Připravte vaše síťové prostředí na přísnější požadavky na zabezpečení
Operační systémy Apple budou vyžadovat přísnější zabezpečení sítě pro systémové procesy. Zkontrolujte, zda vaše serverová připojení nové požadavky splňují.
Tento článek je určen pro IT správce a vývojáře služeb správy zařízení.
Od příštího hlavního vydání softwaru můžou operační systémy Apple (iOS, iPadOS, macOS, watchOS, tvOS a visionOS) odmítat připojení k serverům se zastaralými nebo nevyhovujícími konfiguracemi protokolu TLS, a to kvůli dalším požadavkům na zabezpečení sítě.
Měli byste provést audit svého prostředí a identifikovat servery, které tyto požadavky nesplňují. Úprava konfigurací serverů tak, aby tyto požadavky splňovaly, může být časově náročná, zejména u serverů spravovaných externími dodavateli.
Dotčená připojení a požadavky na konfiguraci
Nové požadavky se vztahují na síťová připojení, která jsou přímo zapojena do následujících činností:
Správa mobilních zařízení (MDM)
Deklarativní správa zařízení (DDM)
Automatická registrace zařízení
Instalace konfiguračního profilu
Instalace aplikací, včetně distribuce podnikových aplikací
Aktualizace softwaru
Výjimky: Síťová připojení k SCEP serveru (při instalaci konfiguračního profilu nebo překladu prostředku DDM) a servery pro ukládání obsahu do mezipaměti (i při vyžadování prostředků souvisejících s instalací aplikací nebo aktualizacemi softwaru) nejsou ovlivněny.
Požadavky: Servery musí podporovat protokol TLS 1.2 nebo novější, používat sady šifrovacích algoritmů kompatibilní s ATS a mít platné certifikáty splňující požadavky ATS. Kompletní požadavky na zabezpečení sítě najdete v dokumentaci vývojáře:
Proveďte audit prostředí za účelem zjištění nevyhovujících připojení
Pomocí testovacích zařízení identifikujte ve svém prostředí serverová připojení, která nesplňují nové požadavky protokolu TLS.
Naplánujte testovací pokrytí
Různé konfigurace zařízení se můžou připojit k různým serverům. Pokud chcete mít jistotu, že váš audit pokrývá opravdu vše, otestujte všechny konfigurace, které se na vaše prostředí vztahují.
Prostředí: Produkční, staging, testovací
Typ zařízení: iPhone, iPad, Mac, Apple Watch, Apple TV, Apple Vision Pro
Role: Skupina uživatelů (prodej, vývoj, účetnictví), kioskové zařízení, sdílené zařízení
Typ registrace: Automatická registrace zařízení, registrace založená na účtu, registrace zařízení založená na profilu, sdílený iPad
Následující kroky auditu zopakujte pro každou konfiguraci, která se připojuje k jiným serverům.
Nainstalujte profil protokolování diagnostiky sítě
Stáhněte si profil protokolování diagnostiky sítě a nainstalujte ho na reprezentativní testovací zařízení se systémem iOS 26.4, iPadOS 26.4, macOS 26.4, watchOS 26.4, tvOS 26.4 nebo visionOS 26.4 nebo novějším, abyste umožnili protokolování. Po instalaci profilu testovací zařízení restartujte.
Aby události protokolu obsahovaly potřebné podrobnosti pro identifikaci nevyhovujících připojení, musí být tento profil nainstalován před zahájením jakéhokoli testování. Pokud testujete automatickou registraci zařízení na iPhonu nebo iPadu, pomocí Apple Configuratoru pro Mac nainstalujte profil dřív, než zařízení přejde na panel Správa zařízení v Průvodci nastavením.
Spusťte běžné pracovní postupy
Používejte testovací zařízení ve svém prostředí běžným způsobem. Zaregistrujte ho do správy zařízení, nainstalujte aplikace a profily a provádějte další pracovní postupy, při kterých se zařízení připojuje k serverům vaší organizace.
Cílem je generovat síťový provoz na všechny servery, které by mohly být ovlivněny novými požadavky na protokol TLS.
Shromážděte výstup nástroje sysdiagnose
Po provedení pracovních postupů shromážděte z testovacího zařízení výstup nástroje sysdiagnose. Tento diagnostický archiv obsahuje události protokolu, které potřebujete k identifikaci nevyhovujících připojení.
Pokyny ke shromáždění výstupu nástroje sysdiagnose pro různá zařízení
Zkontrolujte protokoly
Přesuňte výstup sysdiagnose do Macu a rozbalte soubor .tar.gz. Pomocí Terminálu přejděte do kořenového adresáře rozbaleného souboru sysdiagnose a následujícím příkazem vyfiltrujte relevantní události protokolu:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
Každá událost protokolu obsahuje tři klíčové údaje:
Doména: Doména serveru pro danou událost připojení.
Proces: Proces, který připojení vytvořil. Pomáhá vám určit účel síťového připojení k dané doméně.
Upozornění: Omezení, které bylo připojením porušeno, a jak server nesplňuje požadavky (pokud server nesplňuje víc požadavků, může jedno připojení generovat víc upozornění).
Výklad protokolů upozornění
Následující zprávy protokolu identifikují servery, které nesplňují nové požadavky na protokol TLS. Porušení jsou označena buď jako obecná porušení zásad ATS („Warning [ATS Violation]“), nebo jako konkrétní porušení standardu FCP v2.1 („Warning [ATS FCPv2.1 violation]“).
Pokud tyto protokoly vytváří proces, který se připojuje k serveru specifickému pro vaši organizaci, musí být tyto servery aktualizovány tak, aby splňovaly nové požadavky.
Zpráva protokolu | Význam | Náprava |
|---|---|---|
Warning [ATS violation]: Ciphersuite([negotiated ciphersuite]) not offered in ATS negotiated for server: www.example.com | Server vyjednal šifrovací sadu, která nepodporuje PFS a není nabízena, když klient vynucuje ATS. | Servery musí podporovat šifrovací sady PFS (jakoukoli šifrovací sadu TLS 1.3 a šifrovací sady TLS 1.2 s ECDHE). |
Warning [ATS violation]: TLS version <1.2 negotiated for server: www.example.com | Server vyjednal verzi TLS starší než TLS 1.2. Verze TLS 1.0/1.1 jsou zastaralé a už nejsou implicitně nabízeny. | Aktualizujte servery tak, aby vyjednaly TLS 1.3, kdykoli je to možné (minimálně TLS 1.2). |
Warning [ATS Violation]: ATS certificate trust requirement not satisfied for server: www.example.com | Certifikát serveru neprošel výchozím ověřením důvěryhodnosti serveru, protože nesplnil minimální požadavky uvedené . | Aktualizujte certifikát serveru tak, aby tyto požadavky splňoval. Pokud je certifikát v kořenových certifikátech profilu automatické registrace, náprava není vyžadována. |
Warning [ATS violation]: RSA key size [n] bits is less than minimum 2048 bits for server: www.example.com | Certifikát serveru byl podepsán RSA klíčem, jehož velikost je menší než 2048 bitů. | Aktualizujte certifikát serveru tak, aby tyto požadavky splňoval. |
Warning [ATS violation]: ECDSA key size [n] bits is less than minimum 256 bits for server: www.example.com | Certifikát serveru byl podepsán ECDSA klíčem, jehož velikost je menší než 256 bitů. | |
Warning [ATS violation]: Leaf certificate hash algorithm (n) is not at least SHA-256 for server: www.example.com | Certifikát serveru nepoužil algoritmus Secure Hash Algorithm 2 (SHA-2) s délkou digestu minimálně 256 bitů. | |
Warning [ATS violation]: Did not use TLS when opening connection for server: www.example.com | Namísto HTTPS bylo použito HTTP bez šifrování. | Aktualizujte server tak, aby podporoval HTTPS. |
Warning [ATS FCPv2.1 violation]: Signature algorithm rsa_pkcs15_sha1 negotiated by server: www.example.com | Server zvolil jako podpisový algoritmus rsa_pkcs15_sha1. | Aktualizujte konfiguraci tak, aby preferovala moderní podpisové algoritmy. |
Warning [ATS FCPv2.1 violation]: Server certificate signed using signature algorithm [signature algorithm] not advertised in ClientHello for server: www.example.com | Certifikát serveru byl podepsán pomocí podpisového algoritmu, který nebyl uveden ve zprávě ClientHello. | Aktualizujte certifikát serveru tak, aby byl podepsán pomocí podpisového algoritmu, který má TLS identifikátor a není to rsa_pkcs15_sha1. |
Warning [ATS FCPv2.1 violation]: TLS 1.2 negotiated without extended master secret (EMS) for server: www.example.com | Server vyjednal TLS 1.2 a nevyjednal rozšířený hlavní tajný kód (EMS). | Aktualizujte servery na TLS 1.3 nebo alespoň upravte jejich konfiguraci TLS 1.2 tak, aby vyjednávaly EMS. |
Ověřte jednotlivé servery
Po identifikaci nevyhovujících serverů během auditu je můžete otestovat jednotlivě, abyste ověřili konkrétní porušení nebo potvrdili, že náprava byla úspěšná.
Spusťte následující příkaz a nahraďte „https://example.com:8000“ adresou vašeho serveru nebo koncového bodu.
nscurl --ats-diagnostics https://example.com:8000/
Tento příkaz testuje, zda server splňuje požadavky pro různé kombinace zásad ATS. Vyhledejte výsledek testu pomocí ATS s aktivovaným režimem FCP_v2.1:
Nastavte požadavky na verzi balíčku NIAP TLS:
---
FCP_v2.1
Result : PASS
---
Pokud je výsledek „PASS“, server splňuje všechny požadavky.
Zjistěte víc o identifikaci zdroje blokovaných připojení
Náprava
Ve spolupráci s vlastníky dotčených serverů aktualizujte jejich konfigurace TLS. Vlastníkem serveru může být interní tým, vaše služba správy zařízení nebo dodavatel třetí strany.
Když kontaktujete vlastníka serveru kvůli nápravě, poskytněte mu tento článek a konkrétní upozornění, která se zobrazila.
Náprava může zahrnovat následující kroky:
Aktualizujte servery tak, aby podporovaly protokol TLS 1.2 nebo novější (doporučuje se TLS 1.3)
Servery podporující pouze TLS 1.2 musí podporovat minimálně algoritmy pro výměnu klíčů poskytující funkci Perfect Forward Secrecy (ECDHE), šifrovací sady AEAD založené na AES-GCM s algoritmy SHA-256, SHA-384 nebo SHA-512 a rozšířený hlavní tajný kód (RFC 7627).
Aktualizujte certifikáty tak, aby splňovaly požadavky ATS na velikost klíče, podpisový algoritmus a dobu platnosti.
Další zdroje
Zjistěte víc o předcházení nezabezpečeným síťovým připojením a App Transport Security
Pokud potřebujete další pomoc, obraťte se na svého manažera zákaznického úspěchu nebo na podporu AppleCare pro velké podniky.