Klargjør nettverksmiljøet ditt for strengere sikkerhetskrav
Apples operativsystemer kommer til å stille strengere krav til nettverkssikkerhet for systemprosesser. Kontroller om tjenertilkoblingene dine oppfyller de nye kravene.
Denne artikkelen er beregnet på IT-administratorer og utviklere av tjenester for enhetsadministrasjon.
Fra og med den neste store programvarelanseringen, kan Apples operativsystemer (iOS, iPadOS, macOS, watchOS, tvOS og visionOS) avvise tilkoblinger til tjenere som har TLS-konfigurasjoner som er utdaterte eller ikke er kompatible med de nye og strengere kravene til nettverkssikkerhet.
Du bør kontrollere miljøet ditt for å identifisere tjenere som ikke oppfyller disse kravene. Oppdatering av tjenerkonfigurasjoner for å oppfylle disse kravene kan være veldig tidkrevende, spesielt for tjenere som vedlikeholdes av eksterne leverandører.
Berørte tilkoblinger og konfigurasjonskrav
De nye kravene gjelder for nettverkstilkoblinger som er direkte involvert i de følgende aktivitetene:
Administrasjon av mobile enheter (MDM)
Deklarasjonsadministrasjon av enheter (DDM)
Automatisert enhetsregistrering
Installering av konfigurasjonsprofiler
Appinstallasjon, inkludert distribusjon av bedriftsapper
Programvareoppdateringer
Unntak: Nettverkstilkoblinger til SCEP-tjenere (under installering av en konfigurasjonsprofil eller behandling av en DDM-ressurs) og tjenere for innholdsbufring (selv under forespørsler om ressurser knyttet til appinstallasjon eller programvareoppdateringer) påvirkes ikke.
Krav: Tjenerne må støtte TLS 1.2 eller nyere, bruke ATS-kompatible chifferpakker og levere gyldige sertifikater som oppfyller ATS-standardene. De fullstendige kravene for nettverkssikkerhet er tilgjengelig i utviklerdokumentasjonen:
Gjennomgå miljøet ditt for å finne ikke-kompatible tilkoblinger
Bruk testenheter til å identifisere tjenertilkoblinger i miljøet ditt som ikke oppfyller de nye TLS-kravene.
Planlegg testdekningen
Ulike enhetskonfigurasjoner kan koble til forskjellige tjenere. For å sikre full dekning i gjennomgangen bør du teste alle konfigurasjonene som er relevante for miljøet ditt.
Miljø: Produksjon, oppsett, test
Enhetstype: iPhone, iPad, Mac, Apple Watch, Apple TV, Apple Vision Pro
Rolle: Brukergruppe (salg, teknikk, regnskap), kioskenhet, delt enhet
Registreringstype: Automatisert enhetsregistrering, kontobasert registrering, profilbasert enhetsregistrering, delt iPad
Gjenta de følgende gjennomgangstrinnene for hver konfigurasjon som kobles til forskjellige tjenere.
Installer loggføringsprofilen for nettverksdiagnostikk
Last ned og installer loggføringsprofilen for nettverksdiagnostikk på en representativ testenhet som kjører iOS 26.4, iPadOS 26.4, macOS 26.4, watchOS 26.4, tvOS 26.4 eller visionOS 26.4 eller nyere for å muliggjøre loggføring. Når profilen er installert, starter du testenheten på nytt.
For å sikre at logghendelser inneholder detaljene som er nødvendige for å identifisere tilkoblinger som ikke er kompatible, må denne profilen installeres før du utfører tester. Når du tester automatisert enhetsregistrering på en iPhone eller iPad, må du bruke Apple Configurator for Mac til å installere profilen før enheten kommer til Enhetsadministrering-panelet i oppsettassistenten.
Kjør de vanlige arbeidsflytene dine
Bruk testenheten slik du vanligvis gjør i miljøet ditt. Registrer enheten i enhetsadministrasjon, installer apper og profiler og utfør eventuelle andre arbeidsflyter som kobler til organisasjonens tjenere.
Målet er å generere nettverkstrafikk til alle tjenerne som kan påvirkes av de nye TLS-kravene.
Samle inn sysdiagnose
Når du har kjørt arbeidsflytene dine, samler du inn sysdiagnose på testenheten. Dette diagnostikkarkivet inneholder logghendelsene du trenger for å identifisere tilkoblinger som ikke er kompatible.
Enhetsspesifikke instruksjoner for innsamling av sysdiagnose
Gjennomgå loggene
Overfør sysdiagnosen til en Mac og utvid .tar.gz-filen. Bruk Terminal til å gå til toppnivåkatalogen i den utvidede sysdiagnosen og filtrer for relevante logghendelser med følgende kommando:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
Hver logghendelse inneholder tre nøkkelopplysninger:
Domain (domene): Domenet til tjeneren for denne tilkoblingshendelsen.
Process (prosess): Prosessen som utførte tilkoblingen. Dette hjelper deg med å identifisere formålet til nettverkstilkoblingen til det aktuelle domenet.
Warning (advarsel): Begrensningen som ble brutt av tilkoblingen, og hvordan tjeneren ikke er kompatibel (én tilkobling kan gi flere advarsler hvis tjeneren ikke oppfyller flere krav).
Tolkning av advarselslogger
De følgende loggmeldingene indikerer tjenere som ikke oppfyller de nye TLS-kravene. Brudd er enten merket som generelle brudd på ATS-policyen («Warning [ATS Violation]» (Advarsel [ATS-brudd])) eller spesifikke brudd på FCP v2.1-standarden («Warning [ATS FCPv2.1 violation]» (Advarsel [brudd på ATS FCPv2.1])).
Hvis disse loggene genereres av en prosess som kobler til tjenere som er spesifikke for bedriften din, må de aktuelle tjenerne oppdateres for å oppfylle de nye kravene.
Loggmelding | Betydning | Utbedring |
|---|---|---|
Warning [ATS violation]: Ciphersuite([negotiated ciphersuite]) not offered in ATS negotiated for server: www.example.com | Tjeneren formidlet en chifferpakke uten PFS som ikke tilbys når klienten håndhever ATS. | Tjenerne må støtte PFS-chifferpakker (hvilken som helst TLS 1.3-chifferpakke og TLS 1.2-chifferpakke med ECDHE). |
Warning [ATS violation]: TLS version <1.2 negotiated for server: www.example.com | Tjeneren formidlet en versjon av TLS som er eldre enn TLS 1.2. TLS 1.0/1.1 er avviklet og tilbys ikke lenger som standard. | Oppdater tjenerne til å formidle TLS 1.3 når det er mulig (med TLS 1.2 som minimum). |
Warning [ATS Violation]: ATS certificate trust requirement not satisfied for server: www.example.com | Tjenersertifikatet bestod ikke standardevalueringen for tjenerpålitelighet fordi den ikke oppfyller minstekravene som er beskrevet her. | Oppdater tjenerens sertifikat, slik at den oppfyller disse kravene. Hvis sertifikatet er inkludert i ankersertifikatene for profilen for automatisk registrering, trenger du ikke å gjøre noe. |
Warning [ATS violation]: RSA key size [n] bits is less than minimum 2048 bits for server: www.example.com | Tjenerens sertifikat ble signert med en RSA-nøkkel som er mindre enn 2048 bit. | Oppdater tjenerens sertifikat, slik at den oppfyller disse kravene. |
Warning [ATS violation]: ECDSA key size [n] bits is less than minimum 256 bits for server: www.example.com | Tjenerens sertifikat ble signert med en ECDSA-nøkkel som er mindre enn 256 bit. | |
Warning [ATS violation]: Leaf certificate hash algorithm (n) is not at least SHA-256 for server: www.example.com | Tjenerens sertifikat brukte ikke en Secure Hash Algorithm 2 (SHA-2) med en hash-lengde på minst 256 bit. | |
Warning [ATS violation]: Did not use TLS when opening connection for server: www.example.com | HTTP i ren tekst ble brukt i stedet for HTTPS. | Oppdater tjeneren til å støtte HTTPS. |
Warning [ATS FCPv2.1 violation]: Signature algorithm rsa_pkcs15_sha1 negotiated by server: www.example.com | Tjeneren valgte rsa_pkcs15_sha1 som signature_algorithm. | Oppdater konfigurasjonen til å foretrekke moderne signaturalgoritmer. |
Warning [ATS FCPv2.1 violation]: Server certificate signed using signature algorithm [signature algorithm] not advertised in ClientHello for server: www.example.com | Tjenerens sertifikat ble signert med en signaturalgoritme som ikke var oppgitt i ClientHello. | Oppdater tjenerens sertifikat slik at det signeres med en signaturalgoritme som har et TLS-kodepunkt og ikke er rsa_pkcs15_sha1. |
Warning [ATS FCPv2.1 violation]: TLS 1.2 negotiated without extended master secret (EMS) for server: www.example.com | Tjeneren formidlet TLS 1.2 og formidlet ikke utvidelsen for den utvidede mesterhemmeligheten (extended master secret – EMS). | Oppdater tjeneren til å bruke TLS 1.3 eller, som et minimum, oppdater TLS 1.2-konfigurasjonen til å formidle EMS. |
Valider tjenere enkeltvis
Når du har identifisert tjenerne som ikke er kompatible, kan du teste dem individuelt for å bekrefte spesifikke brudd eller bekrefte at utbedringene har løst problemet.
Kjør følgende kommando, og erstatt «https://example.com:8000» med tjeneren eller endepunktet ditt.
nscurl --ats-diagnostics https://example.com:8000/
Denne kommandoen tester om tjeneren oppfyller kravene for ulike kombinasjoner av ATS-policyer. Se etter testresultatet med ATS med FCP_v2.1-modusen aktivert:
Versjonskrav for konfigurering av NIAP TLS-pakke
---
FCP_v2.1
Result: PASS
---
Hvis resultatet er «PASS» (bestått), oppfyller tjeneren alle kravene.
Finn ut hvordan du identifiserer kilden til blokkerte tilkoblinger
Utbedring
Samarbeid med eierne av de berørte tjenerne for å oppdatere TLS-konfigurasjonene. Tjenereierne kan være interne, tjenesten du bruker for enhetsadministrasjon eller en tredjepartsleverandør.
Når du kontakter en tjenereier angående utbedring, deler du denne artikkelen og de spesifikke advarselsmeldingene du har observert med vedkommende.
Utbedring kan omfatte følgende:
Oppdatering av tjenerne for å støtte TLS 1.2 eller nyere (TLS 1.3 anbefales)
Hvis tjeneren bare støtter TLS 1.2, må den som minstekrav støtte nøkkelutvekslingsalgoritmer som leverer Perfect Forward Secrecy (ECDHE), AEAD-chifferpakker basert på AES-GCM med SHA-256, SHA-384 eller SHA-512 og utvidelsen for utvidet mesterhemmelighet (RFC 7627).
Oppdater sertifikatene slik at de oppfyller ATS-kravene til nøkkelstørrelse, signaturalgoritme og gyldighet.
Tilleggsressurser
Finn ut mer om forhindring av usikre nettverkstilkoblinger og apptransportsikkerhet
Ta kontakt med en kundesuksessansvarlig eller AppleCare-kundestøtte for større bedrifter for ytterligere hjelp.