استخدام ميزات أمن الشبكات المضمنة على أجهزة Apple
تتميز أجهزة Apple بتقنيات مضمنة لأمن الشبكات تمنح المستخدمين الصلاحيات اللازمة وتساعد على حماية بياناتهم أثناء النقل. يشمل دعم أمن الشبكات على جهاز Apple الآتي:
بروتوكولات IPsec و IKEv2 و L2TP المضمنة
VPN مخصص عبر تطبيقات App Store (على iOS و iPadOS و visionOS)
VPN مخصص عبر عملاء VPN تابعين لجهات خارجية (على macOS)
بروتوكول أمان طبقة النقل (TLS 1.0 و TLS 1.1 و TLS 1.2 و TLS 1.3) و DTLS
SSL/TLS مع شهادات X.509
WPA/WPA2/WPA3 على مستوى المؤسسة مع 802.1X
المصادقة المستندة إلى الشهادة
مصادقة سر مشترك و Kerberos
RSA SecurID, CRYPTOCard (على macOS)
مُرحِّلات الشبكات في iOS و iPadOS و macOS و tvOS
يمكن استخدام مُرحِّل مضمن في iOS 17 و iPadOS 17 و macOS 14 و tvOS 17 أو أحدث، لتأمين حركة المرور باستخدام اتصال HTTP/3 أو HTTP/2 مُشفّر كشبكة VPN بديلة. مُرحّل الشبكة هو نوع خاص من الوكيل الذي تم تحسينه للأداء ويستخدم أحدث بروتوكولات النقل والأمن. ويمكن استخدامه لتأمين حركة مرور TCP و UDP لتطبيق معين وجهاز كامل وعند الوصول إلى الموارد الداخلية. يمكن استخدام مُرحّلات شبكات متعددة بالتوازي، بما في ذلك إخفاء العنوان باستخدام iCloud، دون الحاجة إلى تطبيق. لمزيد من المعلومات، انظر استخدام مُرحِّلات الشبكات.
VPN و IPsec
يحتوي العديد من بيئات الشركات على شكل من أشكال الشبكة الخاصة الظاهرية (VPN). وعادةً ما تتطلب خدمات شبكة VPN هذه حدًا أدنى من الإعداد والتكوين كي تعمل مع أجهزة Apple، والتي تتكامل مع العديد من تقنيات VPN شائعة الاستخدام.
يدعم iOS و iPadOS و macOS و tvOS و watchOS و visionOS بروتوكولات IPsec ووسائل المصادقة. لمزيد من المعلومات، انظر نظرة عامة على VPN.
TLS
تم إهمال بروتوكول تشفير SSL 3 ومجموعة تشفير RC4 المتماثلة في iOS 10 و macOS 10.12. بشكل افتراضي، لا يتم تمكين مجموعات تشفير RC4 المتماثلة على أجهزة عملاء وخوادم TLS التي تم تنفيذها باستخدام واجهات API للنقل الآمن. لهذا السبب، لا يمكن لهذه الأجهزة الاتصال عندما تكون RC4 هي مجموعة التشفير الوحيدة المتوفرة. لضمان مزيد من التأمين، ينبغي ترقية الخدمات أو التطبيقات التي تتطلب RC4، لتمكين مجموعات التشفير.
تتضمن التحسينات الأمنية الإضافية:
التوقيع المطلوب لاتصالات SMB (macOS)
في macOS 10.12 أو أحدث، دعم لمعيار AES كوسيلة تشفير لنظام NFS الذي يستخدم Kerberos (macOS)
أمن طبقة النقل (TLS 1.2 و TLS 1.3)
يدعم TLS 1.2 كلاً من AES 128 وSHA-2.
SSL 3 (على iOS و iPadOS و visionOS)
DTLS (على macOS)
يستخدم سفاري والتقويم والبريد وتطبيقات الإنترنت الأخرى هذه البروتوكولات لتمكين قناة اتصال مشفرة بين iOS و iPadOS و macOS و visionOS وخدمات الشركة.
يمكنك أيضًا تعيين الحد الأدنى والحد الأقصى لإصدار TLS لحمولة شبكة 802.1X مع EAP-TLS، وEAP-TTLS، وPEAP، وEAP-FAST. على سبيل المثال، يمكنك تعيين:
كلاهما إلى إصدار TLS معين
الإصدار الأدنى من TLS إلى قيمة أقل والإصدار الأعلى من TLS إلى قيمة أعلى، ومن ثم يتم التفاوض مع خادم RADIUS
قيمه لا شيء، مما قد يسمح لطالب المصادقة 802.1X بالتفاوض علي إصدار TLS مع خادم RADIUS
يتطلب iOS و iPadOS و macOS و visionOS توقيع شهادة الخادم الطرفية باستخدام مجموعة SHA-2 من خوارزميات التوقيع واستخدام إما مفتاح RSA لما لا يقل عن 2048 بت، أو مفتاح ECC لما لا يقل عن 256 بت.
يضيف iOS 11 أو iPadOS 13.1 أو macOS 10.13 أو visionOS 1.1أو أحدث دعمًا لـ TLS 1.2 في مصادقة 802.1X. وقد تتطلب خوادم المصادقة التي تدعم TLS 1.2 تحديثات التوافق التالية:
Cisco: ISE 2.3.0
FreeRADIUS: التحديث إلى الإصدار 2.2.10 و3.0.16.
Aruba ClearPass: التحديث إلى الإصدار 6.6.x.
ArubaOS: التحديث إلى الإصدار 6.5.3.4.
Microsoft: Windows Server 2012 - خادم سياسة الشبكة.
Microsoft: Windows Server 2016 - خادم سياسة الشبكة.
لمزيد من المعلومات حول 802.1X، انظر توصيل أجهزة Apple بشبكات 802.1X.
WPA2/WPA3
تدعم جميع أنظمة Apple الأساسية بروتوكولات مصادقة وتشفير Wi-Fi القائمة على معايير الصناعة، لتوفير الوصول المصدق والسرية عند الاتصال بالشبكات اللاسلكية الآمنة التالية:
WPA2 الشخصي
WPA2 على مستوى المؤسسة
WPA2/WPA3 الانتقالي
WPA3 الشخصي
WPA3 على مستوى المؤسسة
WPA3 على مستوى المؤسسة بأمن 192 بت
لعرض قائمة بروتوكولات المصادقة اللاسلكية بمعيار 802.1X، انظر تكوينات 802.1X على Mac.
إخفاء التطبيقات وقفلها
في iOS 18 و iPadOS 18 أو أحدث، بإمكان المستخدمين طلب بصمة الوجه أو بصمة الإصبع أو رمز دخول لفتح تطبيق أو إخفائه من الشاشة الرئيسية. يمكن لبرنامج MDM إدارة إتاحة هذه الخيارات من خلال الآتي:
التحكم في قدرة المستخدم على إخفاء التطبيقات المدارة وقفلها لكل تطبيق
تعطيل إخفاء وقفل كل التطبيقات على الأجهزة الخاضعة للإشراف
بالنسبة إلى الأجهزة المسجلة باستخدام تسجيل المستخدم، لا يتم إبلاغ MDM بالتطبيقات المخفية إلا إذا كانت مُدارة. بالنسبة إلى الأجهزة المسجلة باستخدام تسجيل الجهاز، يتم إبلاغ MDM بالتطبيقات المخفية كجزء من التطبيقات المثبتة.
إمكانية الوصول إلى الشبكة المحلية على macOS
في macOS 15 أو أحدث، يلزم على أي وكيل تشغيل أو تطبيق تابع لجهة خارجية يرغب في التفاعل مع الأجهزة على شبكة المستخدم المحلية طلب إذن في المرة الأولى التي يحاول فيها تصفح الشبكة المحلية.
ومثل iOS و iPadOS، بإمكان المستخدمين الانتقال إلى إعدادات النظام > الخصوصية > الشبكة المحلية للسماح بهذا الوصول أو رفضه.
تشفير فيس تايم وiMessage
يقوم iOS و iPadOS و macOS و visionOS بإنشاء معرّف فريد لكل مستخدم فيس تايم و iMessage، مما يساعد على تضمين تشفير الاتصالات وتوجيهها وتوصيلها بشكل صحيح.