Forbered dit netværksmiljø til strengere sikkerhedskrav
Apple-operativsystemer vil kræve strengere netværkssikkerhed til systemprocesser. Kontrollér, om dine serverforbindelser opfylder de nye krav.
Denne artikel er tiltænkt IT-administratorer og udviklere af tjenester til administration af enheder.
Fra og med den næste store softwareudgivelse kan Apples operativsystemer (iOS, iPadOS, macOS, watchOS, tvOS og visionOS) muligvis afvise forbindelser til servere med forældede eller ikke-kompatible TLS-konfigurationer på grund af yderligere netværkssikkerhedskrav.
Du bør overvåge dit miljø for at identificere servere, der ikke opfylder disse krav. Opdatering af serverkonfigurationer for at opfylde disse krav kan kræve betydelig tid, især for servere, der vedligeholdes af eksterne producenter.
Berørte forbindelser og konfigurationskrav
De nye krav gælder for netværksforbindelser, der er direkte involveret i følgende aktiviteter:
Administration af mobilenheder (MDM)
Deklarativ enhedsadministration (DDM)
Automatiseret enhedstilmelding
Installering af konfigurationsprofil
Installering af apps, herunder distribution af virksomhedsapps
Softwareopdateringer
Undtagelser: Netværksforbindelser til en SCEP-server (mens du installerer en konfigurationsprofil eller behandler en DDM-ressource) og servere til indlæsning af indhold i buffer (selv når der anmodes om ressourcer, der er relateret til appinstallering eller softwareopdateringer) påvirkes ikke.
Krav: Serverne skal understøtte TLS 1.2 eller nyere, bruge ATS-kompatible krypteringspakker og fremlægge gyldige certifikater, der opfylder ATS-standarderne. Se alle netværkssikkerhedskrav i udviklerdokumentationen:
Gennemgå dit miljø for ikke-kompatible forbindelser
Brug testenheder til at identificere serverforbindelser i dit miljø, der ikke opfylder de nye TLS-krav.
Planlæg din testdækning
Forskellige enhedskonfigurationer kan oprette forbindelse til forskellige servere. For at sikre, at din gennemgang har fuld dækning, skal du teste alle konfigurationer, der er relevante for dit miljø.
Miljø: Produktion, opsætning, test
Enhedstype: iPhone, iPad, Mac, Apple Watch, Apple TV, Apple Vision Pro
Rolle: Brugergruppe (salg, teknik, regnskab), kioskenhed, delt enhed
Tilmeldingstype: Automatiseret enhedstilmelding, kontobaseret tilmelding, profilbaseret enhedstilmelding, Delt iPad
Gentag følgende gennemgangstrin for hver konfiguration, der opretter forbindelse til forskellige servere.
Installer Network Diagnostics Logging Profile
Download og installer Network Diagnostics Logging Profile på en repræsentativ testenhed, der kører iOS 26.4, iPadOS 26.4, macOS 26.4, watchOS 26.4, tvOS 26.4 eller visionOS 26.4 eller nyere, for at aktivere logning. Genstart enheden efter installering af profilen.
For at sikre, at loghændelser indeholder de nødvendige detaljer til at identificere ikke-kompatible forbindelser, skal denne profil installeres, inden du foretager en test. Hvis du tester automatiseret enhedstilmelding på en iPhone eller iPad, skal du bruge Apple Configurator til Mac til at installere profilen, før enheden når vinduet til administration af enheder i Indstillingsassistent.
Kør dine normale arbejdsgange
Brug testenheden på den måde, du normalt gør i dit miljø. Registrer den i enhedsadministration, installer apps og profiler, og udfør andre arbejdsgange, der opretter forbindelse til din organisations servere.
Målet er at generere netværkstrafik til alle servere, der kan blive påvirket af de nye TLS-krav.
Kør en sysdiagnose
Når du har udført dine arbejdsgange, skal du køre en sysdiagnose fra testenheden. Dette diagnosticeringsarkiv indeholder de loghændelser, du skal bruge for at identificere ikke-kompatible forbindelser.
Enhedsspecifikke instruktioner til kørsel af en sysdiagnose
Gennemgå loggene
Overfør sysdiagnosen til en Mac, og pak arkivet .tar.gz ud. Brug Terminal til at navigere til mappen på øverste niveau i den udpakkede sysdiagnose, og filtrer efter relevante loghændelser med denne kommando:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
Hver loghændelse indeholder tre nøgleoplysninger:
Domæne: Serverens domæne for denne forbindelseshændelse.
Proces: Den proces, der oprettede forbindelsen, som hjælper dig med at bestemme formålet med netværksforbindelsen til det pågældende domæne.
Advarsel: Den restriktion, der blev overtrådt af forbindelsen, og hvordan serveren ikke overholder kravene (en enkelt forbindelse kan generere flere advarsler, hvis serveren ikke opfylder flere krav).
Fortolkning af advarselslogarkiver
Følgende logbeskeder angiver servere, der ikke opfylder de nye TLS-krav. Overtrædelser markeres enten som generelle overtrædelser af ATS-politik (“Warning [ATS Violation]”) eller specifikke overtrædelser af FCP v2.1-standard (“Warning [ATS FCPv2.1 violation”).
Hvis disse logarkiver udsendes af en proces, der opretter forbindelse til en server, som er specifik for din virksomhed, skal disse servere opdateres for at opfylde de nye krav.
Logbesked | Betydning | Afhjælpning |
|---|---|---|
Warning [ATS violation]: Ciphersuite([negotiated ciphersuite]) not offered in ATS negotiated for server: www.example.com | Serveren forhandlede en ikke-PFS-krypteringspakke, der ikke tilbydes, når klienten gennemtvinger ATS. | Servere skal understøtte PFS-krypteringspakker (alle TLS 1.3-krypteringspakker og TLS 1.2-krypteringspakker med ECDHE). |
Warning [ATS violation]: TLS version <1.2 negotiated for server: www.example.com | Serveren har forhandlet en version af TLS, der er ældre end TLS 1.2. TLS 1.0/1.1 er udfaset og tilbydes ikke længere som standard. | Opdater serverne, så de forhandler TLS 1.3, når det er muligt (som minimum TLS 1.2). |
Warning [ATS Violation]: ATS certificate trust requirement not satisfied for server: www.example.com | Serverens certifikat bestod ikke standard servertillidsevalueringen, fordi det ikke opfyldte minimumskravene, der er beskrevet her. | Opdater serverens certifikat for at opfylde disse krav. Hvis certifikatet er blandt forankringscertifikaterne i profilen for automatisk tilmelding, er afhjælpning ikke nødvendig. |
Warning [ATS violation]: RSA key size [n] bits is less than minimum 2048 bits for server: www.example.com | Serverens certifikat blev signeret med en RSA-nøgle, der er mindre end 2048 bit. | Opdater serverens certifikat for at opfylde disse krav. |
Warning [ATS violation]: ECDSA key size [n] bits is less than minimum 256 bits for server: www.example.com | Serverens certifikat er signeret af en ECDSA-nøgle, der er mindre end 256 bit. | |
Warning [ATS violation]: Leaf certificate hash algorithm (n) is not at least SHA-256 for server: www.example.com | Serverens certifikat anvendte ikke en Secure Hash Algorithm 2 (SHA-2) med en digest-længde på mindst 256 bit. | |
Warning [ATS violation]: Did not use TLS when opening connection for server: www.example.com | HTTP i almindelig tekst blev brugt i stedet for HTTPS. | Opdater serveren, så den understøtter HTTPS. |
Warning [ATS FCPv2.1 violation]: Signature algorithm rsa_pkcs15_sha1 negotiated by server: www.example.com | Serveren valgte rsa_pkcs15_sha1 som signaturalgoritmen. | Opdater konfigurationen til at foretrække moderne signaturalgoritmer. |
Warning [ATS FCPv2.1 violation]: Server certificate signed using signature algorithm [signature algorithm] not advertised in ClientHello for server: www.example.com | Serverens certifikat blev signeret med en signaturalgoritme, der ikke var annonceret i ClientHello. | Opdater serverens certifikat til at blive signeret med en signaturalgoritme, der har et TLS-kodepunkt og ikke rsa_pkcs15_sha1. |
Warning [ATS FCPv2.1 violation]: TLS 1.2 negotiated without extended master secret (EMS) for server: www.example.com | Serveren forhandlede TLS 1.2, men forhandlede ikke EMS-udvidelsen (udvidet masterhemmelighed). | Opdater servere til at bruge TLS 1.3, eller opdater som minimum deres TLS 1.2-konfiguration til at forhandle EMS. |
Valider individuelle servere
Når du har identificeret ikke-kompatible servere under gennemgangen, kan du teste dem individuelt for at verificere specifikke overtrædelser eller bekræfte, at afhjælpning er gennemført.
Kør følgende kommando, og erstat “https://example.com:8000” med din server eller dit slutpunkt.
nscurl --ats-diagnostics https://example.com:8000/
Denne kommando tester, om serveren opfylder kravene for forskellige kombinationer af ATS-politikker. Se efter testresultatet med ATS og FCP_v2.1-tilstand aktiveret:
Konfiguration af krav til NIAP TLS-pakkeversioner
---
FCP_v2.1
Resultat: BESTÅET
---
Hvis resultatet er “BESTÅET”, opfylder serveren alle krav.
Få mere at vide om identificering af kilden til blokerede forbindelser
Afhjælpning
Samarbejd med ejerne af de berørte servere for at opdatere deres TLS-konfigurationer. Serverejere kan være en intern afdeling, din tjeneste til enhedsadministration eller en tredjepartsproducent.
Ved kontakt til en serverejer med henblik på afhjælpning bør du dele denne artikel samt de specifikke advarselsbeskeder, du har observeret.
Afhjælpning kan omfatte følgende:
Opdater serverne til at understøtte TLS 1.2 eller nyere (TLS 1.3 anbefales)
For servere, der kun understøtter TLS 1.2, skal de som minimum understøtte nøgleudvekslingsalgoritmer, der leverer Perfect Forward Secrecy (ECDHE), AEAD-krypteringspakker baseret på AES-GCM med SHA-256, SHA-384 eller SHA-512 og EMS-udvidelsen (udvidet masterhemmelighed) (RFC 7627).
Opdater certifikaterne, så de opfylder ATS-kravene for nøglestørrelse, signaturalgoritme og gyldighed.
Yderligere ressourcer
Få mere at vide om, hvordan du forhindrer usikre netværksforbindelser og App Transport Security
Kontakt din Customer Success Manager eller AppleCare Enterprise-support for at få yderligere hjælp.