إعداد بيئة الشبكة لديك للوفاء بمُتطلبات أمان أكثر صرامةً
ستتطلب أنظمة تشغيل Apple إجراءات أمان شبكة أكثر صرامةً لتعزيز عمليات النظام. تحقَّقْ مما إذا كانت اتصالات الخادم لديك تفي بالمُتطلبات الجديدة أم لا.
هذه المقالة مُوجهة لمطوري خدمات إدارة الأجهزة ومسؤولي تكنولوجيا المعلومات.
ابتداءً من الإصدار الرئيسي التالي للبرنامج، قد ترفض أنظمة تشغيل Apple (iOS، وiPadOS، وmacOS، وwatchOS، وtvOS، وvisionOS) الاتصالات بالخوادم التي تكون تكويناتها لبروتوكول أمان طبقة النقل (TLS) قديمة أو غير متوافقة، وذلك بسبب المُتطلبات الإضافية لأمان الشبكة.
ومن ثمَّ، يجب عليك إخضاع بيئتك للتدقيق لتحديد الخوادم التي لا تفي بهذه المتطلبات. قد يتطلب تحديث تكوينات الخوادم للوفاء بهذه المُتطلبات وقتًا طويلاً، خاصةً بالنسبة للخوادم التي تتم صيانتها من قِبل مورِّدين خارجيين.
الاتصالات المُتأثرة ومُتطلبات التكوين
تنطبق المُتطلبات الجديدة على اتصالات الشبكة المُرتبطة مباشرةً بالأنشطة التالية:
إدارة أجهزة الجوّال (MDM)
إدارة الأجهزة الإفصاحية (DDM)
التسجيل الآلي للأجهزة
تثبيت ملفات تعريف التكوين
تثبيت التطبيقات، بما في ذلك توزيع التطبيقات للمؤسسات
تحديثات البرامج
الاستثناءات: لا تتأثر اتصالات الشبكة بخادم SCEP (أثناء تثبيت ملف تعريف التهيئة أو حل أصل DDM) التخزين المؤقت للمحتوى والخوادم (حتى عند طلب أصول متعلقة بتثبيت التطبيق أو تحديثات البرامج).
المُتطلبات: يجب أن تدعم الخوادم الإصدار 1.2 أو الإصدارات الأحدث من بروتوكول TLS، وأن تستخدم مجموعات التشفير المتوافقة مع ميزة أمان نقل التطبيقات (ATS)، وأن تُقدم شهادات صالحة تفي بمعاييرها. للاطلاع على المتطلبات الكاملة لأمان الشبكة، راجع وثائق المُطور:
إخضاع بيئتك للتدقيق بحثًا عن الاتصالات غير المُتوافقة
استخدم أجهزة اختبار لتحديد اتصالات الخوادم التي لا تفي بالمتطلبات الجديدة لبروتوكول أمان طبقة النقل (TLS) في بيئتك.
التخطيط لتغطية الاختبار
قد تتصل التكوينات المختلفة للأجهزة بخوادم مختلفة. ولضمان تغطية شاملة لعملية التدقيق، اختبر جميع التكوينات التي تنطبق على بيئتك.
البيئة: الإنتاج، التجهيز، الاختبار
نوع الجهاز: iPhone، iPad، Mac، Apple Watch، Apple TV، Apple Vision Pro
الدور: مجموعة المُستخدمين (المبيعات، الهندسة، المحاسبة)، جهاز محدود الاستخدام، الجهاز المشترك
نوع التسجيل: التسجيل الآلي للأجهزة، تسجيل الأجهزة المستند إلى الحساب، تسجيل الجهاز المستند إلى ملف التعريف، جهاز iPad المشترك
كرِّر خطوات التدقيق التالية لكل تكوين يتصل بخوادم مختلفة.
تَثبيت ملف تعريف تسجيل تشخيصات الشبكة
نزِّل ملف تعريف تسجيل تشخيصات الشبكة وقم بتثبيته على جهاز اختبار نموذجي يعمل بنظام iOS 26.4، أو iPadOS 26.4، أو macOS 26.4، أو watchOS 26.4، أو tvOS 26.4، أو visionOS 26.4، أو إصدار أحدث، وذلك لتمكين التسجيل. أعِد تشغيل جهاز الاختبار بعد إتمام تثبيت ملف التعريف.
يجب تثبيت ملف التعريف هذا قبل إجراء أي اختبار لضمان احتواء أحداث السجل على التفاصيل اللازمة لتحديد الاتصالات غير المُتوافقة. إذا كنت تقوم باختبار التسجيل الآلي للأجهزة على iPhone أو iPad، فاستخدم أداة إعداد Apple لـ Mac لتثبيت ملف التعريف قبل أن يصل الجهاز إلى جزء "إدارة الأجهزة" في "مساعد الإعداد".
إجراء عمليات سير العمل المُعتادة
استخدم جهاز الاختبار كما تفعلُ عادةً في بيئتك. سجّله في إدارة الأجهزة، وثبّت ملفات التعريف والتطبيقات، ونفّذ أي عمليات سير عمل أخرى تتطلب الاتصال بخوادم مؤسستك.
يكمن الهدف من ذلك في إحداث حركة مرور على الشبكة إلى جميع الخوادم التي قد تتأثر بالمُتطلبات الجديدة لبروتوكول أمان طبقة النقل (TLS).
جمع بيانات تشخيص النظام
بعد إجراء عمليات سير العمل، اجمع بيانات تشخيص النظام من جهاز الاختبار. يحتوي هذا الأرشيف التشخيصي على أحداث السجل التي تحتاج إليها لتحديد الاتصالات غير المتوافقة.
تعليمات خاصة بالجهاز لجمع بيانات تشخيص النظام
مراجعة السجلات
انقل بيانات تشخيص النظام إلى جهاز Mac، وفُك ضغط ملف .tar.gz. باستخدام الوحدة الطرفية، انتقل إلى دليل المستوى الأعلى في ملف بيانات تشخيص النظام الذي تم فك ضغطه، وفلتر أحداث السجل ذات الصلة باستخدام هذا الأمر:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
يتضمن كل حدث سجل ثلاث تفاصيل رئيسية:
النطاق: نطاق الخادم لحدث الاتصال هذا.
العملية: العملية التي أنشأت الاتصال، والتي تساعدك على تحديد الغرض من اتصال الشبكة بهذا النطاق.
التحذير: القيد الذي انتهكه الاتصال وعدم توافق الخادم (قد يُصدر اتصال واحد عدة تحذيرات إذا لم يستوفِ الخادم متطلبات متعددة).
تفسير سجلات التحذيرات
تشير رسائل السجل التالية إلى أن الخوادم لا تستوفي المتطلبات الجديدة لبروتوكول أمان طبقة النقل (TLS). تُصنّف الانتهاكات بأنها إما انتهاكات عامة لسياسة أمان نقل التطبيقات (ATS) ("Warning [ATS Violation]") أو انتهاكات خاصة لمعيار FCP v2.1 ("Warning [ATS FCPv2.1 violation]").
إذا صدرت هذه السجلات عن عملية تتصل بخادم خاص بممؤسستك، يجب تحديث تلك الخوادم لتلبية المتطلبات الجديدة.
رسالة السجل | المعنى | التصحيح |
|---|---|---|
Warning [ATS violation]: Ciphersuite([negotiated ciphersuite]) not offered in ATS negotiated for server: www.example.com | تفاوض الخادم على مجموعة تشفير غير متوافقة مع بروتوكول السرية الأمامية التامة (PFS)، وهي لا تتوفر عند تطبيق الجهاز العميل لميزة أمان نقل التطبيقات (ATS). | يجب أن تدعم الخوادم مجموعات تشفير بروتوكول السرية الأمامية التامة (PFS) (أي مجموعة تشفير TLS 1.3 ومجموعات تشفير TLS 1.2 مع ECDHE). |
Warning [ATS violation]: TLS version <1.2 negotiated for server: www.example.com | تفاوض الخادم على إصدار من بروتوكول أمان طبقة النقل (TLS) أقدم من TLS 1.2. إصدارا TLS 1.0 و1.1 قديمان ولا يتم توفيرهما افتراضيًا. | حدِّث الخوادم لتتفاوض على TLS 1.3 كلما أمكن (أو TLS 1.2 كحد أدنى). |
Warning [ATS Violation]: ATS certificate trust requirement not satisfied for server: www.example.com | لم تجتز شهادة الخادم تقييم ثقة الخادم الافتراضي لأنها لم تستوفِ الحد الأدنى من المُتطلبات المُوضحة هنا. | حدِّث شهادة الخادم لتلبية هذه المتطلبات. إذا كانت الشهادة ضمن شهادات مرجعية ملف تعريف التسجيل التلقائي، فلا يلزم إجراء تصحيح. |
Warning [ATS violation]: RSA key size [n] bits is less than minimum 2048 bits for server: www.example.com | تم توقيع شهادة الخادم باستخدام مفتاح RSA أصغر من 2048 بت. | حدِّث شهادة الخادم لتلبية هذه المتطلبات. |
Warning [ATS violation]: ECDSA key size [n] bits is less than minimum 256 bits for server: www.example.com | تم توقيع شهادة الخادم باستخدام مفتاح ECDSA أصغر من 256 بت. | |
Warning [ATS violation]: Leaf certificate hash algorithm (n) is not at least SHA-256 for server: www.example.com | لم تستخدم شهادة الخادم خوارزمية تجزئة آمنة 2 (SHA-2) بطول تجزئة لا يقل عن 256 بت. | |
Warning [ATS violation]: Did not use TLS when opening connection for server: www.example.com | تم استخدام بروتوكول HTTP غير مُشفَّر بدلاً من بروتوكول HTTPS. | حدِّث الخادم ليدعم HTTPS. |
Warning [ATS FCPv2.1 violation]: Signature algorithm rsa_pkcs15_sha1 negotiated by server: www.example.com | اختار الخادم rsa_pkcs15_sha1 باعتبارها خوارزمية توقيع signature_algorithm. | حدِّث التكوين ليتم تفضيل خوارزميات توقيع حديثة. |
Warning [ATS FCPv2.1 violation]: Server certificate signed using signature algorithm [signature algorithm] not advertised in ClientHello for server: www.example.com | تم توقيع شهادة الخادم باستخدام خوارزمية توقيع غير مُعلنة في ClientHello. | حدِّث شهادة الخادم ليتم توقيعها باستخدام خوارزمية توقيع تحتوي على نقطة كود لبروتوكول أمان طبقة النقل (TLS) وليس rsa_pkcs15_sha1. |
Warning [ATS FCPv2.1 violation]: TLS 1.2 negotiated without extended master secret (EMS) for server: www.example.com | تفاوض الخادم على الإصدار TLS 1.2، ولم يتفاوض على امتداد السر الرئيسي الموسَّع (EMS). | حدِّث الخوادم لاستخدام الإصدار TLS 1.3 أو على الأقل حدِّث تكوين TLS 1.2 الخاص بها للتفاوض على EMS. |
التحقق من صحة الخوادم بشكل فردي
بعد تحديد الخوادم غير المُتوافقة في إطار التدقيق، يُمكنك اختبارها بشكلٍ فردي للتحقق من وجود انتهاكات محددة أو التأكد من نجاح التصحيح.
نفّذ الأمر التالي، مع استبدال "https://example.com:8000" بنقطة النهاية الخاصة بك أو بخادمك.
nscurl --ats-diagnostics https://example.com:8000/
يختبر هذا الأمر ما إذا كان الخادم يفي بمتطلبات مجموعات مختلفة من سياسات أمان نقل التطبيقات (ATS). ابحث عن نتيجة الاختبار باستخدام أمان نقل التطبيقات (ATS) مع تمكين وضع FCP_v2.1:
Configuring NIAP TLS package version requirements
---
FCP_v2.1
Result : PASS
---
إذا كانت النتيجة "PASS"، فإن الخادم يفي بجميع المتطلبات.
تعرَّف على المزيد حول تحديد مصدر الاتصالات المحظورة
التصحيح
اعمل مع مالكي الخوادم المتأثرة لتحديث تكوينات بروتوكول أمان طبقة النقل (TLS) الخاصة بهم. قد يكون مالكو الخوادم من داخل المؤسسة، أو خدمة إدارة الأجهزة لديك، أو موّردًا من جهة خارجية.
عند التواصل مع مالك الخادم لغرض التصحيح، شاركه هذه المقالة ورسائل التحذير المحددة التي لاحظتها.
قد يشمل التصحيح ما يلي:
تحديث الخوادم لدعم الإصدار TLS 1.2 أو الأحدث (يُوصى باستخدام الإصدار TLS 1.3)
بالنسبة إلى الخوادم التي تدعم الإصدار TLS 1.2 فقط، يجب أن تدعم على الأقل خوارزميات تبادل المفاتيح التي توفر السرية الأمامية المثالية (ECDHE)، ومجموعات تشفير AEAD المبنية على AES-GCM مع SHA-256 أو SHA-384 أو SHA-512، بالإضافة إلى امتداد السر الرئيسي الموسع (RFC 7627).
حدِّث الشهادات لتفي بمتطلبات أمان نقل التطبيقات (ATS) من حيث حجم المفتاح، وخوارزمية التوقيع، والصلاحية.
موارد إضافية
تعرَّف على كيفية منع اتصالات الشبكة غير الآمنة وأمان نقل التطبيقات (ATS)
تواصل مع مدير نجاح العملاء أو الدعم المؤسسي AppleCare Enterprise للحصول على مزيد من المساعدة.