使用 Apple 设备内建的网络安全性功能
Apple 设备内建的网络安全性技术可向用户授权并在传输过程中帮助保护其数据。Apple 设备网络安全性支持包括:
内建 IPsec、IKEv2、L2TP
通过 App Store App 自定义 VPN(iOS、iPadOS、visionOS)
通过第三方 VPN 客户端自定义 VPN (macOS)
传输层安全协议(TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3)和 DTLS
采用 X.509 证书的 SSL/TLS
采用 802.1X 的 WPA/WPA2/WPA3 企业级协议
基于证书的认证
共享密钥和 Kerberos 认证
RSA SecurID、CRYPTOCard (macOS)
iOS、iPadOS、macOS 和 Apple tvOS 中的网络中继
iOS 17、iPadOS 17、macOS 14、Apple tvOS 17 或更高版本中的内建中继可作为替代 VPN,用于保护使用加密 HTTP/3 或 HTTP/2 连接的流量。网络中继是一种特殊类型的代理,已针对性能进行优化且使用最新的传输和安全性协议。它可用于保护特定 App、整台设备以及访问内部资源时 TCP 和 UDP 流量的安全。多个网络中继(包括 iCloud 专用代理)可同时使用,无需 App。有关更多信息,请参阅使用网络中继。
VPN 和 IPsec
许多企业环境都有某种形式的虚拟专用网络 (VPN)。这些 VPN 服务整合了多种广泛使用的 VPN 技术,通常只需要简单的设置和配置,便可与 Apple 设备配合使用。
iOS、iPadOS、macOS、Apple tvOS、watchOS 和 visionOS 支持 IPsec 协议和认证方式。有关更多信息,请参阅 VPN 概览。
TLS
SSL 3 加密协议和 RC4 对称密码组在 iOS 10 和 macOS 10.12 未予使用。默认情况下,与 Secure Transport API 一起实行的 TLS 客户端或服务器未启用 RC4 密码组。因此,当 RC4 是唯一可用的密码组时它们无法连接。为了更加安全,需要 RC4 的服务或 App 应该升级以启用密码组。
其他安全性提升包括:
需要签名 SMB 连接 (macOS)
macOS 10.12 或更高版本支持将 AES 作为 Kerberos 化的 NFS 的加密方式 (macOS)
传输层安全协议(TLS 1.2、TLS 1.3)
TLS 1.2 支持 AES 128 和 SHA-2。
SSL 3(iOS、iPadOS、visionOS)
DTLS (macOS)
Safari 浏览器、“日历”、“邮件”和其他互联网 App 会使用这些机制,在 iOS、iPadOS、macOS 和 visionOS 与企业服务之间启用加密的通信渠道。
你还可以通过 EAP-TLS、EAP-TTLS、PEAP 和 EAP-FAST 给 802.1X 网络有效负载设定最低和最高 TLS 版本。例如,你可以设定:
最低和最高均为相同的特定 TLS 版本
较低的 TLS 最低版本值和较高的 TLS 最高版本值,设定的值之后会与 RADIUS 服务器协商
无值,这可让 802.1X 请求端与 RADIUS 服务器协商 TLS 版本
iOS、iPadOS、macOS 和 visionOS 要求使用 SHA-2 家族的签名算法给服务器的叶证书签名,并使用至少 2048 位的 RSA 密钥或至少 256 位的 ECC 密钥。
iOS 11、iPadOS 13.1、macOS 10.13、visionOS 1.1 或更高版本在 802.1X 认证中增加了 TLS 1.2 支持。支持 TLS 1.2 的认证服务器可能需要以下更新以提高兼容性:
Cisco:ISE 2.3.0
FreeRADIUS:更新至版本 2.2.10 和 3.0.16。
Aruba ClearPass:更新至版本 6.6.x。
ArubaOS:更新至版本 6.5.3.4。
Microsoft:Windows Server 2012 - 网络策略服务器。
Microsoft:Windows Server 2016 - 网络策略服务器。
有关 802.1X 的更多信息,请参阅将 Apple 设备接入 802.1X 网络。
WPA2/WPA3
所有 Apple 平台均支持行业标准的无线局域网认证和加密协议,以在接入以下安全无线网络时提供经认证的访问和保密性:
WPA2 个人级
WPA2 企业级
WPA2/WPA3 过渡模式
WPA3 个人级
WPA3 企业级
WPA3 企业级 192 位安全性
若要查看 802.1X 无线认证协议列表,请参阅Mac 的 802.1X 配置。
隐藏和锁定 App
在 iOS 18 和 iPadOS 18 或更高版本中,用户可要求使用面容 ID、触控 ID 或密码打开 App,以及将其从主屏幕隐藏。MDM 可通过以下方式管理这些选项的可用性:
针对每个 App 控制用户隐藏和锁定受管理 App 的能力
停用被监督设备上隐藏和锁定所有 App 的功能
对于通过用户注册进行注册的设备,只有受管理的隐藏 App 才会报告给 MDM。对于通过设备注册进行注册的设备,隐藏的 App 会随所有已安装 App 报告给 MDM。
macOS 本地网络访问
在 macOS 15 或更高版本中,想要与用户本地网络上的设备交互的第三方 App 或启动代理必须在首次尝试浏览本地网络时请求许可。
类似于 iOS 和 iPadOS,用户可前往“系统设置”>“隐私”>“本地网络”以允许或拒绝此访问。
FaceTime 通话和 iMessage 信息加密
iOS、iPadOS、macOS 和 visionOS 会为每位 FaceTime 通话和 iMessage 信息用户创建唯一的 ID,以帮助确保通信能够正确地加密、发送和连接。