Je netwerkomgeving voorbereiden op strengere beveiligingsvereisten
De besturingssystemen van Apple vereisen strengere netwerkbeveiliging voor systeemprocessen. Controleer of je netwerkverbindingen aan de nieuwe vereisten voldoen.
Dit artikel is bedoeld voor IT-beheerders en serviceontwikkelaars voor apparaatbeheer.
Vanaf de volgende grote softwarerelease kan het voorkomen dat de besturingssystemen van Apple (iOS, iPadOS, macOS, watchOS, tvOS en visionOS) verbindingen met servers met verouderde of niet-conforme TLS-configuraties weigeren vanwege extra netwerkbeveiligingsvereisten.
Controleer je netwerkomgeving erachter te komen welke servers niet aan deze vereisten voldoen. Het kan tijdrovend zijn om de serverconfiguraties bij te werken zodat ze aan de vereisten voldoen, vooral als het gaat om servers die door externe leveranciers worden onderhouden.
De getroffen verbindingen en de configuratievereisten
De nieuwe vereisten zijn van toepassing op netwerkverbindingen met de volgende taken:
Mobiel apparaatbeheer (Mobile Device Management, MDM)
Declaratief apparaatbeheer (Declarative Device Management, DDM)
Geautomatiseerde apparaatinschrijving
Installatie van configuratieprofielen
Installatie van apps, waaronder distributie van bedrijfsapps
Software-updates
Uitzonderingen: Netwerkverbindingen met een SCEP-server (tijdens het installeren van een configuratieprofiel of het oplossen van een DDM-asset) en materiaalcaching-servers (zelfs wanneer assets worden opgevraagd die gerelateerd zijn aan app-installatie of software-updates) worden niet beïnvloed.
Vereisten: Servers moeten TLS 1.2 of nieuwer ondersteunen, ATS-compatibele coderingssuites gebruiken en geldige certificaten overleggen die voldoen aan de ATS-normen. Raadpleeg de documentatie van de ontwikkelaar voor een gedetailleerd overzicht van de vereisten voor netwerkbeveiliging:
Je netwerkomgeving controleren op verbindingen die niet aan de vereisten voldoen
Gebruik testapparaten om de serververbindingen in je omgeving te identificeren die niet aan de nieuwe TLS-vereisten voldoen.
Je testbereik plannen
Via de verschillende apparaatconfiguraties kan er verbinding worden gemaakt met verschillende servers. Test alle configuraties in je netwerk om er zeker van te zijn dat je niets mist in je controle.
Omgeving: productie, planning en testen
Apparaattype: iPhone, iPad, Mac, Apple Watch, Apple TV en Apple Vision Pro
Rol: gebruikersgroep (verkoop, engineering, boekhouding), kiosk-apparaat, gedeeld apparaat
Type inschrijving: geautomatiseerde apparaatinschrijving, inschrijving op basis van accounts, apparaatinschrijving op basis van profielen, gedeelde iPad
Voer de volgende controlestappen uit voor elke configuratie die verbinding maakt met verschillende servers.
Het logboekregistratieprofiel voor netwerkprobleemoplossing installeren
Download en installeer het logboekregistratieprofiel voor netwerkprobleemoplossing op een representatief testapparaat met iOS 26.4, iPadOS 26.4, macOS 26.4, watchOS 26.4, tvOS 26.4 of visionOS 26.4 of nieuwer om logboekregistratie in te schakelen. Start het testapparaat opnieuw op zodra je het profiel hebt geïnstalleerd.
Je moet dit profiel installeren voordat je de tests uitvoert om ervoor te zorgen dat de logboekgebeurtenissen de benodigde gegevens bevatten voor het identificeren van verbindingen die niet aan de vereisten voldoen. Als je de geautomatiseerde apparaatinschrijving op een iPhone of iPad test, raden we je aan om de Apple Configurator voor Mac te gebruiken om het profiel te installeren voordat het venster 'Apparaatbeheer' op het apparaat wordt weergegeven.
Je normale workflows uitvoeren
Gebruik het testapparaat zoals je het normaal in je omgeving zou gebruiken. Meld het testapparaat aan in apparaatbeheer, installeer apps en profielen en voer de workflows uit waarvoor je apparaat verbinding moet maken met de servers van je organisatie.
Het doel is om netwerkverkeer te genereren op alle servers die mogelijk niet aan de nieuwe TLS-vereisten voldoen.
Een sysdiagnose ophalen
Haal na het uitvoeren van je workflow een sysdiagnose op van het testapparaat. Dit diagnostische archief bevat alle logboekgebeurtenissen die je nodig hebt om te zien welke verbindingen niet aan de vereisten voldoen.
Apparaatspecifieke instructies voor het ophalen van een sysdiagnose
De logbestanden controleren
Zet de sysdiagnose over naar een Mac en pak het .tar.gz-bestand uit. Navigeer met Terminal naar de hoofdmap van de uitgepakte sysdiagnose en filter de relevante logboekgebeurtenissen eruit met de volgende prompt:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
Elke logboekgebeurtenis bevat drie belangrijke details:
Domein: Het serverdomein waarop de verbinding tot stand is gekomen.
Proces: Het proces waarmee de verbinding tot stand is gekomen, zodat je kunt zien wat het doel van de verbinding met dat domein is.
Waarschuwing: De beperking die door de verbinding is geschonden en de vereisten waaraan de server niet voldoet (een enkele verbinding kan meerdere waarschuwingen weergeven als de server er meerdere vereisten zijn waaraan de server niet voldoet).
De waarschuwingen in het logbestand interpreteren
De volgende berichten in het logbestand duiden op een server die niet aan de nieuwe TLS-vereisten voldoet: Schendingen worden weergegeven als algemene schendingen van het ATS-beleid ('Warning [ATS Violation]') of specifieke schendingen van de FCP v2.1-norm ('Warning [ATS FCPv2.1 violation]').
Als deze logbestanden worden gegenereerd vanwege een verbinding met een van je servers, dan betekent dit dat die servers moeten worden bijgewerkt om aan de nieuwe vereisten te voldoen.
Logbericht | betekenis | Oplossing |
|---|---|---|
Warning [ATS violation]: Ciphersuite([negotiated ciphersuite]) not offered in ATS negotiated for server: www.example.com | De server gebruikt een niet-PFS-coderingssuite die niet voldoet als de client de ATS uitvoert. | Servers moeten PFS-coderingssuites (alle TLS 1.3-coderingssuites en TLS 1.2-coderingssuites met ECDHE) ondersteunen. |
Warning [ATS violation]: TLS version <1.2 negotiated for server: www.example.com | De server gebruikt een versie van TLS die ouder is dan TLS 1.2. TLS 1.0 en 1.1 zijn uitgefaseerd en worden standaard al niet meer aangeboden. | Werk waar mogelijk de servers bij zodat ze TLS 1.3 kunnen gebruiken (minimaal TLS 1.2). |
Warning [ATS Violation]: ATS certificate trust requirement not satisfied for server: www.example.com | Het servercertificaat voldoet niet aan de vereisten voor het standaard serververtrouwen die hier worden beschreven. | Werk het servercertificaat bij om aan de vereisten te voldoen. Als het certificaat zich in de ankercertificaten van het geautomatiseerde inschrijfprofiel bevindt, hoef je niets te doen. |
Warning [ATS violation]: RSA key size [n] bits is less than minimum 2048 bits for server: www.example.com | Het servercertificaat is ondertekend met een RSA-sleutel die kleiner is dan 2048 bits. | Werk het servercertificaat bij om aan de vereisten te voldoen. |
Warning [ATS violation]: ECDSA key size [n] bits is less than minimum 256 bits for server: www.example.com | Het servercertificaat is ondertekend met een ECDSA-sleutel die kleiner is dan 256 bits | |
Warning [ATS violation]: Leaf certificate hash algorithm (n) is not at least SHA-256 for server: www.example.com | Het certificaat van de server gebruikt geen Secure Hash-algoritme 2 (SHA-2) met een verwerkingslengte van minimaal 256 bits. | |
Warning [ATS violation]: Did not use TLS when opening connection for server: www.example.com | Er is gebruikgemaakt van HTTP zonder opmaak in plaats van HTTPS. | Werk de server bij voor ondersteuning van HTTPS. |
Warning [ATS FCPv2.1 violation]: Signature algorithm rsa_pkcs15_sha1 negotiated by server: www.example.com | De server heeft gebruikgemaakt van het rsa_pkcs15_sha1-ondertekeningsalgoritme. | Werk de configuratie bij zodat de server voortaan nieuwere ondertekeningsalgoritmen kiest. |
Warning [ATS FCPv2.1 violation]: Server certificate signed using signature algorithm [signature algorithm] not advertised in ClientHello for server: www.example.com | Het servercertificaat is ondertekend met een ondertekeningsalgoritme dat niet is aanbevolen in ClientHello. | Werk het servercertificaat bij zodat het niet wordt ondertekend met rsa_pkcs15_sha1, maar met een ondertekeningsalgoritme dat een TLS-codepunt bevat. |
Warning [ATS FCPv2.1 violation]: TLS 1.2 negotiated without extended master secret (EMS) for server: www.example.com | De server heeft gebruikgemaakt van TLS 1.2 en niet van de extended master secret-uitbreiding (EMS). | Werk de servers bij zodat ze gebruikmaken van TLS 1.3, of werk de TLS 1.2-configuratie bij zodat de server voortaan de EMS gebruikt. |
De individuele servers valideren
Als je de servers die niet aan de vereisten voldoen hebt geïdentificeerd, kun je ze afzonderlijk testen op specifieke schendingen of controleren of het gelukt is de problemen op te lossen.
Voer de volgende prompt uit en vervang 'https://example.com:8000' door je server of eindpunt.
nscurl --ats-diagnostics https://example.com:8000/
Met deze prompt test je of de server voldoet aan de vereisten van verschillende combinaties van het ATS-beleid. Zoek het testresultaat met behulp van ATS en zorg dat de FCP_v2.1-modus is ingeschakeld:
Configuring NIAP TLS package version requirements
---
FCP_v2.1
Result : PASS
---
Als het resultaat 'PASS' is, betekent dit dat de server aan alle vereisten voldoet.
Meer informatie over het identificeren van de bron van geblokkeerde verbindingen
Oplossing
Werk samen met de eigenaren van de getroffen servers om de TLS-configuraties bij te werken. Servereigenaren kunnen interne gebruikers zijn, je apparaatbeheerder of een externe leverancier zijn.
Wanneer je contact opneemt met een servereigenaar om de problemen op te lossen, kun je dit artikel delen en de specifieke waarschuwingsberichten die je hebt gevonden.
De oplossing kan het volgende omvatten:
Werk de servers bij zodat ze TLS 1.2 of nieuwer ondersteunen (TLS 1.3 aanbevolen)
Servers die alleen TLS 1.2 ondersteunen, moeten op z'n minst sleuteluitwisselingsalgoritmen met Perfect Forward Secrecy (ECDHE), AEAD coderingssuites op basis van AES-GCM met SHA-256, SHA-384 of SHA-512 en de uitgebreide master secret extension (RFC 7627) kunnen verwerken.
Werk de certificaten bij om aan de ATS-vereisten voor sleutelgrootte, ondertekeningsalgoritmen en validiteit te voldoen.
Aanvullende informatiebronnen
Meer informatie over het voorkomen van onveilige netwerkverbinding en App Transport Security
Neem contact op met je Customer Success Manager of AppleCare-support voor ondernemingen voor meer hulp.