Ich habe in den letzten Tagen einige Zeit damit verbracht, herauszufinden, wie ich die klaren Datensicherheitsvorteile der Verschlüsselung meines Computers mit FileVault 2 unter Lion und das Diebstahl-Wiederherstellungspotential von Programmen wie Undercover, Prey oder LoJack kombinieren kann . Der allgemeine Konsens ist, dass dies im Grunde ein Entweder-Oder-Kompromiss ist, da die Verschlüsselung Ihres Systems verhindern wird, dass ein Dieb hineinkommt, und ihn folglich daran hindert, die Tracking-Software überhaupt auszuführen. Unter dem alten FileVault hätten Sie ein Honeypot-Gastkonto unverschlüsselt lassen können, aber das hatte einige schwerwiegende Nachteile für die Datensicherheit, da es einem cleveren Dieb den Weg ebnete, der Ihre Verschlüsselung im Einzelbenutzermodus umgeht. Das neue FileVault bietet diese Option offensichtlich nicht, obwohl Sie möglicherweise mit Find My Mac auf iCloud etwas erreichen können.
Gibt es eine bessere Lösung, als sich zwischen Datensicherheit und Tracking-Tools entscheiden zu müssen?
Nach einigem Herumspielen stellt sich heraus, dass es einen besseren Kompromiss gibt, der nirgendwo offensichtlich klar dokumentiert zu sein scheint, also dachte ich, ich würde ihn hier teilen. Ich glaube nicht, dass dies ein Duplikat ist, aber ich freue mich, dass diese Frage geschlossen wird, wenn ich etwas verpasst habe.
Die Kosten der Lösung (die für einige möglicherweise nicht akzeptabel sind) bestehen darin, dass Sie etwa 14 GB Ihres Laufwerks einer Honeypot-Partition opfern müssen. Die Schritte, die ich unternommen habe, sind:
Verwenden Sie das Festplatten-Dienstprogramm, um die Größe Ihrer Startpartition zu ändern und mindestens 14,3 GB freien Speicherplatz am Ende des Laufwerks zu schaffen. Wenn Sie FileVault bereits aktiviert haben, bedeutet dies meiner Meinung nach, dass Sie es ausschalten und warten müssen, bis die Entschlüsselung abgeschlossen ist.
Erstellen Sie am Ende Ihres Laufwerks eine leere, protokollierte Mac OS Extended-Partition, die den freien Speicherplatz füllt.
Um die Sache etwas überzeugender aussehen zu lassen, geben Sie Ihrer neuen Partition einen Namen, der plausibler ist als Macintosh HD (2) - ich benenne meinen nach meinem Hostnamen.
Starten Sie Ihren Computer neu und starten Sie den Wiederherstellungsmodus, indem Sie Cmd-R gedrückt halten, während das System hochfährt.
Wählen Sie im Wiederherstellungsmenü die Option „Betriebssystem neu installieren“ und führen Sie die Installation durch. Irgendwo entlang der Zeile erhalten Sie die Option, auszuwählen, wo das Betriebssystem installiert werden soll. Sie möchten es natürlich auf die neue Partition legen. Es sollte gerade groß genug sein, damit Sie Lion installieren können. Wenn dies nicht der Fall ist, müssen Sie zum Hauptwiederherstellungsmenü zurückkehren, das Festplatten-Dienstprogramm starten und die Größe der Partitionen erneut ändern. Das ist ein bisschen Mist, weil Sie am Ende nicht so viel freien Speicherplatz haben wie die angegebene Größe der Partition, aber Sie werden es am Ende schaffen.
Schließen Sie die Installation Ihrer neuen Kopie von Lion ab. Sie möchten dies als Honeypot einrichten, also:
<shudder>
.Verhindern Sie, dass Corestoraged beim Start versucht, verschlüsselte Partitionen einzuhängen, und blasen Sie so Ihre Tarnung auf:
sudo mkdir -p /System/Library/LaunchDaemons.Disabled
sudo mv /System/Library/LaunchDaemons/com.apple.corestorage.corestoraged.plist /System/Library/LaunchDaemons.Disabled/com.apple.corestorage.corestoraged.plist
(Ein bisschen wie ein Hack, aber es ist nur ein Honigtopf. Hut-Tipp an die Mitwirkenden hier )
Wenn Sie also jetzt Ihren Mac ausschalten und von kalt booten, wird er in die Honeypot-Partition booten, ohne auch nur nach einem Passwort zu fragen. Für einen unerfahrenen Dieb sieht es so aus, als hätte er Zugriff auf Ihren Computer, indem er ihn einfach neu startet. Es besteht die Chance, dass Ihre Tracking-Software eine Anzeige erstatten kann, bevor der Dieb merkt, dass etwas nicht stimmt.
Wenn Sie Ihren Computer neu starten, müssen Sie daran denken, die Alt-/Optionstaste gedrückt zu halten, um in Ihr richtiges System zu gelangen. An diesem Punkt werden Sie zur Eingabe eines Passworts aufgefordert, um es zu entschlüsseln. Vorausgesetzt, Sie haben die entsprechenden Sperreinstellungen für eine vernünftige Sicherheit aktiviert, ist Ihr Computer einigermaßen sicher davor, dass jemand an sensible private Daten gelangt.
Wenn Sie einen neueren Mac mit angemessenem Firmware-Schutz haben, wird es dem Dieb außerordentlich schwer fallen, etwas anderes als die Honeypot-Partition zu verwenden, und wird selbst damit Schwierigkeiten haben, etwas besonders Nützliches zu tun, da er keine Administratorrechte hat. Mit etwas Glück klopft die Polizei schon an seine Tür, wenn er damit fertig ist, frustriert zu sein :-)
Dies funktioniert nicht mit den von Ihnen erwähnten Tracking-Dienstprogrammen von Drittanbietern, aber wenn Sie FileVault 2 und auch den Find My Mac-Dienst von iCloud einrichten, wird eine „Gast“-Option auf dem FV2-Preboot-Authentifizierungsbildschirm aktiviert. Wenn Sie diese Option verwenden, startet es in einem reinen Safari-Modus (der von der Wiederherstellungspartition ausgeführt wird, ohne Zugriff auf das verschlüsselte Startvolume). Die Idee dabei ist, dass, wenn jemand Ihren Mac stiehlt, versucht wird, ihn dazu zu verleiten, ihn mit dem Internet zu verbinden, damit Sie Ihren Mac verfolgen/löschen/usw. können. Weitere Informationen finden Sie in diesem MacWorld -Artikel .