Przygotowywanie środowiska sieciowego do bardziej rygorystycznych wymagań bezpieczeństwa
Systemy operacyjne Apple będą wymagały bardziej rygorystycznych zabezpieczeń sieci dla procesów systemowych. Sprawdź, czy połączenia z serwerami spełniają nowe wymagania.
Ten artykuł jest przeznaczony dla administratorów IT oraz deweloperów usług zarządzania urządzeniami.
Już od kolejnego głównego wydania oprogramowania systemy operacyjne Apple (iOS, iPadOS, macOS, watchOS, tvOS oraz visionOS) mogą odrzucać połączenia z serwerami, które mają przestarzałą lub niezgodną konfigurację TLS, ze względu na dodatkowe wymagania dotyczące zabezpieczeń sieci.
Należy przeprowadzić audyt środowiska, aby zidentyfikować serwery, które nie spełniają tych wymagań. Uaktualnienie konfiguracji serwerów w celu spełnienia tych wymagań może zająć dużo czasu, zwłaszcza w przypadku serwerów obsługiwanych przez zewnętrznych dostawców.
Połączenia objęte zmianami i wymagania dotyczące konfiguracji
Nowe wymagania dotyczą połączeń sieciowych bezpośrednio związanych z następującymi działaniami:
Zarządzanie urządzeniami mobilnymi (MDM)
Deklaratywne zarządzanie urządzeniami (DDM)
Automatyczna rejestracja urządzeń
Instalacja profilu konfiguracji
Instalacja aplikacji, w tym dystrybucja aplikacji firmowych
Uaktualnienia oprogramowania
Wyjątki: połączenia sieciowe z serwerem SCEP (podczas instalacji profilu konfiguracji lub rozstrzygania zasobu DDM) oraz serwery magazynowania zawartości (nawet podczas żądania zasobów związanych z instalacją aplikacji lub uaktualnieniami oprogramowania) nie podlegają tym wymaganiom.
Wymagania: Serwery muszą obsługiwać protokół TLS 1.2 lub nowszy, używać pakietów kryptograficznych zgodnych z ATS oraz przedstawiać ważne certyfikaty spełniające standardy ATS. Pełne wymagania dotyczące bezpieczeństwa sieci można znaleźć w dokumentacji dla deweloperów:
Audyt środowiska pod kątem połączeń niezgodnych z wymaganiami
Użyj urządzeń testowych, aby wykryć w swoim środowisku połączenia z serwerami, które nie spełniają nowych wymagań dotyczących protokołu TLS.
Zaplanuj zakres testów
Różne konfiguracje urządzeń mogą łączyć się z różnymi serwerami. Aby audyt był kompletny, przetestuj wszystkie konfiguracje używane w środowisku.
Środowisko: Produkcyjne, przedwdrożeniowe, testowe
Typ urządzenia: iPhone, iPad, Mac, Apple Watch, Apple TV, Apple Vision Pro
Rola: Grupa użytkowników (sprzedaż, inżynieria, księgowość), kiosk, wspólne urządzenie
Typ rejestracji: Automatyczna rejestracja urządzeń, rejestracja na podstawie konta, rejestracja urządzenia na podstawie profilu, Wspólny iPad
Powtórz poniższe kroki audytu dla każdej konfiguracji, która łączy się z różnymi serwerami.
Zainstaluj profil Network Diagnostics Logging Profile
Pobierz i zainstaluj profil Network Diagnostics Logging Profile na reprezentatywnym urządzeniu testowym z systemem iOS 26.4, iPadOS 26.4, macOS 26.4, watchOS 26.4, tvOS 26.4 lub visionOS 26.4 albo nowszym, aby włączyć rejestrowanie. Po zainstalowaniu profilu uruchom ponownie urządzenie testowe.
Aby zdarzenia dziennika zawierały niezbędne informacje do identyfikowania połączeń niezgodnych z wymaganiami, profil ten musi być zainstalowany przed rozpoczęciem testów. Jeśli testujesz automatyczną rejestrację urządzeń na iPhonie lub iPadzie, użyj aplikacji Apple Configurator na Macu, aby zainstalować profil, zanim urządzenie dotrze do panelu Zarządzanie urządzeniami w Asystencie ustawień.
Wykonaj standardowe operacje
Używaj urządzenia testowego tak, jak zwykle robisz to w swoim środowisku. Zarejestruj je w usłudze zarządzania urządzeniami, zainstaluj aplikacje i profile oraz wykonaj wszystkie inne procedury wymagające połączenia z serwerami organizacji.
Celem jest wygenerowanie ruchu sieciowego do wszystkich serwerów, które mogą być objęte nowymi wymaganiami dotyczącymi protokołu TLS.
Zbierz sysdiagnose
Po uruchomieniu procedur zbierz sysdiagnose z urządzenia testowego. To archiwum diagnostyczne zawiera zdarzenia dziennika niezbędne do zidentyfikowania połączeń niezgodnych z wymaganiami.
Instrukcje specyficzne dla urządzenia dotyczące zbierania sysdiagnose
Przejrzyj dzienniki
Przenieś sysdiagnose na Maca i rozpakuj plik .tar.gz. Korzystając z Terminala, przejdź do katalogu najwyższego poziomu w rozpakowanym archiwum sysdiagnose i odfiltruj istotne zdarzenia dziennika za pomocą następującego polecenia:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
Każde zdarzenie dziennika zawiera trzy kluczowe informacje:
Domain: Domena serwera dla tego zdarzenia połączenia.
Process: Proces, który nawiązał połączenie, co pozwala określić cel połączenia sieciowego.
Warning: Ograniczenie, które zostało naruszone przez połączenie, oraz sposób, w jaki serwer jest niezgodny (jedno połączenie może wygenerować wiele ostrzeżeń, jeśli serwer nie spełnia wielu wymagań).
Interpretacja dzienników ostrzeżeń
Poniższe komunikaty dziennika wskazują serwery, które nie spełniają nowych wymagań dotyczących protokołu TLS. Naruszenia są oznaczone jako ogólne naruszenia zasad ATS („Warning [ATS Violation]”) lub konkretne naruszenia standardu FCP w wersji 2.1 („Warning [ATS FCPv2.1 violation]”).
Jeśli te dzienniki są generowane przez proces łączący się z serwerem specyficznym dla danej firmy, serwery te należy uaktualnić, aby spełniały nowe wymagania.
Komunikat dziennika | Znaczenie | Działania naprawcze |
|---|---|---|
Warning [ATS violation]: Ciphersuite([negotiated ciphersuite]) not offered in ATS negotiated for server: www.example.com | Serwer wynegocjował pakiet kryptograficzny bez ochrony PFS, który nie spełnia wymagań funkcji ATS i dlatego nie jest akceptowany przez klienta. | Serwery muszą obsługiwać pakiety kryptograficzne z PFS (wszystkie pakiety kryptograficzne TLS 1.3 oraz pakiety kryptograficzne TLS 1.2 wykorzystujące ECDHE). |
Warning [ATS violation]: TLS version <1.2 negotiated for server: www.example.com | Serwer wynegocjował wersję protokołu TLS starszą niż TLS 1.2. Protokoły TLS 1.0 i 1.1 są przestarzałe i nie są już domyślnie oferowane. | Uaktualnij serwery tak, aby negocjowały protokół TLS 1.3, gdy tylko jest to możliwe (co najmniej TLS 1.2). |
Warning [ATS Violation]: ATS certificate trust requirement not satisfied for server: www.example.com | Certyfikat serwera nie przeszedł domyślnej weryfikacji zaufania, ponieważ nie spełniał minimalnych wymagań określonych tutaj. | Uaktualnij certyfikat serwera tak, aby spełniał te wymagania. Jeśli certyfikat znajduje się w certyfikatach zakotwiczonych profilu automatycznej rejestracji, wówczas działania naprawcze nie są wymagane. |
Warning [ATS violation]: RSA key size [n] bits is less than minimum 2048 bits for server: www.example.com | Certyfikat serwera został podpisany kluczem RSA mniejszym niż 2048 bitów. | Uaktualnij certyfikat serwera tak, aby spełniał te wymagania. |
Warning [ATS violation]: ECDSA key size [n] bits is less than minimum 256 bits for server: www.example.com | Certyfikat serwera został podpisany kluczem ECDSA mniejszym niż 256 bitów. | |
Warning [ATS violation]: Leaf certificate hash algorithm (n) is not at least SHA-256 for server: www.example.com | Certyfikat serwera nie używał algorytmu skrótu z rodziny Secure Hash Algorithm 2 (SHA-2) o długości skrótu co najmniej 256 bitów. | |
Warning [ATS violation]: Did not use TLS when opening connection for server: www.example.com | Użyto nieszyfrowanego protokołu HTTP zamiast HTTPS. | Uaktualnij serwer tak, aby obsługiwał protokół HTTPS. |
Warning [ATS FCPv2.1 violation]: Signature algorithm rsa_pkcs15_sha1 negotiated by server: www.example.com | Serwer wybrał rsa_pkcs1_sha1 jako algorytm podpisu (signature_algorithm). | Uaktualnij konfigurację tak, aby preferowała nowoczesne algorytmy podpisu. |
Warning [ATS FCPv2.1 violation]: Server certificate signed using signature algorithm [signature algorithm] not advertised in ClientHello for server: www.example.com | Certyfikat serwera został podpisany algorytmem, którego klient nie zadeklarował w komunikacie ClientHello. | Uaktualnij certyfikat serwera tak, aby był podpisany algorytmem podpisu, który ma przypisany kod TLS (TLS codepoint) i nie jest rsa_pkcs1_sha1. |
Warning [ATS FCPv2.1 violation]: TLS 1.2 negotiated without extended master secret (EMS) for server: www.example.com | Serwer wynegocjował protokół TLS 1.2, ale nie wynegocjował rozszerzenia extended master secret (EMS). | Uaktualnij serwery tak, aby korzystały z protokołu TLS 1.3 lub — w przypadku TLS 1.2 — przynajmniej zapewnij negocjowanie rozszerzenia extended master secret (EMS). |
Weryfikacja poszczególnych serwerów
Po zidentyfikowaniu niezgodnych serwerów podczas audytu możesz przetestować je indywidualnie, aby zweryfikować konkretne naruszenia lub potwierdzić skuteczność działań naprawczych.
Uruchom następujące polecenie, zastępując „https://example.com:8000” adresem swojego serwera lub punktu końcowego.
nscurl --ats-diagnostics https://example.com:8000/
To polecenie sprawdza, czy serwer spełnia wymagania różnych kombinacji zasad ATS. Sprawdź wynik testu dla ATS z włączonym trybem FCP_v2.1:
Configuring NIAP TLS package version requirements
---
FCP_v2.1
Result : PASS
---
Jeśli wynik (Result) to „PASS”, serwer spełnia wszystkie wymagania.
Dowiedz się więcej o identyfikowaniu źródła zablokowanych połączeń
Działania naprawcze
Współpracuj z właścicielami serwerów, których dotyczy problem, aby uaktualnić ich konfiguracje TLS. Właścicielami serwerów mogą być podmioty wewnętrzne, usługa zarządzania urządzeniami lub zewnętrzny dostawca.
Kontaktując się z właścicielem serwera w celu wdrożenia działań naprawczych, przekaż ten artykuł oraz konkretne komunikaty ostrzegawcze, które zaobserwowano.
Działania naprawcze mogą obejmować:
Uaktualnienie serwerów tak aby obsługiwały protokół TLS 1.2 lub nowszy (zalecany jest TLS 1.3).
Serwery obsługujące wyłącznie protokół TLS 1.2 muszą co najmniej obsługiwać algorytmy wymiany kluczy zapewniające Perfect Forward Secrecy (ECDHE), pakiety kryptograficzne AEAD oparte na AES-GCM z funkcjami SHA-256, SHA-384 lub SHA-512 oraz rozszerzenie extended master secret (RFC 7627).
Uaktualnij certyfikaty tak, aby spełniały wymagania ATS dotyczące rozmiaru klucza, algorytmu podpisu i ważności.
Materiały dodatkowe
Aby uzyskać dalszą pomoc, skontaktuj się z menedżerem klienta lub wsparciem korporacyjnym AppleCare.