Pregătirea mediului de rețea pentru cerințe de securitate mai stricte
Sistemele de operare Apple vor necesita o securitate de rețea mai strictă pentru procesele de sistem. Verifică dacă conexiunile la server îndeplinesc noile cerințe.
Acest articol este destinat administratorilor IT și dezvoltatorilor de servicii de gestionare a dispozitivelor.
Începând cu următoarea lansare majoră de software, este posibil ca sistemele de operare Apple (iOS, iPadOS, macOS, watchOS, tvOS și visionOS) să refuze conexiunile către servere cu configurații TLS învechite sau neconforme, din cauza cerințelor suplimentare de securitate a rețelei.
Ar trebui să auditezi mediul IT pentru a identifica serverele care nu îndeplinesc aceste cerințe. Actualizarea configurațiilor serverelor pentru a respecta aceste cerințe poate necesita timp considerabil, mai ales pentru serverele întreținute de furnizori externi.
Conexiunile afectate și cerințele de configurare
Noile cerințe se aplică conexiunilor de rețea implicate direct în următoarele activități:
Gestionarea dispozitivelor mobile (MDM)
Gestionarea declarativă a dispozitivelor (DDM)
Înrolarea automată a dispozitivelor
Instalarea profilului de configurare
Instalarea aplicațiilor, inclusiv distribuirea aplicațiilor de întreprindere
Actualizări de software
Excepții: Conexiunile de rețea către un server SCEP (în timpul instalării unui profil de configurare sau rezolvării unui activ DDM) și serverele de memorare a conținutului în cache (chiar și atunci când se solicită active legate de instalarea aplicațiilor sau actualizările software) nu sunt afectate.
Cerințe: Serverele trebuie să fie compatibile cu TLS 1.2 sau o versiune ulterioară, să utilizeze suite de cifrare, conforme cu ATS și să prezinte certificate valide care să îndeplinească standardele ATS. Pentru cerințe complete de securitate a rețelei, consultă documentația pentru dezvoltatori:
Auditarea mediului pentru identificarea conexiunilor neconforme
Utilizează dispozitive de testare pentru a identifica conexiunile la server din mediul tău, care nu îndeplinesc noile cerințe TLS.
Planificarea acoperirii testului
Configurații diferite ale dispozitivelor s-ar putea conecta la servere diferite. Pentru a te asigura că auditul are o acoperire completă, testează toate configurațiile care se aplică mediului tău.
Mediu: producție, pregătire, testare
Tip dispozitiv: iPhone, iPad, Mac, Apple Watch, Apple TV, Apple Vision Pro
Rol: grup de utilizatori (vânzări, inginerie, contabilitate), dispozitiv chioșc, dispozitiv partajat
Tip de înrolare: înrolare automată a dispozitivelor, înrolare bazată pe cont, înrolare prin profil, iPad partajat
Repetă următorii pași de audit pentru fiecare configurație care se conectează la servere diferite.
Instalarea profilului de logare pentru diagnosticarea rețelei
Descarcă și instalează Profilul de logare pentru diagnosticarea rețelei pe un dispozitiv de testare reprezentativ care rulează iOS 26.4, iPadOS 26.4, macOS 26.4, watchOS 26.4, tvOS 26.4 sau visionOS 26.4 sau o versiune ulterioară, pentru a permite jurnalizarea. După instalarea profilului, repornește dispozitivul de test.
Pentru a te asigura că evenimentele din jurnal conțin detaliile necesare pentru identificarea conexiunilor neconforme, trebuie să instalezi acest profil înainte de a efectua orice testare. Dacă testezi înrolarea automată a dispozitivelor pe un iPhone sau iPad, utilizează Apple Configurator pentru Mac pentru a instala profilul înainte ca dispozitivul să ajungă la panoul de gestionare a dispozitivelor din asistentul de configurare.
Rularea fluxurilor de lucru obișnuite
Utilizează dispozitivul de testare așa cum ai face în mod obișnuit în mediul tău. Înrolează-l în managementul dispozitivelor, instalează aplicații și profiluri și efectuează orice alte fluxuri de lucru care se conectează la serverele organizației tale.
Scopul este de a genera trafic de rețea către toate serverele care ar putea fi afectate de noile cerințe TLS.
Colectarea unei sysdiagnose
După rularea fluxurilor de lucru, colectează o sysdiagnose de pe dispozitivul de testare. Această arhivă de diagnosticare conține evenimentele din jurnal de care ai nevoie pentru a identifica conexiunile neconforme.
Instrucțiuni specifice fiecărui dispozitiv pentru colectarea unei sysdiagnose
Revizuirea jurnalelor
Transferă fișierul sysdiagnose pe un Mac și extrage fișierul .tar.gz. Folosind Terminalul, navighează către directorul principal din interiorul sysdiagnose-ului dezarhivat și filtrează evenimentele relevante din jurnal cu această comandă:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
Fiecare eveniment de jurnal include trei detalii cheie:
Domeniu: domeniul serverului implicat în acest eveniment de conexiune.
Proces: procesul care a efectuat conexiunea, ceea ce te ajută să determini scopul conexiunii de rețea către domeniul respectiv.
Avertisment: restricția care a fost încălcată de conexiune și modul în care serverul este neconform (o singură conexiune poate emite mai multe avertismente dacă serverul nu îndeplinește mai multe cerințe).
Interpretarea jurnalelor de avertizare
Următoarele mesaje de jurnal indică serverele care nu îndeplinesc noile cerințe TLS. Încălcările sunt marcate fie ca încălcări generale ale politicii ATS („Avertisment [Încălcare ATS]”) sau încălcări ale standardului specific FCP v2.1 („Avertisment [Încălcare ATS FCPv2.1]”).
Dacă aceste jurnale sunt emise de un proces care se conectează la un server specific companiei tale, atunci serverele respective trebuie actualizate pentru a îndeplini noile cerințe.
Mesaj de jurnal | Semnificație | Remedierea |
|---|---|---|
Warning [ATS violation]: Ciphersuite([negotiated ciphersuite]) not offered in ATS negotiated for server: www.example.com | Serverul a negociat o suită de cifrare non-PFS, care nu este oferită atunci când clientul impune protocolul ATS. | Serverele trebuie să accepte suitele de cifrare de tip PFS (orice suită TLS 1.3 și suitele TLS 1.2 cu ECDHE). |
Warning [ATS violation]: TLS version <1.2 negotiated for server: www.example.com | Serverul a negociat o versiune TLS mai veche de TLS 1.2. TLS 1.0/1.1 sunt vechi și nu mai sunt oferite în mod implicit. | Actualizează serverele pentru a negocia TLS 1.3 ori de câte ori este posibil (minimum TLS 1.2). |
Warning [ATS Violation]: ATS certificate trust requirement not satisfied for server: www.example.com | Certificatul serverului nu a trecut evaluarea implicită a încrederii serverului, deoarece nu a îndeplinit cerințele minime prezentate aici. | Actualizează certificatul serverului pentru a îndeplini aceste cerințe. Dacă certificatul se află în certificatele ancoră ale profilelor de auto-înrolare, atunci nu este necesară nicio remediere. |
Warning [ATS violation]: RSA key size [n] bits is less than minimum 2048 bits for server: www.example.com | Certificatul serverului a fost semnat cu o cheie RSA mai mică de 2048 biți. | Actualizează certificatul serverului pentru a îndeplini aceste cerințe. |
Warning [ATS violation]: ECDSA key size [n] bits is less than minimum 256 bits for server: www.example.com | Certificatul serverului a fost semnat cu o cheie ECDSA mai mică de 256 de biți | |
Warning [ATS violation]: Leaf certificate hash algorithm (n) is not at least SHA-256 for server: www.example.com | Certificatul serverului nu a utilizat un algoritm Secure Hash Algorithm (SHA-2) cu o lungime a rezumatului (digest) de cel puțin 256 de biți. | |
Warning [ATS violation]: Did not use TLS when opening connection for server: www.example.com | S-a utilizat protocolul HTTP în text clar (plaintext) în locul HTTPS. | Actualizează serverul pentru a accepta HTTPS. |
Warning [ATS FCPv2.1 violation]: Signature algorithm rsa_pkcs15_sha1 negotiated by server: www.example.com | Serverul a ales rsa_pkcs15_sha1 ca algoritm de semnătură. | Actualizează configurația pentru a prefera algoritmi moderni de semnătură. |
Warning [ATS FCPv2.1 violation]: Server certificate signed using signature algorithm [signature algorithm] not advertised in ClientHello for server: www.example.com | Certificatul serverului a fost semnat folosind un algoritm de semnătură care nu a fost anunțat în ClientHello. | Actualizează certificatul serverului pentru a fi semnat folosind un algoritm de semnătură care are un cod de identificare TLS și care nu este rsa_pkcs15_sha1. |
Warning [ATS FCPv2.1 violation]: TLS 1.2 negotiated without extended master secret (EMS) for server: www.example.com | Serverul a negociat TLS 1.2 și nu a negociat extensia EMS. | Actualizează serverele pentru a utiliza TLS 1.3 sau, cel puțin, actualizează configurația TLS 1.2 a acestora pentru a negocia extensia EMS. |
Validarea serverelor individuale
După identificarea serverelor neconforme în cadrul auditului, le poți testa individual pentru a verifica anumite încălcări sau pentru a confirma că remedierea a reușit.
Execută următoarea comandă, înlocuind „https://example.com:8000” cu serverul tău sau punctul final.
nscurl --ats-diagnostics https://example.com:8000/
Această comandă testează dacă serverul îndeplinește cerințele pentru diverse configurații de politici ATS. Caută rezultatul testului utilizând ATS cu modul FCP_v2.1 activat:
Configuring NIAP TLS package version requirements
---
FCP_v2.1
Result: PASS
---
Dacă rezultatul este „PASS”, serverul îndeplinește toate cerințele.
Află mai multe despre identificarea sursei conexiunilor blocate
Remedierea
Colaborează cu proprietarii serverelor afectate pentru a le actualiza configurațiile TLS. Proprietarii serverelor pot fi echipe interne, serviciul tău de gestionare a dispozitivelor sau un furnizor extern.
Atunci când contactezi proprietarul unui server pentru remediere, partajează acest articol și mesajele de avertizare specifice pe care le-ai identificat.
Măsurile de remediere pot include următoarele:
Actualizarea serverelor pentru a accepta TLS 1.2 sau o versiune ulterioară (se recomandă TLS 1.3).
Pentru serverele care acceptă doar TLS 1.2, acestea trebuie să accepte cel puțin: algoritmi de schimb de chei care oferă Perfect Forward Secrecy (ECDHE), suite de cifrare AEAD bazate pe AES-GCM cu SHA-256, SHA-384 sau SHA-512, extensia extended master secret (RFC 7627).
Actualizarea certificatelor pentru a îndeplini cerințele ATS privind dimensiunea cheii, algoritmul de semnătură și perioada de valabilitate.
Resurse suplimentare
Contactează-ți managerul de succes al clienților sau Asistența AppleCare pentru companii pentru a obține asistență suplimentară.