Netzwerkumgebung auf strengere Sicherheitsanforderungen vorbereiten
Apple-Betriebssysteme erfordern eine strengere Netzwerksicherheit für Systemprozesse. Prüfe, ob deine Serververbindungen die neuen Anforderungen erfüllen.
Dieser Artikel richtet sich an IT-Administratoren und Entwickler von Diensten zur Geräteverwaltung.
Bereits ab der nächsten Hauptversion werden Apple-Betriebssysteme (iOS, iPadOS, macOS, watchOS, tvOS und visionOS) aufgrund zusätzlicher Anforderungen an die Netzwerksicherheit Verbindungen zu Servern mit veralteten oder nicht konformen TLS-Konfigurationen möglicherweise ablehnen.
Du solltest deine Umgebung auf Server prüfen, die diesen Anforderungen nicht genügen. Das Aktualisieren der Serverkonfigurationen zur Erfüllung dieser Anforderungen kann viel Zeit in Anspruch nehmen, insbesondere bei Servern, die von externen Anbietern verwaltet werden.
Betroffene Verbindungen und Konfigurationsanforderungen
Die neuen Anforderungen gelten für Netzwerkverbindungen bei folgenden Aktivitäten:
Mobilgeräteverwaltung (MDM)
Deklarative Geräteverwaltung (DDM)
Automatische Geräteregistrierung
Installation von Konfigurationsprofilen
App-Installation, einschließlich der Verteilung von Unternehmens-Apps
Softwareupdates
Ausnahmen: Netzwerkverbindungen zu einem SCEP-Server (während der Installation eines Konfigurationsprofils oder der Auflösung eines DDM-Assets) und Inhaltscaching-Servern (auch bei der Anforderung von Assets im Zusammenhang mit der App-Installation oder Softwareupdates) sind nicht betroffen.
Anforderungen: Server müssen TLS 1.2 oder höher unterstützen, ATS-konforme Cipher Suites nutzen und über gültige Zertifikate verfügen, die den ATS-Standards genügen. Alle Anforderungen zur Netzwerksicherheit findest du in der Entwicklerdokumentation:
Umgebung auf nicht konforme Verbindungen prüfen
Verwende Testgeräte, um Serververbindungen in deiner Umgebung zu identifizieren, die die neuen TLS-Anforderungen nicht erfüllen.
Testabdeckung planen
Verschiedene Gerätekonfigurationen können Verbindungen zu unterschiedlichen Servern herstellen. Für eine komplette Abdeckung musst du alle für die Umgebung relevanten Konfigurationen testen.
Umgebung: Produktion, Staging, Test
Gerätetyp: iPhone, iPad, Mac, Apple Watch, Apple TV, Apple Vision Pro
Rolle: Benutzergruppe (Vertrieb, Technik, Buchhaltung), Kioskgerät, geteiltes Gerät
Registrierungstyp: Automatische Geräteregistrierung, Account-gesteuerte Registrierung, profilbasierte Geräteregistrierung, geteiltes iPad
Wiederhole die folgenden Prüfschritte für jede Konfiguration, mit der eine Verbindung zu verschiedenen Servern hergestellt wird.
Protokollierungsprofil für die Netzwerkanalyse installieren
Lade und installiere das Protokollierungsprofil für die Netzwerkdiagnose auf einem repräsentativen Testgerät mit iOS 26.4, iPadOS 26.4, macOS 26.4, watchOS 26.4, tvOS 26.4 oder visionOS 26.4 oder neuer, um die Protokollierung zu aktivieren. Starte nach der Installation des Profils dein Testgerät neu.
Um sicherzustellen, dass die Protokollereignisse die erforderlichen Details zum Identifizieren nicht konformer Verbindungen enthalten, muss dieses Profil installiert werden, bevor du Tests durchführst. Verwende beim Testen der automatischen Geräteregistrierung auf iPhone oder iPad den Apple Configurator für Mac, um das Profil zu installieren, bevor das Gerät in den Bereich „Geräteverwaltung“ im Systemassistenten aufgenommen wird.
Normale Arbeitsabläufe ausführen
Verwende das Testgerät wie gewohnt in deiner Umgebung. Registriere es bei der Geräteverwaltung, installiere Apps und Profile, und führe alle anderen Arbeitsabläufe aus, die Verbindungen zu den Servern der Organisation herstellen.
Ziel ist es, Netzwerkdatenverkehr zu allen Servern zu generieren, die von den neuen TLS-Anforderungen betroffen sein können.
Systemdiagnose erfassen
Führe nach Ausführung der Arbeitsabläufe eine Systemdiagnose vom Testgerät durch. Dieses Diagnosearchiv enthält die Protokollereignisse, die zur Identifizierung nicht konformer Verbindungen benötigt werden.
Gerätespezifische Anweisungen zum Erfassen einer Systemdiagnose
Protokolle überprüfen
Übertrage die Systemdiagnose auf einen Mac, und entpacke die Datei .tar.gz . Navigiere mit Terminal zum obersten Verzeichnis der entpackten Systemdiagnose und filtere mit folgendem Befehl nach relevanten Protokollereignissen:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
Jedes Protokollereignis enthält drei wichtige Informationen:
Domain: die Domain des Servers für dieses Verbindungsereignis.
Prozess: der Prozess, der die Verbindung hergestellt hat, mit dem du den Anlass der Netzwerkverbindung zu dieser Domain bestimmen kannst.
Warnung: Anzeige der Einschränkung, die durch die Verbindung verletzt wurde, und in welcher Weise der Server nicht konform ist (für eine einzelne Verbindung können mehrere Warnungen ausgegeben werden, wenn der Server mehrere Anforderungen nicht erfüllt).
Warnprotokolle interpretieren
Die folgenden Protokollmeldungen geben Server an, die den neuen TLS-Anforderungen nicht genügen. Verstöße werden entweder als allgemeine ATS-Richtlinienverstöße („Warning [ATS Violation]“) oder alsspezifische FCP v2.1-Standardverstöße („Warning [ATS FCPv2.1 Violation]“) gekennzeichnet.
Wenn diese Protokolle von einem Prozess ausgegeben werden, der eine Verbindung zu einem unternehmensspezifischen Server herstellt, müssen diese Server aktualisiert werden, um den neuen Anforderungen zu genügen.
Protokollmeldung | Bedeutung | Problembehebung |
|---|---|---|
Warnung [ATS-Verstoß]: Cipher Suite ([ausgehandelte Cipher Suite]) wird nicht in ATS angeboten, das für den Server www.example.com | Der Server hat eine Nicht-PFS-Cipher-Suite ausgehandelt, die nicht angeboten wird, wenn der Client ATS erzwingt. | Server müssen PFS-Cipher-Suites unterstützen (jede TLS 1.3-Cipher-Suite und TLS 1.2-Cipher-Suites mit ECDHE). |
Warning [ATS Violation]: TLS version <1.2 negotiated for server: www.example.com | Der Server hat eine TLS-Version ausgehandelt, die älter als TLS 1.2 ist. TLS 1.0/1.1 sind veraltet, und werden standardmäßig nicht mehr angeboten. | Aktualisiere die Server, wann immer möglich, um TLS 1.3 auszuhandeln (mindestens TLS 1.2). |
Warning [ATS Violation]: ATS certificate trust requirement not satisfied for server: www.example.com | Das Zertifikat des Servers hat die standardmäßige Bewertung der Vertrauenswürdigkeit des Servers nicht bestanden, da es die hier festgelegten Mindestanforderungen nicht erfüllt. | Aktualisiere das Serverzertifikat, um diese Anforderungen zu erfüllen. Befindet sich das Zertifikat in den Ankerzertifikaten des Profils für die automatische Registrierung, ist keine Problembehebung erforderlich. |
Warning [ATS Violation]: RSA key size [n] bits is less than minimum 2048 bits for server: www.example.com | Das Zertifikat des Servers wurde mit einem RSA-Schlüssel signiert, der kleiner als 2048 Bit ist. | Aktualisiere das Serverzertifikat, um diese Anforderungen zu erfüllen. |
Warning [ATS Violation]: ECDSA key size [n] bits is less than minimum 256 bits for server: www.example.com | Das Zertifikat des Servers wurde mit einem ECDSA-Schlüssel signiert, der kleiner als 256 Bit ist. | |
Warning [ATS Violation]: Leaf certificate hash algorithm (n) is not at least SHA-256 for server: www.example.com | Das Zertifikat des Servers verwendete keinen Secure Hash Algorithm 2 (SHA-2) mit einer Digest-Länge von mindestens 256 Bit. | |
Warning [ATS Violation]: Did not use TLS when opening connection for server: www.example.com | Anstelle von HTTPS wurde Klartext-HTTP genutzt. | Aktualisiere den Server, um HTTPS zu unterstützen. |
Warning [ATS FCPv2.1 violation]: Signature algorithm rsa_pkcs15_sha1 negotiated by server: www.example.com | Der Server hat rsa_pkcs15_sha1 als Signaturalgorithmus ausgewählt. | Aktualisiere die Konfiguration so, dass moderne Signaturalgorithmen bevorzugt werden. |
Warning [ATS FCPv2.1 Violation]: Server certificate signed using signature algorithm [Signaturalgorithmus] not advertised in ClientHello for server: www.example.com | Das Zertifikat des Servers wurde mit einem Signaturalgorithmus signiert, der in ClientHello nicht angegeben ist. | Aktualisiere das zu signierende Serverzertifikat mit einem Signaturalgorithmus, der über einen TLS-Codepunkt verfügt und nicht rsa_pkcs15_sha1 ist. |
Warning [ATS FCPv2.1 Violation]: TLS 1.2 negotiated without extended master secret (EMS) for server: www.example.com | Der Server hat TLS 1.2 ausgehandelt, jedoch nicht die Erweiterung Extended Master Secret (EMS). | Aktualisiere die Server auf TLS 1.3 oder mindestens die TLS 1.2-Konfiguration so, dass EMS ausgehandelt wird. |
Einzelne Server validieren
Nach der Identifizierung nicht konformer Server durch die Prüfung können diese einzeln getestet werden, um spezifische Verstöße zu ermitteln oder um zu bestätigen, dass die Lösung erfolgreich war.
Führe den folgenden Befehl aus, und ersetze dabei „https://example.com:8000" durch deinen Server oder Endpunkt.
nscurl --ats-diagnostics https://example.com:8000/
Dieser Befehl prüft, ob der Server die Anforderungen für verschiedene Kombinationen von ATS-Richtlinien erfüllt. Suche das Testergebnis mit ATS mit aktiviertem FCP_v2.1-Modus:
Anforderungen an die NIAP-TLS-Paketversion konfigurieren
---
FCP_v2.1
Ergebnis: PASS
---
Wenn das Ergebnis „PASS“ lautet, erfüllt der Server alle Anforderungen.
Hier erfährst du mehr über die Identifizierung der Quelle blockierter Verbindungen
Problembehebung
Aktualisiere in Zusammenarbeit mit den Eigentümern der betroffenen Server deren TLS-Konfigurationen. Servereigentümer können interne Mitarbeiter, dein Geräteverwaltungsdienst oder Drittanbieter sein.
Wenn du einen Servereigentümer zur Problembehebung kontaktierst, weise ihn auf diesen Artikel und die spezifischen Warnmeldungen hin, die beobachtet wurden.
Die Problembehebung kann Folgendes beinhalten:
Server aktualisieren, um TLS 1.2 oder neuer zu unterstützen (TLS 1.3 wird empfohlen)
Server, die nur TLS 1.2 unterstützen, müssen mindestens solche Algorithmen zum Schlüsselaustausch unterstützen, die Perfect Forward Secrecy (ECDHE), AEAD-Cipher-Suites basierend auf AES-GCM mit SHA-256, SHA-384 oder SHA-512 sowie die Erweiterung für den erweiterten Master-Schlüssel (RFC 7627) bieten.
Aktualisiere Zertifikate, um die ATS-Anforderungen für Schlüsselgröße, Signaturalgorithmus und Gültigkeit zu erfüllen.
Weitere Ressourcen
Erfahre mehr über das Verhindern unsicherer Netzwerkverbindungen und App Transport Security
Kontaktiere deinen Customer Success Manager oder den Unternehmenssupport von AppleCare, um weitere Unterstützung zu erhalten.