Ağ ortamınızı daha katı güvenlik gereksinimlerine hazırlama
Apple işletim sistemleri, sistem işlemleri için daha katı ağ güvenliği gereksinimlerini zorunlu kılacak. Sunucu bağlantılarınızın yeni gereksinimleri karşılayıp karşılamadığını kontrol edin.
Bu makale, BT yöneticileri ve aygıt yönetim hizmet geliştiricilerine yöneliktir.
Apple işletim sistemleri (iOS, iPadOS, macOS, watchOS, tvOS ve visionOS), bir sonraki büyük yazılım güncellemesinden itibaren ek ağ güvenliği şartları nedeniyle eski ya da uyumsuz TLS konfigürasyonuna sahip sunucularla kurulan bağlantıları reddedebilir.
Ortamınızı denetlemeniz ve bu gereksinimleri karşılamayan sunucuları belirlemeniz gerekir. Özellikle harici tedarikçiler tarafından yönetilen sunucularda, sunucu konfigürasyonlarını bu gereksinimleri karşılayacak şekilde güncellemek için önemli miktarda zaman ayrılması gerekebilir.
Etkilenen ağ bağlantıları ve konfigürasyon gereksinimleri
Yeni gereksinimler, doğrudan şu etkinliklere dahil olan ağ bağlantıları için geçerlidir:
Mobil aygıt yönetimi (MDM)
Deklaratif Aygıt Yönetimi (DDM)
Otomatik Aygıt Kaydı
Konfigürasyon profili yükleme
Kurumsal uygulama dağıtımı dahil olmak üzere uygulama yükleme
Yazılım güncellemeleri
İstisnalar: Konfigürasyon profili yüklemesi sırasında veya bir DDM varlığı çözülürken SCEP sunucusuna yapılan ağ bağlantıları ve içerik önbellekleme sunucuları (uygulama yüklemesi veya yazılım güncellemeleriyle ilgili varlıklar talep edildiğinde bile) etkilenmez.
Gereksinimler: Sunucular TLS 1.2 veya sonraki sürümleri desteklemeli, ATS uyumlu şifre paketlerini kullanmalı ve ATS standartlarını karşılayan geçerli sertifikalar sunmalıdır. Tüm ağ güvenliği gereksinimleri için geliştirici belgelerini inceleyin:
Ortamınızda uyumsuz bağlantı olup olmadığını denetleme
Test aygıtlarını kullanarak ortamınızdaki yeni TLS gereksinimlerini karşılamayan sunucu bağlantılarını tespit edin.
Test kapsamınızı planlama
Farklı aygıt konfigürasyonları farklı sunuculara bağlanabilir. Denetiminizin eksiksiz olması için ortamınıza uygun tüm konfigürasyonları test edin.
Ortam: Üretim, hazırlık, test
Aygıt türü: iPhone, iPad, Mac, Apple Watch, Apple TV, Apple Vision Pro
Rol: Kullanıcı grubu (satış, mühendislik, muhasebe), kiosk aygıtı, paylaşılan aygıt
Kayıt türü: Otomatik Aygıt Kaydı, hesaba bağlı kayıt, profile bağlı aygıt kaydı, Paylaşılan iPad
Farklı sunuculara bağlanan her konfigürasyon için aşağıdaki denetim adımlarını tekrarlayın.
Ağ Tanılamaları Günlük Kaydı Profili'ni yükleyin
Günlük kaydını etkinleştirmek için iOS 26.4, iPadOS 26.4, macOS 26.4, watchOS 26.4, tvOS 26.4 veya visionOS 26.4 ya da sonraki bir sürüm yüklü temsili bir test aygıtına Ağ Tanılamaları Günlük Kaydı Profili'ni indirip yükleyin. Profili yükledikten sonra test aygıtınızı yeniden başlatın.
Günlük olaylarının uyumlu olmayan bağlantıları belirlemek için gerekli ayrıntıları içermesini sağlamak amacıyla, test yapmadan önce bu profilin yüklenmiş olması gerekir. Otomatik Aygıt Kaydı'nı iPhone veya iPad'de test ediyorsanız aygıt Ayarlama Yardımcısı'ndaki Aygıt Yönetimi bölmesine ulaşmadan önce Mac için Apple Configurator'ı kullanarak profili yükleyin.
Normal iş akışlarınızı çalıştırın
Test aygıtını, ortamınızda normalde yaptığınız şekilde kullanın. Aygıtı aygıt yönetimine kaydedin, uygulamaları ve profilleri yükleyin, kuruluşunuzun sunucularına bağlanan diğer iş akışlarını çalıştırın.
Amaç, yeni TLS gereksinimlerinden etkilenebilecek tüm sunuculara ağ trafiği oluşturmaktır.
Sysdiagnose alın
İş akışlarınızı çalıştırdıktan sonra test aygıtından sysdiagnose alın. Bu tanılama arşivi, uyumlu olmayan bağlantıları belirlemek için gerekli günlük kayıtlarını içerir.
Sysdiagnose almak için aygıta yönelik talimatlar
Günlükleri gözden geçirin
Sysdiagnose'u Mac'e aktarın ve .tar.gz dosyasını genişletin. Terminal'i kullanarak, genişletilmiş sysdiagnose klasörünün kök dizinine gidin ve ilgili günlük olaylarını şu komutla filtreleyin:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
Her bir günlük olayında üç temel ayrıntı bulunur:
Alan Adı: Bu bağlantı olayına yönelik sunucunun alan adıdır.
İşlem: Bağlantıyı gerçekleştiren işlemdir. Bu işlem, ilgili alan adıyla kurulan ağ bağlantısının amacını belirlemenize yardımcı olur.
Uyarı: Bağlantının ihlal ettiği kısıtlama ve sunucunun neden uyumsuz olduğunu ifade eder. (Sunucu birden fazla gereksinimi karşılamıyorsa tek bir bağlantı birden fazla uyarı verebilir.)
Uyarı günlüklerini yorumlama
Aşağıdaki günlük mesajları, yeni TLS gereksinimlerini karşılamayan sunucuları gösterir. İhlaller, genel ATS politikası ihlali ("Uyarı [ATS İhlali]") ya da FCP v2.1'e özgü standart ihlali ("Uyarı [ATS FCPv2.1 ihlali]") olarak işaretlenir.
Bu günlükler kuruluşunuza özgü bir sunucuya bağlanan bir işlem tarafından tetikleniyorsa söz konusu sunucuların yeni gereksinimleri karşılayacak şekilde güncellenmesi gerekir.
Günlük mesajı | Anlamı | Düzeltme işlemi |
|---|---|---|
Warning [ATS violation]: Ciphersuite([negotiated ciphersuite]) not offered in ATS negotiated for server: www.example.com | Sunucu, istemci ATS'yi uygulandığında sunulmayan PFS dışı bir şifre paketi müzakere etti. | Sunucular PFS şifre paketlerini (tüm TLS 1.3 şifre paketleri ve ECDHE bulunan tüm TLS 1.2 şifre paketleri) desteklemelidir. |
Warning [ATS violation]: TLS version <1.2 negotiated for server: www.example.com | Sunucu, TLS 1.2'den eski bir TLS sürümünü müzakere etti. TLS 1.0/1.1 kullanımdan kaldırıldı ve artık varsayılan olarak sunulmuyor. | Sunucuları, mümkün olduğunda TLS 1.3'ü (en az TLS 1.2) müzakere edecek şekilde güncelleyin. |
Warning [ATS Violation]: ATS certificate trust requirement not satisfied for server: www.example.com | Sunucunun sertifikası, burada belirtilen minimum gereksinimleri karşılamadığı için varsayılan sunucu güven değerlendirme sürecinden geçemedi. | Sunucunun sertifikasını, bu gereksinimleri karşılayacak şekilde güncelleyin. Sertifika otomatik kayıt profili kök sertifikalarında yer alıyorsa düzeltme işlemi gerekli değildir. |
Warning [ATS violation]: RSA key size [n] bits is less than minimum 2048 bits for server: www.example.com | Sunucunun sertifikası, 2.048 bitten küçük bir RSA anahtarıyla imzalanmış. | Sunucunun sertifikasını, bu gereksinimleri karşılayacak şekilde güncelleyin. |
Warning [ATS violation]: ECDSA key size [n] bits is less than minimum 256 bits for server: www.example.com | Sunucunun sertifikası, 256 bitten küçük bir ECDSA anahtarıyla imzalanmış | |
Warning [ATS violation]: Leaf certificate hash algorithm (n) is not at least SHA-256 for server: www.example.com | Sunucunun sertifikası, özet uzunluğu en az 256 bit olan Güvenli Karma Algoritması 2 (SHA-2) kullanmadı. | |
Warning [ATS violation]: Did not use TLS when opening connection for server: www.example.com | HTTPS yerine düz metin HTTP kullanıldı. | Sunucuyu HTTPS'yi destekleyecek şekilde güncelleyin. |
Warning [ATS FCPv2.1 violation]: Signature algorithm rsa_pkcs15_sha1 negotiated by server: www.example.com | Sunucu, imza algoritması olarak rsa_pkcs15_sha1'i seçti. | Konfigürasyonu modern imza algoritmalarını tercih edecek şekilde güncelleyin. |
Warning [ATS FCPv2.1 violation]: Server certificate signed using signature algorithm [signature algorithm] not advertised in ClientHello for server: www.example.com | Sunucunun sertifikası, ClientHello'da belirtilmeyen bir imza algoritması kullanılarak imzalanmış. | Sunucu sertifikasını, TLS kod noktasına sahip olan ve rsa_pkcs15_sha1 olmayan bir imza algoritmasıyla imzalanacak şekilde güncelleyin. |
Uyarı [ATS FCPv2.1 ihlali]: Sunucu için genişletilmiş ana gizli dizi (EMS) olmadan TLS 1.2 müzakere edildi: www.example.com | Sunucu TLS 1.2'yi müzakere etti ve genişletilmiş ana gizli dizi (EMS) uzantısını müzakere etmedi. | Sunucuları TLS 1.3 kullanacak şekilde güncelleyin ya da en azından TLS 1.2 konfigürasyonlarını EMS müzakeresini sağlayacak şekilde güncelleyin. |
Sunucuları ayrı ayrı doğrulayın
Denetimde uyumsuz sunucuları belirledikten sonra, belirli ihlalleri doğrulamak veya düzeltme işleminin başarılı olduğunu teyit etmek amacıyla bu sunucuları ayrı ayrı test edebilirsiniz.
Aşağıdaki komutta "https://example.com:8000" adresini sunucunuz veya uç noktanızla değiştirerek komutu çalıştırın.
nscurl --ats-diagnostics https://example.com:8000/
Bu komut, sunucunun çeşitli ATS politikaları kombinasyonlarına yönelik gereksinimleri karşılayıp karşılamadığını test eder. FCP_v2.1 modu etkinken, ATS'yi kullanarak test sonucunu kontrol edin:
NIAP TLS paket sürümü gereksinimlerini yapılandırma
---
FCP_v2.1
Sonuç: GEÇTİ
---
Sonuç "GEÇTİ" ise sunucu tüm gereksinimleri karşılıyor demektir.
Engellenen bağlantıların kaynağını belirleme hakkında daha fazla bilgi edinin
Düzeltme işlemi
Etkilenen sunucuların sahipleriyle iş birliği yaparak TLS konfigürasyonlarını güncelleyin. Sunucu sahipleri kurum içi, aygıt yönetimi hizmetiniz ya da üçüncü taraf bir satıcı olabilir.
Sorunu gidermek için bir sunucu sahibiyle irtibat kurduğunuzda, bu makaleyi ve gözlemlediğiniz uyarı mesajlarını paylaşın.
Düzeltme işlemi şunları içerebilir:
Sunucuları TLS 1.2 veya sonraki sürümleri (TLS 1.3 önerilir) destekleyecek şekilde güncellemek
Yalnızca TLS 1.2'yi destekleyen sunucular en azından Mükemmel İletim Gizliliği (ECDHE) sağlayan anahtar değişim algoritmalarını; SHA-256, SHA-384 veya SHA-512 kullanan AES-GCM tabanlı AEAD şifre paketlerini ve genişletilmiş ana gizli dizi uzantısını (RFC 7627) desteklemelidir.
Sertifikaları anahtar boyutu, imza algoritması ve geçerlilik süresi açısından ATS gereksinimlerini karşılayacak şekilde güncellemek
Ek Kaynaklar
Güvenli olmayan ağ bağlantılarını önleme ve Uygulama Aktarım Güvenliği hakkında bilgi edinin
Ek destek için Müşteri Başarısı Yöneticiniz veya AppleCare Kurumsal Destek ile iletişime geçin.