A hálózati környezet felkészítése a szigorúbb biztonsági követelményekre
Az Apple operációs rendszerei szigorúbb hálózati biztonságot fognak előírni a rendszerfolyamatok számára. Ellenőrizze, hogy szerverkapcsolatai megfelelnek-e az új követelményeknek.
Ez a cikk rendszergazdáknak és az eszközfelügyeleti szolgáltatásokkal foglalkozó fejlesztőknek szól.
Az újonnan bevezetett hálózatbiztonsági követelmények miatt az Apple operációs rendszerei (iOS, iPadOS, macOS, watchOS, tvOS és visionOS) már a következő nagyobb szoftverkiadástól kezdve elutasíthatják a kapcsolatokat az olyan szerverekkel, amelyek elavult vagy nem megfelelő TLS-konfigurációval rendelkeznek.
Auditálja környezetét, hogy azonosíthassa azokat a szervereket, amelyek nem felelnek meg ezeknek a követelményeknek. A szerverkonfigurációk ezen követelményeknek megfelelő frissítése jelentős időt vehet igénybe, különösen a külső szolgáltatók által karbantartott szerverek esetén.
Érintett kapcsolatok és konfigurációs követelmények
Az új követelmények az alábbi tevékenységekhez közvetlenül használt hálózati kapcsolatokra vonatkoznak:
Mobileszköz-felügyelet (MDM)
Deklaratív eszközfelügyelet (DDM)
Automatizált eszközregisztráció
Konfigurációs profilok telepítése
Alkalmazások telepítése, beleértve a vállalati alkalmazásterjesztést
Szoftverfrissítések
Kivételek: Az SCEP-szerverekkel (konfigurációs profilok telepítése vagy DDM-erőforrások feloldása közben) és a tartalom-gyorsítótárazási szerverekkel (beleértve az alkalmazástelepítéshez vagy szoftverfrissítésekhez kapcsolódó erőforrások lekérését) létesített kapcsolatok nem érintettek.
Követelmények: A szervereknek támogatniuk kell a TLS 1.2 vagy újabb verziót, ATS-kompatibilis titkosítási készleteket kell használniuk, és érvényes, az ATS-szabványoknak megfelelő tanúsítványokat kell bemutatniuk. A hálózatbiztonsági követelmények teljes ismertetését a fejlesztői dokumentációban találja:
A környezet auditálása a nem megfelelő kapcsolatok azonosítása érdekében
Használjon tesztkészülékeket a környezetében használt, az új TLS-követelményeknek nem megfelelő szerverkapcsolatok azonosításához.
A teszt lefedettségének megtervezése
A különböző eszközkonfigurációk különböző szerverekhez csatlakozhatnak. Annak érdekében, hogy az audit teljes lefedettséget biztosítson, tesztelje a környezetében használt valamennyi konfigurációt.
Környezet: Éles, élesítésre előkészített, tesztelési
Eszköztípus: iPhone, iPad, Mac, Apple Watch, Apple TV, Apple Vision Pro
Szerep: Felhasználói csoport (értékesítés, tervezés, számvitel), terminálként használt eszköz, megosztott eszköz
Regisztráció típusa: Automatizált eszközregisztráció, fiókalapú regisztráció, profilalapú eszközregisztráció, megosztott iPad
Ismételje meg az alábbi auditálási lépéseket minden olyan konfiguráció esetén, amely különböző szerverekhez csatlakozik.
A Network Diagnostics naplózási profil telepítése
Töltse le és telepítse a Network Diagnostics naplózási profilt egy jellemzőnek tekinthető tesztkészülékre, amely iOS 26.4, iPadOS 26.4, macOS 26.4, watchOS 26.4, tvOS 26.4 vagy visionOS 26.4, illetve újabb rendszert futtat, hogy engedélyezze a naplózást. A profil telepítése után indítsa újra a tesztkészüléket.
Annak érdekében, hogy a naplóesemények tartalmazzák a nem megfelelő kapcsolatok azonosításához szükséges részleteket, ezt a profilt telepíteni kell a tesztelés megkezdése előtt. Ha iPhone-on vagy iPaden teszteli az Automatizált eszközregisztrációt, az Apple Configurator Mac-verziójával telepítse a profilt, mielőtt az eszköz eléri az Eszközfelügyelet panelt a Beállítási asszisztensben.
A szokásos munkafolyamatok futtatása
Használja a tesztkészüléket a környezetében megszokott módon. Regisztrálja a készüléket az eszközfelügyeletbe, telepítsen alkalmazásokat és profilokat, és végezzen el minden olyan munkafolyamatot, amely magában foglalja a kapcsolódást a szervezet szervereihez.
A cél az, hogy hálózati forgalmat generáljon minden olyan szerver irányába, amelyet érinthetnek az új TLS-követelmények.
Sysdiagnose készítése
A munkafolyamatok futtatása után állítson elő egy sysdiagnose archívumot a tesztkészülékről. Ez a diagnosztikai archívum tartalmazza azokat a naplóeseményeket, amelyek szükségesek a nem megfelelő kapcsolatok azonosításához.
Eszközspecifikus utasítások sysdiagnose készítéséhez
A naplók átnézése
Másolja át a sysdiagnose eredményét egy Macre, és bontsa ki a .tar.gz fájlt. A Terminal használatával lépjen be a kibontott sysdiagnose legfelső szintű könyvtárába, és szűrjön rá a releváns naplóeseményekre az alábbi parancs segítségével:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
Minden naplóesemény három kulcsfontosságú részletet tartalmaz:
Domain: A szerver doménje az adott kapcsolódási esemény esetében.
Process: A kapcsolatot kezdeményező folyamat; segít megállapítani az adott doménnel létesített hálózati kapcsolat célját.
Warning: A kapcsolat által megsértett korlátozás és a szerver nem megfelelőségének mibenléte (egy kapcsolat több figyelmeztetést is generálhat, ha a szerver több követelménynek sem felel meg).
A naplóbeli figyelmeztetések értelmezése
A következő naplóüzenetek olyan szervereket jeleznek, amelyek nem felelnek meg az új TLS-követelményeknek. A követelményeket sértő tényezők az ATS-szabályzat általános megsértéseiként („Warning [ATS Violation]”) vagy az FCP 2.1 szabvány specifikus megsértéseiként („Warning [ATS FCPv2.1 violation]”) lehetnek jelölve.
Ha ezek a naplók egy vállalatspecifikus szerverhez csatlakozó folyamattól származnak, akkor az érintett szervereket frissíteni kell az új követelmények teljesítéséhez.
Naplóüzenet | Jelentés | A javítás módja |
|---|---|---|
Warning [ATS violation]: Ciphersuite([negotiated ciphersuite]) not offered in ATS negotiated for server: www.example.com | A szerver egy nem PFS titkosítási készletet egyeztetett, amely nem használható, ha a kliens kikényszeríti az ATS-t. | A szervereknek támogatniuk kell a PFS titkosítási készleteket (bármely TLS 1.3 titkosítási készlet és ECDHE-t használó TLS 1.2 titkosítási készletek). |
Warning [ATS violation]: TLS version <1.2 negotiated for server: www.example.com | A szerver a TLS 1.2-nél régebbi TLS-verziót egyeztetett. A TLS 1.0/1.1 elavult, és alapértelmezés szerint már nem használható. | Frissítse a szervereket, hogy lehetőség szerint TLS 1.3-at, de legalább TLS 1.2-t egyeztessenek. |
Warning [ATS Violation]: ATS certificate trust requirement not satisfied for server: www.example.com | A szerver tanúsítványa nem felelt meg az alapértelmezett szervermegbízhatósági értékelésen, mert nem teljesítette a minimális követelményeket, amelyeket itt találhat meg. | Frissítse a szerver tanúsítványát, hogy megfeleljen a követelményeknek. Ha a tanúsítvány megtalálható az automatikus regisztrációs profil főtanúsítványai között, akkor nem szükséges javítás. |
Warning [ATS violation]: RSA key size [n] bits is less than minimum 2048 bits for server: www.example.com | A szerver tanúsítványát egy 2048 bitnél kisebb RSA-kulccsal írták alá. | Frissítse a szerver tanúsítványát, hogy megfeleljen a követelményeknek. |
Warning [ATS violation]: ECDSA key size [n] bits is less than minimum 256 bits for server: www.example.com | A szerver tanúsítványát egy 256 bitnél kisebb ECDSA-kulccsal írták alá. | |
Warning [ATS violation]: Leaf certificate hash algorithm (n) is not at least SHA-256 for server: www.example.com | A szerver tanúsítványa nem SHA-2-vel (Secure Hash Algorithm 2) előállított, legalább 256 bit hosszúságú kivonatot használt. | |
Warning [ATS violation]: Did not use TLS when opening connection for server: www.example.com | A rendszer titkosítatlan HTTP-t használt HTTPS helyett. | Frissítse a szervert, hogy támogassa a HTTPS-t. |
Warning [ATS FCPv2.1 violation]: Signature algorithm rsa_pkcs15_sha1 negotiated by server: www.example.com | A szerver az rsa_pkcs15_sha1 aláírási algoritmust választotta (a signature_algorithm paraméter értékeként). | Frissítse a konfigurációt, hogy előnyben részesítse a modern aláírási algoritmusokat. |
Warning [ATS FCPv2.1 violation]: Server certificate signed using signature algorithm [signature algorithm] not advertised in ClientHello for server: www.example.com | A szerver tanúsítványát olyan aláírási algoritmussal írták alá, amely nem volt meghirdetve a ClientHello üzenetben. | Frissítse a szerver tanúsítványát, hogy olyan – az rsa_pkcs15_sha1-től eltérő – aláírási algoritmussal legyen aláírva, amelynek létezik TLS-kódpontja. |
Warning [ATS FCPv2.1 violation]: TLS 1.2 negotiated without extended master secret (EMS) for server: www.example.com | A szerver TLS 1.2-t egyeztetett, és nem egyeztette az EMS (kiterjesztett főtitok) kiterjesztést. | Frissítse a szervereket TLS 1.3 használatára, vagy legalább frissítse a TLS 1.2-konfigurációjukat az EMS egyeztetésére. |
Az egyes szerverek ellenőrzése
A nem megfelelő szerverek audit során történő azonosítása után egyedileg is tesztelheti őket, hogy ellenőrizhesse a konkrét követelménysértéseket, vagy megerősíthesse a javítás sikerességét.
Futtassa a következő parancsot, a „https://example.com:8000” címet a szerver vagy végpont címével helyettesítve.
nscurl --ats-diagnostics https://example.com:8000/
Ez a parancs teszteli, hogy a szerver megfelel-e az ATS-szabályzatok különböző kombinációi által támasztott követelményeknek. A teszteredményt az ATS használatával, az FCP 2.1 mód engedélyezésével végzett ellenőrzésnél találja:
Configuring NIAP TLS package version requirements
---
FCP_v2.1
Result : PASS
---
Ha az eredmény „PASS”, akkor a szerver minden követelménynek megfelel.
Bővebben a blokkolt kapcsolatok forrásának azonosításáról
A javítás módja
Működjön együtt az érintett szerverek tulajdonosaival a TLS-konfigurációik frissítése érdekében. A szerver tulajdonosai lehetnek belső személyek, az Ön eszközfelügyeleti szolgáltatása vagy külső szolgáltatók.
Amikor kapcsolatba lép a szerver tulajdonosával a javítás érdekében, ossza meg ezt a cikket és az Ön által látott konkrét figyelmeztető üzeneteket.
A javítás részét képezhetik a következők:
A szerverek frissítése, hogy támogassák a TLS 1.2 vagy újabb verziót (ajánlott a TLS 1.3).
A csak a TLS 1.2-t támogató szervereknek minimálisan támogatniuk kell olyan kulcscsere-algoritmusokat, amelyek biztosítják az előre irányuló titkosságot (PFS) az ECDHE révén, az SHA-256, SHA-384 vagy SHA-512 algoritmust használó AES-GCM-en alapuló AEAD titkosítási készleteket, valamint az EMS kiterjesztést (RFC 7627).
A tanúsítványok frissítése, hogy megfeleljenek az ATS követelményeinek a kulcsméret, az aláírási algoritmus és az érvényesség tekintetében.
További segédletek
További segítségért forduljon az ügyfélkapcsolati menedzseréhez vagy az AppleCare vállalati támogatáshoz.