Chuẩn bị môi trường mạng cho các yêu cầu bảo mật nghiêm ngặt hơn
Hệ điều hành của Apple sẽ yêu cầu bảo mật mạng nghiêm ngặt hơn cho các quá trình hệ thống. Hãy kiểm tra xem kết nối máy chủ của bạn có đáp ứng các yêu cầu mới hay không.
Bài viết này dành cho quản trị viên CNTT và nhà phát triển dịch vụ quản lý thiết bị.
Ngay từ bản phát hành phần mềm lớn tiếp theo, hệ điều hành của Apple (iOS, iPadOS, macOS, watchOS, tvOS và visionOS) có thể từ chối kết nối với các máy chủ có cấu hình TLS lỗi thời hoặc không tuân thủ do yêu cầu bảo mật mạng bổ sung.
Bạn nên kiểm tra môi trường của mình để xác định những máy chủ không đáp ứng các yêu cầu này. Việc cập nhật cấu hình máy chủ để đáp ứng các yêu cầu này có thể mất nhiều thời gian, đặc biệt là đối với các máy chủ do nhà cung cấp bên ngoài duy trì.
Kết nối bị ảnh hưởng và yêu cầu về cấu hình
Các yêu cầu mới áp dụng cho kết nối mạng liên quan trực tiếp đến những hoạt động sau:
Quản lý thiết bị di động (MDM)
Quản lý thiết bị khai báo (DDM)
Đăng ký thiết bị tự động
Cài đặt hồ sơ cấu hình
Cài đặt ứng dụng, bao gồm cả việc phân phối ứng dụng doanh nghiệp
Bản cập nhật phần mềm
Ngoại lệ: Kết nối mạng với máy chủ SCEP (trong khi cài đặt hồ sơ cấu hình hoặc phân giải tài sản DDM) và máy chủ lưu nội dung vào bộ nhớ đệm (ngay cả khi yêu cầu các tài sản liên quan đến cài đặt ứng dụng hoặc cập nhật phần mềm) không bị ảnh hưởng.
Yêu cầu: Máy chủ phải hỗ trợ TLS 1.2 trở lên, sử dụng bộ mật mã tuân theo ATS và cung cấp chứng nhận hợp lệ đáp ứng các tiêu chuẩn của ATS. Để biết toàn bộ yêu cầu bảo mật mạng, hãy tham khảo tài liệu dành cho nhà phát triển:
Kiểm tra môi trường của bạn để phát hiện các kết nối không tuân thủ
Sử dụng thiết bị kiểm thử để xác định kết nối máy chủ trong môi trường của bạn không đáp ứng các yêu cầu mới của TLS.
Lập kế hoạch phạm vi kiểm thử
Các cấu hình thiết bị khác nhau có thể kết nối với các máy chủ khác nhau. Để đảm bảo quá trình kiểm tra có phạm vi bao quát đầy đủ, hãy kiểm thử tất cả các cấu hình áp dụng cho môi trường của bạn.
Môi trường: Sản xuất, dàn dựng, kiểm thử
Loại thiết bị: iPhone, iPad, máy Mac, Apple Watch, Apple TV, Apple Vision Pro
Vai trò: Nhóm người dùng (bán hàng, kỹ thuật, kế toán), thiết bị dùng chung, thiết bị được chia sẻ
Loại đăng ký: Đăng ký thiết bị tự động, đăng ký dựa trên tài khoản, Đăng ký thiết bị dựa trên hồ sơ, iPad được chia sẻ
Lặp lại các bước kiểm tra sau đây cho từng cấu hình kết nối với các máy chủ khác nhau.
Cài đặt Hồ sơ ghi nhật ký chẩn đoán mạng
Tải về và cài đặt Hồ sơ ghi nhật ký chẩn đoán mạng trên thiết bị kiểm thử đại diện chạy iOS 26.4, iPadOS 26.4, macOS 26.4, watchOS 26.4, tvOS 26.4 hoặc visionOS 26.4 trở lên, để bật tính năng ghi nhật ký. Sau khi cài đặt hồ sơ, hãy khởi động lại thiết bị kiểm thử.
Để đảm bảo sự kiện bản ghi chứa thông tin chi tiết cần thiết để xác định các kết nối không tuân thủ, bạn phải cài đặt hồ sơ này trước khi thực hiện bất kỳ quy trình kiểm thử nào. Nếu bạn đang kiểm thử tính năng Đăng ký thiết bị tự động trên iPhone hoặc iPad, hãy sử dụng Apple Configurator dành cho máy Mac để cài đặt hồ sơ trước khi thiết bị chuyển đến khung Quản lý thiết bị trong Trợ lý thiết lập.
Chạy các luồng công việc thông thường
Hãy sử dụng thiết bị kiểm thử như bình thường trong môi trường của bạn. Đăng ký thiết bị đó vào quản lý thiết bị, cài đặt ứng dụng và hồ sơ, đồng thời thực hiện mọi luồng công việc khác có kết nối với máy chủ của tổ chức.
Mục tiêu là tạo lưu lượng mạng đến tất cả máy chủ có thể bị ảnh hưởng bởi các yêu cầu mới của TLS.
Thu thập chẩn đoán hệ thống
Sau khi chạy các luồng công việc, hãy thu thập chẩn đoán hệ thống từ thiết bị kiểm thử. Kho lưu trữ chẩn đoán này chứa các sự kiện bản ghi bạn cần để xác định kết nối không tuân thủ.
Hướng dẫn thu thập chẩn đoán hệ thống cụ thể cho từng thiết bị
Xem lại bản ghi
Chuyển chẩn đoán hệ thống sang máy Mac và giải nén tệp .tar.gz. Sử dụng Terminal, điều hướng đến thư mục cấp cao nhất trong chẩn đoán hệ thống đã giải nén và lọc các sự kiện bản ghi liên quan bằng lệnh sau:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
Mỗi sự kiện bản ghi bao gồm ba thông tin chi tiết chính:
Miền: Miền của máy chủ cho sự kiện kết nối này.
Quá trình: Quá trình đã tạo kết nối, giúp bạn xác định mục đích của kết nối mạng đến miền đó.
Cảnh báo: Điều kiện ràng buộc mà kết nối đã vi phạm và cách máy chủ không tuân thủ (một kết nối có thể phát sinh nhiều cảnh báo nếu máy chủ không đáp ứng nhiều yêu cầu).
Diễn giải bản ghi cảnh báo
Các thông báo bản ghi sau đây cho biết những máy chủ không đáp ứng các yêu cầu mới của TLS. Các vi phạm được đánh dấu là vi phạm chính sách ATS chung ("Warning [ATS Violation]") hoặc vi phạm tiêu chuẩn FCP v2.1 cụ thể ("Warning [ATS FCPv2.1 violation]").
Nếu các bản ghi này phát sinh bởi quá trình kết nối với máy chủ dành riêng cho doanh nghiệp của bạn, thì các máy chủ đó phải được cập nhật để đáp ứng những yêu cầu mới.
Thông báo bản ghi | Ý nghĩa | Biện pháp khắc phục |
|---|---|---|
Warning [ATS violation]: Ciphersuite([negotiated ciphersuite]) not offered in ATS negotiated for server: www.example.com | Máy chủ đã thương lượng một bộ mật mã không có PFS, bộ mật mã này không được cung cấp khi máy khách áp dụng ATS. | Máy chủ phải hỗ trợ các bộ mật mã PFS (mọi bộ mật mã TLS 1.3 và các bộ mật mã TLS 1.2 có ECDHE). |
Warning [ATS violation]: TLS version <1.2 negotiated for server: www.example.com | Máy chủ đã thương lượng một phiên bản TLS cũ hơn TLS 1.2. TLS 1.0/1.1 đã lỗi thời và không còn được cung cấp theo mặc định. | Cập nhật máy chủ để thương lượng TLS 1.3 bất cứ khi nào có thể (tối thiểu là TLS 1.2). |
Warning [ATS Violation]: ATS certificate trust requirement not satisfied for server: www.example.com | Chứng nhận của máy chủ không vượt qua quá trình đánh giá độ tin cậy mặc định của máy chủ vì không đáp ứng các yêu cầu tối thiểu được nêu tại đây. | Cập nhật chứng nhận của máy chủ để đáp ứng các yêu cầu này. Nếu chứng nhận có trong chứng nhận neo của hồ sơ tự động đăng ký, thì không cần thực hiện biện pháp khắc phục. |
Warning [ATS violation]: RSA key size [n] bits is less than minimum 2048 bits for server: www.example.com | Chứng nhận của máy chủ được ký bằng khóa RSA có kích cỡ nhỏ hơn 2048 bit. | Cập nhật chứng nhận của máy chủ để đáp ứng các yêu cầu này. |
Warning [ATS violation]: ECDSA key size [n] bits is less than minimum 256 bits for server: www.example.com | Chứng nhận của máy chủ được ký bằng khóa ECDSA có kích cỡ nhỏ hơn 256 bit | |
Warning [ATS violation]: Leaf certificate hash algorithm (n) is not at least SHA-256 for server: www.example.com | Chứng nhận của máy chủ không sử dụng Thuật toán hàm băm an toàn 2 (SHA-2) với độ dài giá trị băm tối thiểu là 256 bit. | |
Warning [ATS violation]: Did not use TLS when opening connection for server: www.example.com | HTTP dạng văn bản thuần được sử dụng thay vì HTTPS. | Cập nhật máy chủ để hỗ trợ HTTPS. |
Warning [ATS FCPv2.1 violation]: Signature algorithm rsa_pkcs15_sha1 negotiated by server: www.example.com | Máy chủ đã chọn rsa_pkcs15_sha1 làm signature_algorithm. | Cập nhật cấu hình để ưu tiên các thuật toán chữ ký hiện đại. |
Warning [ATS FCPv2.1 violation]: Server certificate signed using signature algorithm [signature algorithm] not advertised in ClientHello for server: www.example.com | Chứng nhận của máy chủ được ký bằng một thuật toán chữ ký không được khai báo trong ClientHello. | Cập nhật chứng nhận của máy chủ để ký bằng thuật toán chữ ký có điểm mã TLS và không phải là rsa_pkcs15_sha1. |
Warning [ATS FCPv2.1 violation]: TLS 1.2 negotiated without extended master secret (EMS) for server: www.example.com | Máy chủ đã thương lượng TLS 1.2 và không thương lượng phần mở rộng khóa gốc mở rộng (EMS). | Cập nhật máy chủ để sử dụng TLS 1.3 hoặc ít nhất là cập nhật cấu hình TLS 1.2 để thương lượng EMS. |
Xác thực từng máy chủ
Sau khi xác định các máy chủ không tuân thủ trong quá trình kiểm tra, bạn có thể kiểm thử từng máy chủ để xác minh vi phạm cụ thể hoặc xác nhận rằng việc khắc phục đã thành công.
Chạy lệnh sau, thay "https://example.com:8000" bằng máy chủ hoặc điểm cuối.
nscurl --ats-diagnostics https://example.com:8000/
Lệnh này kiểm tra xem máy chủ có đáp ứng yêu cầu đối với nhiều cách kết hợp khác nhau của chính sách ATS hay không. Tìm kết quả kiểm tra bằng ATS khi bật chế độ FCP_v2.1:
Định cấu hình các yêu cầu về phiên bản của gói NIAP TLS
---
FCP_v2.1
Kết quả: ĐẠT
---
Nếu kết quả là "ĐẠT", thì máy chủ đáp ứng tất cả các yêu cầu.
Tìm hiểu thêm về cách xác định nguồn gốc của các kết nối bị chặn
Biện pháp khắc phục
Trao đổi với chủ sở hữu các máy chủ bị ảnh hưởng để cập nhật cấu hình TLS của họ. Chủ sở hữu máy chủ có thể là nội bộ, dịch vụ quản lý thiết bị hoặc nhà cung cấp bên thứ ba.
Khi liên hệ với chủ sở hữu máy chủ để thực hiện biện pháp khắc phục, hãy chia sẻ bài viết này cũng như các thông báo cảnh báo cụ thể mà bạn đã quan sát được.
Biện pháp khắc phục có thể bao gồm những cách sau:
Cập nhật máy chủ để hỗ trợ TLS 1.2 trở lên (khuyến nghị TLS 1.3)
Đối với máy chủ chỉ hỗ trợ TLS 1.2, các máy chủ đó ít nhất phải hỗ trợ thuật toán trao đổi khóa có cung cấp Bảo mật chuyển tiếp hoàn hảo (ECDHE), bộ mật mã AEAD dựa trên AES-GCM với SHA-256, SHA-384 hoặc SHA-512 và phần mở rộng khóa gốc mở rộng (RFC 7627).
Cập nhật chứng nhận để đáp ứng các yêu cầu ATS về kích cỡ khóa, thuật toán chữ ký và tính hợp lệ.
Tài nguyên bổ sung
Tìm hiểu về cách ngăn chặn các kết nối mạng không an toàn và Bảo mật truyền tải ứng dụng
Hãy liên hệ với Người quản lý thành công khách hàng hoặc Bộ phận hỗ trợ doanh nghiệp của AppleCare để được hỗ trợ thêm.