לדלג לתוכן

שיעור 14: התאוששות ופרמוט (macOS Recovery) - Facilitator Guide

הנחיות למדריך: שיעור זה מתמקד בהישרדות המערכת (Recovery) ובפעולות הקיצוניות של שחזור ופרמוט, תוך דגש מיוחד על ההבדלים בארכיטקטורת Apple Silicon (ה-1TR) ומנגנון המחיקה הקריפטוגרפית (EACS). הפוקוס הוא שימוש בכלים הגרפיים (GUI) המובנים במערכת, כמו Disk Utility, System Settings ו-Recovery app. בסיום נציג את ההיבט הארגוני של ניהול מרחוק ושחרור נעילות Activation Lock. הקפד לשמור על קצב דינמי.

1. ה-1TR (One True Recovery)

Objective: הסטודנטים יבינו את המבנה החדש של Recovery OS במחשבי Apple Silicon ואת שרידותה לעומת מחיצות השחזור של העבר.

Discussion - Script:

  • "בואו נדבר על המקום שאליו הולכים כשהכל קורס – macOS Recovery."
  • היסטוריה (לפני 2011):
  • למעלה מ-25 שנה לא היה דבר כזה "מחיצת שחזור".
  • השתמשנו ב-Single User Mode ורגל של ארנב למזל, או בדיסקי התאוששות צד שלישי (כמו Disk Warrior).
  • העבר (עידן ה-Intel):
  • היינו לוחצים על Command + R.
  • היינו מתפללים שמחיצת ה-Recovery שרדה.
  • אם נמחקה – נזקקנו ל-Internet Recovery דרך ה-Wi-Fi.
  • ההווה (Apple Silicon):
  • כל הסיפור השתנה! יש לנו את ה-1TR (One True Recovery).
  • מדובר ב-Container (קונטיינר) שלם בתוך ה-APFS.
  • הוא מכיל מערכת הפעלה נפרדת לחלוטין (Recovery OS).
  • חסינות המערכת:
  • נועדה לשרוד קריסות.
  • אפילו אם תמחקו את כונן המערכת והנתונים – ה-1TR יישאר.
  • הוא יאפשר להציל את ה-Mac באמצעות הממשק הגרפי.
  • איך נכנסים?
  • פשוט לוחצים ומחזיקים את כפתור ההפעלה.
  • ממתינים כ-10 שניות.
  • משחררים כשמופיע המסך של 'Loading startup options'.

Demonstration:

  • הראה שקף או צילום מסך של מסך ה-Startup Options ב-Apple Silicon:
  • הצבע על אייקון הדיסק הפנימי.
  • הצבע על אייקון גלגל השיניים (Options).
  • הדגמה חיה (אם אפשר):
  • בצע הפעלה מחדש למק שלך.
  • החזק את כפתור ההפעלה בזמן העלייה.
  • הדגם בלייב את הכניסה ל-Recovery OS.
Instructor Deep-Dive: 1TR, Fallback Recovery & DFU * **One True Recovery (1TR):** * מריץ גרסת macOS ייעודית. * כולל: כלי אבחון, Disk Utility, התקנה מחדש, ו-Startup Security Utility. * מקושר ל-LocalPolicy הספציפי של המק. * **Fallback Recovery (frOS):** * מה קורה אם קונטיינר ה-Recovery הראשי נפגם? * המערכת תנסה לאתחל אל ה-frOS (העתק השמור ב-Boot ROM). * מאפשר התקנה מחדש, אך **לא** מאפשר שינוי הגדרות אבטחה. * **DFU Mode:** * מוצא אחרון במקרה שגם ה-Fallback לא זמין. * דורש חיבור בכבל פיזי למק אחר. * מחייב הרצת האפליקציה Apple Configurator. * מאפשר לבצע Revive (החייאה) או Restore (שחזור מלא).

2. כלים גרפיים במצב שחזור

Objective: הסטודנטים יכירו את הכלים הזמינים בממשק הגרפי של Recovery OS וילמדו מתי ואיך להשתמש בהם.

Discussion - Script:

  • "נכנסנו ל-Recovery OS, ויש מולנו חלון מרכזי – ה-Recovery app."
  • הכרת הכלים – Disk Utility:
  • המוכר והטוב לתיקון תקלות או מחיקת כוננים.
  • מאפשר להריץ First Aid על ה-Containers והווליומים.
  • היתרון: המערכת הרגילה סגורה, מעולה לתיקון שגיאות מערכת קבצים.
  • התקנה מחדש וחיפוש פתרונות:
  • קיימת אפשרות להתקין מחדש (Reinstall macOS).
  • ניתן לגלוש ב-Safari המובנה כדי לחפש מדריכים ופתרונות ברשת.
  • שימוש ב-Menu Bar (שורת התפריטים):
  • Recovery Log: הצגת לוגים בצורה גרפית נוחה. עוזר לאתר שגיאות אם התקנה נכשלת.
  • Share Disk: מחליף את ה-Target Disk Mode הישן. גישה מהירה לקבצים ממק אחר.

Demonstration:

  • הראה את חלון ה-Recovery app עם האפשרויות:
  • Restore from Time Machine.
  • Reinstall macOS.
  • Safari.
  • Disk Utility.
  • הדגם כניסה ל-Disk Utility:
  • הצג את רשימת הכוננים.
  • לחץ על כפתור ה-First Aid והסבר את פעולתו.
  • הצג את שורת התפריטים (Menu Bar):
  • פתח את תפריט Window.
  • בחר והדגם את ה-Recovery Log.
Instructor Deep-Dive: Advanced Recovery CLI Tools * **כלי טרמינל במצב שחזור:** * ההתמקדות בקורס היא בממשק הגרפי (GUI), אך קיימת גישה ל-Terminal (תחת Utilities). * **פקודות שימושיות:** * `resetpassword`: פקודה שמקפיצה מיד את אשף איפוס הסיסמאות המובנה. * `csrutil disable`: מבטלת את ה-System Integrity Protection (SIP). * *הערה: לפעולות מחקר בלבד – אינו מומלץ לשימוש שוטף.* * `diskutil list`: מציגה רשימה מפורטת של מחיצות. * שימושית לבחינת מחיצות ה-Recovery שמוסתרות כברירת מחדל ב-Disk Utility.

3. מחיקה מאובטחת ומיידית (EACS) בממשק

Objective: הסטודנטים יבינו ויבצעו את ה-Erase All Content and Settings (EACS) דרך ה-System Settings.

Discussion - Script:

  • "איך היינו מוחקים מחשב בעבר?"
  • היינו פותחים Disk Utility דרך מצב שחזור.
  • מוחקים את הכונן לחלוטין.
  • מתקינים מחדש את כל מערכת ההפעלה.
  • תהליך ארוך ומייגע שלקח שעות.
  • המהפכה של macOS המודרנית (EACS):
  • פיצ'ר חדש ומהיר בממשק הגרפי (System Settings).
  • נקרא Erase All Content and Settings (EACS).
  • איך זה עובד מאחורי הקלעים?
  • כונן המק תמיד מוצפן (גם בלי FileVault).
  • EACS לא באמת מוחק את הקבצים פיזית.
  • הוא משמיד את המפתחות הקריפטוגרפיים בתוך ה-Secure Enclave.
  • התוצאה:
  • ללא המפתח – כל המידע בכונן הופך לג'יבריש ובלתי קריא לנצח.
  • המחשב מבצע אתחול מיידי ישירות ל-Setup Assistant.
  • אין צורך בהורדת מערכת הפעלה מחדש!

Demonstration:

  • פתח את האפליקציה System Settings.
  • נווט אל General -> Transfer or Reset.
  • הפעל את אשף ה-Erase All Content and Settings.
  • הצג את חלון ההתראות.
  • (שים לב: לא להשלים את תהליך המחיקה בפועל!)
Instructor Deep-Dive: Cryptographic Erasure (Crypto-shredding) * **השמדת מפתחות:** * התהליך משמיד את ה-Media Key ואת ה-Volume Key ישירות מה-Secure Enclave. * **SSV Retention (שמירת המערכת):** * ה-System Volume (SSV) נשאר לחלוטין בשלמותו. * הסיבה: הוא Sealed (חתום קריפטוגרפית) ו-Read-Only. * **חיסכון עצום בזמן:** * המערכת משליכה רק את ה-Data Volume. * בבוט הבא, מיוצר אחד חדש לגמרי. * הפעולה חוסכת הורדה והתקנה מחדש של קבצי מערכת (מעל 12GB).

4. ניהול ארגוני: Remote Wipe ו-Activation Lock

Objective: הסטודנטים ילמדו כיצד ארגונים משתמשים בכלים כמו שירותי MDM ו-Activation Lock כדי להגן ולשחזר מחשבים בממשק ניהול.

Discussion - Script:

  • "מחשב שייך לארגון = צורך בשליטה מרחוק."
  • שליחת Remote Wipe:
  • מה עושים כשהמחשב נגנב?
  • מנהל ה-IT נכנס לקונסולת ה-MDM הארגונית.
  • שולח פקודת Remote Wipe.
  • הפקודה מפעילה את מנגנון ה-EACS מרחוק ומשמידה את המידע.
  • האתגר – Activation Lock:
  • מה קורה כשעובד עוזב וחיבר את ה-Apple ID הפרטי שלו (Find My)?
  • לאחר המחיקה, המחשב יינעל ב-Activation Lock וידרוש סיסמה של העובד!
  • הפתרון של איש ה-IT:
  • שימוש ב-Activation Lock Bypass Code.
  • קוד זה נוצר ונשמר אוטומטית במערכת ה-MDM בעת הרישום.
  • תהליך השחרור:
  • נכנסים ל-Recovery Assistant מתוך שורת התפריטים במק.
  • מזינים את הקוד מה-MDM.
  • המחשב מופעל מחדש משוחרר ונקי – מוכן למשתמש חדש.

Demonstration:

  • הצג צילום מסך של קונסולת ניהול MDM (למשל Jamf Pro):
  • הדגש את כפתור ה-"Send Wipe Command".
  • הצג צילום מסך של כלי ה-Recovery Assistant:
  • הראה את התפריט העליון ובחירת "Activate with MDM key".
  • הראה את מסך הזנת ה-Bypass Code.
Instructor Deep-Dive: Activation Lock Management * **User-linked לעומת Organization-linked:** * **User-linked:** כשמשתמש מפעיל Find My, חובה על ה-MDM לשמור את קוד ה-Bypass *לפני* השלמת ההפעלה בשרת אפל. * **Organization-linked:** כשהמכשיר משויך דרך Apple Business Manager (ABM), הארגון הוא הבעלים הבלעדי והמכשיר נעול אוטומטית לארגון. * **מגבלות תקשורת:** * פקודת ה-EraseDevice של ה-MDM תלויה בחיבור רשת (APNs). * אם מופעל Activation Lock לאחר המחיקה, חייבים את ה-Bypass Code מהשרת כדי להחזיר את המחשב לשימוש.

[סוף שיעור 14 - Facilitator Guide]