启用FileVault可对Mac启动磁盘实施全盘加密保护。方法包括:一、系统设置图形化开启;二、终端命令自动化启用;三、恢复模式强制启用;四、为其他用户授权访问;五、关闭FileVault以解密数据。
如果您希望对Mac启动磁盘上的全部用户数据实施高强度保护,防止设备丢失或被盗后数据被非法读取,则需要启用系统内置的全盘加密功能——文件保险箱(FileVault)。以下是开启FileVault的多种可行方法:
一、通过系统设置开启FileVault
此方法采用图形化界面操作,无需命令行知识,适合绝大多数日常用户。系统将自动配置加密参数,并提供iCloud恢复选项以降低密钥管理门槛。
1、点击屏幕左上角的苹果菜单,选择“系统设置”。
2、在左侧边栏中点击“隐私与安全性”,向下滚动至“文件保险箱”区域。
3、若右侧按钮为灰色,先点击左下角锁形图标,输入管理员密码解锁设置项。
4、点击“打开文件保险箱”按钮,系统弹出确认提示,点击“继续”。
5、选择恢复方式:使用iCloud账户重设密码 或 创建个人恢复密钥;若选后者,请务必将生成的24位恢复密钥完整抄录并保存于离线安全位置。
6、完成选择后,系统自动重启;登录账户后,加密过程将在后台持续进行,期间可正常使用Mac。
二、使用终端命令启用FileVault
该方式适用于需批量部署、脚本自动化或绕过图形界面限制的场景,支持精确控制加密行为及恢复密钥输出格式,常用于企业IT管理环境。
1、打开“应用程序” > “实用工具” > “终端”。
2、输入命令检查当前状态:fdesetup status,确认返回结果为“FileVault is Off”。
3、执行启用指令:sudo fdesetup enable -authrestart,系统将请求管理员密码并生成恢复密钥。
4、终端窗口会显示一串24位字母数字组合的恢复密钥,请立即复制并保存至可信离线介质。
5、重启Mac,登录后加密流程即自动启动,可通过活动监视器观察fdesetup进程运行状态。
三、通过恢复模式强制启用FileVault
当系统因权限损坏、配置异常或无法正常进入桌面环境时,此方法可在无GUI状态下直接调用底层加密服务,确保在受限启动环境中仍能激活磁盘保护机制。
1、关机后立即按住电源按钮不放,直至出现启动选项窗口。
2、选择带有齿轮图标的“选项”,进入macOS恢复模式,然后从顶部菜单栏选择“实用工具” > “终端”。
3、输入命令:fdesetup enable -defer /Volumes/Macintosh\ HD(请将Macintosh HD替换为实际启动卷名称,如不确定可用ls /Volumes查看)。
4、系统返回一个个人恢复密钥,请完整记录并安全存档。
5、关闭终端,从菜单栏选择“重启”,Mac将正常启动并开始后台加密。
四、为其他用户账户授权访问加密磁盘
FileVault默认仅授权当前启用操作的管理员账户,其余用户需单独添加权限,否则无法在登录界面解锁加密磁盘,将导致黑屏或循环验证失败。
1、进入“系统设置” > “隐私与安全性” > “文件保险箱”。
2、点击锁形图标解锁,输入管理员密码。
3、在用户列表下方点击“+”号按钮。
4、从弹出的用户列表中选择目标账户,点击“添加”。
5、系统将提示为该用户设置解锁凭证,必须输入该用户的当前登录密码以完成授权绑定。
五、关闭FileVault以停止全盘加密
关闭操作将触发系统级解密流程,所有已加密数据将逐步还原为明文存储,适用于安全策略调整或设备移交等明确需解除加密保护的场景。
1、进入“系统设置” > “隐私与安全性” > “文件保险箱”。
2、点击锁形图标解锁设置项,输入管理员密码。
3、点击“关闭文件保险箱”按钮,确认弹窗提示。
4、系统开始解密,进度条将在界面中实时显示;请保持Mac接入电源且持续运行,切勿强制关机或中断进程。
5、解密完成后,FileVault状态显示为“已关闭”,磁盘卷不再受AES-XTS 128位加密保护。
