Mã hóa toàn bộ đĩa (FDE) là một cách đơn giản để đảm bảo rằng nếu ai đó lấy được một trong các ổ đĩa của bạn khi chưa được gắn hoặc một chiếc Mac khi đã tắt nguồn, nội dung trên ổ đĩa sẽ không thể sử dụng được đối với họ nếu không biết mật khẩu hoặc thông tin mã hóa khác. Apple cung cấp hai cách riêng biệt để mã hóa các ổ đĩa, và điều quan trọng là phải biết sự khác biệt giữa chúng và những hạn chế hiện tại đối với các ổ đĩa được kết nối với máy Mac Apple Silicon M1.
- FileVault: FileVault cho phép bạn kiểm soát quyền truy cập vào ổ đĩa khởi động của mình, cho dù đó là ổ đĩa trong hoặc ngoài, bao gồm cả việc mã hóa ổ đĩa nếu cần. Tính năng này không thể sử dụng được với ổ đĩa khởi động ngoài trên máy Mac M1.
- Mã hóa ổ đĩa: Các ổ đĩa không phải hệ thống có thể gắn kết bằng Finder có thể được mã hóa thông qua Finder, cũng như các cách nâng cao hơn thông qua dòng lệnh và Disk Utility. Bạn có thể mã hóa ổ đĩa ngoài không phải khởi động trên bất kỳ máy Mac nào.
Mã hóa FileVault
Bạn có thể đọc chi tiết đầy đủ ở nơi khác trên Macworld về những điểm mạnh và điểm yếu của FileVault, nhưng đó là một cách để kết hợp tính bảo mật của quyền truy cập dựa trên tài khoản với sự đảm bảo dữ liệu được mã hóa đầy đủ. FileVault được quản lý thông qua ngăn FileVault trong ngăn Tùy chọn Hệ thống & Bảo mật.
Cách thức hoạt động của FileVault khác nhau tùy thuộc vào model Mac của bạn:
- Máy Mac Intel không có chip bảo mật T2: Những chiếc Mac cũ hơn này, phần lớn là các model được giới thiệu trước năm 2018, sử dụng FileVault cả để bảo mật khởi động và xử lý mã hóa đĩa. Bạn cũng có thể sử dụng FileVault để mã hóa và bảo vệ ổ đĩa khởi động hoặc có thể khởi động ngoài khi nó được khởi động vào macOS.
- Máy Mac Intel có chip bảo mật T2: Hầu hết các model máy Mac Intel được phát hành bắt đầu từ năm 2018 đều có chip bảo mật T2, được thiết lập để luôn mã hóa ổ đĩa, ngay cả khi FileVault bị vô hiệu hóa. (Có một cách để vô hiệu hóa điều này, nhưng không có lý do gì để làm vậy.) Secure Enclave xử lý tất cả các phần cần thiết. FileVault trên máy Mac có trang bị T2 bảo vệ dữ liệu của máy Mac khi khởi động lạnh. Với các model như vậy, bạn cũng có thể sử dụng FileVault trên các ổ đĩa khởi động ngoài, nhưng trong những trường hợp đó, FileVault sẽ xử lý việc mã hóa.
- Máy Mac Apple silicon M1: Các máy Mac M1 mới mà Apple giới thiệu vào cuối năm 2020 có mô-đun Secure Enclave và cũng luôn mã hóa ổ đĩa khởi động. Tuy nhiên, cho đến nay, các máy Mac này không thể sử dụng FileVault chính xác trên ổ đĩa khởi động ngoài. Thật không may, bạn có thể bật FileVault trên ổ đĩa ngoài, nhưng khi khởi động lại, nó không còn được nhận ra nữa. Điều này có thể liên quan đến cách thức các máy Mac M1 khởi động từ ổ đĩa hệ thống trong Big Sur. Apple nên hoặc là vô hiệu hóa khả năng này hoặc khắc phục sự cố.
Để bật FileVault trong macOS Big Sur, bạn hãy kích hoạt nó trong Tùy chọn Hệ thống, mục Bảo mật & Bảo mật.
Apple
Khi bạn bật hoặc tắt bảo vệ FileVault trên ổ đĩa trong của máy Mac T2/M1, vì mã hóa luôn được bật, FileVault sẽ bật hoặc tắt ngay lập tức. Với ổ đĩa ngoài được sử dụng với máy Mac Intel, bạn có thể theo dõi tiến trình từ ngăn FileVault của ngăn Tùy chọn Hệ thống & Bảo mật – hoặc xem bên dưới.
FileVault cho phép bảo mật khi tắt nguồn đối với cả máy Mac trước T2 và máy Mac T2/M1: nó ngăn chặn quyền truy cập khi khởi động mà không cần mật khẩu cho một tài khoản hợp lệ trên máy Mac, hoặc cho bất kỳ dữ liệu nào đã được giải mã trên ổ đĩa nếu được truy cập bằng bất kỳ cách nào bởi một máy Mac khác hoặc thiết bị khám nghiệm hiện trường.
Mã hóa ổ đĩa
Toàn bộ ổ đĩa có thể được mã hóa trực tiếp, nhưng sau đó chúng không thể được sử dụng để khởi động máy Mac, do cách FileVault và các yếu tố khởi động trên máy Mac tương tác. Mã hóa các ổ đĩa như vậy rất hữu ích khi bạn sử dụng chúng để lưu trữ và sao lưu.
Một ổ đĩa có các ổ đĩa được mã hóa theo cách này sẽ hoàn toàn khả dụng khi được gắn kết và mật khẩu được nhập. Nếu bạn chọn lưu mật khẩu vào Keychain, thì bất kỳ ai truy cập vào máy Mac đã mở khóa của bạn và có thể gắn kết một hoặc nhiều ổ đĩa từ ổ đĩa đó đều có quyền truy cập như thể nội dung không được mã hóa.
Tuy nhiên, trong những trường hợp này, nội dung đã được mã hóa sẽ không khả dụng nếu không có bên nào khác ngoài bạn có mật khẩu cho máy Mac hoặc các ổ đĩa của bạn:
- Bạn không lưu mật khẩu cho ổ đĩa hoặc các ổ đĩa và ổ đĩa đã được tháo.
- Bạn đã lưu mật khẩu, nhưng máy Mac của bạn đã tắt.
- Bạn đã lưu mật khẩu hoặc các ổ đĩa đã được gắn kết, nhưng máy Mac của bạn đã bị khóa. Tại thời điểm đó, ai đó sẽ cần phải vượt qua trở ngại là đột nhập vào máy Mac đang chạy của bạn.
Bạn bật mã hóa trên ổ đĩa rất đơn giản từ Finder:
- Nhấp chuột phải vào ổ đĩa trên Desktop hoặc trong cửa sổ Finder.
- Chọn Mã hóa. (Tùy chọn này thường sẽ không xuất hiện đối với ổ đĩa khởi động, vì mã hóa nó sẽ làm cho nó không thể khởi động được; xem ở trên!)
- Trong hộp thoại xuất hiện, nhập mật khẩu được tạo từ trình quản lý mật khẩu của bạn hoặc sử dụng biểu tượng khóa để tạo mật khẩu trong macOS. (Cảnh báo! Hãy chắc chắn rằng bạn có một bản sao của mật khẩu được lưu trữ an toàn cho chính mình, nếu không nội dung của ổ đĩa sẽ bị truy cập vĩnh viễn.)
- Nhập mật khẩu vào trường Xác minh mật khẩu, rồi nhập gợi ý mật khẩu. Tôi thích lưu mật khẩu của mình một cách an toàn và gợi ý của tôi cho tôi biết tôi đã lưu nó trong trình quản lý nào, chẳng hạn như 1Password.
- Nhấp vào Mã hóa Đĩa.
- Đĩa thường cần phải tháo và gắn lại, và một quá trình mã hóa nền sẽ bắt đầu có thể mất vài giờ hoặc thậm chí vài ngày, tùy thuộc vào lượng dữ liệu được lưu trữ và khả năng mã hóa của máy tính của bạn.
Nhập và ghi lại mật khẩu cho ổ đĩa ngoài của bạn.
IDG
Trong Disk Utility, nếu bạn kiểm tra bất kỳ ổ đĩa nào mà bạn đã mã hóa bằng macOS 10.14 Mojave trở lên, nó sẽ hiển thị “Đã mã hóa” trong dấu ngoặc đơn cho kiểu ổ đĩa là “APFS (Đã mã hóa). Disk Utility chuyển đổi ổ đĩa được định dạng là Mac OS Extended (Journaled), còn được gọi là HFS+, sang APFS trong quá trình này và sử dụng kiểu phụ APFS (Đã mã hóa).
Một lưu ý quan trọng: Nếu bạn đang sử dụng bất kỳ ổ đĩa nào trên ổ đĩa làm đích sao lưu cho Time Machine trong Mojave trở lên, trực tiếp từ máy Mac của bạn hoặc qua mạng cục bộ của bạn, bạn không nên mã hóa ổ đĩa. Chỉ có máy Mac có Big Sur mới có thể sao lưu qua Time Machine vào ổ đĩa được định dạng APFS. Và, trong quá trình thử nghiệm, chỉ có HFS+ mới có thể được sử dụng làm định dạng cho ổ đĩa đích cho sao lưu Time Machine qua mạng, cho dù máy Mac đang được sao lưu đang chạy Big Sur hay phiên bản macOS cũ hơn.
Bạn có thể đảo ngược thao tác bằng cách chọn ổ đĩa, chọn Giải mã, nhập mật khẩu, và sau đó một thao tác tương tự dài sẽ xảy ra để giải mã ổ đĩa. Nếu nó đã được chuyển đổi từ HFS+, nó sẽ rem
Đối với người dùng nâng cao, bạn có thể tạo các ổ đĩa được mã hóa trực tiếp thông qua Disk Utility hoặc dòng lệnh, mặc dù điều này liên quan đến việc xóa dữ liệu ổ đĩa, container hoặc phân vùng, tùy thuộc vào những gì bạn đang cố gắng bảo mật.
Kiểm tra trạng thái mã hóa ổ đĩa
Với máy Mac Intel không có chip T2, với FileVault mã hóa ổ đĩa ngoài trên bất kỳ máy Mac Intel nào, hoặc với bất kỳ model máy Mac nào mã hóa ổ đĩa ngoài không phải khởi động, bạn có thể theo dõi tiến trình bằng cách sử dụng công cụ dòng lệnh. (Thanh tiến trình của FileVault không chính xác lắm.)
Từ Ứng dụng > Tiện ích > Terminal, nhập các lệnh sau và nhấn Return:
diskutil apfs list
Điều này hiển thị tất cả các container và ổ đĩa APFS, và trạng thái của quá trình mã hóa đang diễn ra. Bạn phải cuộn qua rất nhiều với nhiều đĩa và ổ đĩa để tìm thông tin đó, vì vậy bạn có thể nhập lệnh sau để trích xuất chỉ dòng tiến trình:
diskutil apfs list | grep Encryption
Điều đó sẽ khớp với các dòng như:
Tiến độ mã hóa: 69.0% (Đã mở khóa)
Điều đáng chú ý là, khi quá trình mã hóa hoàn tất, cho dù đó là ổ đĩa khởi động được bảo mật bởi FileVault hay ổ đĩa ngoài được mã hóa thông qua Finder hoặc các phương tiện khác, ứng dụng diskutil cho thấy mã hóa luôn được bật như sau:
FileVault: Có (Đã mở khóa)
Hỏi Mac 911
Chúng tôi đã biên soạn một danh sách các câu hỏi mà chúng tôi thường xuyên nhận được cùng với các câu trả lời và liên kết đến các chuyên mục: hãy đọc Câu hỏi thường gặp siêu việt của chúng tôi để xem liệu câu hỏi của bạn đã được giải đáp chưa. Nếu không, chúng tôi luôn tìm kiếm các vấn đề mới để giải quyết! Hãy gửi email câu hỏi của bạn đến mac911@macworld.com bao gồm cả ảnh chụp màn hình nếu cần thiết, và cho biết bạn có muốn sử dụng tên đầy đủ của mình không. Không phải mọi câu hỏi đều sẽ được trả lời, chúng tôi không trả lời email và chúng tôi không thể cung cấp lời khuyên khắc phục sự cố trực tiếp.
