Подготовка сетевой среды к новым требованиям безопасности
Операционные системы Apple переходят на более безопасные сетевые протоколы для системных процессов. Проверьте, соответствуют ли ваши серверные подключения новым требованиям.
Эта статья предназначена для IT-администраторов и разработчиков сервисов управления устройствами.
Начиная со следующей основной версии, операционные системы Apple (iOS, iPadOS, macOS, watchOS, tvOS и visionOS) могут отклонять подключения к серверам, у которых конфигурации TLS устарели или не соответствуют новым требованиям к сетевой безопасности.
Проверьте среду, чтобы выявить серверы, не соответствующие этим требованиям. Обновление конфигураций серверов в соответствии с этими требованиями может занять значительное время, особенно если серверы обслуживаются сторонними поставщиками.
Влияние на подключения и требования к конфигурации
Новые требования распространяются на сетевые подключения, непосредственно задействованные в следующих процессах:
Управление мобильными устройствами (MDM)
Декларативное управление устройствами (DDM)
Автоматическая регистрация устройств
Установка профилей конфигурации
Установка приложений, в том числе распространение корпоративных приложений
Обновления программного обеспечения
Исключения: сетевые подключения к серверу SCEP (при установке профиля конфигурации или разрешении актива DDM) и к серверам (даже при запросе активов, связанных с установкой приложения или обновлениями программного обеспечения) не затрагивается.
Требования. Серверы должны поддерживать протокол TLS 1.2 или более поздней версии, использовать наборы шифров, совместимые с ATS, и предоставлять действительные сертификаты, соответствующие стандартам ATS. Подробные требования к сетевой безопасности см. в документации для разработчиков:
Проверка среды на наличие несоответствующих требованиям подключений
С помощью тестовых устройств выявите в среде подключения к серверам, которые не соответствуют новым требованиям TLS.
Планирование объема тестирования
Различные конфигурации устройств могут подключаться к разным серверам. Для максимально полной проверки протестируйте все конфигурации, используемые в вашей среде.
Среда: рабочая, промежуточная, тестовая
Тип устройства: iPhone, iPad, Mac, Apple Watch, Apple TV, Apple Vision Pro
Роль: группа пользователей (отдел продаж, технический отдел, бухгалтерия), устройство в режиме киоска, общее устройство
Тип регистрации: автоматическая регистрация устройства, регистрация по учетной записи, регистрация устройства по профилю, общий iPad
Выполните указанные этапы проверки для каждой конфигурации, которая подключается к разным серверам.
Установка профиля журнала сетевой диагностики
Скачайте и установите профиль журнала сетевой диагностики на тестовое устройство под управлением iOS 26.4, iPadOS 26.4, macOS 26.4, watchOS 26.4, tvOS 26.4 или visionOS 26.4 либо более поздней версии, чтобы включить ведение журнала. После установки профиля перезапустите тестовое устройство.
Чтобы события в журнале содержали все детали, необходимые для выявления несоответствующих требованиям подключений, этот профиль должен быть установлен до начала любого тестирования. Если вы тестируете автоматическую регистрацию устройств на iPhone или iPad, используйте Apple Configurator для Mac, чтобы установить профиль до того, как на устройстве появится панель «Управление устройствами» в Ассистенте настройки.
Выполнение стандартных рабочих процессов
Используйте тестовое устройство в обычном для вашей среды режиме. Зарегистрируйте его в сервисе управления устройствами, установите приложения и профили, а также выполните любые другие рабочие процессы, требующие подключения к серверам вашей организации.
Цель — запустить сетевой трафик ко всем серверам, которые могут подпадать под новые требования к TLS.
Сбор данных sysdiagnose
После запуска рабочих процессов соберите данные sysdiagnose с тестового устройства. Этот архив диагностики содержит события журнала, необходимые для выявления несоответствующих требованиям подключений.
Инструкции по сбору данных sysdiagnose для конкретных устройств
Проверка журналов
Перенесите sysdiagnose на Mac и распакуйте файл .tar.gz. С помощью приложения «Терминал» перейдите в каталог верхнего уровня распакованного архива sysdiagnose и отфильтруйте нужные события журналов, выполнив следующую команду:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
Каждое событие журнала содержит три ключевых параметра.
Домен: домен сервера для данного события подключения.
Процесс: процесс, установивший подключение. С его помощью можно определить цель сетевого подключения к этому домену.
Предупреждение: ограничение, которое было нарушено при подключении, и описание несоответствия сервера требованиям (одно подключение может вызвать несколько предупреждений, если сервер не соответствует нескольким требованиям).
Анализ журналов предупреждений
Ниже приведены сообщения журналов, которые указывают на несоответствие серверов новым стандартам TLS. Нарушения классифицируются как общие нарушения политики ATS ("Warning [ATS Violation]") либо конкретные нарушения стандарта FCP v2.1 ("Warning [ATS FCPv2.1 violation]").
Если эти журналы инициированы процессом при подключении к серверу вашей организации, то такие серверы необходимо обновить в соответствии с новыми требованиями.
Сообщение журнала | Значение | Решение |
|---|---|---|
Warning [ATS violation]: Ciphersuite([negotiated ciphersuite]) not offered in ATS negotiated for server: www.example.com | Сервер согласовал набор шифров без поддержки PFS, который не поддерживается, когда клиент применяет политики ATS. | Серверы должны поддерживать наборы шифров с PFS (любой набор шифров TLS 1.3 и наборы шифров TLS 1.2 с использованием ECDHE). |
Warning [ATS violation]: TLS version <1.2 negotiated for server: www.example.com | Сервер согласовал более раннюю версию TLS, чем TLS 1.2. Протоколы TLS 1.0 и 1.1 устарели и уже отключены по умолчанию. | Обновите серверы для поддержки TLS 1.3 во всех возможных случаях (минимально допустимая версия — TLS 1.2). |
Warning [ATS Violation]: ATS certificate trust requirement not satisfied for server: www.example.com | Сертификат сервера не прошел стандартную оценку доверия, так как не соответствует минимальным требованиям, изложенным здесь. | Обновите сертификат сервера в соответствии с этими требованиями. Если сертификат входит в число корневых сертификатов профиля автоматической регистрации, то исправление не требуется. |
Warning [ATS violation]: RSA key size [n] bits is less than minimum 2048 bits for server: www.example.com | Сертификат сервера был подписан ключом RSA размером менее 2048 бит. | Обновите сертификат сервера в соответствии с этими требованиями. |
Warning [ATS violation]: ECDSA key size [n] bits is less than minimum 256 bits for server: www.example.com | Сертификат сервера был подписан ключом ECDSA размером менее 256 бит. | |
Warning [ATS violation]: Leaf certificate hash algorithm (n) is not at least SHA-256 for server: www.example.com | Сертификат сервера не использует алгоритм хеширования SHA-2 (Secure Hash Algorithm 2) с длиной дайджеста не менее 256 бит. | |
Warning [ATS violation]: Did not use TLS when opening connection for server: www.example.com | Использовался незащищенный протокол HTTP вместо HTTPS. | Обновите сервер для поддержки HTTPS. |
Warning [ATS FCPv2.1 violation]: Signature algorithm rsa_pkcs15_sha1 negotiated by server: www.example.com | Сервер выбрал rsa_pkcs15_sha1 в качестве алгоритма подписи. | Обновите конфигурацию, чтобы установить приоритет для актуальных алгоритмов подписи. |
Warning [ATS FCPv2.1 violation]: Server certificate signed using signature algorithm [signature algorithm] not advertised in ClientHello for server: www.example.com | Сертификат сервера был подписан с использованием алгоритма, который не был заявлен в ClientHello. | Обновите сертификат сервера, чтобы он был подписан с использованием алгоритма с кодовой точкой TLS; rsa_pkcs15_sha1 не принимается. |
Warning [ATS FCPv2.1 violation]: TLS 1.2 negotiated without extended master secret (EMS) for server: www.example.com | Сервер согласовал протокол TLS 1.2, но не согласовал расширение Extended Master Secret (EMS). | Обновите серверы для использования протокола TLS 1.3 или хотя бы обновите конфигурацию TLS 1.2 для согласования EMS. |
Проверка отдельных серверов
После выявления несоответствующих серверов в ходе проверки вы можете протестировать их по отдельности, чтобы подтвердить наличие конкретных нарушений или убедиться в успешном решении проблем.
Выполните следующую команду, заменив «https://example.com:8000» на адрес вашего сервера или конечной точки.
nscurl --ats-diagnostics https://example.com:8000/
Эта команда проверяет, соответствует ли сервер требованиям для различных комбинаций политик ATS. Просмотрите результаты тестирования с использованием ATS при включенном режиме FCP_v2.1:
Настройка требований к версии пакета NIAP TLS
---
FCP_v2.1
Результат: PASS
---
Результат «PASS» подтверждает соответствие сервера всем требованиям.
Подробнее об определении источника заблокированных подключений
Решение
Свяжитесь с владельцами затронутых серверов, чтобы обновить их конфигурации TLS. Владельцами серверов могут быть ваши внутренние подразделения, сервис управления устройствами (MDM) или сторонний поставщик.
Когда вы будете связываться с владельцем сервера относительно исправления проблем, поделитесь этой статьей и укажите конкретные сообщения о предупреждениях, которые вы зафиксировали.
Ниже приведены варианты решения.
Обновите серверы для поддержки TLS 1.2 или более поздней версии (рекомендуется TLS 1.3).
Серверы, поддерживающие только TLS 1.2, должны как минимум поддерживать алгоритмы обмена ключами, обеспечивающие совершенную прямую секретность (ECDHE), наборы шифров AEAD на базе AES-GCM с использованием алгоритмов SHA-256, SHA-384 или SHA-512, а также расширение Extended Master Secret (RFC 7627).
Обновите сертификаты в соответствии с требованиями ATS к размеру ключа, алгоритму подписи и сроку действия.
Дополнительные ресурсы
Подробнее о предотвращении небезопасных сетевых подключений и App Transport Security
Для получения дополнительной помощи обратитесь к своему менеджеру по работе с клиентами или в службу поддержки корпоративных клиентов AppleCare.