Apple 平台部署
- 欢迎使用
- Apple 平台部署介绍
- 新功能
-
-
- 辅助功能有效负载设置
- “Active Directory 证书”有效负载设置
- “隔空播放”有效负载设置
- “隔空播放安全性”有效负载设置
- “隔空打印”有效负载设置
- “App 锁定”有效负载设置
- “关联域”有效负载设置
- “自动化证书管理环境” (ACME) 有效负载设置
- “自治单 App 模式”有效负载设置
- “日历”有效负载设置
- “蜂窝网络”有效负载设置
- “蜂窝专用网络”有效负载设置
- “证书偏好设置”有效负载设置
- “证书撤销”有效负载设置
- “证书透明度”有效负载设置
- “证书”有效负载设置
- “会议室显示器”有效负载设置
- “通讯录”有效负载设置
- “内容缓存”有效负载设置
- “目录服务”有效负载设置
- “DNS 代理”有效负载设置
- “DNS 设置”有效负载设置
- “程序坞”有效负载设置
- “域”有效负载设置
- “节能”有效负载设置
- Exchange ActiveSync (EAS) 有效负载设置
- Exchange 网络服务 (EWS) 有效负载设置
- “可扩展单点登录”有效负载设置
- “可扩展单点登录 Kerberos”有效负载设置
- “扩展”有效负载设置
- “文件保险箱”有效负载设置
- “访达”有效负载设置
- “防火墙”有效负载设置
- “字体”有效负载设置
- “全局 HTTP 代理”有效负载设置
- “谷歌账户”有效负载设置
- “主屏幕布局”有效负载设置
- 身份有效负载设置
- “身份偏好设置”有效负载设置
- “内核扩展策略”有效负载设置
- LDAP 有效负载设置
- “无人值守管理”有效负载设置
- “锁屏信息”有效负载设置
- 登录窗口有效负载设置
- “管理式登录项”有效负载设置
- 邮件有效负载设置
- “网络使用规则”有效负载设置
- “通知”有效负载设置
- “家长控制”有效负载设置
- “密码”有效负载设置
- “打印”有效负载设置
- “隐私偏好设置策略控制”有效负载设置
- “中继”有效负载设置
- SCEP 有效负载设置
- “安全性”有效负载设置
- “设置助理”有效负载设置
- “单点登录”有效负载设置
- “智能卡”有效负载设置
- “已订阅的日历”有效负载设置
- “系统扩展”有效负载设置
- “系统迁移”有效负载设置
- “时间机器”有效负载设置
- “电视遥控器”有效负载设置
- Web Clip 有效负载设置
- “网页内容过滤器”有效负载设置
- Xsan 有效负载设置
- 词汇表
- 文稿修订历史
- 版权
针对 Apple 设备的管理式设备证明
管理式设备证明是 iOS 16、iPadOS 16.1、macOS 14 和 Apple tvOS 16 或更高版本中的一项功能。管理式设备证明可提供有力证据来证明哪些设备属性可用作信任评估的一部分。此设备属性的加密声明是基于安全隔区和 Apple 证明服务器的安全性。
管理式设备证明可帮助抵御以下威胁:
遭破解的设备谎报其属性
遭破解的设备提供过时证明
遭破解的设备发送其他设备的标识符
提取专用密钥供流氓设备使用
攻击者劫持证书请求以诱骗 CA 向攻击者签发证书
有关更多信息,请参阅 WWDC24 视频:设备管理方面的新动向。
通过 ACME 证书注册请求进行管理式设备证明
组织的签发证书颁发机构 (CA) ACME 服务可以请求提供注册设备属性的证明。此证明为设备属性(例如序列号)的合理性和真实性提供了强力保证。签发 CA 的 ACME 服务可通过加密方式验证已证明设备属性的完整性,并可选择性地与组织的设备存货比对参照,验证成功后即可确定设备为组织的设备。
若使用证明,设备的安全隔区内会生成硬件绑定专用密钥,以作为证书签名请求的一部分。对于此请求,签发 ACME 的 CA 之后可签发客户端证书。此密钥绑定到安全隔区,因此仅在特定设备上可用。它可在配置了支持某种证书身份规范的 iPhone、iPad、Apple TV 和 Apple Watch 上使用。在 Mac 上,硬件绑定密钥可用于通过 MDM、Microsoft Exchange、Kerberos、802.1X 网络、内建 VPN 客户端和内建网络中继进行认证。
【注】安全隔区提供防范密钥提取的强力保护措施,甚至还可应对已遭破解的应用程序处理器。
这些硬件绑定密钥在抹掉或恢复设备时会被自动移除。因为密钥会被移除,所以依赖于这些密钥的任何配置描述文件在恢复之后将不起作用。必须再次应用描述文件才能重新创建密钥。
借助 ACME 有效负载证明,MDM 可使用 ACME 协议注册客户端证书身份,该协议可通过加密方式验证:
设备为正品 Apple 设备
设备为特定设备
设备由组织的 MDM 服务器管理
设备具备某些属性(例如序列号)
专用密钥通过硬件绑定到设备
通过 MDM 请求进行管理式设备证明
除了在 ACME 证书注册请求期间使用管理式设备证明,MDM 解决方案还可发出请求 DevicePropertiesAttestation
属性的 DeviceInformation
查询。如果 MDM 解决方案想要帮助确保证明为最新版本,可发送一个可选的 DeviceAttestationNonce
键以强制生成新的证明。如果此键被忽略,设备会返回一个缓存的证明。然后,设备证明响应会返回一个属性拥有自定义 OID 的叶证书。
【注】使用用户注册时会忽略序列号和 UDID 以保护用户隐私。其他值为匿名并包括 sepOS 版本和新鲜度代码等属性。
MDM 解决方案随后可通过评估证书链是否已通过预期 Apple 证书颁发机构(可从 Apple 专用 PKI 储存库获取)获得 root 权限,以及新鲜度代码的哈希值是否与 DeviceInformation
查询中所提供的新鲜度代码哈希值一致,来验证响应。
由于定义新鲜度代码会生成新的证明,而该行为会消耗设备和 Apple 服务器的资源,所以当前每台设备的使用限制为每 7 天可生成一个 DeviceInformation
证明。MDM 解决方案不应每 7 天立即请求一个新证明。除非设备属性发生变化,例如操作系统版本更新或升级,否则没有必要请求新证明。另外,偶尔随机请求新证明可能有助于发现正试图谎报这些属性的遭破解设备。
处理失败证明
请求证明可能会失败。失败时,设备仍会响应 DeviceInformation
查询或 ACME 服务器的 device-attest-01
质询,但某些信息会被忽略。有可能忽略预期 OID 或其值,也有可能完全忽略证明。潜在的失败原因有很多,如:
连接 Apple 证明服务器的网络发生问题
设备硬件或软件可能遭破解
设备使用非正品 Apple 硬件
在上述的后 2 种情况中,Apple 证明服务器会拒绝为其无法验证的属性签发证明。MDM 解决方案没有可信的方式来获知证明失败的确切原因。这是因为失败相关信息的唯一来源是设备本身,而设备本身可能是一个正在谎报的遭破解设备。为此,来自设备的响应无法表明失败的原因。
但是,当管理式设备证明用作零信任架构的一部分时,组织可以为设备计算一个信任分,失败或非预期的失效证明均会降低该分数。信任分降低后会触发不同的操作,如拒绝访问服务、标记设备以执行手动调查,或在必要时擦除并撤销其证书来进行合规升级。这可确保失败的证明会得到适当的响应。