Verwenden integrierter Funktionen für die Netzwerksicherheit für Apple-Geräte
Apple-Geräte umfassen integrierte, für die Netzwerksicherheit relevante Technologien zum Authentifizieren von Benutzern und zum Schutz ihrer Daten während der Übertragung. Zu den Funktionen für die Netzwerksicherheit bei Apple-Geräten gehören:
Integriertes IPsec, IKEv2, L2TP
Eigenes VPN über App Store-Apps (iOS, iPadOS und visionOS)
Eigenes VPN über VPN-Clients von Drittanbietern (macOS)
Transport Layer Security (TLS 1.0, TLS 1.1, TLS 1.2 TLS 1.3) und DTLS
SSL/TLS mit X.509-Zertifikaten
WPA/WPA2/WPA3 Enterprise mit 802.1X
Zertifikatbasierte Authentifizierung
Geheimer Schlüssel (Shared Secret) und Kerberos-Authentifizierung
RSA SecurID, CRYPTOCard (macOS)
Netzwerkrelays in iOS, iPadOS, macOS und tvOS
Ein integriertes Relay in iOS 17, iPadOS 17, macOS 14 und tvOS 17 (oder neuer) kann verwendet werden, um den Datenverkehr mit einer verschlüsselten HTTP/3- oder HTTP/2-Verbindung als alternatives VPN zu sichern. Ein Netzwerkrelay ist eine besondere Art von Proxy, die leistungsoptimiert ist und die aktuellsten Übertragungs- und Sicherheitsprotokolle verwendet. Es kann verwendet werden, um den TCP- und UDP-Verkehr einer bestimmten App, eines vollständigen Geräts oder beim Zugriff auf interne Ressourcen zu sichern. Mehrere Netzwerkrelays, darunter auch iCloud Privat-Relay, können parallel genutzt werden, ohne dass eine App erforderlich ist. Weitere Informationen findest du unter Verwenden von Netzwerkrelays.
VPN und IPsec
In vielen Unternehmensumgebungen werden virtuelle private Netzwerke (VPN) in der ein oder anderen Weise verwendet. Diese VPN-Dienste erfordern normalerweise nur wenige Installations- und Konfigurationsschritte für die Zusammenarbeit mit Apple-Geräten, die sich in eine Vielzahl gängiger VPN-Technologien integrieren lassen.
iOS, iPadOS, macOS, tvOS, watchOS und visionOS unterstützen IPsec-Protokolle und -Authentifizierungsmethoden. Weitere Informationen findest du in der Übersicht über VPN.
TLS
Das SSL 3-Verschlüsselungsprotokoll und die RC4-Chiffrensammlung (Cipher Suite) zur Stromverschlüsselung wurden in iOS 10 und macOS 10.12 außer Kraft gesetzt. Standardmäßig verfügen TLS-Clients oder Servern, die mit Secure Transport APIs implementiert wurden, nicht über aktivierte RC4-Chiffresammlungen. Aus diesem Grund können sie keine Verbindung herstellen, wenn RC4 die einzig verfügbare Chiffrensammlung ist. Um für mehr Sicherheit zu sorgen, müssen Dienste und Apps, die RC4 benötigen, so aktualisiert werden, dass Chiffrensammlungen aktiviert werden.
Weitere sicherheitsrelevante Verbesserungen:
Signieren von SMB-Verbindungen (macOS) erforderlich
In macOS 10.12 (oder neuer): Unterstützung von AES als Verschlüsselungsmethode für Kerberos-basierte NFS-Systeme (macOS)
Transport Layer Security (TLS 1.2, TLS 1.3)
TLS 1.2 unterstützt sowohl AES 128 als auch SHA-2.
SSL 3 (iOS, iPadOS, visionOS)
DTLS (macOS)
Safari, Kalender, Mail und andere Internet-Apps verwenden diese Technologien, um einen verschlüsselten Kommunikationskanal zwischen iOS, iPadOS, macOS und visionOS und Unternehmensdiensten zu aktivieren.
Du kannst auch die minimale und maximale TLS-Version für dein 802.1X-Netzwerk-Payload für EAP-TLS, EAP-TTLS, PEAP und EAP-FAST festlegen. Du kannst zum Beispiel Folgendes festlegen:
Für beide dieselbe spezifische TLS-Version
Die Aushandlung des unteren Werts für TLSMinimumVersion und des oberen Werts für TLSMaxmimumVersion erfolgt dann mit dem RADIUS-Server
Den Wert „None“; dies ermöglicht dem anfordernden 802.1X-Gerät, die TLS-Version direkt mit dem RADIUS-Server auszuhandeln
Für iOS, iPadOS, macOS und visionOS muss das untergeordnete Zertifikat des Servers mithilfe eines Signaturalgorithmus aus der SHA-2-Familie signiert sein; außerdem muss ein mindestens 2048 Bit langer RSA-Schlüssel oder alternativ ein mindestens 256 Bit langer ECC-Schlüssel verwendet werden.
iOS 11, iPadOS 13.1, macOS 10.13 und visionOS 1.1 (oder neuer) bieten Unterstützung für TLS 1.2 bei der 802.1X-Authentifizierung. Authentifizierungsserver, die TLS 1.2 unterstützen, erfordern möglicherweise die folgenden Aktualisierungen aus Gründen der Kompatibilität:
Cisco: ISE 2.3.0
FreeRADIUS: Aktualisierung auf Version 2.2.10 und 3.0.16
Aruba ClearPass: Aktualisierung auf Version 6.6.x
ArubaOS: Aktualisierung auf Version 6.5.3.4
Microsoft: Windows Server 2012 - Network Policy Server
Microsoft: Windows Server 2016 - Network Policy Server
Weitere Informationen zu 802.1X findest du unter Verbinden von Apple-Geräten mit 802.1X-Netzwerken.
WPA2/WPA3
Alle Apple-Plattformen unterstützen standardmäßige Protokolle für die WLAN-Authentifizierung und Verschlüsselung, um einen authentifizierten Zugriff und ein hohes Maß an Vertrauen bereitzustellen, wenn die Verbindung zu folgenden sicheren drahtlosen Netzwerken hergestellt wird:
WPA2 Personal
WPA2 Enterprise
WPA2/WPA3 Transitional
Persönlicher WPA3
Firmenweiter WPA3
Firmenweiter WPA3(192-Bit-Sicherheit)
Eine Liste der 802.1X-Authentifizierungsverfahren für Funknetzwerke findest du unter 802.1X-Konfigurationen für den Mac.
Ausblenden und Sperren von Apps
In iOS 18 und iPadOS 18 (oder neuer) können Benutzer:innen Face ID, Touch ID oder einen Code erforderlich machen, um eine App zu öffnen und sie auf dem Home-Bildschirm auszublenden. MDM kann die Verfügbarkeit dieser Optionen mit den folgenden Methoden verwalten:
Steuern der Fähigkeit von Benutzer:innen, verwaltete Apps auf App-Basis auszublenden und zu sperren
Deaktivieren der Option, alle Apps auf betreuten Geräte auszublenden und zu sperren
Bei Geräten, die über die Benutzerregistrierung registriert wurden, werden ausgeblendete Apps nur an MDM gemeldet, wenn sich um verwaltete Geräte handelt. Bei Geräten, die über die Benutzerregistrierung registriert wurden, werden ausgeblendete Apps als Teils aller installierter Apps gemeldet.
Lokaler Netzwerkzugriff für macOS
Wenn eine App eines Drittanbieters oder ein Launch-Agent in macOS 15 (oder neuer) mit Geräten im lokalen Netzwerk von Benutzer:innen interagieren will, muss um Erlaubnis gebeten werden, wenn sie oder er zum ersten Mal das lokale Netzwerk durchsuchen will.
Ähnlich wie bei iOS und iPadOS können Benutzer:innen zu „Systemeinstellungen“ > „Datenschutz“ > „Lokales Netzwerk“ gehen, um diesen Zugriff zu erlauben oder abzulehnen.
FaceTime- und iMessage-Verschlüsselung
iOS, iPadOS, macOS und visionOS erstellen für jeden FaceTime- und iMessage-Benutzer eine eindeutige ID und stellen sicher, dass die Übertragung ordnungsgemäß verschlüsselt, weitergeleitet und verbunden wird.