Sådan aktiverer du FileVault-kryptering i macOS
Forestil dig, at din Mac bliver stjålet i morgen. Det første, tyven ser, er den blanke aluminiumsoverflade - men hvad de ikke ser, er dine fotos, dine gemte adgangskoder, dine dokumenter fra arbejdet og måske endda dine CPR-oplysninger
Med FileVault kan du sørge for, at det forbliver sådan.
FileVault er Apples indbyggede fulddisk-kryptering, der forvandler alt på din SSD til ulæseligt volapyk for alle andre end dig. På moderne Macs mærker du knap nok, at den kører - men du mærker sikkerheden, når uheldet er ude. I denne guide viser vi dig, trin for trin, hvordan du aktiverer FileVault, undgår faldgruberne og sikrer, at ingen uvedkommende kan få fingrene i dine data.
Uanset om du sidder med en spritny Apple Silicon-maskine eller en trofast Intel-Mac, har vi samlet de vigtigste tips, tricks og FAQ’s, så du kan lukke låget med ro i maven. Klar til at kryptere? Så læs med!
Hvad er FileVault, og hvorfor bør du aktivere det?
FileVault er Apples indbyggede fulddisk-kryptering, som siden OS X Lion har gjort det muligt at beskytte hele indholdet på din interne SSD eller harddisk med XTS-AES-128-kryptering (128-bit blokke, 256-bit nøgle). Når FileVault er slået til, ligger alle filer - lige fra brugerdata til systemfiler og skjulte caches - krypteret på disken, så de først dekrypteres i det øjeblik du logger ind med din macOS-brugerkonto eller gendannelsesnøgle. Set udefra betyder det, at ingen kan trække din disk, montere den i en anden computer og læse dine data, uden samtidig at kende dine legitimationsoplysninger.
Det gør FileVault særligt værdifuldt, hvis din Mac bliver stjålet, forsvinder i lufthavnen eller sendes til reparation. Selv hvis tyven piller SSD’en ud, vil indholdet være meningsløst uden nøglen. Derudover kan FileVault hjælpe dig med at overholde databeskyttelsespolitikker (GDPR, ISO 27001 osv.) og giver ro i maven, når du håndterer følsomme dokumenter, kundedata eller personlige fotos. Krypteringen er transparent: din daglige arbejdsgang ændrer sig ikke, og iCloud-funktioner som Time Machine, Find My og Handoff fungerer stadig uændret.
På moderne Macs er performancestraffen tæt på nul, fordi både Intel-Macs med T2-chip og alle Apple Silicon-Macs har dedikerede AES-krypteringsmotorer i Secure Enclave. Disse hardware-acceleratorer krypterer og dekrypterer data i farten, så du hverken mærker langsommere opstart eller reduceret batteritid. De fleste brugere vil kun opleve et kortvarigt CPU-tryk under selve initialiseringen, hvor de eksisterende data krypteres i baggrunden.
FileVault kræver blot, at din Mac kører en understøttet version af macOS (pr. skrivestund macOS 10.13 High Sierra eller nyere), har mindst én administratorkonto og er logget ind med en standard- eller iCloud-aktiveret Apple ID. Forskellen mellem platformene er primært under motorhjelmen: Intel-modeller uden T2 krypterer via software (lidt langsommere), Intel-modeller med T2 flytter nøglen ned i Secure Enclave, og Apple Silicon-Macs har fuld diskintegration, hvor SSD’en kun fungerer sammen med netop den SoC, den er loddet til. I praksis betyder det samme høje sikkerhedsniveau, men med markant bedre ydelse på nyere hardware.
Forberedelser før du går i gang
1. Tag en frisk backup med Time Machine
Før du gør noget som helst, bør du sikre dig, at alle dine data allerede ligger trygt på en ekstern disk eller i en anden backup-løsning. FileVault ændrer ikke dine filer, men hvis noget går galt under selve krypteringen (f.eks. strømsvigt eller hardwarefejl), er det kun en nylig backup, der kan redde situationen.
- Start Time Machine manuelt og vent, til den aktuelle sikkerhedskopi er færdig.
- Tjek, at backup-disken faktisk indeholder de seneste filer (åbn f.eks. Dokumenter i Time Machine-grænsefladen).
- Har du brug for ekstra tryghed, kan du supplere med en klonet disk via Carbon Copy Cloner eller SuperDuper!.
2. Sørg for strøm og ledig diskplads
Krypteringen kører i baggrunden, men den slider på både CPU og SSD, indtil processen er fuldført. Sæt derfor din Mac til opladeren, især hvis det er en bærbar model, og undgå at sætte den i dvale for længe ad gangen. FileVault kræver også en smule midlertidig plads til at omorganisere data, så hav helst 10-15 % af disken fri, før du starter.
3. Opdater macOS og gennemgå brugerkonti
Apple retter jævnligt fejl i FileVault-modulet, så kør > Systemindstillinger > Generelt > Softwareopdatering og installer alt, hvad der er tilgængeligt. Derefter bør du sikre, at den konto, du logger ind med, har administratorrettigheder; kun administratorer kan tænde eller slukke for FileVault. Har du flere brugere på maskinen, kan du med fordel logge dem på én gang efter aktiveringen, så deres nøgler også krypteres fra start.
4. Beslut dig for, hvor gendannelsesnøglen skal gemmes
Under aktiveringen bliver du bedt om at vælge mellem Gem i iCloud eller Opret en lokal gendannelsesnøgle. iCloud-valget er nemt: Skulle du glemme din adgangskode, kan du bekræfte din identitet via Apple-ID og låse drevet op igen. Den lokale nøgle er mere privat, men kræver, at du selv opbevarer den sikkert-f.eks. i en password-manager, et brandsikkert pengeskab eller som et fysisk print-out. Uanset metode er nøglens sikkerhed afgørende; uden den (eller din adgangskode) er dine data uopretteligt tabt.
Trin-for-trin: Sådan aktiverer du FileVault i macOS
1. Find menupunktet: Åbn → Systemindstillinger (eller Systemindstillinger… på ældre versioner). Vælg derefter Privatliv & sikkerhed → FileVault. Kører du macOS Catalina eller ældre, hedder stien Sikkerhed & anonymitet → FileVault. Klik på hængelåsen nederst til venstre, indtast administratoradgangskoden, og tryk på Aktivér FileVault.
2. Vælg gendannelsesmetode: macOS spørger nu, hvordan du vil gemme din gendannelsesnøgle. Du har to muligheder:
- Gem i iCloud: Den nemmeste løsning for de fleste. Nøglen krypteres og opbevares hos Apple, så du kan gendanne adgang, hvis du glemmer din loginkode.
- Opret lokal gendannelsesnøgle: macOS viser en 24-cifret streng, som du skal kopiere ned. Print eller gem den i en password-manager - hvis du mister både kodeord og nøgle, er data permanent låst.
3. Godkend brugere og start kryptering: macOS viser en liste over alle konti på maskinen. Sæt flueben ud for de brugere, der skal kunne låse disken op ved start; de bliver bedt om at indtaste deres adgangskode for at blive tilføjet. Vælg Aktivér, tilslut strøm (især på bærbare), og fortsæt arbejdet som normalt. Krypteringen kører i baggrunden - du kan følge status under samme FileVault-panel eller ved at klikke på → Om denne Mac → Systemrapport → Lager. Når fremdriftsbjælken er fuld, er hele disken beskyttet.
Håndtering af gendannelsesnøglen og daglig brug
Opbevar din gendannelsesnøgle som om det var dit pas: den er sidste udvej, hvis du glemmer adgangskoden eller noget går galt med dit Apple-ID. Den sikreste løsning er at gemme nøglen i en nul-knowledge password-manager (1Password, Bitwarden, KeePass m.fl.), hvor den krypteres separat fra din Mac. Lav gerne én ekstra, analog kopi: skriv nøglen ned eller print den, læg den i en brandsikker boks eller bankboks - og lad være med at fotografere den med din telefon eller gemme den i almindelige noter/e-mail, som ofte er ukrypterede.
Hvis du vælger iCloud-gendannelse: macOS opretter en særlig escrow-nøgle, som krypteres med din Apple-ID-adgangskode og Apple’s hardware-sikkerhedsnøgler i deres datacentre. Skulle du låse dig ude, kan du blot logge ind med dit Apple-ID på gendannelsesskærmen, hvorefter macOS henter og dekrypterer escrow-nøglen. Fordelen er nul papirarbejde; ulempen er, at du er afhængig af både Apple og din Apple-ID-konto (inkl. tofaktor-godkendelse). Kør du i et miljø med høj compliance-krav, kan lokal opbevaring stadig være at foretrække.
Tjek at alt kører som det skal: I > Systemindstillinger > Privatliv & sikkerhed > FileVault vises status som »Slået til« eller hvor mange procent der mangler, hvis krypteringen er i gang. Du kan også åbne Terminal og skrive fdesetup status for et mere detaljeret svar. Når FileVault er aktivt, bruges din brugerkontos adgangskode allerede ved firmware-niveau til at låse disken op; det betyder ét samlet login fra kold start og, på Apple Silicon, øjeblikkelig opvågning fra dvale uden ekstra pinkode. Ved lang tids strømløs dvale (»vejrtæt dvale«) vil du dog fortsat blive bedt om adgangskode/nøglen.
Nøglerotation & virksomheder: I større organisationer anbefales det at rotere gendannelsesnøglen ved jobskifte, kompromittering eller efter et fast interval. Dette kan automatiseres med fdesetup changerecovery via et script eller håndteres centralt gennem MDM-løsninger som Jamf Pro, Kandji eller Microsoft Intune, der kan udtrække, escrow’e og fornye nøgler uden brugerindblanding. Sørg for at politikkerne også håndterer Macs med både Intel og Apple Silicon, da sidstnævnte kræver godkendte Secure Enclave-tokens for at ændre FileVault-status.
Fejlfinding og FAQ
Typiske aktiveringsproblemer & hurtige løsninger:
• FileVault-knappen er grå - sørg for at du er logget ind på en administrator-konto, at macOS er opdateret, og at din Mac er tilsluttet strøm (især på bærbare).
• “Mangler godkendt bruger” - hvis andre brugere er markeret som “Kan ikke låse disken op”, skal de logge ind én gang, eller du kan midlertidigt give dem admin-rettigheder og fjerne dem igen efter aktivering.
• Langsom kryptering - dette er normalt på ældre mekaniske diske; på SSD’er må du forvente fuld kryptering inden for få timer. Hold maskinen vågen og på strøm, og tjek status under Systemindstillinger ▸ Privatliv & sikkerhed ▸ FileVault.
Sådan slår du FileVault fra (dekryptering):
Gå til Systemindstillinger ▸ Privatliv & sikkerhed ▸ FileVault, klik Slå FileVault fra og bekræft med administrator-adgangskoden. macOS starter straks med at dekryptere - processen kan sættes på pause, men ikke fortrydes uden at aktivere igen. Terminal-vej: sudo fdesetup disable. Husk, at Mac’en skal have strøm, og at du mister den fulddiske beskyttelse, indtil en ny kryptering påbegyndes.
Glemt adgangskode eller gendannelsesnøgle?
• Har du valgt iCloud-gendannelse, kan du logge ind med dit Apple-ID, hvorefter macOS tilbyder at nulstille adgangskoden.
• Ved en lokal gendannelsesnøgle skal du indtaste den 24-cifrede kode nøjagtigt; mangler du den, er data reelt tabt - der findes ingen “bagdør”.
• I en MDM-styret virksomhed kan din IT-afdeling have en escrow-kopi af nøglen; kontakt dem før du forsøger noget drastisk.
Avanceret fejlfinding & særlige hensyn:
• Eksterne diske: Højreklik i Finder ▸ Kryptér for APFS/HFS-medier; FileVault gælder kun den interne systemdisk.
• Terminal-status: fdesetup status viser FileVault is On/Off og evt. Encryption in progress (X%).
• Apple Silicon: Krypteringen er hardwareaccelereret via Secure Enclave, så performance-impact er minimal; ved Erase All Content and Settings slettes nøglen øjeblikkeligt, og data er straks utilgængelige.
• Hvis du ser fejl som “Authentication server unavailable” under aktivering på M-chips, prøv at nulstille SMC/NVRAM-ækvivalenten med sudo shutdown -r o eller kør simpelthen en kold genstart.