 已创建“本地管理员”和“John Appleseed”账户。 2. 已开启 FileVault。 操作步骤如下： 1. 重启 Mac，会出现 FileVault 访问屏幕。 2. 点击“John Appleseed”。 3. 输入 John 的密码，然后按回车键。验证身份后，macOS 会继续启动，自动登录到 John Appleseed 的账户。 4. 打开“磁盘工具”，若需要，选择“视图”>“显示所有设备”。 5. 从侧边栏选择当前快照，此时卷的格式应为 APFS（加密），若未开启 FileVault，快照不会显示为加密状态。 6. 退出“磁盘工具”。 #### 7. 使用 FileVault 恢复密钥重置密码练习 此练习同样需满足创建相关账户和开启 FileVault 的前提条件。根据 Mac 架构不同，操作步骤有所差异： - **搭载 Apple 芯片的 Mac**： 1. 重启 Mac。 2. 在 FileVault 访问屏幕，点击“John Appleseed”。 3. 三次输入错误密码，Mac 会显示重启并显示密码重置选项。 4. 点击箭头按钮重启并显示恢复助理。 5. 输入之前记录的恢复密钥，然后点击“下一步”。若密钥输入正确，会提示选择要重置密码的用户；若输入错误，无法进行密码重置操作，可点击左箭头，正常登录可用账户并跳过后续步骤。 6. 在“重置密码”屏幕，选择“john”，然后点击“下一步”。 7. 提示重置 John 的密码，输入“vaultpw”作为新密码，然后点击“下一步”。 8. 在“重置密码完成”屏幕，点击“重启”。在 FileVault 屏幕，选择“John Appleseed”并使用新密码（vaultpw）进行验证，登录到 John 的账户。由于密码已重置，John 的钥匙串会再次存档，保存的项目需按照第 10 课“管