פרק 14: התאוששות ופרמוט (macOS Recovery) - מעבדה מעשית (Hands-on Lab)¶

מטרה: התנסות מעשית בכניסה לסביבת ה-1TR (One True Recovery) במחשבי Apple Silicon לעומת מחשבי Intel, ניווט בכלים הזמינים במצב שחזור (כגון Disk Utility), ביצוע איפוס מאובטח ומיידי באמצעות EACS מהממשק הגרפי, והבנת השפעת הניהול הארגוני (MDM) על מחיקה מרחוק ונעילת Activation Lock.

תרגיל 1: אתחול למצב 1TR (Apple Silicon) ו-Recovery (Intel)¶

מטרה: להבין את ההבדלים בכניסה לסביבת ההתאוששות בהתאם לארכיטקטורת המעבד.

חלק א': כניסה ל-1TR במחשב Apple Silicon¶

ודאו שה-Mac כבוי לחלוטין (תפריט Apple > Shut Down).
לחצו והחזיקו את כפתור ההפעלה (Power/Touch ID) ברציפות.
המשיכו להחזיק גם כאשר מופיע הלוגו של Apple, עד שתראו על המסך את הכיתוב Loading startup options (טוען אפשרויות הפעלה).
במסך האפשרויות שמופיע, לחצו על סמל גלגל השיניים (Options) ולאחר מכן לחצו על Continue.
בחרו משתמש מנהל (Admin) מהרשימה והזינו את הסיסמה שלו כדי לפתוח את הנעילה של חלון ההתאוששות (Recovery).
כעת אתם נמצאים בסביבת ה-1TR של Apple Silicon. שימו לב לחלון הראשי המכיל את הכלים הגרפיים הזמינים. סביבה זו רצה מווליום נפרד לחלוטין החסין למחיקות.

חלק ב': כניסה ל-Recovery במחשב מבוסס Intel (לצורך השוואה/היכרות)¶

ודאו שה-Mac כבוי לחלוטין.
לחצו על כפתור ההפעלה ומיד לאחריו לחצו והחזיקו את המקשים במקלדת על Command ו-R יחד.
שחררו את המקשים כאשר מופיע הלוגו של Apple או סמל של כדור הארץ (במקרה של Internet Recovery).
הזינו סיסמת מנהל אם תתבקשו, עד להופעת חלון ה-macOS Utilities הדומה לזה של ה-Apple Silicon.

תרגיל 2: ניווט ב-Disk Utility במצב שחזור¶

מטרה: להכיר את כלי ניהול הדיסקים במצב ה-Recovery ולראות כיצד המערכת בנויה "מתחת למכסה המנוע", מבלי לבצע מחיקה בפועל בשלב זה.

בחלון הראשי של ה-Recovery, בחרו באפליקציה Disk Utility (כלי הדיסק) ולחצו על Continue.
בתפריט העליון של התוכנה, לחצו על כפתור ה-View ובחרו Show All Devices (הצג את כל ההתקנים).
בחנו את ההיררכיה בסרגל הצד: שימו לב לדיסק הפיזי בראש הרשימה, ל-Container שמעליו, ול-Volumes השונים בתוכו (בדגש על Macintosh HD ו-Macintosh HD - Data).
לחצו על Macintosh HD, ולאחר מכן לחצו על כפתור ה-First Aid בחלק העליון של החלון כדי לראות את אשף בדיקת התקינות, אך אין צורך להריץ אותו כעת.
הערת מדריך: בסביבת Apple Silicon, אינכם יכולים לפרמט את כל הדיסק הפיזי במכה אחת מתוך חלון זה, אלא רק למחוק את ה-Volume Group של המערכת. זה מבטיח שסביבת ה-1TR עצמה תישמר ולא תיהרס.
סגרו את ה-Disk Utility (דרך התפריט העליון Disk Utility > Quit).
צאו ממצב ההתאוששות על ידי לחיצה על תפריט Apple ובחירה ב-Restart כדי להפעיל מחדש את ה-Mac חזרה למערכת ההפעלה הרגילה (macOS).

תרגיל 3: מחיקה מאובטחת ומיידית באמצעות EACS (Erase All Content and Settings)¶

מטרה: לבצע איפוס של ה-Mac למצב פתיחת קופסה (OOBE) במהירות ובאופן בטוח דרך הגדרות המערכת, תוך שימוש במנגנון השמדת מפתחות ההצפנה (Crypto-Erase).

אזהרה לסטודנטים: תרגיל זה ימחק לצמיתות את כל הנתונים, המשתמשים וההגדרות מה-Mac שלכם! יש לוודא שהושלמו כל התרגילים הקודמים ואין מידע חשוב שאינו מגובה.

הפעילו את ה-Mac באופן רגיל והיכנסו למערכת עם Local Account מסוג Admin.
פתחו את ה-System Settings (הגדרות המערכת).
נווטו בסרגל הצד אל General (כללי) > Transfer or Reset (העברה או איפוס).
לחצו על הכפתור Erase All Content and Settings (Erase All Content and Settings (EACS)).
כלי ה-Erase Assistant יבקש את סיסמת מנהל המערכת (Admin) - הזינו אותה ולחצו Unlock.
המערכת תציג חלון המפרט את כל מה שעומד להימחק (Apple Account, טביעות אצבע של Touch ID, התקני Bluetooth מקושרים, נתוני ארנק, ועוד).
עקבו אחרי ההוראות. במידה ואתם מחוברים לחשבון Apple Account, תתבקשו להזין סיסמה כדי להתנתק (פעולה זו מבטלת את נעילת ה-Activation Lock כך שהמחשב לא ינעל בבוט הבא).
לאחר ההתנתקות, יופיע מסך אזהרה אדום אחרון. לחצו על Erase All Content and Settings לאישור סופי.
ה-Mac יבצע אתחול מחדש, המסך יוחשך, ולאחר זמן קצר מאוד תראו את מסך "Hello" של ה-Setup Assistant. מחיקת המפתח הקריפטוגרפי בוצעה בהצלחה (Crypto-Erase) והמערכת התאפסה ללא צורך בהתקנה מחדש של הקבצים עצמם!

תרגיל 4: סימולציית "תיבול ארגוני" - מחיקה מרחוק ו-Activation Lock¶

מטרה: להבין מה קורה כאשר שרת ה-MDM מתערב ושולח פקודת מחיקה מרחוק למכשיר, ואיך אנשי IT מתמודדים עם שחרור מכשיר שננעל ב-Activation Lock על ידי משתמש קודם.

חלק א': דיון ותרחיש - פקודת Remote Wipe¶

תרחיש: ה-Mac נגנב או אבד. מנהל ה-IT נכנס לקונסולת ה-MDM (למשל, Jamf Pro) ושולח למכשיר פקודת מחיקה מרחוק.
דיון (מה קורה בפועל): כאשר הפקודה מגיעה ל-Mac, הוא מבצע בדיוק את אותו תהליך EACS שתרגלנו קודם. ה-Secure Enclave משמיד את מפתח ההצפנה והמידע הופך באופן מיידי לבלתי קריא, והמערכת מתאפסת מיד לאחר מכן.

חלק ב': שחרור Activation Lock ניהולי (Bypass Code)¶

תרחיש: עובד עזב את החברה והשאיר אחריו Mac מאופס. כשהפעלתם את המחשב לראשונה (Setup Assistant), המסך מציג דרישה להזין את ה-Apple ID והסיסמה של העובד הקודם.
ה-Mac נמצא בבעלות ארגונית ומנוהל ב-MDM, לכן קוד השחרור הניהולי מגובה בשרת.
כאיש IT, עליכם לגשת לממשק ה-MDM, לאתר את רשומת ה-Mac הנעול (לפי המספר הסידורי) ולנווט ללשונית האבטחה והניהול של המכשיר.
אתרו את שדה ה-Activation Lock Bypass Code והעתיקו את הקוד בן ה-16 תווים.
במק הנעול שמציג את דרישת ההתחברות, אל תזינו כתובת דוא"ל! במקום זאת, לחצו בתפריט העליון על Recovery Assistant (עוזר ההתאוששות).
בחרו באפשרות של Activate with MDM key או "הזן קוד".
הזינו את הקוד המורכב בן ה-16 תווים שהעתקתם מקונסולת ה-MDM.
ה-Mac ישחרר את הנעילה מידית מול שרתי Apple, ותוכלו להמשיך להגדיר את המחשב מחדש מאפס.

תרגיל אקסטרה / קצה קרחון טכני¶

כאנשי IT, לעתים נצטרך לגשת לכלים מתקדמים יותר שנמצאים מתחת לפני השטח או כאשר הממשק הגרפי לא מספיק. מצב ה-Recovery כולל בתוכו גישה למעטפת ה-Terminal, שדרכה אפשר להריץ פקודות חשובות למקרים ייחודיים.

במצב Recovery (לאחר כניסה ל-1TR כמפורט בתרגיל 1), בחרו בשורת התפריטים העליונה Utilities > Terminal.

כלי איפוס הסיסמאות המובנה¶

לעיתים נדרש לאפס סיסמת משתמש (במידה ויש ברשותנו מפתח Recovery Key או הרשאות מתאימות). במקום לחפש אשף מסובך, נוכל פשוט לקרוא לו משורת הפקודה:

resetpassword

פקודה זו תקפיץ אוטומטית את ממשק ה-Reset Password Assistant (אשף גרפי), בו נוכל לבחור את המשתמש ולהגדיר סיסמה חדשה.

בדיקת מחיצות המערכת וה-Recovery¶

כדי לראות את החלוקה הפיזית והלוגית של כל הכוננים כולל מחיצות השחזור הנסתרות שאינן מופיעות ב-Disk Utility, הריצו:

diskutil list

בפלט תבחינו שסביבת ה-Recovery טוענת מערכת קבצים מינימלית מדיסק וירטואלי (Ramdisk) ומציגה מספר רב של Volumes קטנים הדרושים לעליית כלי ההתאוששות של Apple Silicon.