Pripremite svoje mrežno okruženje za strože sigurnosne zahtjeve
Appleovi operacijski sustavi zahtijevat će strožu mrežnu sigurnost za sistemske procese. Provjerite jesu li vaše veze s poslužiteljima usklađene s novim zahtjevima.
Ovaj je članak namijenjen IT administratorima i razvojnim inženjerima servisa za upravljanje uređajima.
Već od sljedećeg većeg izdanja softvera Appleovi operacijski sustavi (iOS, iPadOS, macOS, watchOS, tvOS i visionOS) mogu odbiti povezivanje s poslužiteljima sa zastarjelom ili neusklađenom TLS konfiguracijom zbog dodatnih zahtjeva za mrežnu sigurnost.
Potrebno je provesti reviziju okruženja kako biste utvrdili koji poslužitelji ne ispunjavaju ove zahtjeve. Ažuriranje konfiguracija poslužitelja u skladu s ovim zahtjevima može biti vremenski zahtjevno, posebno za poslužitelje koje održavaju vanjski dobavljači.
Veze i konfiguracije na koje se novi zahtjevi odnose
Novi zahtjevi primjenjuju se na mrežne veze koje su izravno uključene u sljedeće aktivnosti:
upravljanje mobilnim uređajima (MDM)
deklarativno upravljanje uređajem (DDM)
automatsko prijavljivanje uređaja
instalacija konfiguracijskog profila
instalacija aplikacija, uključujući distribuciju poslovnih aplikacija.
Softverska ažuriranja
Iznimke: mrežne veze s poslužiteljem SCEP (tijekom instalacije konfiguracijskog profila ili rješavanja DDM resursa) i poslužitelji za predmemoriranje sadržaja (čak i kad su zahtjevi za resurse povezani s instalacijom aplikacije ili ažuriranjem sadržaja) nisu obuhvaćeni.
Zahtjevi: poslužitelji moraju podržavati TLS 1.2 ili noviju verziju, upotrebljavati skupove šifri kompatibilne s ATS-om i imati valjane certifikate koji zadovoljavaju ATS standarde. Kompletan popis zahtjeva za mrežnu sigurnost potražite u dokumentaciji za razvojne inženjere:
Provođenje revizije za utvrđivanje neusklađenih veza u okruženju
Upotrijebite uređaje za testiranje kako biste utvrdili koje veze s poslužiteljima u vašem okruženju ne zadovoljavaju nove zahtjeve TLS.
Planiranje pokrivenosti tijekom testiranja
Uređaji različitih konfiguracija mogu se povezati s različitim poslužiteljima. Kako biste bili sigurni da vaša revizija pokriva sve, testirajte sve konfiguracije koje su primjenjive za vaše okruženje.
Okruženje: proizvodnja, testna okolina, testiranje
Vrsta uređaja: iPhone, iPad, Mac, Apple Watch, Apple TV, Apple Vision Pro
Uloga: korisnička grupa (prodaja, inženjering, računovodstvo), kiosk uređaj, dijeljeni uređaj
Vrsta prijave: automatsko prijavljivanje uređaja, prijavljivanje prema računu, prijavljivanje prema profilu, Dijeljeni iPad
Ponovite sljedeće korake revizije za svaku konfiguraciju koja se povezuje s različitim poslužiteljima.
Instalacija profila za bilježenje mrežne dijagnostike
Preuzmite i instalirajte Profil zabilježenje mrežne dijagnostike na testni uređaj sa sustavom iOS 26.4, iPadOS 26.4, macOS 26.4, watchOS 26.4, tvOS 26.4 ili visionOS 26.4, ili novijim kako biste omogućili bilježenje. Nakon što instalirate profil, ponovno pokrenite testni uređaj.
Kako bi zapisi događaja sadržavali potrebne podatke za identifikaciju neusklađenih veza, ovaj profil potrebno je instalirati prije testiranja. Ako testirate automatsko prijavljivanje uređaja na iPhoneu ili iPadu, upotrijebite Apple Configurator za Mac kako biste instalirali profil prije nego što postupak na uređaj dođe do okna Upravljanje uređajem u Pomoćniku za postavljanje.
Pokrenite uobičajene tijekove rada
Upotrebljavajte testni uređaj na način koji je uobičajen za vaše okruženje. Prijavite ga za upravljanje uređajima, instalirajte aplikacije i profile te izvršite sve druge radnje povezane s poslužiteljima vaše organizacije.
Cilj je generirati mrežni promet prema svim poslužiteljima na koje bi mogli utjecati novi zahtjevi TLS.
Preuzimanje podataka o dijagnostici sustava
Nakon što pokrenete tijekove rada, preuzmite podatke o dijagnostici sustava s testnog uređaja. Ova dijagnostička arhiva sadrži zapisnik događaje koji su vam potrebni za identifikaciju neusklađenih veza.
Upute specifične za uređaj za preuzimanje podataka o dijagnostici sustava
Pregledavanje zapisnika
Prenesite podatke o dijagnostici sustava na Mac i raspakirajte .tar.gz datoteku. Otvorite Terminal i idite na direktorij najviše razine unutar proširene datoteke dijagnostike sustava te filtrirajte relevantne zapisnike događaja pomoću sljedeće naredbe:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
Svaki zapisnik događaja sadrži tri ključne informacije:
Domena: domena poslužitelja za ovaj događaj povezivanja.
Proces: proces kojim je uspostavljena veza, a koji vam pomaže utvrditi svrhu mrežne veze s tom domenom.
Upozorenje: ograničenje koje je prekršeno povezivanjem i način na koji poslužitelj nije usklađen (za jednu se vezu može generirati više upozorenja ako poslužitelj ne ispunjava više zahtjeva).
Tumačenje upozorenja iz zapisnika
Sljedeće poruke zapisnika označavaju poslužitelje koji ne ispunjavaju nove zahtjeve TLS. Kršenja su označena kao opća kršenja pravila ATS ("Warning [ATS Violation]") ili specifična kršenja standarda FCP v2.1 ("Warning [ATS FCPv2.1 violation]").
Ako ove zapisnike generira proces povezivanja s poslužiteljem specifičnim za vaši tvrtku, ti poslužitelji moraju se ažurirati kako bi zadovoljili nove zahtjeve.
Poruka zapisnika | Značenje | Ispravljanje greške |
|---|---|---|
Warning [ATS violation]: Ciphersuite([negotiated ciphersuite]) not offered in ATS negotiated for server: www.example.com | Poslužitelj je dogovorio skup šifri bez PFS-a koji nije podržan kad klijent nameće ATS. | Poslužitelji moraju podržavati skup šifri PFS (bilo koji skup šifri TLS 1.3 i skup šifri TLS 1.2 s ECDHE-om). |
Warning [ATS violation]: TLS version <1.2 negotiated for server: www.example.com | Poslužitelj je dogovorio verziju TLS-a stariju od TLS-a 1.2. TLS verzije 1.0 i 1.1 su zastarjele i više se standardno ne nude. | Ažurirajte poslužitelje kako biste mogli dogovoriti primjenu verzije TLS 1.3 kad god je to moguće (najmanje TLS 1.2). |
Warning [ATS Violation]: ATS certificate trust requirement not satisfied for server: www.example.com | Certifikat poslužitelja nije prošao standardnu procjenu pouzdanosti poslužitelja jer nije ispunio minimalne zahtjeve koji su navedeni ovdje. | Ažurirajte certifikat poslužitelja kako biste ispunili ove zahtjeve. Ako je certifikat među sidrenim certifikatima profila za automatsko prijavljivanje, ispravljanje greške nije potrebno. |
Warning [ATS violation]: RSA key size [n] bits is less than minimum 2048 bits for server: www.example.com | Certifikat poslužitelja potpisan je ključem RSA s manje od 2048 bitova. | Ažurirajte certifikat poslužitelja kako biste ispunili ove zahtjeve. |
Warning [ATS violation]: ECDSA key size [n] bits is less than minimum 256 bits for server: www.example.com | Certifikat poslužitelja potpisan je ključem ECDSA s manje od 256 bitova | |
Warning [ATS violation]: Leaf certificate hash algorithm (n) is not at least SHA-256 for server: www.example.com | Certifikat poslužitelja nije se koristio algoritmom SHA-2 (Secure Hash Algorithm 2) s duljinom sažetka od najmanje 256 bitova. | |
Warning [ATS violation]: Did not use TLS when opening connection for server: www.example.com | Umjesto HTTPS-a korišten je nešifrirani HTTP. | Ažurirajte poslužitelj da podržava HTTPS. |
Warning [ATS FCPv2.1 violation]: Signature algorithm rsa_pkcs15_sha1 negotiated by server: www.example.com | Poslužitelj je odabrao rsa_pkcs15_sha1 kao algoritam potpisa. | Ažurirajte konfiguraciju kako biste dali prednost modernim algoritmima potpisa. |
Warning [ATS FCPv2.1 violation]: Server certificate signed using signature algorithm [signature algorithm] not advertised in ClientHello for server: www.example.com | Certifikat poslužitelja potpisan je pomoću algoritma potpisa koji nije naveden u ClientHello poruci. | Ažurirajte certifikat poslužitelja tako da bude potpisan algoritmom za potpis koji ima oznaku TLS i nije rsa_pkcs15_sha1. |
Warning [ATS FCPv2.1 violation]: TLS 1.2 negotiated without extended master secret (EMS) for server: www.example.com | Poslužitelj je dogovorio da se upotrebljava TLS 1.2 i nije dogovorio prošireni glavni ključ (EMS). | Ažurirajte poslužitelje tako da upotrebljavaju TLS 1.3 ili barem ažurirajte njihovu konfiguraciju TLS 1.2 tako da mogu dogovoriti EMS. |
Validacija pojedinačnih poslužitelja
Nakon što tijekom revizije utvrdite koji poslužitelji nisu usklađeni, možete ih testirati pojedinačno kako biste utvrdili koja pravila su točno prekršena ili potvrdili je li ispravljanje grešaka uspješno obavljeno.
Pokrenite naredbu koja je navedena u nastavku, a „https://example.com:8000” zamijenite s adresom svog poslužitelja ili krajnje točke.
nscurl --ats-diagnostics https://example.com:8000/
Ova naredba provjerava ispunjava li poslužitelj zahtjeve za različite kombinacije pravila ATS. Pronađite rezultat testiranja upotrebom ATS-a i s uključenim načinom rada FCP_v2.1:
Konfiguriranje zahtjeva za verziju paketa NIAP TLS
---
FCP_v2.1
Rezultat: PASS
---
Ako je rezultat „PASS”, poslužitelj ispunjava sve zahtjeve.
Saznajte više o identificiranju izvora blokiranih veza
Ispravljanje greške
Surađujte s vlasnicima zahvaćenih poslužitelja kako biste ažurirali njihove konfiguracije za TLS. Vlasnici poslužitelja mogu biti interni, vaš servis za upravljanje uređajima ili vanjski dobavljači.
Kad kontaktirate s vlasnikom poslužitelja radi ispravljanja greške, podijelite ovaj članak i konkretne poruke upozorenja koje ste primijetili.
Ispravljanje greške može uključivati sljedeće:
Aažuriranje poslužitelja tako da podržavaju TLS 1.2 ili noviji (preporučuje se TLS 1.3).
Poslužitelji koji podržavaju samo TLS 1.2 moraju barem podržavati algoritme razmjene ključeva koji omogućuju Perfect Forward Secrecy (ECDHE), skupove šifri AEAD temeljene na AES-GCM sa SHA-256, SHA-384 ili SHA-512, te prošireni glavni ključ (RFC 7627).
Ažurirajte certifikate tako da ispunjavaju zahtjeve za ATS u pogledu veličine ključa, algoritma potpisa i valjanosti.
Dodatni resursi
Saznajte više o sprječavanju nesigurnih mrežnih veza i značajci App Transport Security (ATS)
Obratite se Customer Success Manageru ili AppleCare podršci za poslovne korisnike ako vam je potrebna dodatna pomoć.