為更嚴格的安全性要求準備網路環境
Apple 作業系統將對系統程序要求更嚴格的網路安全性。請檢查你的伺服器連線是否符合新要求。
本文適用於 IT 管理員與裝置管理服務開發者。
從下一個主要軟體版本開始,Apple 作業系統(iOS、iPadOS、macOS、watchOS、tvOS 與 visionOS)可能會因額外的網路安全性要求,而拒絕連線至採用過時或不相容 TLS 配置的伺服器。
你應稽核你的環境,找出不符合這些要求的伺服器。更新伺服器配置以符合這些要求可能需要大量時間,尤其是由外部廠商維護的伺服器。
受影響的連線與配置要求
新要求適用於直接涉及下列活動的網路連線:
行動裝置管理(MDM)
宣告式裝置管理(DDM)
自動裝置註冊
安裝設定描述檔
App 安裝,包括企業 App 發行
軟體更新
例外情況:連線至 SCEP 伺服器(在安裝設定描述檔或解析 DDM 資產時)及內容快取伺服器的網路連線(即使是在請求與 App 安裝或軟體更新相關的資產時)不受影響。
要求:伺服器必須支援 TLS 1.2 或以上版本,使用符合 ATS 規範的加密套件,並提供符合 ATS 標準的有效憑證。如需完整的網路安全性要求,請參考開發者文件:
稽核你的環境,找出不符合要求的連線
使用測試裝置識別環境中不符合新 TLS 要求的伺服器連線。
規劃測試範圍
不同裝置配置可能連線至不同伺服器。為確保稽核範圍完整,請測試所有適用於你環境的配置。
環境:生產、預備、測試
裝置類型:iPhone、iPad、Mac、Apple Watch、Apple TV、Apple Vision Pro
職務:使用者群組(銷售、工程、會計)、自助服務機裝置、共享裝置
註冊類型:「自動裝置註冊」、「以帳號為主的註冊」、「以描述檔為主的裝置註冊」、「共享的 iPad」
針對連線至不同伺服器的每個配置,重複以下稽核步驟。
安裝「網路診斷記錄描述檔」
下載並安裝「網路診斷記錄描述檔」到執行 iOS 26.4、iPadOS 26.4、macOS 26.4、watchOS 26.4、tvOS 26.4 或 visionOS 26.4 或以上版本的代表性測試裝置上,以便啟用記錄功能。安裝描述檔後,重新啟動測試裝置。
為確保記錄事件包含所需詳細資訊而可用於找出不符規定的連線,請務必先安裝此描述檔,再執行任何測試。若你在 iPhone 或 iPad 上測試「自動裝置註冊」,請在裝置進入「設定輔助程式」的「裝置管理」面板前,先使用 Mac 版 Apple Configurator 安裝描述檔。
執行一般工作流程
在你的環境中正常使用測試裝置。在裝置管理中註冊裝置、安裝 App 與描述檔,並執行任何其他連線至貴組織伺服器的工作流程。
目標是對所有可能受新 TLS 要求影響的伺服器產生網路流量。
收集 sysdiagnose
執行工作流程後,請從測試裝置收集 sysdiagnose。此診斷封存檔包含所需記錄事件,可用於找出不符規定的連線。
檢視記錄
將 sysdiagnose 傳送至 Mac,並解壓縮 .tar.gz 檔案。使用「終端機」瀏覽至展開的 sysdiagnose 最上層目錄,並使用以下指令過濾相關記錄事件:
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
每個記錄事件包含三個主要細節:
網域:此連線事件的伺服器網域。
程序:建立連線的程序,有助於判斷該網域的網路連線目的。
警告:連線違反的限制,以及伺服器為何不符合規定(若伺服器不符合多項要求,單一連線可能會發出多項警告)。
解讀警告記錄
下列記錄訊息表示伺服器不符合新的 TLS 要求。違規狀況會標示為違反一般 ATS 政策(「警告 [ATS 違規]」)或違反特定 FCP v2.1 標準(「警告 [ATS FCPv2.1 違規]」)
如果連線至你企業專屬伺服器的程序產生這些記錄,則該伺服器必須更新以符合新要求。
記錄訊息 | 涵意 | 因應措施 |
|---|---|---|
警告 [ATS 違規]:加密套件([協調的加密套件])未在伺服器 www.example.com 協調的 ATS 中提供 | 伺服器協調了非 PFS 加密套件,當用戶端強制執行 ATS 時未提供該套件。 | 伺服器必須支援 PFS 加密套件(任何 TLS 1.3 加密套件及具 ECDHE 的 TLS 1.2 加密套件)。 |
警告 [ATS 違規]:伺服器 www.example.com 協調的 TLS 版本 < 1.2 | 伺服器協調的 TLS 版本早於 TLS 1.2。 TLS 1.0/1.1 已被淘汰,預設不再提供。 | 請盡可能更新伺服器以協調 TLS 1.3(最低標準為 TLS 1.2)。 |
警告 [ATS 違規]:伺服器 www.example.com 未符合 ATS 憑證信任要求 | 伺服器的憑證未通過預設伺服器信任評估,因其未符合此處所述的最低需求 | 請更新伺服器憑證以符合這些要求。 若憑證位於自動註冊描述檔錨點憑證中,則不需因應措施。 |
警告 [ATS 違規]:RSA 密鑰大小 [n] 位元未達最低要求的 2048 位元,伺服器:www.example.com | 伺服器憑證使用小於 2048 位元的 RSA 密鑰簽署。 | 請更新伺服器憑證以符合這些要求。 |
警告 [ATS 違規]:ECDSA 密鑰大小 [n] 位元未達最低要求的 256 位元,伺服器:www.example.com | 伺服器的憑證使用小於 256 位元的 ECDSA 密鑰簽署。 | |
警告 [ATS 違規]:用戶端憑證雜湊演算法(n)未達最低要求的 SHA-256,伺服器:www.example.com | 伺服器的憑證未使用摘要長度至少為 256 位元的安全雜湊演算法 2(SHA-2)。 | |
警告 [ATS 違規]:為伺服器 www.example.com 開啟連線時未使用 TLS | 使用純文字 HTTP 而非 HTTPS。 | 更新伺服器以支援 HTTPS。 |
警告 [ATS FCPv2.1 違規]:伺服器 www.example.com 協調的簽名演算法 rsa_pkcs15_sha1 | 伺服器選擇 rsa_pkcs15_sha1 作為簽名演算法。 | 更新設定,改為偏好使用現代簽名演算法。 |
警告 [ATS FCPv2.1 違規]:伺服器憑證使用簽名演算法 [簽名演算法] 簽署,但未在伺服器 www.example.com | 伺服器的憑證使用 ClientHello 中未宣告的簽名演算法簽署。 | 更新伺服器的憑證,改用具有 TLS 編碼點且非 rsa_pkcs15_sha1 的簽名演算法進行簽署。 |
警告 [ATS FCPv2.1 違規]:伺服器 www.example.com 協調 TLS 1.2 時未使用延伸主機密鑰(EMS) | 伺服器協調 TLS 1.2,但未協調延伸主機密鑰(EMS)擴充功能。 | 更新伺服器以使用 TLS 1.3,或至少更新其 TLS 1.2 配置以便協調 EMS。 |
驗證個別伺服器
稽核時找出不符合規定的伺服器後,你可以個別測試這些伺服器,驗證特定違規情況或確認因應措施成功。
執行以下指令,將「https://example.com:8000」替換為你的伺服器或端點。
nscurl --ats-diagnostics https://example.com:8000/
此指令會測試伺服器是否符合各種 ATS 政策組合的要求。尋找啟用 FCP_v2.1 模式的 ATS 測試結果:
設定 NIAP TLS 套件版本需求
---
FCP_v2.1
Result : PASS
---
如果結果為「PASS」,表示伺服器符合所有要求。
因應措施
請與受影響伺服器的擁有者合作,更新其 TLS 設定。伺服器擁有者可能是內部人員、你的裝置管理服務或第三方廠商。
聯絡伺服器擁有者實行因應措施時,請分享本文章和你觀察到的特定警告訊息。
因應措施可能包括下列項目:
更新伺服器以支援 TLS 1.2 或以上版本(建議使用 TLS 1.3)。
對於僅支援 TLS 1.2 的伺服器,必須至少支援提供完美轉進保密(ECDHE)的密鑰交換演算法、基於 AES-GCM 且使用 SHA-256、SHA-384 或 SHA-512 的 AEAD 加密套件,以及延伸主密鑰擴展(RFC 7627)。
更新憑證以符合 ATS 對密鑰大小、簽名演算法與有效性的要求。
其他資源
如需進一步協助,請聯絡你的客戶成功經理或 AppleCare 企業支援。