Режим ожидания — это функция энергосбережения, которая автоматически переводит Mac в спящий режим после того, как он некоторое время находился в спящем режиме, что позволяет еще больше снизить расход заряда батареи. Когда Mac, использующий шифрование FileVault, переводится в режим ожидания, ключ FileVault (да, этот ключ зашифрован) сохраняется в EFI (прошивке), чтобы он мог быстро выйти из режима ожидания при выходе из глубокого сна.Для 99% пользователей это вряд ли имеет значение и не является проблемой безопасности, но для тех, кто беспокоится об абсолютной максимальной безопасности и защите Mac от некоторых необычно агрессивных атак (например, уровня шпионажа), вы можете настроить OS X на автоматическое уничтожение этого Ключ FileVault, когда он находится в энергосберегающем режиме ожидания, что предотвращает использование сохраненного ключа в качестве потенциального слабого места или цели атаки. Включив этот параметр, пользователи FileVault должны вводить свой пароль FileVault, когда Mac выходит из режима ожидания, поскольку ключ FV больше не сохраняется для быстрого пробуждения. Вряд ли неудобно, но это немного замедляет пробуждение от глубокого сна и требует от пользователя дополнительного уровня аутентификации помимо стандартных функций блокировки и входа в систему, прежде чем Mac снова станет пригодным для использования.

Повышение безопасности FileVault путем уничтожения ключей FileVault в режиме ожидания

Эту команду необходимо ввести в Терминале, который находится в /Applications/Utilities/

pmset -a destroyfvkeyonstandby 1

Флаг -a применяет настройку ко всем профилям питания, то есть как к аккумулятору, так и к зарядному устройству.

Если вы находите эту функцию ненужной или раздражающей, ее можно легко отменить, установив 1 на 0 и снова используя команду следующим образом:

pmset -a destroyfvkeyonstandby 0

Обратите внимание, что в зависимости от привилегий активной учетной записи пользователя вам может потребоваться добавить к обеим этим командам префикс sudo, чтобы они выполнялись от суперпользователя, поэтому команды будут выглядеть следующим образом:

Включение уничтожения ключа FileVault

sudo pmset -a destroyfvkeyonstandby 1

Отключение уничтожения ключа FileVault

sudo pmset -a destroyfvkeyonstandby 0

Вы всегда можете проверить настройки pmset, чтобы узнать, включено ли это в данный момент или отключено, с помощью следующей команды:

pmset -g

По общему признанию, это немного технически и немного экстремально, и поэтому не будет применяться к подавляющему большинству пользователей Mac. Тем не менее, для тех, кто работает в условиях повышенной безопасности, для тех, у кого на компьютерах хранятся очень важные данные, или даже для лиц, которым требуется максимальная личная безопасность, это очень ценный вариант, и его следует учитывать, если требуется компромисс с более медленным время пробуждения стоит дополнительного преимущества безопасности.

Как всегда с FileVault, не забывайте пароль, иначе все содержимое на Mac станет недоступным навсегда, поскольку уровень шифрования настолько силен, что практически ничто не может преодолеть его в человеческом масштабе времени. Если вы новичок в FileVault и концепции полного шифрования диска, обязательно настройте его правильно и никогда не теряйте ключ восстановления FileVault.

Для более подробной технической информации по этой теме у Apple есть отличное руководство по развертыванию FileVault, доступное в формате PDF.