Używanie wbudowanych zabezpieczeń sieciowych na urządzeniach Apple
Urządzenia Apple zawierają wbudowane technologie zabezpieczeń sieciowych, które pozwalają na uwierzytelnianie użytkowników i pomagają chronić ich dane podczas przesyłania. Zabezpieczenia sieciowe urządzeń Apple obsługują między innymi:
Wbudowane protokoły IPsec, IKEv2, L2TP
Własne rozwiązania VPN przy użyciu aplikacji z App Store (iOS, iPadOS, visionOS)
Własny VPN przy użyciu klientów VPN innych firm (macOS)
Transport Layer Security (TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3) oraz DTLS
SSL/TLS z certyfikatami X.509
WPA/WPA2/WPA3 Enterprise z 802.1X
Uwierzytelnianie oparte na certyfikatach
Hasło współdzielone i uwierzytelnianie Kerberos
RSA SecurID, CRYPTOCard (macOS)
Przekaźniki sieci w systemach iOS, iPadOS, macOS i tvOS
Wbudowany przekaźnik na urządzeniach z systemem iOS 17, iPadOS 17, macOS 14, tvOS 17 lub nowszym może być używany do zabezpieczania ruchu przy użyciu szyfrowanego połączenia HTTP/3 lub HTTP/2 jako alternatywa dla sieci VPN. Przekaźnik sieciowy to specjalny rodzaj serwera proxy, zoptymalizowany pod kątem wydajności, używający najnowszych protokołów przesyłania danych i zabezpieczeń. Za jego pomocą można zabezpieczać ruch sieciowy TCP i UDP danej aplikacji, całego urządzenia oraz podczas uzyskiwania dostępu do zasobów wewnętrznych. Równolegle może być używanych wiele przekaźników sieciowych, w tym usługa Przekazywanie prywatne iCloud — bez konieczności korzystania z dodatkowych aplikacji. Aby uzyskać więcej informacji, zobacz: Używanie przekaźników sieciowych.
VPN oraz IPsec
Wiele środowisk korporacyjnych korzysta z jakiejś formy wirtualnej sieci prywatnej (VPN). Urządzenia Apple integrują się z większością popularnych technologii VPN, więc współpraca tych usług z urządzeniami Apple wymaga zwykle minimalnej konfiguracji.
Systemy iOS, iPadOS, macOS, tvOS, watchOS i visionOS obsługują protokoły IPsec i metody uwierzytelniania. Aby uzyskać więcej informacji, zobacz: Omówienie VPN.
TLS
Protokół szyfrowania SSL 3 oraz zestaw szyfrów symetrycznych RC4 uznane zostały w systemach iOS 10 i macOS 10.12 za przestarzałe. Domyślnie klienty TLS oraz serwery z zaimplementowanymi API Secure Transport nie mają włączonych zestawów szyfrów RC4. Z tego powodu nie mogą nawiązać połączenia, gdy jedynym dostępnym zestawem szyfrów jest RC4. W celu zwiększenia bezpieczeństwa usługi oraz aplikacje wymagające RC4 powinny zostać uaktualnione, aby obsługiwały zestawy szyfrów.
Dodatkowe ulepszenia bezpieczeństwa:
Wymagane podpisywanie połączeń SMB (macOS)
Mac z systemem macOS 10.12 lub nowszym obsługuje AES jako metodę szyfrowania podczas korzystania z NFS używającego protokołu Kerberos (macOS)
Transport Layer Security (TLS 1.2, TLS 1.3)
TLS 1.2 obsługuje AES 128 oraz SHA‑2
SSL 3 (iOS, iPadOS, visionOS)
DTLS (macOS)
Protokoły te używane są przez Safari, Kalendarz, Poczta i inne aplikacje korzystające z Internetu, aby zapewniać szyfrowany kanał komunikacji między systemem iOS, iPadOS, macOS oraz visionOS i usługami korporacyjnymi.
Możesz także określić minimalną i maksymalną wersję protokołu TLS dla pakietu danych sieci 802.1X z EAP‑TLS, EAP‑TTLS, PEAP i EAP‑FAST. Na przykład, możesz:
ustawić obie wartości na tę samą, określoną wersję protokołu TLS,
ustawić minimalną wersję protokołu TLS na niższą wartość, a maksymalną wersję tego protokołu na wyższą wartość — będą one używane podczas negocjacji z serwerem RADIUS,
nie podawać żadnej wartości, co pozwoli klientowi 802.1X na dowolne negocjowanie z serwerem RADIUS wersji protokołu TLS.
Systemy iOS, iPadOS, macOS oraz visionOS wymagają, aby certyfikat liść serwera był podpisany przy użyciu algorytmów SHA‑2 i klucza RSA o długości co najmniej 2048 bitów lub klucza ECC o długości co najmniej 256 bitów.
Na urządzeniach z systemem iOS 11, iPadOS 13.1, macOS 10.13, visionOS 1.1 lub nowszym dodana została obsługa TLS 1.2 w uwierzytelnieniu 802.1X. Serwery uwierzytelniające obsługujące standard TLS 1.2 mogą wymagać następujących uaktualnień zwiększających zgodność:
Cisco: ISE 2.3.0
FreeRADIUS: Uaktualnij do wersji 2.2.10 i 3.0.16.
Aruba ClearPass: Uaktualnij do wersji 6.6.x.
ArubaOS: Uaktualnij do wersji 6.5.3.4.
Microsoft: Windows Server 2012 - Network Policy Server.
Microsoft: Windows Server 2016 - Network Policy Server.
Aby uzyskać więcej informacji na temat sieci 802.1X, zobacz: Przyłączanie urządzeń Apple do sieci 802.1X.
WPA2/WPA3
Wszystkie platformy Apple obsługują uznane standardy uwierzytelniania Wi-Fi oraz protokoły szyfrowania, zapewniając uwierzytelniany dostęp i poufność połączeń z sieciami bezprzewodowymi.
WPA2 Personal
WPA2 Enterprise
WPA2/WPA3 Transitional
WPA3 Personal
WPA3 Enterprise
WPA3 Enterprise z zabezpieczeniem 192-bitowym
Aby zapoznać się z listą protokołów uwierzytelniania bezprzewodowego 802.1X, zobacz: Konfiguracje 802.1X na Macu.
Ukrywanie i blokowanie aplikacji
Na urządzeniach z systemem iOS 18, iPadOS 18 lub nowszym użytkownicy mogą włączyć wymaganie użycia Face ID, Touch ID lub kodu do otwierania aplikacji, a także mogą ukrywać aplikacje na ekranie głównym. Usługa zarządzania urządzeniami może zarządzać dostępnością tych opcji poprzez:
Kontrolowanie możliwości ukrywania i blokowania zarządzanych aplikacji przez użytkownika dla poszczególnych aplikacji
Wyłączenie ukrywania i blokowania wszystkich aplikacji na nadzorowanych urządzeniach
W przypadku urządzeń zarejestrowanych przy użyciu mechanizmu rejestracji przez użytkownika system operacyjny zgłasza ukryte aplikacje do usługi zarządzania urządzeniami tylko wtedy, gdy są one zarządzane. W przypadku urządzeń zarejestrowanych za pośrednictwem programu rejestracji urządzeń system operacyjny zgłasza ukryte aplikacje do usługi zarządzania urządzeniami jako część wszystkich zainstalowanych aplikacji.
Dostęp do sieci lokalnej dla systemu macOS
Na Macu z systemem macOS 15 lub nowszym aplikacje innych firm lub agenty włączane podczas uruchamiania, które chcą wchodzić w interakcje z urządzeniami w sieci lokalnej użytkownika, muszą poprosić o pozwolenie przy pierwszej próbie przeglądania sieci lokalnej.
Podobnie jak w systemach iOS i iPadOS, użytkownicy mogą wybrać kolejno Ustawienia systemowe > Prywatność > Sieć lokalna, aby pozwolić na dostęp lub go odmówić.
Szyfrowanie FaceTime i iMessage
Systemy iOS, iPadOS, macOS i visionOS tworzą jednoznaczny identyfikator dla każdego użytkownika FaceTime i iMessage, co pomaga zapewniać szyfrowanie oraz prawidłowe kierowanie i nawiązywanie transmisji.