Förbered din nätverksmiljö för striktare säkerhetskrav
Apples operativsystem kommer att kräva striktare nätverkssäkerhet för systemprocesser. Kontrollera om dina serveranslutningar uppfyller de nya kraven.
Den här artikeln är avsedd för it-administratörer och utvecklare av tjänster för enhetshantering.
Redan i nästa större mjukvaruversion kan Apples operativsystem (iOS, iPadOS, macOS, watchOS, tvOS och visionOS) neka anslutningar till servrar med TLS-konfigurationer som är föråldrade eller inte stöds på grund av ytterligare nätverkssäkerhetskrav.
Du bör granska din miljö för att identifiera servrar som inte uppfyller dessa krav. Uppdatering av serverkonfigurationer för att uppfylla dessa krav kan kräva mycket tid, särskilt för servrar som underhålls av externa leverantörer.
Berörda anslutningar och konfigurationskrav
De nya kraven gäller för nätverksanslutningar som direkt är involverade i följande aktiviteter:
MDM-tjänster (Mobile Device Management)
Deklarativ enhetshantering (DDM)
Automatisk enhetsregistrering
Installation av konfigurationsprofil
Appinstallation, inklusive distribution av organisationsägda interna appar
Programuppdateringar
Undantag: Nätverksanslutningar till en SCEP-server (vid installation av en konfigurationsprofil eller hantering av en DDM-resurs) och servrar för innehållscachelagring (även när du begär resurser relaterade till appinstallation eller programuppdateringar) påverkas inte.
Krav: Servrar ska stödja TLS 1.2 eller senare, ha ATS-kompatibla kryptografiska standarder och giltiga certifikat som uppfyller ATS-standarder. De fullständiga kraven på nätverkssäkerheten finns i utvecklardokumentationen:
Granska din miljö så det inte finns inkompatibla anslutningar
Använd testenheter för att identifiera serveranslutningar i din miljö som inte uppfyller de nya TLS-kraven.
Planera omfattningen av ditt test
Olika enhetskonfigurationer kan ansluta till olika servrar. Testa alla konfigurationer som gäller för din miljö så att din granskning har en heltäckande omfattning.
Miljö: Live, slutvalideringskopia, test
Enhetstyp: iPhone, iPad, Mac, Apple Watch, Apple TV, Apple Vision Pro
Roll: Användargrupp (försäljning, teknik, redovisning), kioskenhet, delad enhet
Registreringstyp: Automatisk enhetsregistrering, kontostyrd registrering, profilstyrd enhetsregistrering, delad iPad
Upprepa följande granskningssteg för varje konfiguration som har anslutning till olika servrar.
Installera nätverksdiagnostikprofilen för loggning av nätverkstrafik
Hämta och installera nätverksdiagnostikprofilen för loggning av nätverkstrafik på en representativ testenhet som kör iOS 26.4, iPadOS 26.4, macOS 26.4, watchOS 26.4, tvOS 26.4 eller visionOS 26.4 eller senare för att aktivera loggning. Starta om testenheten när du har installerat profilen.
Den här profilen ska installeras innan du utför några tester för att se till att logghändelserna innehåller de uppgifter som krävs för att identifiera inkompatibla anslutningar. Om du testar automatisk enhetsregistrering på en iPhone eller iPad använder du Apple Configurator för Mac så att profilen installeras innan enheten kommer till steget med panelen Enhetshantering i inställningsassistenten.
Kör dina normala arbetsflöden
Använd testenheten som du normalt skulle göra i din miljö. Registrera den i Enhetshantering, installera appar och profiler och utför andra arbetsflöden som har anslutning till organisationens servrar.
Målet är att generera nätverkstrafik till alla servrar som kan påverkas av de nya TLS-kraven.
Kör en systemdiagnos
När du har kört dina arbetsflöden kör du en systemdiagnos från testenheten. Det här diagnostikarkivet innehåller logghändelser du behöver för att identifiera inkompatibla anslutningar.
Enhetsspecifika anvisningar för att köra en systemdiagnos
Granska loggarna
Överför systemdiagnosen till en Mac och expandera filen .tar.gz. Använd Terminal för att navigera till den överordnade katalogen i den utökade systemdiagnosen och filtrera fram relevanta logghändelser med det här kommandot:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
Varje logghändelse innehåller tre viktiga detaljer:
Domän: Serverns domän vid anslutningshändelsen.
Process: Processen som upprättade anslutningen. Detta dig avgöra syftet med nätverksanslutningen till den domänen.
Varning: Begränsningen som överskreds av anslutningen och hur servern är inkompatibel (en och samma anslutning kan generera flera varningar om flera krav inte uppfylls av servern).
Tolka varningsloggar
Följande loggmeddelanden visar att det finns servrar som inte uppfyller de nya TLS-kraven. Överträdelser markeras som antingen allmänna ATS-policyöverträdelser (Varning [ATS-överträdelse]) eller överträdelser av Apples specifika krav på nätverkssäkerhet FCP v2.1 (Varning [ATS-överträdelse mot FCPv2.1]).
Om dessa loggar genereras av en process som ansluter till en server som är specifik för ditt företag måste dessa servrar uppdateras för att uppfylla de nya kraven.
Loggmeddelande | Innebär | Åtgärd |
|---|---|---|
Varning [ATS-överträdelse]: Krypteringsmetod([krypteringsmetod i handskakningsmeddelande]) blockerades av ATS i handskakningsmeddelandet för servern: www.example.com | Servern svarade med en krypteringsmetod som inte använder PFS eller annan osäker metod som inte accepteras när klienten (din app) strikt tillämpar ATS. | Servrar måste stödja PFS-krypteringsmetoder (en TLS 1.3-krypteringsmetod eller TLS 1.2-krypteringsmetoder med ECDHE). |
Varning [ATS-överträdelse]: TLS-version <1.2 i handskakningsmeddelandet för servern: www.example.com | Servern svarade med en version av TLS som är äldre än TLS 1.2. TLS 1.0/1.1 är föråldrade krypteringsmetoder och används inte som standard. | Uppdatera servrarna till TLS-handskakning med version 1.3 när det är möjligt (minst TLS 1.2). |
Varning [ATS-överträdelse]: Säkerhetsstandarden för betrott ATS-certifikat uppfylldes inte för servern: www.example.com | Servercertifikatet godkändes inte som utfärdat av en betrodd certifikatutfärdare vid standardutvärderingen eftersom det inte uppfyllde minimikraven som står här. | Uppdatera servercertifikatet för att uppfylla dessa krav. Om certifikatet är ett betrott CA-certifikat i kontext av automatisk registrering krävs ingen åtgärd. |
Varning [ATS-överträdelse]: RSA-nyckelstorlek [n] bitar är mindre än minimikravet på 2 048 bitar för servrar: www.example.com | Servercertifikatet signerades med en RSA-nyckel som är mindre än 2 048 bitar. | Uppdatera servercertifikatet för att uppfylla dessa krav. |
Varning [ATS-överträdelse]: ECDSA-nyckelstorlek [n] bitar är mindre än minimikravet på 256 bitar för servrar: www.example.com | Servercertifikatet signerades med en ECDSA-nyckel som är mindre än 256 bitar. | |
Varning [ATS-överträdelse]: Hashalgoritmen för leaf-certifikatet (n) är inte minst SHA-256 för servern: www.example.com | Servercertifikatet använde inte SHA-2 (Secure Hash Algorithm 2) med en hashvärdeslängd på minst 256 bitar. | |
Varning [ATS-överträdelse]: TLS användes inte vid öppning av en anslutning till servern: www.example.com | Okrypterat HTTP användes istället för HTTPS. | Uppdatera servern med stöd för HTTPS. |
Varning [ATS-överträdelse mot FCPv2.1]: Signaturalgoritm rsa_pkcs15_sha1 i handskakningsmeddelandet med servern: www.example.com | Servern valde rsa_pkcs15_sha1 som signature_algorithm. | Uppdatera konfigurationen så att moderna signaturalgoritmer prioriteras. |
Varning [ATS-överträdelse mot FCPv2.1]: Servercertifikatet har signerats med signaturalgoritm [signaturalgoritm] som inte stöds i ClientHello för servern: www.example.com | Servercertifikatet har signerats med en signaturalgoritm som inte stöds i ClientHello. | Uppdatera servercertifikatet så att det signeras med en signaturalgoritm som har en TLS-kodpunkt och inte är rsa_pkcs15_sha1. |
Varning [ATS-överträdelse mot FCPv2.1]: TLS 1.2 i handskakningsmeddelande utan EMS (huvudnyckel för kryptering) för servern: www.example.com | Servern svarade med TLS 1.2 men utan EMS (huvudnyckel för kryptering) i handskakningsmeddelandet. | Uppdatera servrarna till att använda TLS 1.3 eller uppdatera åtminstone deras TLS 1.2-konfiguration för handskakning med EMS. |
Validera enskilda servrar
När du har identifierat inkompatibla servrar under granskningen kan du testa dem individuellt för att verifiera specifika överträdelser eller bekräfta att åtgärden lyckades.
Kör följande kommando och ersätt https://example.com:8000 med din server eller slutpunkt.
nscurl --ats-diagnostics https://example.com:8000/
Det här kommandot testar om servern uppfyller kraven för olika kombinationer av ATS-policyer. Leta efter testresultatet genom att använda ATS med FCP_v2.1-läget aktiverat:
Konfigurera krav på version av NIAP TLS-paketet
---
FCP_v2.1
Result : PASS
---
Om resultatet är ”PASS” uppfyller servern alla krav.
Läs mer om att identifiera källan till blockerade anslutningar
Åtgärd
Samarbeta med ägarna till de berörda servrarna för att uppdatera deras TLS-konfigurationer. Serverägare kan vara interna, din tjänst för enhetshantering eller en tredjepartsleverantör.
När du kontaktar en serverägare för en åtgärd delar du den här artikeln och de specifika varningsmeddelanden som du har observerat.
Här är några exempel på åtgärder:
Uppdatera servrar med stöd för TLS 1.2 eller senare (TLS 1.3 rekommenderas)
Servrar som endast har stöd för TLS 1.2 måste minst stödja nyckelutbytesalgoritmer som genererar PFS (ECDHE), AEAD-krypteringsmetoder baserade på AES-GCM med SHA-256, SHA-384 eller SHA-512 och EMS-säkerhetsuppdatering för TLS-protokollet (RFC 7627).
Uppdatera certifikaten så att de uppfyller ATS-kraven på nyckelstorlek, signaturalgoritm och validitet.
Fler resurser
Läs om att förhindra osäkra nätverksanslutningar och ATS (App Transport Security)
Kontakta din Customer Success Manager eller AppleCare Enterprise Support för mer hjälp.