Preparare l'ambiente di rete per requisiti di sicurezza più rigorosi
I sistemi operativi Apple richiederanno una sicurezza di rete più rigorosa per i processi di sistema. Controlla se le connessioni ai server soddisfano i nuovi requisiti.
Questo articolo è rivolto a chi ricopre il ruolo di amministratore IT e a chi sviluppa servizi di gestione dei dispositivi.
A partire già dalla prossima versione principale del software, i sistemi operativi Apple (iOS, iPadOS, macOS, watchOS, tvOS e visionOS) potrebbero rifiutare le connessioni ai server con configurazioni TLS obsolete o non conformi a causa di requisiti di sicurezza di rete aggiuntivi.
Devi verificare il tuo ambiente per individuare i server che non soddisfano questi requisiti. Adeguare le configurazioni dei server per soddisfare questi requisiti potrebbe richiedere molto tempo, soprattutto per i server gestiti da fornitori esterni.
Connessioni interessate e requisiti di configurazione
I nuovi requisiti si applicano alle connessioni di rete direttamente coinvolte in queste attività:
Gestione dei dispositivi mobili (MDM)
Gestione dichiarativa dei dispositivi (DDM)
Registrazione automatica dei dispositivi
Installazione del profilo di configurazione
Installazione di app, inclusa la distribuzione di app aziendali
Aggiornamenti software
Eccezioni: le connessioni di rete a un server SCEP (durante l'installazione di un profilo di configurazione o la risoluzione di un asset DDM) e ai server di caching dei contenuti (anche quando si richiedono asset relativi all'installazione di app o agli aggiornamenti software) non sono interessate.
Requisiti: i server devono supportare TLS 1.2 o versioni successive, utilizzare suite di cifratura conformi ad ATS e presentare certificati validi che soddisfino gli standard ATS. Per conoscere tutti i requisiti di sicurezza della rete, consulta la documentazione per sviluppatori:
Controllare l'ambiente per individuare connessioni non conformi
Utilizza dispositivi di test per identificare le connessioni ai server nel tuo ambiente che non soddisfano i nuovi requisiti TLS.
Pianificare la copertura dei test
Diverse configurazioni di dispositivi potrebbero connettersi a server diversi. Per assicurarti che il controllo abbia una copertura completa, testa tutte le configurazioni applicabili al tuo ambiente.
Ambiente: produzione, staging, test
Tipo di dispositivo: iPhone, iPad, Mac, Apple Watch, Apple TV, Apple Vision Pro
Ruolo: gruppo di utenti (commerciale, ingegneria, contabilità), dispositivo per chiosco, dispositivo condiviso
Tipo di registrazione: registrazione automatica dei dispositivi, registrazione basata sull'account, registrazione del dispositivo basata sul profilo, iPad condiviso
Ripeti i passaggi di controllo riportati di seguito per ciascuna configurazione che si connette a server diversi.
Installare il profilo di registrazione della diagnosi di rete
Scarica e installa il profilo di registrazione della diagnosi di rete su un dispositivo di test rappresentativo con iOS 26.4, iPadOS 26.4, macOS 26.4, watchOS 26.4, tvOS 26.4 o visionOS 26.4, o versioni successive, per abilitare la registrazione. Dopo aver installato il profilo, riavvia il dispositivo di test.
Per assicurarti che gli eventi di log contengano i dettagli necessari per identificare le connessioni non conformi, questo profilo deve essere installato prima di eseguire qualsiasi test. Se stai testando la registrazione automatica dei dispositivi su un iPhone o iPad, usa Apple Configurator per Mac per installare il profilo prima che il dispositivo raggiunga il pannello Gestione dispositivi in Impostazione Assistita.
Eseguire i flussi di lavoro abituali
Usa il dispositivo di test come faresti normalmente nel tuo ambiente. Registralo nella gestione dei dispositivi, installa app e profili ed esegui qualsiasi altro flusso di lavoro che si connette ai server della tua organizzazione.
L'obiettivo è generare traffico di rete verso tutti i server che potrebbero essere interessati dai nuovi requisiti TLS.
Raccogliere sysdiagnose
Dopo aver completato i flussi di lavoro, raccogli una diagnosi di sistema dal dispositivo di test. Questo archivio di diagnostica contiene gli eventi di log necessari per identificare le connessioni non conformi.
Istruzioni specifiche per dispositivo per raccogliere sysdiagnose
Rivedere i log
Trasferisci sysdiagnose su un Mac ed espandi il file .tar.gz. Utilizzando Terminale, vai alla directory principale all'interno della diagnosi di sistema espansa e filtra gli eventi di log pertinenti con questo comando:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
Ogni evento di log include tre dettagli fondamentali:
Dominio: il dominio del server per questo evento di connessione.
Processo: il processo che ha stabilito la connessione, che ti aiuta a determinare lo scopo della connessione di rete a quel dominio.
Avvertenza: indica la limitazione violata dalla connessione e in che modo il server non è conforme (una singola connessione potrebbe emettere più avvertenze se il server non soddisfa più requisiti).
Interpretazione dei log delle avvertenze
I messaggi di log riportati di seguito indicano i server che non soddisfano i nuovi requisiti TLS. Le violazioni sono contrassegnate come violazioni generali delle politiche ATS (“Avvertenza [Violazione ATS]”) oppure violazioni specifiche dello standard FCP v2.1 (“Avvertenza [Violazione ATS FCPv2.1]”).
Se questi log sono emessi da un processo che si connette a un server specifico della tua azienda, tali server devono essere aggiornati per soddisfare i nuovi requisiti.
Messaggio del log | Significato | Soluzione |
|---|---|---|
Warning [ATS violation]: Ciphersuite([negotiated ciphersuite]) not offered in ATS negotiated for server: www.example.com | Il server ha negoziato una ciphersuite non-PFS che non viene offerta quando il client applica ATS. | I server devono supportare ciphersuite PFS (qualsiasi ciphersuite TLS 1.3 e ciphersuite TLS 1.2 con ECDHE). |
Warning [ATS violation]: TLS version <1.2 negotiated for server: www.example.com | Il server ha negoziato una versione di TLS precedente a TLS 1.2. Le versioni TLS 1.0/1.1 sono considerate obsolete e non sono più offerte di default. | Aggiornare i server per negoziare TLS 1.3 quando possibile (almeno TLS 1.2). |
Warning [ATS Violation]: ATS certificate trust requirement not satisfied for server: www.example.com | Il certificato del server non ha superato la valutazione predefinita dell'attendibilità del server perché non soddisfa i requisiti minimi indicati qui. | Aggiornare il certificato del server per soddisfare questi requisiti. Se il certificato si trova tra i certificati di ancoraggio del profilo di registrazione automatica, la correzione non è necessaria. |
Warning [ATS violation]: RSA key size [n] bits is less than minimum 2048 bits for server: www.example.com | Il certificato del server è stato firmato con una chiave RSA di dimensione inferiore a 2048 bit. | Aggiornare il certificato del server per soddisfare questi requisiti. |
Warning [ATS violation]: ECDSA key size [n] bits is less than minimum 256 bits for server: www.example.com | Il certificato del server è stato firmato con una chiave ECDSA di dimensione inferiore a 256 bit. | |
Warning [ATS violation]: Leaf certificate hash algorithm (n) is not at least SHA-256 for server: www.example.com | Il certificato del server non ha utilizzato Secure Hash Algorithm 2 (SHA-2) con una lunghezza del digest di almeno 256 bit. | |
Warning [ATS violation]: Did not use TLS when opening connection for server: www.example.com | Anziché HTTPS è stato utilizzato HTTP di tipo plaintext. | Aggiornare il server per supportare HTTPS. |
Warning [ATS FCPv2.1 violation]: Signature algorithm rsa_pkcs15_sha1 negotiated by server: www.example.com | Il server ha scelto rsa_pkcs15_sha1 come signature_algorithm. | Aggiornare la configurazione per dare la priorità agli algoritmi di firma moderni. |
Warning [ATS FCPv2.1 violation]: Server certificate signed using signature algorithm [signature algorithm] not advertised in ClientHello for server: www.example.com | Il certificato del server è stato firmato utilizzando un algoritmo di firma non indicato in ClientHello. | Aggiornare il certificato del server affinché sia firmato utilizzando un algoritmo di firma che abbia un codepoint TLS e che non sia rsa_pkcs15_sha1. |
Warning [ATS FCPv2.1 violation]: TLS 1.2 negotiated without extended master secret (EMS) for server: www.example.com | Il server ha negoziato TLS 1.2 e non ha negoziato l'estensione extended master secret (EMS). | Aggiornare i server per utilizzare TLS 1.3 oppure aggiornare almeno la loro configurazione TLS 1.2 affinché negozino EMS. |
Verificare i singoli server
Dopo aver identificato i server non conformi durante il controllo, è possibile testarli individualmente per verificare specifiche violazioni o confermare che l'intervento correttivo sia stato efficace.
Eseguire il seguente comando, sostituendo “https://example.com:8000” con il proprio server o endpoint.
nscurl --ats-diagnostics https://example.com:8000/
Questo comando verifica se il server soddisfa i requisiti per varie combinazioni di politiche ATS. Verificare il risultato del test utilizzando ATS con la modalità FCP_v2.1 abilitata:
Configuring NIAP TLS package version requirements
---
FCP_v2.1
Result : PASS
---
Se il risultato è “PASS”, il server soddisfa tutti i requisiti.
Scopri di più su come identificare l'origine delle connessioni bloccate
Soluzione
Collabora con i titolari dei server interessati per aggiornare le loro configurazioni TLS. I titolari dei server potrebbero essere interni, il tuo servizio di gestione dei dispositivi o un fornitore di terze parti.
Quando contatti il titolare di un server per l'intervento di correzione, condividi questo articolo e i messaggi di avviso specifici che hai riscontrato.
Le azioni correttive potrebbero includere quanto segue:
Aggiornare i server per supportare TLS 1.2 o versioni successive (si consiglia TLS 1.3)
Per i server che supportano solo TLS 1.2, è necessario supportare almeno algoritmi di scambio delle chiavi che garantiscano la Perfect Forward Secrecy (ECDHE), ciphersuite AEAD basate su AES-GCM con SHA-256, SHA-384 o SHA-512, e l'estensione del master secret esteso (RFC 7627).
Aggiornare i certificati per soddisfare i requisiti ATS relativi alla dimensione della chiave, all'algoritmo di firma e alla validità.
Risorse aggiuntive
Scopri di più su come prevenire connessioni di rete non sicure e su App Transport Security
Per ulteriore assistenza, contatta il Customer Success Manager o il supporto Enterprise AppleCare.