Príprava sieťového prostredia na prísnejšie bezpečnostné požiadavky
Operačné systémy Apple budú vyžadovať prísnejšie sieťové zabezpečenie pre systémové procesy. Skontrolujte, či vaše serverové pripojenia spĺňajú nové požiadavky.
Tento článok je určený pre administrátorov IT a vývojárov služieb správy zariadení.
Od nasledujúcich hlavných vydaní softvéru môžu operačné systémy Apple (iOS, iPadOS, macOS, watchOS, tvOS a visionOS) odmietať pripojenia k serverom so zastaranými alebo nevyhovujúcimi konfiguráciami TLS z dôvodu dodatočných požiadaviek na zabezpečenie siete.
Mali by ste vykonať audit svojho prostredia, aby ste identifikovali servery, ktoré nespĺňajú tieto požiadavky. Aktualizácia konfigurácií serverov tak, aby spĺňali tieto požiadavky, môže vyžadovať mnoho času, najmä v prípade serverov udržiavaných externými dodávateľmi.
Ovplyvnené pripojenia a požiadavky na konfiguráciu
Nové požiadavky sa vzťahujú na sieťové pripojenia, ktoré sú priamo zapojené do týchto aktivít:
Správa mobilných zariadení (MDM)
Deklaratívna správa zariadení (DDM)
Automatizovaná registrácia zariadení
Inštalácia konfiguračného profilu
Inštalácia apiek vrátane distribúcie podnikových apiek
Aktualizácie softvéru
Výnimky: Sieťové pripojenia k serveru SCEP (počas inštalácie konfiguračného profilu alebo získavania aktíva DDM) a servery ukladania obsahu do medzipamäte (aj pri požiadavkách na aktíva súvisiace s inštaláciou apiek alebo aktualizáciami softvéru) nie sú ovplyvnené.
Požiadavky: Servery musia podporovať protokol TLS 1.2 alebo novší, používať šifrovacie sady kompatibilné so štandardmi ATS a mať platné certifikáty, ktoré zodpovedajú štandardom ATS. Úplné požiadavky na zabezpečenie siete nájdete v dokumentácii pre vývojárov:
Auditovanie prostredia z hľadiska nevyhovujúcich pripojení
Používaním testovacích zariadení identifikujte v prostredí serverové pripojenia, ktoré nespĺňajú nové požiadavky protokolu TLS.
Plánovanie rozsahu testovania
Rôzne konfigurácie zariadení sa môžu pripájať k rôznym serverom. Aby ste mali istotu, že audit zaisťuje úplné pokrytie, otestujte všetky konfigurácie, ktoré sa vzťahujú na vaše prostredie.
Prostredie: produkčné, prechodové, testovacie
Typ zariadenia: iPhone, iPad, Mac, Apple Watch, Apple TV, Apple Vision Pro
Rola: Skupina používateľov (predaj, inžinierstvo, účtovníctvo), zariadenie v kiosku, zdieľané zariadenie
Typ registrácie: automatizovaná registrácia zariadení, registrácia podľa účtov, registrácia zariadení podľa profilov, zdieľaný iPad
Zopakujte nasledujúce kroky auditu pre každú konfiguráciu, ktorá sa pripája k iným serverom.
Inštalácia profilu protokolovania diagnostiky siete
Stiahnite a nainštalujte profil protokolovania diagnostiky siete do reprezentatívneho testovacieho zariadenia so systémom iOS 26.4, iPadOS 26.4, macOS 26.4, watchOS 26.4, tvOS 26.4 alebo visionOS 26.4 či novším, aby ste umožnili protokolovanie. Po nainštalovaní profilu reštartujte testovacie zariadenie.
Aby sa zaistilo, že udalosti protokolu obsahujú potrebné detaily na identifikáciu nevyhovujúcich pripojení, tento profil musí byť nainštalovaný pred vykonaním akéhokoľvek testovania. Ak testujete automatizovanú registráciu zariadení na iPhone alebo iPade, použite Apple Configurator pre Mac na inštaláciu profilu ešte predtým, ako zariadenie prejde na panel Správa zariadení v Sprievodcovi nastavením.
Vykonávanie bežných pracovných postupov
Používajte testovacie zariadenie bežným spôsobom v danom prostredí. Zaregistrujte ho do správy zariadení, inštalujte apky a profily a vykonávajte ďalšie pracovné postupy, ktoré sa pripájajú k serverom vašej organizácie.
Cieľom je generovať sieťovú prevádzku na všetky servery, ktoré môžu byť ovplyvnené novými požiadavkami na protokol TLS.
Získavanie diagnostiky systému
Po vykonaní pracovných postupov získajte z testovacieho zariadenia diagnostiku systému (sysdiagnose). Tento archív diagnostiky obsahuje záznamy udalostí, ktoré potrebujete na identifikáciu nevyhovujúcich pripojení.
Pokyny na získanie diagnostiky systému špecifické pre konkrétne zariadenia
Preskúmanie protokolov
Preneste diagnostiku systému do Macu a rozbaľte súbor .tar.gz. Pomocou Terminálu prejdite do adresára najvyššej úrovne v rozbalenej diagnostike systému a vyfiltrujte relevantné záznamy protokolu pomocou tohto príkazu:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
Každá udalosť protokolu obsahuje tri kľúčové údaje:
Doména: Doména servera pre túto udalosť pripojenia.
Proces: Proces, ktorý vytvoril pripojenie; táto informácia vám pomôže určiť účel sieťového pripojenia k tejto doméne.
Varovanie: Obmedzenie, ktoré bolo pripojením porušené, a dôvod, prečo server nevyhovuje požiadavkám (pre jedno pripojenie sa môže vygenerovať viacero varovaní, ak server nespĺňa viacero požiadaviek).
Interpretácia varovaní v protokoloch
Nasledujúce správy protokolu označujú servery, ktoré nespĺňajú nové požiadavky protokolu TLS. Porušenia sú označené buď ako všeobecné porušenia pravidiel ATS („Varovanie [porušenie ATS]“), alebo ako konkrétne porušenia štandardu FCP v2.1 („Varovanie [porušenie ATS FCPv2.1]“).
Ak tieto protokoly generuje proces, ktorý sa pripája k serveru špecifickému pre váš podnik, je potrebné tieto servery aktualizovať, aby spĺňali nové požiadavky.
Správa v protokole | Význam | Nápravné opatrenie |
|---|---|---|
Warning [ATS violation]: Ciphersuite([negotiated ciphersuite]) not offered in ATS negotiated for server: www.example.com | Server dohodol šifrovací balík bez PFS, ktorý nie je podporovaný, keď klient vynúti ATS. | Servery musia podporovať šifrovacie balíky PFS (všetky šifrovacie balíky TLS 1.3 a šifrovacie balíky TLS 1.2 s ECDHE). |
Warning [ATS violation]: TLS version <1.2 negotiated for server: www.example.com | Server dohodol verziu TLS staršiu než TLS 1.2. Protokoly TLS 1.0/1.1 sú zastarané a štandardne už nie sú podporované. | Aktualizujte servery tak, aby dohadovali protokol TLS 1.3 vždy, keď je to možné (minimálne TLS 1.2). |
Warning [ATS Violation]: ATS certificate trust requirement not satisfied for server: www.example.com | Certifikát servera neprešiel predvoleným hodnotením dôveryhodnosti, pretože nespĺňa minimálne požiadavky uvedené tu. | Aktualizujte certifikát servera, aby vyhovoval týmto požiadavkám. Ak je certifikát súčasťou koreňových certifikátov profilu automatickej registrácie, nie je potrebné vykonať žiadne nápravné opatrenie. |
Warning [ATS violation]: RSA key size [n] bits is less than minimum 2048 bits for server: www.example.com | Certifikát servera bol podpísaný kľúčom RSA, ktorý je menší ako 2 048 bitov. | Aktualizujte certifikát servera, aby vyhovoval týmto požiadavkám. |
Warning [ATS violation]: ECDSA key size [n] bits is less than minimum 256 bits for server: www.example.com | Certifikát servera bol podpísaný kľúčom ECDSA, ktorý je menší ako 256 bitov | |
Warning [ATS violation]: Leaf certificate hash algorithm (n) is not at least SHA-256 for server: www.example.com | Certifikát servera nepoužíval algoritmus SHA-2 (Secure Hash Algorithm 2) s dĺžkou hodnoty digest aspoň 256 bitov. | |
Warning [ATS violation]: Did not use TLS when opening connection for server: www.example.com | Bol použitý protokol HTTP s prostým textom namiesto protokolu HTTPS. | Aktualizujte server, aby podporoval protokol HTTPS. |
Warning [ATS FCPv2.1 violation]: Signature algorithm rsa_pkcs15_sha1 negotiated by server: www.example.com | Server ako algoritmus podpisovania zvolil rsa_pkcs15_sha1. | Aktualizujte konfiguráciu tak, aby uprednostňovala moderné algoritmy podpisovania. |
Warning [ATS FCPv2.1 violation]: Server certificate signed using signature algorithm [signature algorithm] not advertised in ClientHello for server: www.example.com | Certifikát servera bol podpísaný algoritmom podpisovania, ktorý nebol uvedený v správe ClientHello. | Aktualizujte certifikát servera tak, aby bol podpísaný algoritmom podpisovania, ktorý má kódový bod TLS a nejde o algoritmus rsa_pkcs15_sha1. |
Varovanie [porušenie ATS FCPv2.1]: Pre server www.example.com bol dohodnutý protokol TLS 1.2 bez rozšíreného hlavného tajného kľúča (EMS) | Server dohodol protokol TLS 1.2 a nedohodol rozšírenie rozšíreného hlavného tajného kľúča (EMS). | Aktualizujte servery na použitie TLS 1.3 alebo aspoň upravte ich konfiguráciu TLS 1.2 tak, aby dohadovali EMS. |
Overenie jednotlivých serverov
Po identifikovaní nevyhovujúcich serverov v rámci auditu ich môžete otestovať jednotlivo, aby ste overili konkrétne porušenia alebo potvrdili, že nápravné opatrenia boli úspešné.
Spustite nasledujúci príkaz a nahraďte časť „https://example.com:8000“ adresou vášho servera alebo koncového bodu.
nscurl --ats-diagnostics https://example.com:8000/
Tento príkaz otestuje, či server spĺňa požiadavky pre rôzne kombinácie zásad ATS. Vyhľadajte výsledok testu s aktivovaným režimom ATS FCP_v2.1:
Configuring NIAP TLS package version requirements
---
FCP_v2.1
Result : PASS
---
Ak je výsledok „PASS“, server spĺňa všetky požiadavky.
Viac informácií o identifikácii zdroja blokovaných pripojení
Nápravné opatrenie
V spolupráci s vlastníkmi ovplyvnených serverov aktualizujte ich konfigurácie protokolu TLS. Vlastníci serverov môžu byť interní alebo môže ísť o službu správy zariadení či externých dodávateľov.
Pri kontaktovaní vlastníka servera so žiadosťou o nápravu mu poskytnite tento článok a konkrétne varovné hlásenia, ktoré ste zaznamenali.
Nápravné opatrenia môžu zahŕňať tieto operácie:
Aktualizácia serverov tak, aby podporovali protokol TLS 1.2 alebo novší (odporúča sa protokol TLS 1.3)
Servery, ktoré podporujú len protokol TLS 1.2, musia podporovať aspoň algoritmy výmeny kľúčov poskytujúce dokonalé dopredné utajenie (ECDHE), šifrovacie balíky AEAD založené na AES-GCM s SHA-256, SHA-384 alebo SHA-512 a rozšírenie rozšíreného hlavného tajného kľúča (RFC 7627).
Aktualizujte certifikáty tak, aby spĺňali požiadavky ATS týkajúce sa veľkosti kľúča, algoritmu podpisovania a platnosti.
Ďalšie zdroje
Viac informácií o prevencii nezabezpečených sieťových pripojení a zabezpečení prenosov apiek
Obráťte sa na manažéra pre úspech zákazníkov alebo na podporu AppleCare Enterprise so žiadosťou o ďalšiu pomoc.