Як підготувати своє мережеве середовище до суворіших вимог безпеки
В операційних системах Apple вимоги до мережевої безпеки для системних процесів стануть суворішими. Перевірте, чи відповідають підключення ваших серверів новим вимогам.
Цю статтю призначено для ІТ-адміністраторів і розробників служб керування пристроями.
Починаючи з наступного великого випуску програмного забезпечення, операційні системи Apple (iOS, iPadOS, macOS, watchOS, tvOS і visionOS) можуть відхиляти підключення до серверів із застарілими або невідповідними конфігураціями TLS через додаткові вимоги до мережевої безпеки.
Вам слід перевірити, чи немає у вашому середовищі серверів, які порушують ці вимоги. Оновлення конфігурацій серверів згідно із цими вимогами може зайняти значний час, особливо якщо сервери обслуговують зовнішні постачальники.
Проблемні підключення й вимоги до конфігурації
Нові вимоги застосовуються до мережевих підключень, безпосередньо пов’язаних із діями нижче.
Керування мобільними пристроями (MDM)
Декларативне керування пристроями (DDM)
Автоматизована реєстрація пристроїв
Інсталювання профілю конфігурації
Інсталювання програм, зокрема розповсюдження корпоративних програм
Оновлення ПЗ
Винятки. Зміни не стосуються мережевих підключень до сервера SCEP (під час інсталювання профілю конфігурації або отримання ресурсів DDM) та серверів кешування контенту (навіть у разі запиту ресурсів, пов’язаних з інсталюванням програм або оновленнями програмного забезпечення).
Вимоги. Сервери мають підтримувати TLS 1.2 або новішої версії, використовувати набори шифрів, сумісні з ATS, і надавати дійсні сертифікати, які відповідають стандартам ATS. Щоб ознайомитися з усіма вимогами щодо мережевої безпеки, перегляньте наведену нижче документацію для розробників.
Як перевірити середовище на наявність невідповідних підключень
Використовуйте тестові пристрої, щоб виявити в середовищі підключення до серверів, які не відповідають новим вимогам TLS.
Як спланувати перевірку
Різні конфігурації пристроїв можуть підключатися до різних серверів. Для всеохопної перевірки протестуйте всі конфігурації свого середовища.
Середовище: розробка, підготовка й фінальне тестування
Тип пристрою: iPhone, iPad, Mac, Apple Watch, Apple TV, Apple Vision Pro
Роль: група користувачів (відділ продажу, інженери, бухгалтерія), пристрій-кіоск, спільний пристрій
Тип реєстрації: автоматизована реєстрація пристроїв, реєстрація за обліковим записом, реєстрація пристроїв за профілем, спільний iPad
Повторіть описані нижче кроки, щоб перевірити підключення кожної з конфігурацій до різних серверів.
Як інсталювати профіль із журналами діагностики мережі
Завантажте й інсталюйте профіль із журналами діагностики мережі на відповідному тестовому пристрої з iOS 26.4, iPadOS 26.4, macOS 26.4, watchOS 26.4, tvOS 26.4, visionOS 26.4 або новішої версії, щоб увімкнути журнали. Після інсталювання профілю перезавантажте тестовий пристрій.
Щоб журнали подій містили необхідні деталі для виявлення підключень, які не відповідають вимогам, інсталюйте цей профіль, перш ніж виконувати перевірки. Якщо ви тестуєте автоматичну реєстрацію пристроїв на iPhone або iPad, інсталюйте профіль за допомогою Apple Configurator для Mac, перш ніж пристрій потрапить на панель керування пристроями в Асистенті налаштування.
Як виконувати звичайні робочі процеси
Використовуйте тестовий пристрій так само, як у своєму середовищі за звичайних умов. Зареєструйте його за допомогою служби керування пристроями, інсталюйте програми й профілі та виконайте інші робочі процеси, для яких потрібне підключення до серверів вашої організації.
Мета — спрямувати трафік до всіх серверів, які можуть не відповідати новим вимогам TLS.
Як зібрати системну діагностику
Виконавши робочі процеси, зберіть системну діагностику на тестовому пристрої. Цей архів діагностики містить події журналу, на основі яких ви зможете виявити невідповідні підключення.
Інструкції щодо збору системної діагностики залежно від пристрою
Як перевірити журнали
Перенесіть системну діагностику на Mac і відкрийте файл .tar.gz. У програмі «Термінал» перейдіть до каталогу найвищого рівня у відкритій системній діагностиці й відфільтруйте за доречними подіями журналу, використавши цю команду:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
Кожна подія журналу містить три ключові деталі.
Домен. Домен сервера для цієї події підключення.
Процес. Процес, який здійснив підключення. Така інформація допомагає визначити мету підключення мережі до цього домену.
Попередження. Яке підключення порушило обмеження й причини невідповідності сервера вимогам (підключення може отримати кілька попереджень, якщо сервер не відповідає кільком вимогам).
Що означають записи в журналах попереджень
Наведені нижче записи журналу вказують на сервери, які не відповідають новим вимогам TLS. Порушення позначено як загальні порушення правил ATS («Попередження про [порушення правил ATS]») або конкретні порушення стандарту FCP версії 2.1 («Попередження про [порушення стандарту ATS FCP версії 2.1]»).
Якщо ці журнали створено процесом, який підключається до сервера вашої організації, це означає, що конфігурації серверів потрібно змінити відповідно до нових вимог.
Запис у журналі | Значення | Рішення |
|---|---|---|
Попередження про [порушення правил ATS]: набір шифрів ([набір шифрів, щодо яких надіслано запит]) не вказано в ATS для сервера www.example.com | Сервер надіслав запит на набір шифрів без функції PFS, який не пропонується, коли клієнт застосовує ATS. | Сервери мають підтримувати набори шифрів PFS (будь-який набір шифрів TLS 1.3 і набори шифрів TLS 1.2 з ECDHE). |
Попередження про [порушення правил ATS]: для сервера www.example.com надіслано запит щодо TLS версії <1.2 | Сервер надіслав запит щодо TLS версії, ранішої за 1.2. Протоколи TLS 1.0 і 1.1 застарілі й не пропонуються за замовчуванням. | Оновіть сервери, щоб вони використовували TLS 1.3 (де це можливо) або принаймні TLS 1.2. |
Попередження про [порушення правил ATS]: безпекову вимогу сертифіката ATS не виконано для сервера www.example.com | Сертифікат сервера не пройшов стандартну оцінку безпеки, тому що не відповідає мінімальним вимогам, описаним на цій сторінці. | Оновіть сертифікат сервера, щоб він відповідав цим вимогам. Якщо сертифікат належить до профілю якірних сертифікатів з автоматичною реєстрацією, нічого робити не потрібно. |
Попередження про [порушення правил ATS]: розмір ключа RSA — [n]. Мінімум для сервера www.example.com — 2048 біт | Сертифікат сервера підписано ключем RSA, меншим за 2048 біт. | Оновіть сертифікат сервера, щоб він відповідав цим вимогам. |
Попередження про [порушення правил ATS]: розмір ключа ECDSA — [n]. Мінімум для сервера www.example.com — 256 біт | Сертифікат сервера підписано ключем ECDSA, меншим за 256 біт. | |
Попередження про [порушення правил ATS]: розмір алгоритму хешування дочірнього сертифіката (n) для сервера www.example.com менший за SHA-256 | Цей сертифікат сервера використовував алгоритм Secure Hash Algorithm 2 (SHA-2), менший за 256 біт. | |
Попередження про [порушення правил ATS]: протокол TLS не використовувався, коли було відкрито підключення для сервера www.example.com | Замість HTTPS було використано незашифрований протокол HTTP. | Додайте підтримку HTTPS для сервера. |
Попередження про [порушення стандарту ATS FCP версії 2.1]: сервер www.example.com надіслав запит щодо підпису algorithm rsa_pkcs15_sha1 | Сервер вибрав rsa_pkcs15_sha1 як signature_algorithm. | Додайте в конфігурацію підтримку сучасних алгоритмів підпису. |
Попередження про [порушення стандарту ATS FCP версії 2.1]: сертифікат сервера підписано за допомогою алгоритму підпису [алгоритм підпису], який не вказано в повідомленні ClientHello для сервера www.example.com | Сертифікат сервера підписано за допомогою алгоритму підпису, який не вказано в повідомленні ClientHello. | Підпишіть сертифікат сервера за допомогою алгоритму підпису з кодовою точкою TLS, що не є rsa_pkcs15_sha1. |
Попередження про [порушення стандарту ATS FCP версії 2.1]: надіслано запит щодо TLS 1.2 без головного секретного розширення для сервера www.example.com | Сервер надіслав запит на TLS 1.2, але не щодо EMS. | Сервери повинні використовувати TLS 1.3 або принаймні мати оновлену конфігурацію TLS 1.2, щоб надсилати запит щодо EMS. |
Як перевірити окремі сервери
Виявивши невідповідні сервери під час перевірки, ви можете протестувати їх окремо, щоб підтвердити наявність порушень або вдале застосування рішення.
Виконайте команду нижче, замінивши «https://example.com:8000» на значення свого сервера або кінцевої точки.
nscurl --ats-diagnostics https://example.com:8000/
Ця команда перевіряє, чи сервер відповідає вимогам для різних поєднань правил ATS. Перегляньте результат перевірки за допомогою ATS у режимі FCP_v2.1:
Configuring NIAP TLS package version requirements
---
FCP_v2.1
Result : PASS
---
Якщо результат має значення PASS, сервер відповідає всім вимогам.
Дізнайтеся більше про те, як виявити джерело блокування підключень
Рішення
Зверніться до власників проблемних серверів щодо оновлення конфігурацій TLS. Власником сервера може бути особа у вашій організації чи службі керування пристроями або сторонній постачальник.
Звертаючись до власника сервера щодо рішення, поділіться цією статтею і надайте попередження, які ви отримали.
Рішення можуть включати наведені нижче дії.
Додавання для серверів підтримки протоколу TLS 1.2 або новішої версії (рекомендується TLS 1.3).
Сервери, що регулюються лише протоколом TLS 1.2, мають принаймні підтримувати алгоритми обміну ключами, які забезпечують властивість Perfect Forward Secrecy (ECDHE), а також набори шифрів AEAD на основі AES-GCM із SHA-256, SHA-384 або SHA-512 і головне секретне розширення (RFC 7627).
Оновлення сертифікатів відповідно до вимог ATS щодо розміру ключа, алгоритму підпису й дієвості.
Додаткові ресурси
Дізнайтеся про App Transport Security й те, як запобігти незахищеним мережевим підключенням
Зверніться по додаткову допомогу до менеджера з роботи з клієнтами або в Службу підтримки для бізнесу AppleCare.