לדלג לתוכן

שיעור 03 חלק ה\': שלד למצגת

Slide 1: Title Slide

Main Title: שיעור 3: Security

Subtitle: Gatekeeper, XProtect, TCC & PPPC

Bullets:

  • Gatekeeper
  • XProtect
  • TCC
  • PPPC

[Image Recommendation]: A minimalist vector icon of a lock or shield on a dark background.

Slide 2: Gatekeeper & Notarization

Main Title: שיעור 3: Security

Subtitle: הגן הסגור: מנגנון ה-Gatekeeper, חתימות ונוטריון (Notarization)

Bullets:

  • הורדת אפליקציות ממקורות שונים
  • Code Signing - אימות מפתח
  • Notarization - סריקה אוטומטית של Apple
  • חסימת אפליקציות לא מאושרות

[Image Recommendation]: Screenshot of the macOS prompt: "This app was downloaded from the internet. Are you sure you want to open it?".

Presenter Notes: בואו נדבר רגע על מאיפה אנחנו מורידים אפליקציות. באייפון יש לנו את ה-App Store. במק, אנחנו יכולים להוריד מכל מקום – וזה פתח לצרות. כאן נכנס לתמונה ה-Gatekeeper. זהו Gatekeeper (שומר הסף) שלנו. כשאנחנו מורידים אפליקציה מהאינטרנט, הוא בודק שני דברים עיקריים. הראשון הוא Code Signing – האם האפליקציה באמת חתומה על ידי מפתח מוכר של אפל, או שמישהו התעסק איתה בדרך? הדבר השני והחדש יותר נקרא Notarization. זה לא מספיק שהמפתח מוכר, הוא צריך היה לשלוח את האפליקציה לאפל לסריקת וירוסים אוטומטית לפני שהוא הפיץ אותה. אם האפליקציה עברה, היא מקבלת 'כרטיס' אוטומטי שמאשר אותה. אם Gatekeeper רואה שמשהו חסר, הוא פשוט לא ייתן לאפליקציה לרוץ ויציג לנו הודעת שגיאה שהאפליקציה לא מאושרת. פעם היה כפתור קל לעקוף את זה, אבל אפל החביאה אותו כדי להגן על משתמשים. היום אנחנו שולטים בזה ישירות מההגדרות בצורה ויזואלית וברורה.

Slide 3: XProtect & XProtect Remediator

Main Title: שיעור 3: Security

Subtitle: האנטי-וירוס השקט: איך XProtect ו-XProtect Remediator עובדים ברקע

Bullets:

  • אנטי-וירוס מובנה ב-macOS
  • סריקת וירוסים ועדכונים שקטים
  • פעולה רציפה ברקע
  • זיהוי והסרת איומים (Remediator)

[Image Recommendation]: Screenshot of System Information showing "XProtectPlistConfigData" under the Installations section.

Presenter Notes: אנשים תמיד שואלים: 'האם מק צריך אנטי-וירוס?'. התשובה הקלאסית שלנו היא ש-macOS מגיעה עם אחד מובנה, וקוראים לו XProtect. זה לא אנטי-וירוס עם חלון גדול וכפתור 'סרוק עכשיו' כמו שאתם מכירים מווינדוס. זה מנגנון שקט שעובד ברקע. כשה-Gatekeeper בודק אפליקציה חדשה, הוא גם מעביר אותה דרך XProtect שמחפש חתימות מוכרות של וירוסים למק. ואפל מעדכנת את החתימות האלו בשקט מאחורי הקלעים בעזרת Background Security Updates. לאחרונה, אפל לקחה את זה צעד קדימה עם משהו שנקרא XProtect Remediator. הוא קם מדי פעם ברקע וסורק באופן יזום וירוסים שכבר יושבים במערכת ואפילו מנקה אותם. כדי לראות את הפעילות הזו, לא צריך להיות האקר – אפשר פשוט לפתוח את כלי המערכת שלנו כמו System Information או האפליקציה Console.

Slide 4: Privacy & TCC

Main Title: שיעור 3: Security

Subtitle: ניהול פרטיות (TCC): איך מערכת TCC פועלת ומגבילה גישה למצלמה/מיקרופון/דיסק

Bullets:

  • Transparency, Consent, and Control
  • אישור גישה למשאבי מערכת
  • שליטת משתמש מלאה
  • הגדרות Privacy & Security

[Image Recommendation]: Screenshot of System Settings -> Privacy & Security -> Full Disk Access showing a list of apps with toggles.

Presenter Notes: בואו נדבר על פרטיות. פעם, אם אפליקציה רצתה לגשת למיקרופון שלנו, היא פשוט הייתה ניגשת. היום, יש Transparency, Consent, and Control (TCC) (מנגנון פרטיות) שנקרא TCC - Transparency, Consent, and Control. זה המנגנון שאחראי על כל ההודעות הקופצות של 'האפליקציה הזו מבקשת גישה למיקום שלך' או 'האפליקציה הזו רוצה לגשת לתיקיית המסמכים שלך'. המטרה פה היא להחזיר את השליטה למשתמש. אנחנו מחליטים מי יקבל גישה למצלמה, למיקרופון, לאנשי הקשר ולכונן המלא. אם סירבתם בטעות ב-Prompt הראשוני – האפליקציה לא תשאל שוב. היא תניח שהיא חסומה. עבורנו כאנשי תמיכה, כשאפליקציה נראית שבורה (למשל, זום לא רואה את המצלמה), המקום הראשון שאנחנו בודקים הוא אזור ה-TCC בהגדרות המערכת.

Slide 5: Enterprise PPPC Profiles

Main Title: שיעור 3: Security

Subtitle: תיבול ארגוני: שימוש בפרופיל PPPC לאישור אוטומטי של כלי IT

Bullets:

  • ניהול הרשאות מרחוק (MDM)
  • Privacy Preferences Policy Control
  • מניעת חסימה של כלי IT
  • לא ניתן לאשר מצלמה/מיקרופון מרחוק

[Image Recommendation]: A minimalist abstract vector diagram showing a server pushing a policy document to a laptop, bypassing user prompts.

Presenter Notes: בסביבה הארגונית, ה-TCC הופך פתאום מסיוע לפרטיות לכאב ראש רציני למחלקת ה-IT. תארו לכם שאתם מפיצים אנטי-וירוס ארגוני ל-1,000 מחשבים. האנטי-וירוס הזה חייב Full Disk Access כדי לעבוד. אם נשאיר את זה למשתמשים, רובם יתעלמו מההודעה שקופצת, והאנטי-וירוס פשוט לא יעבוד כראוי. כאן נכנס לפעולה משהו שנקרא פרופיל PPPC (Privacy Preferences Policy Control). דרך מערכת ה-MDM, אנחנו שולחים הגדרה שמראש אומרת למק: 'היי, האנטי-וירוס הזה מאושר מראש, אל תשאל את המשתמש אפילו'. חשוב לציין שלאפל יש קווים אדומים - לעולם לא נוכל לאשר מרחוק גישה למצלמה או למיקרופון, כי זו חדירה לפרטיות של העובד! אנחנו רק יכולים להעניק גישה לכונן או למנוע אישורים מסוימים. בנוסף, דרך פרופילים נוכל לחסום הפעלה של אפליקציות ספציפיות על ידי חוקי Blocklist.

Multiple Choice Questions

  1. מהו התפקיד המרכזי של Gatekeeper? א. סריקת כוננים ניידים ב. גיבוי קבצי המערכת ג. וידוא חתימה ואישור של אפליקציות שהורדו מהאינטרנט (תשובה נכונה) ד. הצפנת הדיסק הקשיח

  2. איך XProtect מעדכן את חתימות הווירוסים שלו? א. דרך עדכון מערכת מלא ב-App Store ב. באופן שקט וברקע ללא התערבות משתמש (תשובה נכונה) ג. רק בעת הפעלה מחדש של המחשב ד. על ידי הורדת קובץ מאתר של אפל באופן ידני

  3. איזה מהמשאבים הבאים לא ניתן לאשר מרחוק באמצעות פרופיל PPPC (MDM)? א. Full Disk Access ב. שירותי מיקום ג. גישה למצלמה ולמיקרופון (תשובה נכונה) ד. גישה לתיקיית המסמכים