Зашифровать резервную копию Time Machine

К чему нужно стремиться

Защитить резервные копии так же, как и системный диск.
Не потерять возможность восстановления: сохранить пароль и подсказку.
Выбрать подходящий метод: ретрошифрование существующего архива или создание нового зашифрованного раздела.

Короткие определения

Time Machine — встроенная система резервного копирования macOS.
Шифрование диска — механизм, который делает данные недоступными без пароля или ключа расшифровки.

time-machine-featured

Быстрые ссылки

Медленный, но неразрушающий вариант: зашифровать текущие резервные копии
Быстрый вариант: создать новый зашифрованный раздел и начать заново

Важно: если злоумышленник получит физический доступ к вашему внешнему диску Time Machine без шифрования, он сможет прочитать все файлы. Шифрование устраняет эту уязвимость.

Медленный, но неразрушающий вариант: зашифровать существующие резервные копии

Этот метод шифрует уже записанные данные на диске. Преимуществo — вы сохраняете историю резервных копий. Недостаток — процесс может занимать много времени.

Шаги:

Откройте Системные настройки > Time Machine.
Нажмите «Select Disk» (Выбрать диск).

time-machine-select-disk

Выберите ваш текущий диск резервных копий и нажмите «Remove Disk» (Удалить диск).

time-machine-remove-disk

Нажмите «Select Backup Disk» (Выбрать диск для резервного копирования).

time-machine-select-backup-disk

Выберите тот же диск в списке и отметьте опцию «Encrypt backups» (Шифровать резервные копии).

time-machine-select-disk-encrypt

Придумайте пароль и подсказку. Подсказка обязательна.

time-machine-encrypt-options

Советы по паролю:

Сделайте длинный уникальный пароль.
Сохраните его в менеджере паролей и на бумаге в надёжном месте.
Если нужно, используйте помощник паролей macOS (иконка ключа).

time-machine-assistant

После подтверждения macOS начнёт процесс шифрования. В Системных настройках > Time Machine можно будет видеть прогресс.

time-machine-encrypting

Особенности процесса:

Шифрование выполняется один раз и может занимать десятки часов на большие механические диски. Для 1 ТБ HDD это легко может быть более 24 часов.
Вы можете отключать диск: шифрование при следующем подключении продолжит работу.
Резервные копии продолжают создаваться в процессе шифрования.

Важно:

Если вы забудете пароль, доступ к файлам будет утерян. Не полагайтесь только на подсказку.

Быстрый вариант: создать новый зашифрованный раздел и начать с нуля

Если вы готовы отказаться от старой истории резервных копий ради скорости, создайте новый зашифрованный раздел через Дисковую утилиту (Disk Utility). Это быстрее, но удаляет существующие данные на выбранном разделе.

Шаги:

Откройте Программы > Утилиты > Disk Utility.
Выберите внешний диск в левой панели и нажмите «Erase» (Стереть).

mac-disk-utility-erase

Задайте имя раздела и откройте выпадающий список Формат.

mac-disk-erase-options

Выберите «Mac OS Extended (Journaled, Encrypted)» или APFS (Encrypted) в зависимости от версии macOS и клинических требований к резервным копиям. Нажмите «Erase». Выберите пароль шифрования.

mac-disk-encrypt-external

Советы:

Для новых дисков предпочтителен APFS Encrypted, если ваш Mac использует современную версию macOS. APFS быстрее и лучше работает с SSD.
Для совместимости с более старыми macOS и для механических дисков используйте Mac OS Extended (Journaled, Encrypted).

Помощник паролей поможет создать надёжный ключ.

mac-password-tool

После форматирования добавьте раздел в Time Machine как диск для резервирования. Теперь резервные копии создаются уже на зашифрованном разделе — без длительного ожидания процесса шифрования существующего содержимого.

Как проверить, что диск действительно шифрован

В Time Machine в Системных настройках около имени диска будет пометка «Encrypted» или замок.
В Finder при попытке открыть диск macOS запросит пароль.
В Disk Utility формат раздела будет показывать «Encrypted».

Руководство по безопасности пароля и восстановлению

Сохраняйте пароль в менеджере паролей.
Запишите пароль на бумаге и положите в физически безопасное место (сейф, банковская ячейка).
Не используйте лёгкие, угадываемые пароли.
Подсказка должна помогать вам, но не давать пароль посторонним.

Важно: шифрование работает только при надёжном хранении пароля. Без него данные останутся зашифрованными навсегда.

Когда этот подход не подойдёт

Вам нужен доступ к резервным копиям нескольким пользователям без общего пароля.
Вы используете диск с другим оборудованием, не поддерживающим macOS-шифрование.
Нужно восстановить данные, а пароль утерян.

Альтернативные подходы:

Использовать аппаратно-шифрованные внешние диски с поддержкой управления ключами.
Хранить резервные копии в зашифрованном облаке (S3, Backblaze B2 с клиентским шифрованием).
Комбинировать: локальная шифрованная копия плюс облачная реплика.

Структурированное SOP для администратора или продвинутого пользователя

Оценка:
- Проверить текущее состояние диска (файловая система, содержимое).
- Решить: ретрошифрование или форматирование в новый раздел.
Резервная проверка:
- Убедиться, что критичные файлы дублированы где-то ещё перед форматированием.
Выполнение:
- Для ретрошифрования: следовать шагам в разделе Медленный вариант.
- Для нового раздела: стереть и выбрать формат Encrypted.
Валидация:
- Подключить диск и проверить, требует ли система пароль.
- Сделать тестовое восстановление 1–2 файлов.
Документирование:
- Сохранить пароль в менеджере паролей.
- Записать процедуру восстановления и место хранения пароля.
Мониторинг:
- Контролировать первые несколько резервных копий и журнал ошибок.

Контрольные тесты и критерии приёмки

Критерии приёмки:

Диск помечен как «Encrypted» в Time Machine или Disk Utility.
При подключении диск запрашивает пароль.
Тестовое восстановление 1–2 файлов прошло успешно.
Пароль сохранён в менеджере и на бумаге в безопасном месте.

Тесты:

Подключите диск к другому Mac и попытайтесь прочитать файлы без ввода пароля — доступ должен быть заблокирован.
Расшифруйте диск, восстановите файл, проверьте целостность.

Роль‑ориентированные чек‑листы

Для домашнего пользователя:

Выбрать один из двух методов.
Сохранить пароль в менеджере паролей.
Проверить, что Time Machine делает резервные копии.

Для системного администратора:

Документировать ключи и места хранения.
Настроить политику смены паролей и доступа.
Проверить совместимость с процессом восстановления организации.

Матрица рисков и меры смягчения

Риск: потеря пароля → Мера: хранить пароль в менеджере и офлайн-копию.
Риск: длительная операция шифрования прерывается → Мера: можно продолжить при следующем подключении.
Риск: несовместимость форматирования → Мера: выбрать формат в зависимости от версии macOS и требований совместимости.

Полезные рекомендации и советы

Для SSD выбирайте APFS Encrypted. Для традиционных HDD можно использовать Mac OS Extended Encrypted для лучшей совместимости.
Планируйте шифрование на ночь или в момент, когда вы не торопитесь: длительная операция может занять часы.
Если вам нужно, чтобы несколько людей имели доступ, используйте общий менеджер паролей с разграничением доступа, а не один простой пароль на бумажке.

Частые ошибки и как их избежать

Не сохранить пароль — следствие: потеря доступа к резервам. Решение: сразу задокументировать.
Форматировать неправильный раздел — решение: перед стиранием проверьте метаданные диска и резервные точки.
Неправильный выбор формата — решение: заранее определите, какие устройства должны читать диск.

Краткое резюме

Зашифровать Time Machine важно для защиты данных при физическом доступе к диску. Если вы хотите сохранить историю резервов — используйте ретрошифрование. Если важна скорость и вы готовы начать с нуля — создайте зашифрованный раздел через Дисковую утилиту. В обоих случаях ключевой момент — надежное хранение пароля.

Фото: Valerie Everett