Προετοιμάστε το δίκτυό σας για αυστηρότερες απαιτήσεις ασφαλείας
Τα λειτουργικά συστήματα της Apple θα απαιτούν αυστηρότερη ασφάλεια δικτύου για τις διαδικασίες συστήματος. Ελέγξτε αν οι συνδέσεις του διακομιστή σας πληρούν τις νέες απαιτήσεις.
Το άρθρο αυτό απευθύνεται σε διαχειριστές IT και προγραμματιστές υπηρεσιών διαχείρισης συσκευών.
Από την επόμενη μεγάλη έκδοση λογισμικού και μετά, τα λειτουργικά συστήματα της Apple (iOS, iPadOS, macOS, watchOS, tvOS και visionOS) ενδέχεται να αρνηθούν τις συνδέσεις σε διακομιστές με παρωχημένες ή μη συμμορφούμενες ρυθμίσεις TLS λόγω επιπλέον απαιτήσεων ασφάλειας δικτύου.
Θα πρέπει να ελέγξετε το περιβάλλον σας για να εντοπίσετε διακομιστές που δεν πληρούν αυτές τις απαιτήσεις. Η ενημέρωση των ρυθμίσεων των διακομιστών ώστε να πληρούν τις απαιτήσεις αυτές ενδέχεται να απαιτεί σημαντικό χρόνο, ειδικά για διακομιστές που διαχειρίζονται εξωτερικοί προμηθευτές.
Επηρεαζόμενες συνδέσεις και απαιτήσεις διαμόρφωσης
Οι νέες απαιτήσεις ισχύουν για συνδέσεις δικτύου που εμπλέκονται άμεσα στις ακόλουθες δραστηριότητες:
Διαχείριση Φορητών Συσκευών (MDM)
Δηλωτική Διαχείριση Συσκευών (DDM)
Αυτοματοποιημένη Εγγραφή Συσκευών
Εγκατάσταση προφίλ ρυθμίσεων
Εγκατάσταση εφαρμογών, συμπεριλαμβανομένης της διανομής επιχειρησιακών εφαρμογών
Ενημερώσεις λογισμικού
Εξαιρέσεις: Οι συνδέσεις δικτύου σε διακομιστή SCEP (κατά την εγκατάσταση προφίλ διαμόρφωσης ή την επίλυση στοιχείου DDM) και οι διακομιστές προσωρινής αποθήκευσης περιεχομένου (ακόμα και όταν ζητούνται στοιχεία που σχετίζονται με την εγκατάσταση εφαρμογών ή ενημερώσεις λογισμικού) δεν επηρεάζονται.
Απαιτήσεις: Οι διακομιστές πρέπει να υποστηρίζουν TLS 1.2 ή νεότερη έκδοση, να χρησιμοποιούν κρυπτογραφικές σουίτες συμβατές με ATS και να παρουσιάζουν έγκυρα πιστοποιητικά που πληρούν τα πρότυπα ATS. Για πλήρεις απαιτήσεις ασφάλειας δικτύου, ανατρέξτε στη βιβλιογραφία προγραμματιστών:
Ελέγξτε το περιβάλλον σας για μη συμμορφούμενες συνδέσεις
Χρησιμοποιήστε συσκευές δοκιμής για να εντοπίσετε τις συνδέσεις διακομιστών στο περιβάλλον σας που δεν πληρούν τις νέες απαιτήσεις TLS.
Σχεδιάστε την κάλυψη των δοκιμών σας
Διαφορετικές ρυθμίσεις συσκευών μπορεί να συνδέονται με διαφορετικούς διακομιστές. Για να βεβαιωθείτε ότι ο έλεγχός σας έχει πλήρη κάλυψη, δοκιμάστε όλες τις ρυθμίσεις που ισχύουν για το περιβάλλον σας.
Περιβάλλον: Παραγωγή, δοκιμαστικά, τεστ
Τύπος συσκευής: iPhone, iPad, Mac, Apple Watch, Apple TV, Apple Vision Pro
Ρόλος: Ομάδα χρηστών (πωλήσεις, μηχανικοί, λογιστήριο), συσκευή κιόσκι, κοινόχρηστη συσκευή
Τύπος εγγραφής: Αυτοματοποιημένη Εγγραφή Συσκευής, εγγραφή με λογαριασμό, εγγραφή συσκευής με προφίλ, Κοινόχρηστο iPad
Επαναλάβετε τα παρακάτω βήματα ελέγχου για κάθε ρύθμιση που συνδέεται με διαφορετικούς διακομιστές.
Εγκαταστήστε το Προφίλ Καταγραφής Διαγνωστικών Δικτύου
Κατεβάστε και εγκαταστήστε το Προφίλ Καταγραφής Διαγνωστικών Δικτύου σε μια αντιπροσωπευτική συσκευή δοκιμής με iOS 26.4, iPadOS 26.4, macOS 26.4, watchOS 26.4, tvOS 26.4 ή visionOS 26.4, ή νεότερη έκδοση, για να ενεργοποιήσετε την καταγραφή. Μετά την εγκατάσταση του προφίλ, επανεκκινήστε τη συσκευή δοκιμής σας.
Για να βεβαιωθείτε ότι τα αρχεία καταγραφής περιέχουν τις απαραίτητες λεπτομέρειες για τον εντοπισμό μη συμμορφούμενων συνδέσεων, αυτό το προφίλ πρέπει να εγκατασταθεί πριν από οποιαδήποτε δοκιμή. Αν δοκιμάζετε την Αυτοματοποιημένη Εγγραφή Συσκευής σε iPhone ή iPad, χρησιμοποιήστε το Apple Configurator για Mac για να εγκαταστήσετε το προφίλ πριν η συσκευή φτάσει στην καρτέλα Διαχείριση Συσκευής στον Βοηθό Διαμόρφωσης.
Εκτελέστε την κανονική ροή εργασιών σας
Χρησιμοποιήστε τη συσκευή δοκιμής όπως θα κάνατε κανονικά στο περιβάλλον σας. Εγγράψτε τη στη διαχείριση συσκευών, εγκαταστήστε εφαρμογές και προφίλ και εκτελέστε οποιαδήποτε άλλη ροή εργασίας που συνδέεται με τους διακομιστές του οργανισμού σας.
Ο στόχος είναι να δημιουργήσετε δικτυακή κίνηση προς όλους τους διακομιστές που μπορεί να επηρεαστούν από τις νέες απαιτήσεις TLS.
Συλλέξτε ένα sysdiagnose
Μετά την εκτέλεση της ροής εργασιών σας, συλλέξτε ένα sysdiagnose από τη συσκευή δοκιμής. Αυτό το αρχείο διαγνωστικών περιέχει τα αρχεία καταγραφής που χρειάζεστε για να εντοπίσετε μη συμμορφούμενες συνδέσεις.
Οδηγίες ανά συσκευή για τη συλλογή sysdiagnose
Εξετάστε τα αρχεία καταγραφής
Μεταφέρετε το sysdiagnose σε Mac και αποσυμπιέστε το αρχείο .tar.gz. Χρησιμοποιώντας το Terminal, μεταβείτε στον κορυφαίο κατάλογο μέσα στο αποσυμπιεσμένο sysdiagnose και φιλτράρετε τα σχετικά συμβάντα καταγραφής με την ακόλουθη εντολή:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
Κάθε συμβάν καταγραφής περιλαμβάνει τρεις βασικές λεπτομέρειες:
Τομέας: Ο τομέας του διακομιστή για αυτό το συμβάν σύνδεσης.
Διαδικασία: Η διαδικασία που έκανε τη σύνδεση, η οποία σας βοηθά στον προσδιορισμό του σκοπού της σύνδεσης δικτύου σε αυτόν τον τομέα.
Προειδοποίηση: Ο περιορισμός που παραβιάστηκε από τη σύνδεση και πώς ο διακομιστής δεν συμμορφώνεται (μία σύνδεση μπορεί να παράγει πολλαπλές προειδοποιήσεις αν ο διακομιστής δεν πληροί πολλαπλές απαιτήσεις).
Ερμηνεία αρχείων καταγραφής προειδοποιήσεων
Τα ακόλουθα μηνύματα καταγραφής υποδεικνύουν διακομιστές που δεν πληρούν τις νέες απαιτήσεις TLS. Οι παραβάσεις επισημαίνονται είτε ως γενικές παραβάσεις πολιτικής ATS ("Προειδοποίηση [Παράβαση ATS]") είτε ως συγκεκριμένες παραβάσεις προτύπου FCP v2.1 ("Προειδοποίηση [Παράβαση ATS FCPv2.1]").
Αν αυτά τα αρχεία καταγραφής προέρχονται από μια διαδικασία που συνδέεται με διακομιστή συγκεκριμένο για την επιχείρησή σας, τότε αυτοί οι διακομιστές πρέπει να ενημερωθούν για να πληρούν τις νέες απαιτήσεις.
Μήνυμα καταγραφής | Σημασία | Αντιμετώπιση |
|---|---|---|
Προειδοποίηση [παραβίαση ATS]: Ciphersuite([διαπραγματευμένο ciphersuite]) δεν προσφέρθηκε στην ATS διαπραγμάτευση για τον διακομιστή: www.example.com | Ο διακομιστής διαπραγματεύτηκε ένα μη-PFS ciphersuite που δεν προσφέρεται όταν ο πελάτης επιβάλλει το ATS. | Οι διακομιστές πρέπει να υποστηρίζουν PFS ciphersuites (οποιοδήποτε TLS 1.3 ciphersuite και TLS 1.2 ciphersuite με ECDHE). |
Προειδοποίηση [παραβίαση ATS]: Έκδοση TLS <1.2 διαπραγματεύτηκε για τον διακομιστή: www.example.com | Ο διακομιστής διαπραγματεύτηκε μια έκδοση TLS παλαιότερη από την TLS 1.2. Οι TLS 1.0/1.1 έχουν καταργηθεί και δεν προσφέρονται πλέον από προεπιλογή. | Ενημερώστε τους διακομιστές να διαπραγματεύονται TLS 1.3 όπου είναι δυνατόν (τουλάχιστον TLS 1.2). |
Προειδοποίηση [παραβίαση ATS]: Η απαίτηση αξιοπιστίας πιστοποιητικού ATS δεν ικανοποιείται για τον διακομιστή: www.example.com | Το πιστοποιητικό του διακομιστή δεν πέρασε την προεπιλεγμένη αξιολόγηση αξιοπιστίας διακομιστή επειδή δεν πληρούσε τις ελάχιστες απαιτήσεις που περιγράφονται στο εδώ. | Ενημερώστε το πιστοποιητικό του διακομιστή για να πληροί αυτές τις απαιτήσεις. Εάν το πιστοποιητικό βρίσκεται στα πιστοποιητικά εμπιστοσύνης (anchor certificates) του προφίλ αυτόματης εγγραφής, τότε δεν απαιτείται διόρθωση. |
Προειδοποίηση [παραβίαση ATS]: Το μέγεθος κλειδιού RSA [n] bits είναι μικρότερο από το ελάχιστο των 2048 bits για τον διακομιστή: www.example.com | Το πιστοποιητικό του διακομιστή υπογράφηκε με κλειδί RSA μικρότερο από 2048 bits. | Ενημερώστε το πιστοποιητικό του διακομιστή για να πληροί αυτές τις απαιτήσεις. |
Προειδοποίηση [παραβίαση ATS]: Το μέγεθος κλειδιού ECDSA [n] bits είναι μικρότερο από το ελάχιστο των 256 bits για τον διακομιστή: www.example.com | Το πιστοποιητικό του διακομιστή υπογράφηκε με κλειδί ECDSA μικρότερο από 256 bits. | |
Προειδοποίηση [παραβίαση ATS]: Ο αλγόριθμος Leaf certificate hash (n) δεν είναι τουλάχιστον SHA-256 για τον διακομιστή: www.example.com | Το πιστοποιητικό του διακομιστή δεν χρησιμοποίησε Secure Hash Algorithm 2 (SHA-2) με μήκος κατακερματισμού τουλάχιστον 256 bits. | |
Προειδοποίηση [παραβίαση ATS]: Δεν χρησιμοποιήθηκε TLS κατά το άνοιγμα σύνδεσης για τον διακομιστή: www.example.com | Χρησιμοποιήθηκε απλό HTTP αντί για HTTPS. | Ενημερώστε τον διακομιστή για να υποστηρίζει HTTPS. |
Προειδοποίηση [παραβίαση ATS FCPv2.1]: Ο αλγόριθμος υπογραφής rsa_pkcs15_sha1 διαπραγματεύτηκε από τον διακομιστή: www.example.com | Ο διακομιστής επέλεξε τον rsa_pkcs15_sha1 ως signature_algorithm. | Ενημερώστε τη ρύθμιση για να προτιμάτε σύγχρονους αλγόριθμους υπογραφής. |
Προειδοποίηση [παραβίαση ATS FCPv2.1]: Το πιστοποιητικό διακομιστή υπογράφηκε χρησιμοποιώντας τον αλγόριθμο υπογραφής [αλγόριθμος υπογραφής] που δεν διαφημίστηκε στο ClientHello για τον διακομιστή: www.example.com | Το πιστοποιητικό του διακομιστή υπογράφηκε με αλγόριθμο υπογραφής που δεν διαφημίστηκε στο ClientHello. | Ενημερώστε το πιστοποιητικό του διακομιστή ώστε να υπογράφεται με αλγόριθμο υπογραφής που έχει κωδικό TLS και δεν είναι rsa_pkcs15_sha1. |
Προειδοποίηση [παραβίαση ATS FCPv2.1]: Το TLS 1.2 διαπραγματεύτηκε χωρίς Extended Master Secret (EMS) για τον διακομιστή: www.example.com | Ο διακομιστής διαπραγματεύτηκε TLS 1.2 και δεν διαπραγματεύτηκε την επέκταση Extended Master Secret (EMS). | Ενημερώστε τους διακομιστές να χρησιμοποιούν TLS 1.3 ή, τουλάχιστον, ενημερώστε τη ρύθμιση TLS 1.2 ώστε να διαπραγματεύεται το EMS. |
Επικυρώστε μεμονωμένους διακομιστές
Αφού εντοπίσετε μη συμμορφούμενους διακομιστές στον έλεγχο, μπορείτε να τους δοκιμάσετε ξεχωριστά για να επαληθεύσετε συγκεκριμένες παραβιάσεις ή να επιβεβαιώσετε ότι η διόρθωση ήταν επιτυχής.
Εκτελέστε την ακόλουθη εντολή, αντικαθιστώντας το "https://example.com:8000" με τον διακομιστή ή το τερματικό σας.
nscurl --ats-diagnostics https://example.com:8000/
Η εντολή αυτή ελέγχει αν ο διακομιστής πληροί τις απαιτήσεις για διάφορους συνδυασμούς πολιτικών ATS. Αναζητήστε το αποτέλεσμα του ελέγχου χρησιμοποιώντας το ATS με ενεργοποιημένη τη λειτουργία FCP_v2.1:
Διαμόρφωση απαιτήσεων έκδοσης πακέτου NIAP TLS
---
FCP_v2.1
Αποτέλεσμα : PASS
---
Αν το αποτέλεσμα είναι «PASS», ο διακομιστής πληροί όλες τις απαιτήσεις.
Μάθετε περισσότερα για την αναγνώριση της πηγής των αποκλεισμένων συνδέσεων
Αντιμετώπιση
Συνεργαστείτε με τους ιδιοκτήτες των επηρεαζόμενων διακομιστών για να ενημερώσετε τις ρυθμίσεις τους TLS. Οι ιδιοκτήτες των διακομιστών μπορεί να είναι εσωτερικοί, η υπηρεσία διαχείρισης συσκευών σας ή ένας τρίτος προμηθευτής.
Όταν επικοινωνείτε με τον κάτοχο διακομιστή για την αντιμετώπιση, μοιραστείτε το άρθρο αυτό και τα συγκεκριμένα προειδοποιητικά μηνύματα που παρατηρήσατε.
Η αντιμετώπιση ενδέχεται να περιλαμβάνει τα εξής:
Ενημερώστε τους διακομιστές ώστε να υποστηρίζουν TLS 1.2 ή νεότερο (συνιστάται το TLS 1.3)
Για διακομιστές που υποστηρίζουν μόνο TLS 1.2, πρέπει τουλάχιστον να υποστηρίζουν αλγορίθμους ανταλλαγής κλειδιών που παρέχουν Perfect Forward Secrecy (ECDHE), AEAD ciphersuites βασισμένα σε AES-GCM με SHA-256, SHA-384 ή SHA-512, και την επέκταση Master Secret Extension (RFC 7627).
Ενημερώστε τα πιστοποιητικά ώστε να πληρούν τις απαιτήσεις ATS για το μέγεθος κλειδιού, τον αλγόριθμο υπογραφής και την εγκυρότητα.
Πρόσθετοι πόροι
Μάθετε για την αποτροπή μη ασφαλών συνδέσεων δικτύου και το App Transport Security
Επικοινωνήστε με τον Customer Success Manager σας ή με την Υποστήριξη AppleCare Enterprise για περαιτέρω βοήθεια.