使用 Mac「檔案保險箱」保護企業機密

越來越多企業使用 Mac 電腦，對於「檔案保險箱」這項加密功能不可不知。這是 macOS 系統內建的磁碟加密系統。只要善加運用，萬一 Mac 遺失或被竊，存在 Mac 內的公司機密資料仍保安全無虞。

「檔案保險箱」功用

企業的電腦儲存許多重要資料，包括供應商、重要訂單、財務記錄、聯絡人資料等等。這些資訊具有商業價值，一但洩露，可能使公司、員工或客戶面臨風險。許多行業對此類資訊採取強制保護，法律亦有明文保護。

Apple 的「檔案保險箱」能防止未經授權的使用者難自企業的 Mac 電腦取得這些機密資訊。它會加密 Mac 上儲存的資料，僅擁有權限的帳戶登入後才能解密資料。「檔案保險箱」在背景進行加密與解密作業，不妨礙系統正常運作。

「檔案保險箱」的歷史淵源

「檔案保險箱」最早於 2005 年推出的 Mac OS X Panther (10.3) 中出現，當時還稱為 FileVault。當時，它只保護使用者的個人專屬檔案夾。經過多年不斷進步，現在已可使用 XTS-AES 128 加密搭配 256 位元密鑰來加密整個磁碟，安全牢不可破。

在商務應用上，IT 人員在大多數 MDM 系統和控制台上都可管理「檔案保險箱」功能。當 Mac 啟用「檔案保險箱」保護時，除非是具有權限的使用者帳戶，或擁有「檔案保險箱」解密密鑰，否則任何人都無法取用資料。搭載 Intel 晶片或 Apple 矽晶片的 Mac 電腦均可使用「檔案保險箱」。

如何啟用「檔案保險箱」

「檔案保險箱」在預設情況下不會自動啟用。使用者必須有「管理者」身份才能啟用「檔案保險箱」。打開「系統偏好設定 > 安全性和隱私權」的「檔案保險箱」頁籤即可看到這項加密功能。

若忘記密碼，有兩種選擇來保護 Mac 資料：使用 iCloud 帳戶密碼，或是採用復原密鑰。前者適用於個人使用者，而企業多半會選擇使用復原密鑰。啟用「檔案保險箱」後，務必記下密碼及復原密鑰。若忘記的話，將無法使用 Mac 的所有資料。

注意，啟用「檔案保險箱」後，在第一次加密作業完成之前，無法關閉此功能。第一次加密作業可能需要一些時間才能完成，實際時間取決於 Mac 上的資料量。之後若有變更密碼或復原密鑰，則整個卷宗都會解密再重新加密。

限制

務必注意，若使用者完全想不起來密碼或復原密鑰，將永遠無法取用電腦上的資料。因為這必須刪除並重新安裝 macOS。

不過，使用現有 MDM 系統來管理 Mac 的企業，可指派機構復原密鑰。這些密鑰可由 MDM 控制台來管理和儲存。這個功能相當好用，若使用者忘記了自己的密碼，IT 可以利用復原密鑰來重置「檔案保險箱」，再指派一個新密碼好讓它們重新登入。

慎選密碼策略

企業對於「檔案保險箱」使用的密碼應謹慎看待。一般而言，密碼越長，強度越強（只要不使用 12345678910 這類密碼）。密碼中字母及數字的排列也很重要。根據經驗，「檔案保險箱」復原密鑰因很少使用，很容易忘記。故最好寫下密碼並鎖在某處。

具備自動加密功能的 Mac

配備 Apple T2 安全晶片的 Mac 機型有自動加密資料的功能，但仍可在這些電腦上啟用「檔案保險箱」，它會需要使用者以密碼登錄來解密資料，為資料多添一層保護。

企業所有 Mac 都應該啟用「檔案保險箱」嗎？

誠心建議，任何會被攜帶至公司外或能取用重要業務資料的 Mac，皆應啟用「檔案保險箱」加密功能。

關於 Apple 在 macOS Monterey 中使用 FileVault 的建議，請見 Apple 支援網頁。