Chapter 14: Asset A - Instructor Reference¶

1. ה-1TR (One True Recovery): איך המחיצה הזו שורדת ולמה היא חסינה למחיקות של הדיסק.¶

High-Level Theory & History¶

בעידן ה-Intel, מחיצת השחזור (Recovery HD) הייתה מחיצה קטנה ופגיעה על אותו כונן יחד עם מערכת ההפעלה. אם משתמש מחק את כל הכונן בטעות (או בכוונה) דרך כלי ה-Disk Utility, הגישה היחידה שנותרה לשחזור הייתה להסתמך על Internet Recovery - תהליך איטי שתלוי בחיבור רשת יציב. עם המעבר ל-Apple Silicon, אפל שינתה לחלוטין את הארכיטקטורה. היא הפרידה את סביבת השחזור מהווליום הראשי ויצרה את ה-1TR (One True Recovery). זוהי סביבת התאוששות ייעודית, עצמאית וחסינה, שנועדה להבטיח שתמיד יהיה למק עותק מקומי של Recovery זמין, אפילו אם כל המידע בכונן הנתונים או המערכת נמחק.

Deep Technical Architecture¶

ברמת החומרה והקרביים של מערכת הקבצים, ה-1TR מאוחסן בתוך Container APFS ייעודי משלו (לרוב Apple_APFS_Recovery), שמופרד לחלוטין מקונטיינר ה-System וה-Data הסטנדרטי. סביבת השחזור הזו מריצה גרסה מינימלית של מערכת ההפעלה שנקראת RecoveryOS. כל התקנה של macOS מביאה איתה גרסה "מזווגת" (Paired) של ה-1TR שתואמת לאותה גרסת מערכת (למשל, macOS Tahoe תהיה מלווה ב-RecoveryOS בגרסת Tahoe). מנגנון ה-Secure Boot מונע ממשתמשים רגילים, ואפילו מכלים בתוך ה-Disk Utility הסטנדרטי, לגשת לקונטיינר הזה או למחוק אותו. במידה וה-1TR עצמו נפגם מסיבה כלשהי, מעבדי Apple Silicon מציעים שכבת גיבוי נוספת בשם Fallback Recovery (frOS), אשר מופעלת על ידי לחיצה כפולה והחזקה של כפתור ההדלקה.

Terminal Commands, Plists & Logs¶

Terminal: כדי לראות את ה-Container הנסתר של סביבת השחזור ממערכת פעילה, נשתמש בפקודה: diskutil list (נחפש את ה-Container שמסומן כ-Apple_APFS_Recovery). לצפייה בפרטי ה-Container: diskutil apfs list
Logs: קבצי הלוג של תהליך השחזור נכתבים למערכת הלוגים המאוחדת וניתן לחפש אירועים הקשורים ל-RecoveryOS דרך: log show --predicate 'subsystem == "com.apple.recovery"'
Plists: ההגדרות והתצורות שמגדירות את השיוך (Pairing) נשמרות ברמת ה-NVRAM וה-LocalPolicy, ואינן נגישות כקובצי Plist רגילים.

Edge Cases & Troubleshooting¶

מה קורה כשזה נשבר: במקרים קיצוניים של כשל חומרה (למשל הפסקת חשמל בזמן עדכון קושחה) או השחתה לוגית מוחלטת של הדיסק, ייתכן שגם ה-1TR וגם ה-Fallback Recovery לא יצליחו לעלות. איך מתקנים: במצב כזה, מחשב ה-Apple Silicon ייכנס למצב DFU (Device Firmware Update). הפתרון היחיד הוא לחבר את המחשב התקול למחשב Mac תקין אחר באמצעות כבל USB-C ייעודי, ולהשתמש באפליקציית Apple Configurator (או בכלי שורת הפקודה במק החדש) כדי לבצע Revive (החייאה של הקושחה בלבד) או Restore (מחיקה מלאה של הדיסק והתקנה מחדש של ה-OS וסביבת השחזור מאפס).

2. כלים במצב שחזור: שימוש ב-Disk Utility ברמת הקרביים, פתיחת טרמינל מקומי והתקנה מחדש של OS.¶

High-Level Theory & History¶

מצב ההתאוששות (Recovery Mode) נועד להעניק למנהלי רשת, טכנאים, ומשתמשי קצה ארגז כלים לתיקון המערכת כאשר אינה מסוגלת לבצע Boot רגיל. באופן מסורתי, ארגז הכלים כלל אפשרויות לתיקון הרשאות, מחיקת כוננים והתקנה מחדש של OS X. ב-macOS המודרנית, חוויית ה-Recovery Assistant מתמקדת באבטחה: לפני שמתאפשרת גישה לכלים, המערכת דורשת הזדהות (Authentication) ממשתמש שהוא בעלים מאושר של המערכת (User with Secure Token). הכלים העיקריים כוללים את ה-Disk Utility לבדיקה ותיקון תקלות עומק, כלי הטרמינל לגישה ישירה למערכת הקבצים, וכלי ה-Startup Security Utility (Startup Security Utility) שמשמש להורדת רמת האבטחה (למשל מ-Full Security ל-Reduced Security).

Deep Technical Architecture¶

כאשר מעלים את ה-RecoveryOS, ה-Data Volume לרוב אינו מותקן (Unmounted) באופן אוטומטי, מפני שהוא מוצפן על ידי מנגנון ה-FileVault. כדי לקבל גישה, ממשק השחזור מחלץ את מפתחות ההצפנה מה-Secure Enclave לאחר שהמשתמש מזין סיסמה חוקית. ה-Disk Utility מריץ מתחת למכסה המנוע את תהליך fsck_apfs לבדיקת אמינות עץ התיקיות, זיהוי Snapshots שבורים ותיקון שגיאות ב-APFS Containers. הפעלת מחדש של ההתקנה (Reinstall macOS) אינה מתקינה קבצים בודדים כפי שהיה בעבר, אלא מורידה ופורסת System Volume חתום ושלם (SSV) כיחידה אחת סגורה שמאומתת מול שרתי אפל דרך מנגנון ה-Personalization.

Terminal Commands, Plists & Logs¶

Terminal: כלי הטרמינל בסביבת השחזור רץ כמשתמש root. כדי לאפס סיסמת משתמש (במידה ויש לנו גישה): resetpassword כדי לראות אילו Volumes מותקנים: ls -la /Volumes (לרוב נראה את Macintosh HD ואת Macintosh HD - Data אם עברנו את חלון ההזדהות).
Logs: לוגים בסביבת ה-Recovery נגישים ישירות מתפריט ה-GUI. יש לגשת בשורת התפריטים ל-Window > Recovery Log. הלוג הזה קריטי להבנת שגיאות רשת בזמן ניסיון התקנה מחדש של macOS או קריסות של diskutil.
Plists: N/A (בסביבת Recovery אין מערכת הפעלה קבועה, ולכן קבצי ה-Plist הזמניים נשמרים ב-RAM דיסק ונעלמים לאחר אתחול).

Edge Cases & Troubleshooting¶

מה קורה כשזה נשבר: תרחיש קצה נפוץ הוא כאשר מנהל רשת נכנס למצב שחזור, אך נתקל בהודעה "No administrator was found" או שהרשימה של משתמשים לאימות ריקה. איך מתקנים: הדבר נובע לרוב מאיבוד של אסימוני אבטחה (Secure Tokens) עבור כלל המשתמשים המקומיים, כלומר לאף משתמש אין "בעלות מערכת" שמורשית לפתוח את ההצפנה. התיקון דורש לרוב את מחיקת המק (Erase Mac) מתפריט ה-Recovery Assistant בשורת התפריטים, או שימוש במפתח שחזור (PRK - Personal Recovery Key) אם הוגדר כזה. קצה נוסף הוא כשל ברשת במהלך Reinstall - יש לבחון את ה-Recovery Log כדי לוודא ששרתי אפל אינם חסומים על ידי חומת אש ארגונית.

3. מחיקה מאובטחת ומיידית: איך כלי ה-EACS (Erase All Content and Settings) משתמש במפתחות קריפטוגרפיים כדי למחוק מחשב בשנייה אחת.¶

High-Level Theory & History¶

בעבר, כדי "לפרמט" Mac להעברה לעובד חדש, היה צורך לעלות למצב Recovery, למחוק ידנית את הכונן הקשיח באמצעות Disk Utility, ולאחר מכן להתקין את מערכת ההפעלה מחדש - תהליך שיכל לקחת שעות. עם המעבר ל-Apple Silicon וההפרדה של מערכת ההפעלה (SSV) מנתוני המשתמש, אפל הציגה את מנגנון ה-EACS (Erase All Content and Settings), בדומה לקיים ב-iOS. התכונה מאפשרת למחוק בבטחה את כל המידע האישי, האפליקציות וההגדרות של המשתמש תוך מספר שניות, מבלי לפגוע במערכת ההפעלה כלל. עם הפעלת ה-Mac מחדש, הוא יעלה היישר ל-Setup Assistant, כחדש מן הקופסה.

Deep Technical Architecture¶

ה"קסם" של EACS מבוסס לחלוטין על ההצפנה המובנית של APFS וה-Secure Enclave. כל מכשירי Apple Silicon (ומכשירי Intel עם שבב T2) מצפינים את כונן הנתונים תמיד, גם אם המשתמש לא הפעיל את FileVault באופן אקטיבי. הנתונים מוצפנים על ידי מפתח הצפנה ראשי של ה-Volume - Volume Encryption Key (VEK) - שמוגן על ידי ה-Secure Enclave. כאשר תהליך ה-EACS מופעל, הוא אינו כותב אפסים על הכונן כדי למחוק את המידע. במקום זאת, הוא מורה ל-Secure Enclave להשמיד ("לגרוס קריפטוגרפית") את ה-VEK. ללא ה-VEK, כל המידע ב-Data Volume הופך לגיבוב של נתונים חסרי משמעות באופן מיידי. מיד לאחר השמדת המפתח, המערכת מפרמטת את המכלים הריקים (Data Volume) ומוחקת את חשבונות המשתמשים, תוך השארת Container ה-System Volume במקומו.

Terminal Commands, Plists & Logs¶

Terminal: אין פקודת Terminal רשמית ופשוטה למשתמש הקצה המפעילה EACS, התהליך מתבצע דרך ה-GUI ב-System Settings (תחת General > Transfer or Reset). (עם זאת, סוכני תוכנה ו-MDM מפעילים את הפקודה דרך ממשקי API של המערכת ב-EraseDevice payload).
Logs: ניתן למצוא את העדויות לפעולת השירות ב-Console תחת התהליך הרלוונטי: log show --predicate 'process == "EraseAssistant"'
Plists: N/A (זהו תהליך השמדה ברמת חומרה ואין לו קובצי העדפות משתמש).

Edge Cases & Troubleshooting¶

מה קורה כשזה נשבר: אם המחשב מחובר ל-Apple Account, כלי ה-EACS חייב גישה לאינטרנט כדי לתקשר עם שרתי אפל ולכבות את תכונת "Find My" ולשחרר את מנגנון נעילת ההפעלה (Activation Lock). אם אין חיבור רשת, התהליך ייעצר ולא יאפשר מחיקה. איך מתקנים: במקרה של כשל באמצע התהליך, המק עלול לאתחל עם סימן שאלה מהבהב או לעלות למצב Recovery בצורה בלתי צפויה. במקרה זה, יש לבצע Restore מלא ב-DFU Mode או להיכנס ל-Recovery ולמחוק את הכונן דרך Disk Utility. כמו כן, מנהלי IT יכולים לחסום את כלי ה-EACS באמצעות פרופיל הגבלות (Restrictions Profile), מה שיעלים את הכפתור לחלוטין מ-System Settings.

4. תיבול ארגוני: נעילת Mac מרוחק, פקודת Remote Wipe, ושחרור Activation Lock של מכשירים מנוהלים.¶

High-Level Theory & History¶

בעולם הארגוני, השליטה הפיזית על המחשב לעיתים יוצאת מידי ה-IT, במיוחד כאשר עובדים עוזבים את החברה ואינם מחזירים ציוד, או כשהמחשב נגנב. בנוסף, מנגנון ה-Activation Lock, שנועד להגן על משתמשים פרטיים מגניבה, יכול להפוך לסיוט טכני עבור מנהלי IT כשהעוזב לא טרח להתנתק מחשבון ה-iCloud האישי שלו. כדי להתמודד עם כך, פרוטוקול ה-MDM של אפל כולל סטים ייעודיים של פקודות ומגבלות ארגוניות כגון מחיקה מרחוק (Remote Wipe), נעילת שחזור (Recovery Lock) ומנגנוני עקיפת נעילת הפעלה (Activation Lock Bypass), המבטיחים שהציוד יישאר שמיש לארגון בכל תרחיש.

Deep Technical Architecture¶

Remote Wipe - EraseDevice: שרת ה-MDM מסוגל לשלוח פקודת EraseDevice דרך תשתית ה-APNs של אפל. הפקודה מפעילה שקופית למערכת הפעלה להתחיל את מנגנון ה-EACS (שתואר קודם לכן) בצורה שקטה, ללא צורך בהתערבות משתמש (ניתן גם לכלול חסימת Activation Lock באותה פקודה).
Recovery Lock: במחשבי Apple Silicon אי אפשר לקבוע סיסמת קושחה מקומית כבעבר (Firmware Password). במקום זאת, ה-MDM קובע סיסמה ייעודית (קוד של 14 תווים) שנשמרת בצורה מאובטחת באמצעות פרופיל MDM Payload. מנגנון זה מונע מהמשתמש להיכנס ל-RecoveryOS או לבצע Boot מדיסק חיצוני ללא הקשת הקוד, וכך מגן על המערכת מנסיונות פריצה פיזיים.
Activation Lock Bypass: כאשר מק ארגוני נרשם דרך ADE (Automated Device Enrollment), ה-MDM שומר קוד עוקף (Bypass Code) בסוד. במקרה שהמשתמש הדליק Activation Lock, ה-MDM יכול לשלוח בקשה ישירה לשרתי אפל לבטל את הנעילה ללא סיסמת העובד.

Terminal Commands, Plists & Logs¶

Terminal: כדי לבדוק האם למחשב מוגדר קוד מעקף לנעילת הפעלה (Activation Lock) בניהול ה-MDM, ניתן לתשאל את הסטטוס: profiles status -type enrollment וכן, סוכן ה-MDM מפעיל את הפקודות דרך הבינארי: sudo mdmclient
Logs: כדי לאתר עדויות לבקשת מחיקה מרחוק או עדכון מדיניות נעילה על ידי ה-MDM, נבדוק ב-Console: log show --predicate 'process == "mdmclient"'
Plists: הגבלות על יכולת המשתמש להפעיל או לכבות את Find My או Activation Lock נשמרות תחת: /Library/Managed Preferences/

Edge Cases & Troubleshooting¶

מה קורה כשזה נשבר: עובד עזב כשה-Activation Lock דולק (והוא חובר לחשבון MAID או חשבון פרטי), אך מנגנון ה-Bypass נכשל מכיוון שה-Mac לא היה רשום תחת Apple School Manager או Apple Business Manager כדין, או שה-MDM איבד את קוד המעקף. איך מתקנים: במצב כזה ה-IT הארגוני חסר אונים מבחינת הכלים המקומיים והרשתיים. המק יעלה וידרוש סיסמה של Apple Account כדי להתקדם מ-Setup Assistant. הפתרון היחיד במקרה שאין את הקוד והעובד מסרב לעזור הוא לפנות באופן רשמי ל-Apple Enterprise Support עם הוכחת רכישה מקורית מהמשווק المורשה. ברגע שאפל תאשר את ההוכחה, היא תסיר את ה-Activation Lock משרתיה באופן מוחלט דרך ה-Backend, וה-IT יוכל להשלים את ההתקנה. אם ה-Recovery Lock נשכח, התיקון גם כן דורש התערבות ב-DFU מול תמיכת אפל או איפוס דרך שרת ה-MDM בלבד.