Chapter 14: התאוששות ופרמוט (macOS Recovery) - Facilitator Guide¶

הנחיות למדריך: פרק זה מתמקד בהישרדות המערכת (Recovery) ובפעולות הקיצוניות של שחזור ופרמוט, תוך דגש מיוחד על ההבדלים בארכיטקטורת Apple Silicon (ה-1TR) ומנגנון המחיקה הקריפטוגרפית (EACS). הפוקוס הוא שימוש בכלים הגרפיים (GUI) המובנים במערכת, כמו Disk Utility, System Settings ו-Recovery app. בסיום נציג את ההיבט הארגוני של ניהול מרחוק ושחרור נעילות Activation Lock. הקפד לשמור על קצב דינמי.

1. ה-1TR (One True Recovery)¶

Objective: הסטודנטים יבינו את המבנה החדש של Recovery OS במחשבי Apple Silicon ואת שרידותה לעומת מחיצות השחזור של העבר.

Discussion - Script: "בואו נדבר על המקום שאליו הולכים כשהכל קורס – macOS Recovery. פעם, בעידן ה-Intel, היינו לוחצים על Command + R ומתפללים שמחיצת ה-Recovery שרדה את הקריסה של המערכת. אם היא נמחקה, היינו צריכים לעשות Internet Recovery דרך ה-Wi-Fi. ב-Apple Silicon, כל הסיפור השתנה. יש לנו עכשיו משהו שנקרא 1TR – ראשי תיבות של One True Recovery. זהו Container (קונטיינר) שלם בתוך ה-APFS שמכיל מערכת הפעלה נפרדת בשם Recovery OS. המערכת הזו נועדה להיות חסינה! אפילו אם תמחקו את כונן המערכת ואת הנתונים, ה-1TR יישאר ויאפשר לכם להציל את ה-Mac באמצעות הממשק הגרפי. כדי להיכנס ל-Recovery ב-Apple Silicon, אנחנו פשוט לוחצים ומחזיקים את כפתור ההפעלה למשך 10 שניות עד שמופיע המסך של 'Loading startup options'."

Demonstration:

הראה שקף או צילום מסך של מסך ה-Startup Options ב-Apple Silicon (אייקון של הדיסק הפנימי ואייקון של גלגל שיניים עם הכיתוב Options).
במידת האפשר, בצע הפעלה מחדש למק שלך, החזק את כפתור ההפעלה, והדגם בלייב את הכניסה ל-Recovery OS.

Instructor Deep-Dive: 1TR, Fallback Recovery & DFU

* **One True Recovery - 1TR:** מריץ גרסה של macOS עם כלי אבחון, Disk Utility, התקנה מחדש, ו-Startup Security Utility. הוא מקושר ל-LocalPolicy של המק. * **Fallback Recovery - frOS:** אם Container (קונטיינר) ה-Recovery הראשי נפגם, המערכת תנסה לאתחל אל ה-frOS (העתק שנמצא ב-Boot ROM). סביבה זו מאפשרת התקנה מחדש אך לא שינוי הגדרות אבטחה. * **DFU Mode:** אם גם ה-Fallback Recovery לא זמין, המק דורש חיבור בכבל למק אחר והרצת Apple Configurator (מצב DFU) כדי לעשות לו Revive או Restore.

2. כלים גרפיים במצב שחזור¶

Objective: הסטודנטים יכירו את הכלים הזמינים בממשק הגרפי של Recovery OS וילמדו מתי ואיך להשתמש בהם.

Discussion - Script: "אז נכנסנו ל-Recovery OS, ויש לנו חלון מרכזי עם מספר אפשרויות שנקרא Recovery app. קודם כל, יש לנו את Disk Utility המוכר לנו – המקום המרכזי לתקן תקלות או למחוק את הכונן לגמרי. אתם יכולים להריץ את First Aid על ה-Containers (המכולות) והווליומים כשהמערכת הרגילה סגורה, שזה מעולה לתיקון שגיאות מערכת קבצים. יש לנו גם אפשרות להתקין מחדש את המערכת (Reinstall macOS), או לגלוש לאינטרנט דרך Safari מובנה כדי לחפש פתרונות. בנוסף, משורת התפריטים (Menu Bar) למעלה נוכל להציג את ה-Recovery Log כדי לקרוא לוגים בצורה גרפית נוחה אם נתקלנו בשגיאות במהלך התקנה, או לגשת ל-Share Disk במקום ה-Target Disk Mode הישן."

Demonstration:

הראה את חלון ה-Recovery app עם האפשרויות: Restore from Time Machine, Reinstall macOS, Safari, Disk Utility.
היכנס ל-Disk Utility, הצג את רשימת הכוננים והדגם לחיצה על כפתור ה-First Aid.
הראה משורת התפריטים כיצד מציגים את ה-Recovery Log (דרך תפריט Window).

Instructor Deep-Dive: Advanced Recovery CLI Tools

* למרות שאנחנו מתמקדים בממשק המשתמש (GUI), במצב שחזור ניתן לגשת גם ל-Terminal (תחת Utilities). * פקודת `resetpassword` בטרמינל תקפיץ את אשף איפוס הסיסמאות המובנה. * פקודת `csrutil disable` מבטלת את ה-System Integrity Protection (SIP), פעולה למטרות מחקר בלבד ולא מומלצת. * ניתן להשתמש ב-`diskutil list` לבחינה מדוקדקת של מחיצות ה-Recovery שאינן מוצגות כברירת מחדל ב-Disk Utility.

3. מחיקה מאובטחת ומיידית (EACS) בממשק¶

Objective: הסטודנטים יבינו ויבצעו את ה-Erase All Content and Settings (EACS) דרך ה-System Settings.

Discussion - Script: "בעבר, כדי למחוק מחשב היינו צריכים לפתוח Disk Utility מתוך השחזור, למחוק את הכונן ולהתקין הכל מחדש. זה לקח שעות. היום ב-macOS המודרנית יש לנו פיצ'ר בממשק הגרפי, בתוך System Settings, שנקרא Erase All Content and Settings (EACS). מכיוון שהכונן תמיד מוצפן (גם בלי FileVault אקטיבי), מה ש-EACS עושה הוא פשוט להשמיד את המפתחות הקריפטוגרפיים ב-Secure Enclave. ברגע שהמפתח הושמד – כל המידע בכונן הופך לג'יבריש ואי אפשר לקרוא אותו לעולם. המחשב עושה אתחול מחדש ישירות ל-Setup Assistant, ללא צורך בהורדת מערכת הפעלה מחדש!"

Demonstration:

פתח את אפליקציית System Settings.
נווט אל General -> Transfer or Reset.
הפעל את אשף ה-Erase All Content and Settings והצג למשתתפים את חלון ההתראות (כמובן, ללא השלמת המחיקה בפועל).

Instructor Deep-Dive: Cryptographic Erasure (Crypto-shredding)

* תהליך זה משמיד את ה-Media Key וה-Volume Key מתוך ה-Secure Enclave. * **SSV Retention:** ה-System Volume (SSV) נשאר שלם מכיוון שהוא Sealed (חתום קריפטוגרפית) ו-Read-Only. המערכת משליכה את ה-Data Volume ומייצרת אחד חדש לגמרי בבוט הבא, מה שחוסך התקנה מחדש של הקבצים עצמם ששוקלים מעל 12GB.

4. ניהול ארגוני: Remote Wipe ו-Activation Lock¶

Objective: הסטודנטים ילמדו כיצד ארגונים משתמשים בכלים כמו שירותי MDM ו-Activation Lock כדי להגן ולשחזר מחשבים בממשק ניהול.

Discussion - Script: "כשהמחשב שייך לארגון, אנחנו צריכים יכולות שליטה מרחוק. אם מחשב נגנב, דרך קונסולת ה-MDM הארגונית נשלח פקודת Remote Wipe. הפקודה הזו בעצם מפעילה את מנגנון ה-EACS מרחוק. אבל יש פה גם אתגר לאיש ה-IT. מה קורה אם העובד שעזב חיבר את ה-Apple ID הפרטי שלו (Find My)? המחשב יינעל עם Activation Lock. כדי לעקוף את זה, אנחנו נשתמש ב-Activation Lock Bypass Code. אנחנו ניכנס שוב ל-Recovery Assistant דרך שורת התפריטים ונכניס את הקוד ששמור לנו ב-MDM כדי להפעיל את המחשב מחדש כאילו הוא נרכש הרגע."

Demonstration:

הראה צילום מסך של קונסולת ניהול MDM (למשל Jamf Pro) עם כפתור "Send Wipe Command".
הראה צילום מסך של כלי ה-Recovery Assistant תחת שורת התפריטים (Activate with MDM key) המיועד להזנת קוד ה-Bypass.

Instructor Deep-Dive: Activation Lock Management

* **User-linked vs. Organization-linked:** כשהמשתמש מפעיל Find My, ה-MDM רשאי לאפשר זאת אך חובה עליו לשמור את קוד ה-Bypass *לפני* שההפעלה מושלמת בשרת. לעומת זאת, ב-Organization-linked דרך ABM, הארגון הוא הבעלים והמכשיר נעול לארגון. * פקודת ה-EraseDevice דרך MDM מסתמכת על חיבור לרשת (APNs). במקרה של Activation Lock פעיל, נדרש ה-Bypass Code מהשרת כדי להפוך את המחשב לשמיש.

[סוף פרק 14 - Facilitator Guide]