Как я могу использовать шифрование FileVault и по-прежнему отслеживать свой ноутбук в случае кражи

После небольшого возни выясняется, что есть лучший компромисс, который, кажется, не задокументирован нигде очевидным образом, поэтому я решил поделиться им здесь. Я не верю, что это дубликат, но я рад, что этот вопрос закрыт, если я что-то пропустил.

Стоимость решения (которое может быть неприемлемым для некоторых) заключается в том, что вам нужно пожертвовать около 14 ГБ вашего диска для раздела приманки. Я предпринял следующие шаги:

1. Используйте Дисковую утилиту, чтобы изменить размер загрузочного раздела, чтобы создать не менее 14,3 ГБ свободного места в конце диска. Если вы уже включили FileVault, я полагаю, это означает, что вам придется сначала отключить его и подождать, пока он завершит расшифровку.

2. Создайте пустой журнальный раздел Mac OS Extended в конце вашего диска, заполнив свободное место.

3. Чтобы все выглядело немного более убедительно, дайте вашему новому разделу более правдоподобное имя, чем Macintosh HD (2) — я называю свой по имени моего хоста.

4. Перезагрузите компьютер и войдите в режим восстановления, удерживая Cmd-R во время загрузки системы.

5. Выберите переустановить ОС в меню восстановления и выполните установку. Где-то вдоль линии вы получите возможность выбрать, где установить ОС. Очевидно, вы хотите поместить его в новый раздел. Он должен быть достаточно большим, чтобы вы могли установить Lion. Если это не так, вам придется вернуться в главное меню восстановления, запустить Дисковую утилиту и снова изменить размер разделов. Это немного дерьмо, потому что у вас не будет столько свободного места, сколько указанный размер раздела, но в конце концов вы его получите.

6. Завершите установку новой копии Lion. Вы хотите настроить это как приманку, поэтому:

   • Включите автоматический вход, который входит в неадминистративную учетную запись с тем же именем пользователя, которое вы используете в своем основном разделе (для большей правдоподобности)
   • Убедитесь, что ваша учетная запись администратора имеет достойный пароль, чтобы вору было трудно возиться с вашим программным обеспечением для отслеживания, если он его найдет.
   • Не подключайте ничего к iCloud — я предполагаю, что вы собираетесь использовать альтернативный сервис, такой как Undercover, Prey или LoJack, для облегчения восстановления, так что это просто более потенциальное воздействие, и его лучше избегать.
7. Установите выбранное вами программное обеспечение для отслеживания на раздел приманки. В конце концов я остановился на Undercover, потому что это разовая плата, а Prey написана на bash <shudder>.

8. Предотвратите попытку corestoraged монтировать зашифрованные разделы при запуске, тем самым взорвав ваше прикрытие:

   sudo mkdir -p /System/Library/LaunchDaemons.Disabled
   sudo mv /System/Library/LaunchDaemons/com.apple.corestorage.corestoraged.plist /System/Library/LaunchDaemons.Disabled/com.apple.corestorage.corestoraged.plist
   

   (Небольшой хак, но это всего лишь приманка. Совет участникам здесь )

9. Перезагрузите систему. Вам нужно будет удерживать нажатой клавишу Alt/opt во время загрузки системы, чтобы открыть меню загрузки. Выберите исходный основной раздел для загрузки в основную систему.
10. (Повторно) включите FileVault для этого раздела и дайте ему завершиться.
11. Установите программное обеспечение для отслеживания на этот раздел (это отлично работает для Undercover, который идентифицирует машины по серийному номеру MAC-адреса, поэтому ему все равно, в какой раздел вы загружаетесь)
12. Установите пароль прошивки. Если вы используете Mac до 2011 года, это всего лишь символический жест, но я полагаю, что каждая мелочь помогает. Если у вас более новый Mac, это серьезная мера безопасности, так как единственные варианты обхода этого, насколько мне известно, — это доставить его в Apple или физически заменить чип на материнской плате.

Так что теперь, если вы выключите свой Mac и загрузите его с холода, он загрузится в раздел honeypot, даже не запрашивая пароль. Неискушенному вору будет казаться, что он получил доступ к вашей машине, просто перезагрузив ее. Есть большая вероятность, что ваше программное обеспечение для отслеживания успеет подать отчет до того, как вор поймет, что что-то не так.

Когда вы перезагружаете свою машину, вам нужно будет не забыть удерживать клавишу alt/option, чтобы войти в нужную систему, после чего вам будет предложено ввести пароль для ее расшифровки. Предполагая, что у вас есть соответствующие настройки блокировки для разумной безопасности, ваша машина достаточно защищена от того, что кто-то завладеет конфиденциальными личными данными.

Если у вас есть новый Mac с надлежащей защитой прошивки, вору будет очень трудно использовать что-либо, кроме раздела honeypot, и ему будет сложно сделать что-то особенно полезное даже с этим, поскольку у него нет прав администратора. Если повезет, к тому времени, как он разочаруется, полиция уже будет стучать в его дверь :-)

Это не работает со сторонними утилитами отслеживания, которые вы упомянули, но если вы настроили FileVault 2, а также службу iCloud Find My Mac, она активирует опцию «Гость» на экране аутентификации перед загрузкой FV2. Если вы используете этот параметр, он загружается только в режиме Safari (запускается из раздела восстановления, без доступа к зашифрованному загрузочному тому). Идея заключается в том, что если кто-то украдет ваш Mac, он попытается соблазнить его подключить его к Интернету, чтобы вы могли отследить/стереть/и т. д. ваш Mac. См. эту статью MacWorld для получения дополнительной информации .