Verkkoympäristön valmistelu tiukempia suojausvaatimuksia varten
Applen käyttöjärjestelmät edellyttävät tiukempaa verkkoturvaa järjestelmäprosesseille. Tarkista, täyttävätkö palvelinyhteydet uudet vaatimukset.
Tämä artikkeli on tarkoitettu IT-ylläpitäjille ja laitehallintapalveluiden kehittäjille.
Jo seuraavasta merkittävästä ohjelmistopäivityksestä alkaen Applen käyttöjärjestelmät (iOS, iPadOS, macOS, watchOS, tvOS ja visionOS) saattavat hylätä yhteydet palvelimiin, joiden TLS-kokoonpano on vanhentunut tai ei-vaatimusten mukainen uusien verkkoturvavaatimusten vuoksi.
Suorita ympäristön tarkastus tunnistaaksesi palvelimet, jotka eivät täytä näitä vaatimuksia. Palvelinkokoonpanojen päivittäminen näiden vaatimusten täyttämiseksi voi viedä merkittävästi aikaa, erityisesti ulkopuolisten toimittajien ylläpitämien palvelimien osalta.
Yhteydet ja määritysvaatimukset, joihin muutokset vaikuttavat
Uudet vaatimukset koskevat verkkoyhteyksiä, jotka liittyvät suoraan seuraaviin toimintoihin:
Mobiililaitteiden hallinta (MDM)
Määrittelevä laitteiden hallinta (DDM)
Automaattinen laiterekisteröinti
Määritysprofiilin asennus
Sovellusten asennus, mukaan lukien yrityssovellusten jakelu
Ohjelmistopäivitykset
Poikkeukset: verkkoyhteydet SCEP-palvelimeen (määritysprofiilin asennuksen tai DDM-resurssin ratkaisemisen aikana) ja sisältövälimuistipalvelimiin (vaikka pyydettäisiin appien asennukseen tai ohjelmistopäivityksiin liittyviä resursseja) eivät liity näihin vaatimuksiin.
Vaatimukset: Palvelimien on tuettava TLS 1.2 -versiota tai uudempaa, käytettävä ATS-yhteensopivia salauspaketteja ja esitettävä kelvolliset varmenteet, jotka täyttävät ATS-standardit. Kattavat verkkoturvavaatimukset ovat saatavana kehittäjädokumentaatiosta:
Tarkasta ympäristö ei-yhteensopivien yhteyksien varalta
Käytä testilaitteita tunnistaaksesi ympäristösi palvelinyhteydet, jotka eivät täytä uusia TLS-vaatimuksia.
Suunnittele testauksen kattavuus
Eri laitemääritykset voivat edellyttää yhdistämistä eri palvelimiin. Varmista, että tarkastus kattaa kaikki ympäristöösi sovellettavat kokoonpanot testaamalla ne kaikki.
Ympäristö: tuotanto, välitysympäristö, testaus
Laitetyyppi: iPhone, iPad, Mac, Apple Watch, Apple TV, Apple Vision Pro
Rooli: käyttäjäryhmä (myynti, tekninen osasto, talousosasto), kioskilaitteet, jaetut laitteet
Rekisteröintityyppi: automaattinen laiterekisteröinti, tiliin perustuva rekisteröinti, profiiliin perustuva laiterekisteröinti, jaettu iPad
Toista seuraavat tarkastusvaiheet jokaiselle kokoonpanolle, joka muodostaa yhteyden eri palvelimiin.
Asenna verkon diagnostiikan lokiprofiili
Lataa ja asenna verkon diagnostiikan lokiprofiili edustavaan testilaitteeseen, jossa on iOS 26.4, iPadOS 26.4, macOS 26.4, watchOS 26.4, tvOS 26.4 tai visionOS 26.4 tai uudempi, jotta loki voidaan ottaa käyttöön. Asennettuasi profiilin käynnistä testilaite uudelleen.
Jotta lokitapahtumat sisältäisivät tarvittavat tiedot ei-yhteensopivien yhteyksien tunnistamiseksi, tämä profiili on asennettava ennen testauksen aloittamista. Jos testaat automatisoitua laiterekisteröintiä iPhonessa tai iPadissa, asenna profiili Macin Apple Configuratorilla ennen kuin laite siirtyy Asetusavustajan Laitteen hallinta -paneeliin.
Suorita normaalit työnkulut
Käytä testilaitetta normaalisti ympäristössäsi. Rekisteröi laite laitehallintaan, asenna appeja ja profiileja sekä suorita muut työnkulut, jotka muodostavat yhteyden organisaatiosi palvelimiin.
Tavoitteena on luoda verkkoliikennettä kaikille palvelimille, joihin uudet TLS-vaatimukset saattavat vaikuttaa.
Kerää sysdiagnose-tietoja
Kerää työnkulkujen suorittamisen jälkeen testilaitteesta sysdiagnose-tiedot. Tämä diagnostiikka-arkisto sisältää lokitapahtumat, joiden avulla voit tunnistaa ei-yhteensopivat yhteydet.
Laitekohtaiset ohjeet sysdiagnose-tietojen keräämiseen
Tarkista lokit
Siirrä sysdiagnose-tiedot Macille ja pura .tar.gz-tiedosto. Siirry päätteellä laajennetun sysdiagnosen juurihakemistoon ja suodata asiaankuuluvat lokitapahtumat tällä komennolla:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
Jokainen lokitapahtuma sisältää kolme keskeistä tietoa:
Verkkotunnus: yhteystapahtuman palvelimen verkkotunnus.
Prosessi: yhteyden muodostanut prosessi, jonka avulla voit määrittää verkkoyhteyden tarkoituksen kyseiseen verkkotunnukseen.
Varoitus: yhteyden rikkomus ja tieto siitä, miten palvelin ei ole yhteensopiva (yksi yhteys voi aiheuttaa useita varoituksia, jos palvelin ei täytä useita vaatimuksia).
Varoituslokien tulkinta
Seuraavat lokiviestit osoittavat palvelimet, jotka eivät täytä uusia TLS-vaatimuksia. Rikkomukset merkitään joko yleisiksi ATS-käytäntörikkomuksiksi ("Varoitus [ATS-rikkomus]") tai tietyiksi FCP v2.1 -standardin rikkomuksiksi ("Varoitus [ATS FCPv2.1 -rikkomus]").
Jos nämä lokit ovat peräisin prosessista, joka muodostaa yhteyden yrityksesi palvelimeen, kyseiset palvelimet on päivitettävä vastaamaan uusia vaatimuksia.
Lokiviesti | Merkitys | Korjaustoimenpide |
|---|---|---|
Varoitus [ATS-rikkomus]: salauspakettia ([neuvoteltu salauspaketti]) ei ole tarjolla ATS:n neuvottelemalle palvelimelle www.example.com | Palvelin neuvotteli muun kuin PFS-salauspaketin, jota ei tarjota, kun asiakas vaatii ATS:n noudattamista. | Palvelimien on tuettava PFS-salauspaketteja (kaikki TLS 1.3 -salauspaketit ja TLS 1.2 -salauspaketit, joissa on ECDHE). |
Varoitus [ATS-rikkomus]: TLS-versio <1.2 neuvoteltiin palvelimelle: www.example.com | Palvelin neuvotteli TLS-version, joka on vanhempi kuin TLS 1.2. TLS 1.0 ja 1.1 ovat vanhentuneita, eikä niitä enää tarjota oletusarvoisesti. | Päivitä palvelimet neuvottelemaan TLS 1.3 aina, kun se on mahdollista (vähintään TLS 1.2). |
Varoitus [ATS-rikkomus]: ATS-varmenteen luottamusvaatimusta ei täytetä palvelimelle www.example.com | Palvelimen varmenteen oletusarvoista palvelinluottamuksen arviointia ei läpäisty, koska se ei täyttänyt vähimmäisvaatimuksia, jotka on kuvattu täällä. | Päivitä palvelimen varmenne vastaamaan näitä vaatimuksia. Jos varmenne sisältyy automaattisen rekisteröinnin profiilin ankkurivarmennejoukkoon, korjaustoimenpiteitä ei tarvita. |
Varoitus [ATS-rikkomus]: RSA-avaimen koko [n] bittiä alittaa palvelimen www.example.com 2 048 bitin vähimmäiskokovaatimuksen | Palvelimen varmenne on allekirjoitettu RSA-avaimella, jonka koko on alle 2 048 bittiä. | Päivitä palvelimen varmenne vastaamaan näitä vaatimuksia. |
Varoitus [ATS-rikkomus]: ECDSA-avaimen koko [n] bittiä alittaa palvelimen www.example.com 256 bitin vähimmäiskokovaatimuksen | Palvelimen varmenne on allekirjoitettu ECDSA-avaimella, jonka koko on alle 256 bittiä. | |
Varoitus [ATS-rikkomus]: Palvelimen www.example.com lehden varmenteen hajautusalgoritmi (n) ei ole vähintään SHA-256 | Palvelimen varmenteessa ei käytetty Secure Hash Algorithm 2 (SHA-2) -hajautusalgoritmia, jonka tiivistyspituus olisi vähintään 256 bittiä. | |
Varoitus [ATS-rikkomus]: TLS:ää ei käytetty, kun yhteys avattiin palvelimelle www.example.com | HTTP:n ilmitekstiä käytettiin HTTPS:n sijaan. | Päivitä palvelin tukemaan HTTPS:ää. |
Varoitus [ATS FCPv2.1-rikkomus]: Palvelin www.example.com neuvotteli allekirjoitusalgoritmiksi rsa_pkcs15_sha1 | Palvelin valitsi allekirjoitusalgoritmiksi rsa_pkcs15_sha1. | Päivitä kokoonpano suosimaan moderneja allekirjoitusalgoritmeja. |
Varoitus [ATS FCPv2.1-rikkomus]: Palvelimen varmenteen allekirjoitusalgoritmia [allekirjoitusalgoritmi] ei mainittu palvelimen www.example.com ClientHello-viestissä | Palvelimen varmenteen allekirjoitukseen käytettyä algoritmia ei ilmoitettu ClientHello-viestissä. | Päivitä palvelimen varmenteen allekirjoitusalgoritmiksi algoritmi, jolla on TLS-koodipiste ja joka ei ole rsa_pkcs15_sha1. |
Varoitus [ATS FCPv2.1-rikkomus]: TLS 1.2 neuvoteltiin ilman laajennettua pääsalaisuutta (EMS) palvelimelle www.example.com | Palvelin neuvotteli TLS 1.2:n, mutta ei laajennettua pääsalaisuuden (EMS) laajennusta. | Päivitä palvelimet käyttämään TLS 1.3:a tai päivitä vähintään niiden TLS 1.2 -kokoonpano neuvottelemaan EMS. |
Vahvista yksittäiset palvelimet
Kun tarkistuksessa on tunnistettu vaatimustenmukaisuutta rikkovia palvelimia, voit testata niitä yksitellen varmistaaksesi tiettyjen rikkomusten olemassaolon tai korjausten onnistumisen.
Suorita seuraava komento ja korvaa ”https://example.com:8000” palvelimellasi tai päätepisteelläsi.
nscurl --ats-diagnostics https://example.com:8000/
Tämä komento testaa, täyttääkö palvelin ATS-käytäntöjen eri yhdistelmien vaatimukset. Etsi testitulokset ATS:stä, jonka FCP_v2.1-tila on käytössä:
NIAP TLS -paketin versiovaatimusten määrittäminen
---
FCP_v2.1
Tulos: PASS
---
Jos tulos on PASS, palvelin täyttää kaikki vaatimukset.
Lue lisätietoja estettyjen yhteyksien lähteen tunnistamisesta
Korjaustoimenpide
Päivitä TLS-määritykset yhteistyössä asianomaisten palvelimien omistajien kanssa. Palvelimen omistajat voivat olla sisäisiä, laitehallintapalvelu tai kolmannen osapuolen toimittajia.
Kun otat yhteyttä palvelimen omistajaan korjaustoimenpiteitä varten, jaa tämä artikkeli ja kerro tarkasti havaitsemasi varoitusviestit.
Korjaustoimenpiteisiin saattaa kuulua seuraavaa:
Palvelimien päivittäminen tukemaan TLS 1.2:tä tai uudempaa (suositellaan TLS 1.3:ää)
Pelkästään TLS 1.2:ta tukevien palvelimien on tuettava vähintään avainvaihtoalgoritmeja, jotka tarjoavat täydellisen salauksen eteenpäin (ECDHE), AES-GCM:ään perustuvia AEAD-salauspaketteja, joissa käytetään SHA-256:ta, SHA-384:ää tai SHA-512:ta, sekä laajennettua pääsalaisuuden laajennusta (RFC 7627).
Päivitä varmenteet ATS:n vaatimusten mukaisiksi avaimen koon, allekirjoitusalgoritmin ja voimassaoloajan osalta.
Lisäresurssit
Lue lisätietoja suojaamattomien verkkoyhteyksien estämisestä ja App Transport Securitystä
Ota yhteyttä asiakkuuspäällikköösi tai AppleCare-yritystukeen saadaksesi lisäapua.