FileVault - это дополнительная мера для защиты данных на устройстве под управлением macOS.
Все компьютеры с чипом Apple Silicon или Apple T2 шифруют данные автоматически. Включение функции FileVault требует ввода пароля пользователя при каждом включении компьютера.
В данной инструкции приведен пример профиля FileVault, а также описано получение ключа восстановления для получения доступа к диску, не имея пароля пользователя системы.
Типовая конфигурация профиля в виде XML представлена ниже:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>Defer</key>
<true/>
<key>DeferDontAskAtUserLogout</key>
<true/>
<key>DeferForceAtUserLoginMaxBypassAttempts</key>
<integer>0</integer>
<key>Enable</key>
<string>On</string>
<key>PayloadDisplayName</key>
<string>FileVault 2</string>
<key>PayloadIdentifier</key>
<string>com.ringo.filevault.7A34505E-BFB2-4CA4-8004-7496777105A4.com.apple.MCX.FileVault2.8C023A43-636D-4E03-9355-3F1BC0839AD8</string>
<key>PayloadOrganization</key>
<string></string>
<key>PayloadType</key>
<string>com.apple.MCX.FileVault2</string>
<key>PayloadUUID</key>
<string>B4684257-F0CB-43E3-96B8-3C58ECB0F404</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>ShowRecoveryKey</key>
<false/>
<key>UseRecoveryKey</key>
<true/>
</dict>
<dict>
<key>EncryptCertPayloadUUID</key>
<string>$FILEVAULTCERTUUID</string>
<key>Location</key>
<string>Location1</string>
<key>PayloadDisplayName</key>
<string>FileVault Recovery Key Escrow</string>
<key>PayloadIdentifier</key>
<string>com.ringo.filevault.7A34505E-BFB2-4CA4-8004-7496777105A4.com.apple.security.FDERecoveryKeyEscrow.EE8E065B-8812-4121-AAC8-503DD3EBAF30</string>
<key>PayloadOrganization</key>
<string></string>
<key>PayloadType</key>
<string>com.apple.security.FDERecoveryKeyEscrow</string>
<key>PayloadUUID</key>
<string>EE8E065B-8812-4121-AAC8-503DD3EBAF30</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</array>
<key>PayloadDisplayName</key>
<string>Filevault at login</string>
<key>PayloadIdentifier</key>
<string>7A34505E-BFB2-4CA4-8004-7496777105A2</string>
<key>PayloadOrganization</key>
<string>Ringo</string>
<key>PayloadScope</key>
<string>System</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>BDFC986D-A19C-458C-9E5B-CF40D3FE0F61</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>
Важно использовать Filevault at login - активацию Filevault при логине, иначе ключ восстановления может не собраться.
Обратите внимание, что обновление ключа восстановления происходит раз в 12 часов.