Preparar o ambiente de rede para requisitos de segurança mais rígidos
Os sistemas operacionais da Apple terão requisitos de segurança de rede mais rígidos para processos do sistema. Verifique se as conexões do servidor atendem aos novos requisitos.
Este artigo destina-se a administradores de TI e desenvolvedores de serviços de gerenciamento de dispositivos.
Com início no próximo grande lançamento do software, os sistemas operacionais da Apple (iOS, iPadOS, macOS, watchOS, tvOS e visionOS) poderão recusar conexões com servidores que tenham configurações TLS desatualizadas ou incompatíveis devido a requisitos adicionais de segurança de rede.
Você deve auditar o ambiente para identificar os servidores que não atendem a esses requisitos. Atualizar as configurações do servidor para atender a esses requisitos pode exigir muito tempo, especialmente no caso de servidores mantidos por fornecedores externos.
Conexões afetadas e requisitos de configuração
Os novos requisitos se aplicam a conexões de rede diretamente envolvidas nas seguintes atividades:
Gerenciamento de dispositivos móveis (MDM)
Gerenciamento de dispositivos declarativos (DDM)
Registro automatizado de dispositivos
Instalação de perfil de configuração
Instalação de apps, incluindo distribuição de apps empresariais
Atualizações de software
Exceções: as conexões de rede a um servidor SCEP (durante a instalação de um perfil de configuração ou a resolução de um ativo DDM) e a servidores de armazenamento de conteúdo em cache (mesmo ao solicitar ativos relacionados à instalação de apps ou atualizações de software) não são afetadas.
Requisitos: os servidores devem ser compatíveis com TLS 1.2 ou posterior, usar conjuntos de criptografias compatíveis com ATS e apresentar certificados válidos que atendam aos padrões ATS. Confira os requisitos completos de segurança de rede na documentação do desenvolvedor:
Auditar o ambiente em busca de conexões não compatíveis
Use dispositivos de teste para identificar as conexões de servidor no ambiente que não atendem aos novos requisitos de TLS.
Planejar a cobertura de testes
As diferentes configurações de dispositivos podem conectar a servidores diferentes. Para garantir que a auditoria tenha cobertura completa, teste todas as configurações que se aplicam ao seu ambiente.
Ambiente: produção, ensaio, teste
Tipo de dispositivo: iPhone, iPad, Mac, Apple Watch, Apple TV e Apple Vision Pro
Função: grupo de usuários (vendas, engenharia, contabilidade), dispositivo de quiosque, dispositivo compartilhado
Tipo de registro: registro automatizado de dispositivos, registro orientado por conta, registro orientado por perfil, iPad compartilhado
Repita as seguintes etapas de auditoria para cada configuração que se conecta a servidores diferentes.
Instalar o Perfil de registro de diagnóstico de rede
Baixe e instale o Perfil de registro de diagnóstico de rede em um dispositivo de teste representativo executando iOS 26.4, iPadOS 26.4, macOS 26.4, watchOS 26.4, tvOS 26.4 ou visionOS 26.4 ou posterior para ativar o registro. Depois de instalar o perfil, reinicie o dispositivo de teste.
Para garantir que os eventos de registro contenham as informações necessárias para identificar conexões não compatíveis, esse perfil deverá ser instalado antes de realizar qualquer teste. Se você estiver testando o Registro automatizado de dispositivos em um iPhone ou iPad, use o Apple Configurator para Mac para instalar o perfil antes que o dispositivo chegue ao painel Gerenciamento de dispositivos no Assistente de Configuração.
Executar fluxos de trabalho normais
Use o dispositivo de teste como faria normalmente em seu ambiente. Registre-o no gerenciamento de dispositivos, instale apps e perfis e execute outros fluxos de trabalho que se conectam aos servidores da organização.
O objetivo é gerar tráfego de rede para todos os servidores que podem ser afetados pelos novos requisitos de TLS.
Obter um sysdiagnose
Depois de executar os fluxos de trabalho, obtenha um sysdiagnose do dispositivo de teste. Esse arquivo de diagnóstico contém os eventos de registro necessários para identificar conexões não compatíveis.
Instruções específicas do dispositivo para obter um sysdiagnose
Analisar os registros
Transfira o sysdiagnose para um Mac e expanda o arquivo .tar.gz. Usando o Terminal, navegue até o diretório de nível superior no sysdiagnose expandido e filtre os eventos de registro relevantes com este comando:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
Cada evento de registro inclui três detalhes principais:
Domínio: o domínio do servidor para o evento de conexão.
Processo: o processo que estabeleceu a conexão, o que ajuda a determinar a finalidade da conexão de rede com esse domínio.
Aviso: a restrição que foi violada pela conexão e de que maneira o servidor não está em conformidade (uma única conexão poderá emitir vários avisos se o servidor não atender a vários requisitos).
Como interpretar registros de aviso
As mensagens de registro abaixo indicam os servidores que não atendem aos novos requisitos de TLS. As violações são marcadas como violações gerais da política ATS ("Aviso [Violação ATS]") ou violações específicas do padrão FCP 2.1 ("Aviso [Violação ATS FCPv2.1]").
Se esses registros forem gerados por um processo que se conecta a um servidor específico da empresa, esses servidores deverão ser atualizados para atender aos novos requisitos.
Mensagem de registro | Significado | Correção |
|---|---|---|
Warning [ATS violation]: Ciphersuite([negotiated ciphersuite]) not offered in ATS negotiated for server: www.example.com | O servidor negociou um conjunto de criptografia não PFS que não é oferecido quando o cliente aplica o ATS. | Os servidores devem ser compatíveis com conjuntos de cifras PFS (qualquer conjunto de cifras TLS 1.3 e TLS 1.2 com ECDHE). |
Warning [ATS violation]: TLS version <1.2 negotiated for server: www.example.com | O servidor negociou uma versão do TLS anterior ao TLS 1.2. Os TLS 1.0/1.1 estão obsoletos e não são mais oferecidos por padrão. | Atualize os servidores para negociar o TLS 1.3 sempre que possível (no mínimo, o TLS 1.2). |
Warning [ATS Violation]: ATS certificate trust requirement not satisfied for server: www.example.com | O certificado do servidor não passou na avaliação de confiança padrão do servidor porque não atendeu aos requisitos mínimos descritos aqui. | Atualize o certificado do servidor para atender a esses requisitos. Se o certificado estiver nos certificados de a ancoragem de perfil de registro automático, não será necessário remediar. |
Warning [ATS violation]: RSA key size [n] bits is less than minimum 2048 bits for server: www.example.com | O certificado do servidor foi assinado com uma chave RSA menor que 2.048 bits. | Atualize o certificado do servidor para atender a esses requisitos. |
Warning [ATS violation]: ECDSA key size [n] bits is less than minimum 256 bits for server: www.example.com | O certificado do servidor foi assinado por uma chave ECDSA menor que 256 bits | |
Warning [ATS violation]: Leaf certificate hash algorithm (n) is not at least SHA-256 for server: www.example.com | O certificado do servidor não usava um Secure Hash Algorithm 2 (SHA-2) com tamanho assimilado de pelo menos 256 bits. | |
Warning [ATS violation]: Did not use TLS when opening connection for server: www.example.com | HTTP de texto sem formatação foi usado em vez de HTTPS. | Atualize o servidor para ser compatível com HTTPS. |
Warning [ATS FCPv2.1 violation]: Signature algorithm rsa_pkcs15_sha1 negotiated by server: www.example.com | O servidor escolheu rsa_pkcs15_sha1 como signature_algorithm. | Atualize a configuração para preferir algoritmos de assinatura modernos. |
Warning [ATS FCPv2.1 violation]: Server certificate signed using signature algorithm [signature algorithm] not advertised in ClientHello for server: www.example.com | O certificado do servidor foi assinado usando um algoritmo de assinatura não anunciado no ClientHello. | Atualize o certificado do servidor para ser assinado usando um algoritmo de assinatura que tenha um ponto de codificação TLS e não seja rsa_pkcs15_sha1. |
Warning [ATS FCPv2.1 violation]: TLS 1.2 negotiated without extended master secret (EMS) for server: www.example.com | O servidor negociou o TLS 1.2 e não negociou a extensão de segredo mestre estendido (EMS). | Atualize os servidores para usar o TLS 1.3 ou, no mínimo, atualize a configuração do TLS 1.2 para negociar o EMS. |
Validar servidores individuais
Depois de identificar servidores não compatíveis na auditoria, você poderá testá-los individualmente para verificar se há violações específicas ou confirmar se a correção foi bem-sucedida.
Execute o seguinte comando, substituindo "https://example.com:8000" pelo servidor ou ponto de extremidade.
nscurl --ats-diagnostics https://example.com:8000/
Esse comando testa se o servidor atende aos requisitos de várias combinações de políticas ATS. Procure o resultado do teste usando o ATS com o modo FCP_v2.1 ativado:
Como configurar os requisitos de versão do pacote TLS NIAP
---
FCP 2.1
Result : PASS
---
Caso o resultado seja "PASS" (APROVADO), significa que o servidor atende a todos os requisitos.
Saiba mais sobre como identificar a origem das conexões bloqueadas
Correção
Entre em contato com os proprietários dos servidores afetados para atualizar as configurações de TLS. Os proprietários de servidores podem ser internos, do serviço de gerenciamento de dispositivos ou de um fornecedor terceirizado.
Ao entrar em contato com o proprietário de um servidor para obter uma correção, compartilhe este artigo e as mensagens de aviso específicas que você observou.
As correções podem incluir:
Atualizar os servidores para compatibilidade com TLS 1.2 ou posterior (o TLS 1.3 é recomendado)
No caso de servidores compatíveis apenas com TLS 1.2, eles devem oferecer suporte mínimo a algoritmos de troca de chaves que fornecem Perfect Forward Secrecy (ECDHE), conjuntos de criptografia AEAD baseados em AES-GCM com SHA-256, SHA-384 ou SHA-512 e extensão de segredo mestre estendido (RFC 7627).
Atualize os certificados para atender aos requisitos do ATS em relação ao tamanho da chave, algoritmo de assinatura e validade.
Recursos adicionais
Saiba mais sobre como impedir conexões de rede inseguras e App Transport Security
Entre em contato com o gerente de sucesso do cliente ou com o suporte empresarial do AppleCare para obter mais ajuda.