Förbered din nätverksmiljö för striktare säkerhetskrav
Apples operativsystem kommer att kräva striktare nätverkssäkerhet för systemprocesser. Kontrollera om dina serveranslutningar uppfyller de nya kraven.
Den här artikeln är avsedd för it-administratörer och utvecklare av tjänster för enhetshantering.
Från och med version 27.0 av iOS, iPadOS, macOS, watchOS, tvOS och visionOS kan Apples operativsystem neka anslutningar till servrar med föråldrade eller icke kompatibla TLS-konfigurationer på grund av ytterligare krav på nätverkssäkerhet.
Du bör granska din miljö för att identifiera servrar som inte uppfyller dessa krav. Uppdatering av serverkonfigurationer för att uppfylla dessa krav kan kräva mycket tid, särskilt för servrar som underhålls av externa leverantörer.
Berörda anslutningar och konfigurationskrav
De nya kraven gäller för nätverksanslutningar som direkt är involverade i följande aktiviteter:
MDM-tjänster (Mobile Device Management)
Deklarativ enhetshantering (DDM)
Automatisk enhetsregistrering
Installation av konfigurationsprofil
Appinstallation, inklusive distribution av organisationsägda interna appar
Programuppdateringar
Undantag: Nätverksanslutningar till en SCEP-server (vid installation av en konfigurationsprofil eller hantering av en DDM-resurs) och servrar för innehållscachelagring (även när du begär resurser relaterade till appinstallation eller programuppdateringar) påverkas inte.
Krav: Servrar ska stödja TLS 1.2 eller senare, ha ATS-kompatibla kryptografiska standarder och giltiga certifikat som uppfyller ATS-standarder. De fullständiga kraven på nätverkssäkerheten finns i utvecklardokumentationen:
Granska din miljö så det inte finns inkompatibla anslutningar
Använd testenheter för att identifiera serveranslutningar i din miljö som inte uppfyller de nya TLS-kraven.
Planera omfattningen av ditt test
Olika enhetskonfigurationer kan ansluta till olika servrar. Testa alla konfigurationer som gäller för din miljö så att din granskning har en heltäckande omfattning.
Miljö: Live, slutvalideringskopia, test
Enhetstyp: iPhone, iPad, Mac, Apple TV, Apple Vision Pro
Roll: Användargrupp (försäljning, teknik, redovisning), kioskenhet, delad enhet
Registreringstyp: Automatisk enhetsregistrering, kontostyrd registrering, profilstyrd enhetsregistrering, delad iPad
Dina testenheter måste ha version 26.4 eller senare av iOS, iPadOS, macOS, tvOS eller visionOS. Om dina testenheter har version 27 eller senare och du stöter på anslutningsfel, överväg att testa igen på en enhet med version 26.4 eller senare, men tidigare än 27, för att identifiera alla berörda servrar. Icke-kompatibla anslutningar blockeras och dessa misslyckade anslutningar kan förhindra testning av efterföljande anslutningar i arbetsflödet.
Upprepa följande granskningssteg för varje konfiguration som har anslutning till olika servrar.
I watchOS hanteras de flesta nätverksoperationer utanför processen och loggkommandot fungerar inte. Tester på iOS ger förmodligen tillräcklig täckning för anslutningar till Apple Watch.
Installera nätverksdiagnostikprofilen för loggning av nätverkstrafik
Hämta och installera nätverksdiagnostikprofilen för loggning av nätverkstrafik på din representativ testenhet för att aktivera loggning. Starta om testenheten när du har installerat profilen.
Den här profilen ska installeras innan du utför några tester för att se till att logghändelserna innehåller de uppgifter som krävs för att identifiera inkompatibla anslutningar. Om du testar automatisk enhetsregistrering på en iPhone eller iPad använder du Apple Configurator för Mac så att profilen installeras innan enheten kommer till steget med panelen Enhetshantering i inställningsassistenten.
Kör dina normala arbetsflöden
Använd testenheten som du normalt skulle göra i din miljö. Registrera den i Enhetshantering, installera appar och profiler och utför andra arbetsflöden som har anslutning till organisationens servrar.
Målet är att generera nätverkstrafik till alla servrar som kan påverkas av de nya TLS-kraven.
Kör en systemdiagnos
När du har kört dina arbetsflöden kör du en systemdiagnos från testenheten. Det här diagnostikarkivet innehåller logghändelser du behöver för att identifiera inkompatibla anslutningar.
Enhetsspecifika anvisningar för att köra en systemdiagnos
Granska loggarna
Överför systemdiagnosen till en Mac och expandera filen .tar.gz. Använd Terminal för att navigera till den överordnade katalogen i den utökade systemdiagnosen och filtrera fram relevanta logghändelser med det här kommandot:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
Varje logghändelse innehåller tre viktiga detaljer:
Domän: Serverns domän vid anslutningshändelsen.
Process: Processen som upprättade anslutningen. Detta dig avgöra syftet med nätverksanslutningen till den domänen.
Varning: Begränsningen som överskreds av anslutningen och hur servern är inkompatibel (en och samma anslutning kan generera flera varningar om flera krav inte uppfylls av servern).
Tolka varningsloggar
Följande loggmeddelanden visar att det finns servrar som inte uppfyller de nya TLS-kraven. Överträdelser markeras som antingen allmänna ATS-policyöverträdelser (Varning [ATS-överträdelse]) eller överträdelser av Apples specifika krav på nätverkssäkerhet FCP v2.1 (Varning [ATS-överträdelse mot FCPv2.1]).
Om dessa loggar genereras av en process som ansluter till en server som är specifik för ditt företag måste dessa servrar uppdateras för att uppfylla de nya kraven.
I version 27 eller senare: Icke-kompatibla anslutningar blockeras och loggmeddelandena visas som fel i stället för varningar.
Loggmeddelande | Innebär | Åtgärd |
|---|---|---|
Warning [ATS violation]: Ciphersuite([negotiated ciphersuite]) not offered in ATS negotiated for server: www.example.com* | Servern svarade med en krypteringsmetod som inte använder PFS eller annan osäker metod som inte accepteras när klienten (din app) strikt tillämpar ATS. | Servrar måste stödja PFS-krypteringsmetoder (en TLS 1.3-krypteringsmetod eller TLS 1.2-krypteringsmetoder med ECDHE). |
Warning [ATS violation]: TLS version <1.2 negotiated for server: www.example.com* | Servern svarade med en version av TLS som är äldre än TLS 1.2. TLS 1.0/1.1 är föråldrade krypteringsmetoder och används inte som standard. | Uppdatera servrarna till TLS-handskakning med version 1.3 när det är möjligt (minst TLS 1.2). |
Warning [ATS violation]: ATS certificate trust requirement not satisfied for server: www.example.com | Servercertifikatet godkändes inte som utfärdat av en betrodd certifikatutfärdare vid standardutvärderingen eftersom det inte uppfyllde minimikraven som står här. | Uppdatera servercertifikatet för att uppfylla dessa krav. Om certifikatet är ett betrott CA-certifikat i kontext av automatisk registrering krävs ingen åtgärd. |
Warning [ATS violation]: RSA key size [n] bits is less than minimum 2048 bits for server: www.example.com | Servercertifikatet signerades med en RSA-nyckel som är mindre än 2 048 bitar. | Uppdatera servercertifikatet för att uppfylla dessa krav. |
Warning [ATS violation]: ECDSA key size [n] bits is less than minimum 256 bits for server: www.example.com | Servercertifikatet signerades med en ECDSA-nyckel som är mindre än 256 bitar. | |
Warning [ATS violation]: Leaf certificate hash algorithm (n) is not at least SHA-256 for server: www.example.com | Servercertifikatet använde inte SHA-2 (Secure Hash Algorithm 2) med en hashvärdeslängd på minst 256 bitar. | |
Warning [ATS violation]: Did not use TLS when opening connection for server: www.example.com* | Okrypterat HTTP användes istället för HTTPS. | Uppdatera servern med stöd för HTTPS. |
Warning [ATS FCPv2.1 violation]: Signature algorithm rsa_pkcs15_sha1 negotiated by server: www.example.com* | Servern valde rsa_pkcs15_sha1 som signature_algorithm. | Uppdatera konfigurationen så att moderna signaturalgoritmer prioriteras. |
Warning [ATS FCPv2.1 violation]: Server certificate signed using signature algorithm [signature algorithm] not advertised in ClientHello for server: www.example.com | Servercertifikatet har signerats med en signaturalgoritm som inte stöds i ClientHello. | Uppdatera servercertifikatet så att det signeras med en signaturalgoritm som har en TLS-kodpunkt och inte är rsa_pkcs15_sha1. |
Warning [ATS FCPv2.1 violation]: TLS 1.2 negotiated without extended master secret (EMS) for server: www.example.com | Servern svarade med TLS 1.2 men utan EMS (huvudnyckel för kryptering) i handskakningsmeddelandet. | Uppdatera servrarna till att använda TLS 1.3 eller uppdatera åtminstone deras TLS 1.2-konfiguration för handskakning med EMS. |
*Dessa varningar har inga direkta motsvarigheter i felmeddelanden i version 27 eller senare.
För fel som rör chiffersviter, TLS-version och signaturalgoritmer kan det exakta felet på klientsidan bero på hur servern hanterar det aktuella tillståndet.
För fel gällande HTTP-anslutningar i klartext: när en HTTP-anslutning (från en http:// webbadress eller en omdirigering till en sådan) blockeras loggas den som ett fel liknande:
Task . finished with error [-1022] Error Domain=NSURLErrorDomain Code=-1022 "The resource could not be loaded because the App Transport Security policy requires the use of a secure connection."
Validera enskilda servrar
När du har identifierat inkompatibla servrar under granskningen kan du testa dem individuellt för att verifiera specifika överträdelser eller bekräfta att åtgärden lyckades.
Kör följande kommando och ersätt https://example.com:8000 med din server eller slutpunkt.
nscurl --ats-diagnostics https://example.com:8000/
Det här kommandot testar om servern uppfyller kraven för olika kombinationer av ATS-policyer. Leta efter testresultatet genom att använda ATS med FCP_v2.1-läget aktiverat:
Configuring NIAP TLS package version requirements
---
FCP_v2.1
Result : PASS
---
Om resultatet är ”PASS” uppfyller servern alla krav.
Läs mer om att identifiera källan till blockerade anslutningar
Åtgärd
Samarbeta med ägarna till de berörda servrarna för att uppdatera deras TLS-konfigurationer. Serverägare kan vara interna, din tjänst för enhetshantering eller en tredjepartsleverantör.
När du kontaktar en serverägare för en åtgärd delar du den här artikeln och de specifika varningsmeddelanden som du har observerat.
Här är några exempel på åtgärder:
Uppdatera servrar med stöd för TLS 1.2 eller senare (TLS 1.3 rekommenderas)
Servrar som endast har stöd för TLS 1.2 måste minst stödja nyckelutbytesalgoritmer som genererar PFS (ECDHE), AEAD-krypteringsmetoder baserade på AES-GCM med SHA-256, SHA-384 eller SHA-512 och EMS-säkerhetsuppdatering för TLS-protokollet (RFC 7627).
Uppdatera certifikaten så att de uppfyller ATS-kraven på nyckelstorlek, signaturalgoritm och validitet.
Fler resurser
Läs om att förhindra osäkra nätverksanslutningar och ATS (App Transport Security)
Kontakta din Customer Success Manager eller AppleCare Enterprise Support för mer hjälp.