Apple 平台部署
- 欢迎使用
- Apple 平台部署介绍
- 新功能
-
-
- 声明式状态报告
- 声明式 App 配置
- 认证凭证和身份资源声明
- 后台任务管理声明式
- “日历”声明式配置
- “证书”声明式配置
- “通讯录”声明式配置
- Exchange 声明式配置
- “谷歌账户”声明式配置
- LDAP 声明式配置
- 旧有交互式描述文件的声明式配置
- 旧有描述文件声明式配置
- “邮件”声明式配置
- 数学笔记和计算器 App 声明式配置
- “密码”声明式配置
- “通行密钥证明”声明式配置
- Safari 浏览器浏览管理声明式配置
- Safari 浏览器扩展管理声明式配置
- “屏幕共享”声明式配置
- 服务配置文件声明式配置
- “软件更新”声明式配置
- “软件更新”设置声明式配置
- 储存空间管理声明式配置
- “已订阅的日历”声明式配置
-
-
- 辅助功能有效负载设置
- “Active Directory 证书”有效负载设置
- “隔空播放”有效负载设置
- “隔空播放安全性”有效负载设置
- “隔空打印”有效负载设置
- “App 锁定”有效负载设置
- “关联域”有效负载设置
- “自动化证书管理环境” (ACME) 有效负载设置
- “自治单 App 模式”有效负载设置
- “日历”有效负载设置
- “蜂窝网络”有效负载设置
- “蜂窝专用网络”有效负载设置
- “证书偏好设置”有效负载设置
- “证书撤销”有效负载设置
- “证书透明度”有效负载设置
- “证书”有效负载设置
- “会议室显示器”有效负载设置
- “通讯录”有效负载设置
- “内容缓存”有效负载设置
- “目录服务”有效负载设置
- “DNS 代理”有效负载设置
- “DNS 设置”有效负载设置
- “程序坞”有效负载设置
- “域”有效负载设置
- “节能”有效负载设置
- Exchange ActiveSync (EAS) 有效负载设置
- Exchange Web 服务 (EWS) 有效负载设置
- “可扩展单点登录”有效负载设置
- “可扩展单点登录 Kerberos”有效负载设置
- “扩展”有效负载设置
- “文件保险箱”有效负载设置
- “访达”有效负载设置
- “防火墙”有效负载设置
- “字体”有效负载设置
- “全局 HTTP 代理”有效负载设置
- “谷歌账户”有效负载设置
- “主屏幕布局”有效负载设置
- 身份有效负载设置
- “身份偏好设置”有效负载设置
- “内核扩展策略”有效负载设置
- LDAP 有效负载设置
- “无人值守管理”有效负载设置
- “锁屏信息”有效负载设置
- 登录窗口有效负载设置
- “管理式登录项”有效负载设置
- 邮件有效负载设置
- “网络使用规则”有效负载设置
- “通知”有效负载设置
- “家长控制”有效负载设置
- “密码”有效负载设置
- “打印”有效负载设置
- “隐私偏好设置策略控制”有效负载设置
- “中继”有效负载设置
- SCEP 有效负载设置
- “安全性”有效负载设置
- “设置助理”有效负载设置
- “单点登录”有效负载设置
- “智能卡”有效负载设置
- “已订阅的日历”有效负载设置
- “系统扩展”有效负载设置
- “系统迁移”有效负载设置
- “时间机器”有效负载设置
- “电视遥控器”有效负载设置
- Web Clip 有效负载设置
- “网页内容过滤器”有效负载设置
- Xsan 有效负载设置
-
- 词汇表
- 文稿修订历史
- 版权和商标
文件保险箱介绍
文件保险箱加密由 Apple FIPS 验证的加密模块提供支持,通过使用 AES-XTS 数据加密算法帮助保护内部和可移除存储设备上的完整宗卷,确保符合高可信度的美国联邦标准。
搭载 Apple 芯片的 Mac 上的文件保险箱会通过使用宗卷密钥的数据保护 C 类来实施。在搭载 Apple 芯片的 Mac 电脑和搭载 Apple T2 安全芯片的 Mac 电脑上,直接连接到安全隔区的加密内部存储设备会使用安全隔区的硬件安全性功能和 AES 引擎的功能。
用户在 Mac 上启用文件保险箱后,启动过程中将需要其凭证。在搭载 Apple 芯片且运行 macOS 26 或更高版本的 Mac 上,如果“远程登录”已打开且网络连接可用,重新启动后可通过 ssh 解锁文件保险箱。
文件保险箱已打开的内部存储设备
对于运行 macOS 11 或更高版本的 Mac,系统宗卷通过签名系统宗卷 (SSV) 功能进行保护,而数据宗卷仍通过加密进行保护。搭载 Apple 芯片或 T2 芯片的 Mac 电脑通过构建和管理密钥层级实施内部宗卷加密。加密还建立在特定芯片内建的硬件加密技术基础上。此密钥层级的设计旨在同时实现四个目标:
请求用户密码用于解密
保护系统免受针对从 Mac 上移除的储存媒介的直接暴力破解攻击
提供快速擦除内容的安全方法,即通过删除必要的加密材料
让用户无需重新加密整个宗卷即可更改其密码(同时也会更改用于保护其文件的加密密钥)
在搭载 Apple 芯片的 Mac 和搭载 T2 芯片的 Mac 上,所有文件保险箱密钥的处理都发生在安全隔区中;加密密钥绝不会直接透露给 CPU。所有 APFS 宗卷默认使用宗卷加密密钥创建。宗卷和元数据内容通过此宗卷加密密钥加密,其使用密钥加密密钥 (KEK) 进行封装。文件保险箱打开时,KEK 受用户密码和硬件 UID 的共同保护。
如果没有有效的登录凭证或加密恢复密钥,即使物理存储设备被移除并连接到其他电脑,内置 APFS 宗卷仍保持加密状态,以防止未经授权的访问。对于运行 macOS 10.15 或更高版本的 Mac,此类宗卷同时包括系统宗卷和数据宗卷。
文件保险箱已关闭的内部存储设备
在搭载 Apple 芯片或搭载 T2 芯片的 Mac 上,如果在“设置助理”初次运行过程中未启用文件保险箱,宗卷仍会加密,但宗卷加密密钥仅由安全隔区中的硬件 UID 保护。
如果稍后启用了文件保险箱(由于数据已加密,该过程可立即完成),反重放机制会阻止旧密钥(仅基于硬件 UID)被用于解密宗卷。然后宗卷将受用户密码和硬件 UID 共同保护(如前文所述)。
删除文件保险箱宗卷
删除宗卷时,其宗卷加密密钥由安全隔区安全删除。这可防止以后即使是安全隔区也无法使用此密钥访问。另外,所有宗卷加密密钥都使用媒介密钥封装。媒介密钥不提供额外的数据机密性,其设计旨在启用快速安全的数据删除,如果缺少了它,则不可能进行解密。
在搭载 Apple 芯片的 Mac 和搭载 T2 芯片的 Mac 上,操作系统会确保使用由安全隔区支持的技术抹掉媒介密钥,例如使用远程设备管理命令。以这种方式抹掉媒介密钥将导致宗卷因存在加密而不可访问。
可移除存储设备
可移除存储设备的加密不使用安全隔区的安全性功能,而是采用与基于 Intel 的 Mac 电脑(不搭载 T2 芯片)相同的方式执行加密。