לדלג לתוכן

Chapter 11 Asset B: Facilitator Guide

1. ניהול ציוד חיצוני: חיבורי Thunderbolt, USB-C ואביזרי Bluetooth

Objective: The class will learn how to identify, connect, and troubleshoot external peripherals using Thunderbolt, USB-C, and Bluetooth, while understanding the difference in capabilities and speeds via standard GUI tools.

Discussion - Script: "אז בואו נדבר קצת על חומרה וחיבורים חיצוניים. אנחנו מחברים המון ציוד למק שלנו – מסכים, כוננים קשיחים, מקלדות ומה לא. דבר ראשון, חשוב להבדיל בין סוגי החיבורים. היום הכל נראה כמו USB-C, אבל מאחורי אותו חיבור פיזי יכול להסתתר פרוטוקול USB 3, USB 4 או Thunderbolt. Thunderbolt זה הפרוטוקול המהיר ביותר שמאפשר לנו לא רק להעביר נתונים בקצבים של עד 40 גיגה-ביט בשנייה, אלא גם לחבר שרשרת של מכשירים ולהעביר וידאו באיכות גבוהה. למשל, אם אנחנו רוצים לחבר שני מחשבי מק יחד להעברת נתונים מהירה, אנחנו יכולים להשתמש במצב שנקרא Target Disk Mode (במחשבי אינטל) או Mac Sharing Mode (ב-Apple Silicon). במצבים האלו אנחנו משתמשים בכבל Thunderbolt (ולא סתם כבל טעינה USB-C) כדי לקבל מהירות מטורפת שמסוגלת להעביר מאות גיגה-בייטים בשעה. לגבי Bluetooth – כשאנחנו נתקלים בבעיות של מקלדת או עכבר שלא מתחברים, הדבר הראשון שנרצה לוודא הוא שאין הפרעות מתדרים אחרים, במיוחד מהתקני USB 3.0 שיושבים קרוב מדי, ושאפשר לזהות את החומרה דרך System Information. השימוש בכלים המובנים במערכת מאפשר לנו לראות את הנתונים בזמן אמת ללא צורך בשורת הפקודה."

Demonstration:

  1. פתחו את אפליקציית System Information דרך ה-Apple Menu (לחיצה על מקש Option תוך כדי לחיצה על התפריט, ובחירה ב-System Information).
  2. נווטו בתפריט השמאלי תחת חומרה ל-Thunderbolt/USB4 ול-USB.
  3. הראו לכיתה כיצד ניתן לראות את המהירות המקסימלית של הערוץ (Link Speed) לעומת המהירות בפועל של המכשיר המחובר.
  4. נווטו ל-Bluetooth ב-System Information והראו את מצב הרכיב.
  5. כנסו ל-System Settings > Bluetooth והדגימו כיצד לכבות ולהדליק את השירות, וכיצד מנהלים התקנים מקושרים מתוך הממשק.
Instructor Deep-Dive - **Thunderbolt vs. USB-C:** The USB-C connector is just a shape. The underlying protocols dictate the speed. Thunderbolt 3/4 supports up to 40 Gbps. A standard charging cable included with MacBooks often only supports USB 2.0 speeds (480 Mbps). Always emphasize using the correct certified cable for data transfers like Target Disk Mode or Mac Sharing Mode. - **Interference:** USB 3.0 devices emit radio frequency noise in the 2.4 GHz band, which can heavily interfere with Bluetooth and 2.4 GHz Wi-Fi. If a user complains about laggy Bluetooth mice, check if they have an unshielded USB 3.0 hub nearby. - **Troubleshooting:** The Bluetooth daemon is `bluetoothd`. If Bluetooth is acting up, restarting the module or booting into Safe Mode clears system caches and helps identify software conflicts. `sudo pkill bluetoothd` can force the daemon to restart.

2. אבטחת אביזרים: מנגנון ה-Accessory Security (בקשת אישור לחיבור רכיב USB חדש)

Objective: The class will understand the Accessory Security mechanism on Apple Silicon Macs, which protects the system against close-access attacks from malicious wired devices.

Discussion - Script: "מכירים את זה שאתם מחברים דיסק-און-קי או אפילו מפצל USB למק חדש עם Apple Silicon, ופתאום קופצת לכם הודעה על המסך שמבקשת לאשר את החיבור? זה לא באג, זה פיצ'ר. המנגנון הזה נקרא Accessory Security. אפל הבינו שחיבור פיזי למחשב הוא נקודת תורפה משמעותית – הרי יש התקנים זדוניים שנראים כמו כבל תמים אבל מתנהגים כמו מקלדת שמריצה פקודות ברקע (כמו Rubber Ducky). כברירת מחדל במחשבי Apple Silicon, כאשר אתם מחברים אביזר חדש ל-Thunderbolt או ל-USB, המערכת תדרוש מכם לאשר אותו דרך חלונית קופצת ב-GUI. כשהמק שלכם נעול למעלה משלושה ימים, אפילו אביזר שכבר אושר יבקש אישור מחדש כדי לפעול. זה מונע ממישהו שגנב לכם את המחשב לנסות לפרוץ אליו דרך החיבורים הפיזיים. חשוב לדעת שזה לא משפיע על כבלי טעינה וחיבורי מסכים בסיסיים, אלא רק על אביזרים שיכולים להעביר נתונים."

Demonstration:

  1. פתחו את System Settings.
  2. נווטו אל Privacy & Security.
  3. גללו למטה עד לאזור Security.
  4. הראו את ההגדרה Allow accessories to connect המציגה את האפשרויות הזמינות לניהול המנגנון: Ask every time, Ask for new accessories, Automatically when unlocked, Always.
Instructor Deep-Dive - **How it Works:** Accessory Security blocks data transfer on USB/Thunderbolt ports for unknown accessories until the user authenticates. - **Exceptions:** Power adapters, standalone displays (without built-in data hubs), and Macs booted into macOS Recovery or Setup Assistant do not prompt for Accessory Security to avoid locking users out of basic troubleshooting. - **Approval Window:** Once an accessory is approved, it can be connected without prompting while the Mac is locked, but only if the Mac has been unlocked within the last three days.

3. הדפסה ב-macOS: ניהול מדפסות רשת ומקומיות בצורה חזותית

Objective: The class will learn how the macOS printing system operates and how to manually configure local and network printers directly via the visual System Settings interface.

Discussion - Script: "בואו נדבר על כאב הראש של כל מנהל רשת – מדפסות. באופן מפתיע, במק ניהול המדפסות מבוסס על סטנדרט מאוד ותיק בעולם היוניקס שנקרא CUPS – Common UNIX Printing System. כן, זו מערכת שאפל קנתה ומתחזקת, והיא הלב של כל הדפסה במק שלכם. איך זה עובד בפועל? אם המדפסת מחוברת ישירות ב-USB או שהיא תומכת ב-AirPrint ברשת, לרוב היא פשוט תופיע ונוכל להדפיס. אבל לפעמים אנחנו צריכים להגדיר מדפסת רשת באופן ידני מתוך ממשק ה-System Settings. אנחנו צריכים לדעת את כתובת ה-IP שלה, את הפרוטוקול (למשל LPD או IPP), ואנחנו צריכים לתת למחשב קובץ שנקרא PPD. ה-PPD הוא כמו 'שרטוט הבניין' (Blueprint) של המדפסת – הוא מסביר למק לאן לשלוח כל פקודה ואילו מגשים יש למדפסת. במקום לחפור בשורת הפקודה, אפל ארזה את כל היכולות הללו בממשק ניהול אלגנטי ופשוט המאפשר לנו לעקוב ולשלוט בכל היבט של ההדפסה."

Demonstration:

  1. פתחו את System Settings > Printers & Scanners.
  2. לחצו על כפתור ההוספה (Add Printer, Scanner, or Fax...).
  3. הראו את חלון החיפוש הכללי שבו מופיעות מדפסות AirPrint או Bonjour.
  4. עברו ללשונית ה-IP (סמל כדור הארץ).
  5. הסבירו את שדות החובה בממשק: כתובת רשת (Address), פרוטוקול (IPP/LPD), ותחום ה-Use (המקום בו בוחרים את דרייבר ה-PPD או בוחרים ב-Generic PostScript Printer).
  6. הציגו את ניהול תור ההדפסה באמצעות לחיצה כפולה על מדפסת מותקנת, והדגימו השהיית מדפסת (Pause) וביטול משימות מהתור.
Instructor Deep-Dive - **CUPS Internals:** The CUPS daemon (`cupsd`) runs in the background to handle spooling and queues. PPD (PostScript Printer Description) files are typically stored in `/Library/Printers/PPDs/`. - **Command Line & Hidden Interfaces:** Instructors and IT admins can enable the hidden web interface for CUPS by running `cupsctl WebInterface=yes` in Terminal and navigating to `http://localhost:631` in a browser. They can also use the `lpadmin` command to add printers via script. Example: `lpadmin -p "OfficePrinter" -E -v lpd://192.168.1.50 -P /Library/Printers/PPDs/Contents/Resources/printer.ppd`. - **AirPrint:** AirPrint provides driverless printing. It operates via Bonjour (mDNS) to discover the printer and IPP (Internet Printing Protocol) for spooling.

4. תיבול ארגוני: נעילת ה-USB דרך MDM והפצת מדפסות שקטות

Objective: The class will see how MDM environments can secure physical ports against data exfiltration and how printers can be deployed silently to users without manual intervention.

Discussion - Script: "אז איך אנחנו לוקחים את כל מה שלמדנו ומנהלים את זה בארגון? נתחיל עם אבטחה. ראינו ש-Accessory Security שואל את המשתמש אם לאשר חיבור. אבל מה אם המדיניות של הארגון היא שאסור לחבר דיסק-און-קי בכלל כדי למנוע זליגת מידע? דרך מערכת ה-MDM אנחנו יכולים לשלוט על זה לחלוטין. אנחנו יכולים לדחוף Configuration Profile (פרופיל תצורה) (Configuration Profile) שמגדיר בדיוק מה מותר לעשות עם האחסון החיצוני – למשל, אפשר להגדיר שקריאת קבצים (Read-only) מותרת, אבל כתיבה אסורה, או למנוע לחלוטין (Disallowed) חיבור של כונני USB. לגבי מדפסות, תחשבו על חברה עם מאות עובדים. אנחנו לא רוצים שכל עובד ילך ל-System Settings ויקליד כתובות IP. במקום זה, דרך ה-MDM אנחנו שולחים Payload (פיילוד) (Payload) שמגדיר לעובדים את המדפסות באופן שקט מאחורי הקלעים. העובד פותח מסמך, לוחץ על הדפס, והמדפסת הארגונית פשוט נמצאת שם בממשק, מוכנה לעבודה."

Demonstration:

  1. הציגו (אם אפשרי במערכת ההדגמה שלכם) תצוגה ויזואלית של פרופיל MDM מסוג Restrictions המגביל חיבורי USB ואחסון.
  2. הראו את הרעיון של פרופיל Printing שמפיץ מדפסות אוטומטית ל-Printers & Scanners של המשתמש.
Instructor Deep-Dive - **Declarative Device Management - DDM:** With macOS 15, Apple introduced the Storage Management declarative configuration. It explicitly controls `External storage devices` and `Network Storage` mount policies, providing a cleaner way to enforce Read-only or Disallowed access compared to old scripts. - **Printer Payloads:** The `com.apple.mcxprinting` payload lets MDM define the printer list, set the default printer, and optionally restrict users from adding their own local printers (`Allow printers that connect directly to the user's Mac`). - **Accessory Security MDM Control:** The restriction key `allowUSBRestrictedMode` can be set to force the Mac to always allow accessories without prompting, which is useful in highly automated environments where headless Macs need uninterrupted USB communication.