Übersicht über die Gerätesicherheitskonfiguration

Artikel
09/02/2008

Aktualisiert: November 2007

Der Bereich Sicherheitskonfiguration ist ein Bestandteil des Gerätesicherheits-Managers. Verwenden Sie den Bereich Sicherheitskonfiguration, um Sicherheitskonfigurationen in Windows Mobile-Geräte und Emulatoren zu importieren bzw. daraus zu exportieren, anzuzeigen oder zu ändern. Um den Gerätesicherheits-Manager zu öffnen, klicken Sie im Menü Extras auf Gerätesicherheits-Manager.

Liste von Sicherheitskonfigurationen

Die Sicherheitskonfiguration eines Geräts bestimmt das Verhalten des Anwendungsladeprogramms. Beispielsweise kann verhindert werden, dass bestimmte Anwendungen installiert und ausgeführt werden. Jedes Windows Mobile-Gerät oder jeder Emulator verwendet eine von sieben möglichen Sicherheitskonfigurationen aus der folgenden Tabelle.

Konfiguration	Beschreibung
Gesperrt	Dies ist die restriktivste Sicherheitskonfiguration. Nur Anwendungen, die mit einem Zertifikat signiert sind, das sich im Zertifikatsspeicher des Geräts befindet, besitzen die Berechtigung zum Ausführen. Alle Remote-API (RAPI)-Aufrufe von Desktopanwendungen werden abgelehnt. Vorsicht: Das Bereitstellen einer gesperrten Konfiguration für ein physisches Gerät kann nicht rückgängig gemacht werden. Nachfolgende Verbindungsversuche seitens des Gerätesicherheits-Managers werden vom Gerät abgelehnt. Es ist nicht möglich, das Gerät zu entsperren oder die Sicherheitskonfiguration zu ändern. Im Unterschied zu physischen Geräten können Emulatoren immer entsperrt werden.
Sicherheit deaktiviert	Das Gerät hat das am wenigsten restriktive Sicherheitsmodell. Anwendungen aus einer beliebigen Quelle können installiert und ausgeführt werden, wobei vollständiger Zugriff auf die Systemressourcen gewährleistet ist. RAPI-Aufrufe von Desktopanwendungen werden ohne Einschränkungen verarbeitet.
Drittanbietersignatur, Ebene 2	Anwendungen ohne Signatur können nicht ausgeführt werden. Anwendungen, die mit einem Zertifikat im privilegierten Zertifikatsspeicher signiert sind, werden mit erweiterten Berechtigungen ausgeführt. Anwendungen, die mit einem Zertifikat im normalen Zertifikatsspeicher signiert sind, haben eingeschränktere Berechtigungen. Beispielsweise können solche Anwendungen nicht auf System-APIs und geschützte Registrierungsschlüssel zugreifen. RAPI-Aufrufe werden anhand der Maske der SECROLE_USER_AUTH-Rolle überprüft, bevor sie zugelassen werden.
Drittanbietersignatur, Ebene 1	Anwendungen ohne Signatur können nicht ausgeführt werden. Anwendungen, die mit einem Zertifikat im Zertifikatsspeicher signiert sind, werden bei vollem Zugriff auf Systemressourcen installiert und ausgeführt. RAPI-Aufrufe werden anhand der Maske der SECROLE_USER_AUTH-Rolle überprüft, bevor sie zugelassen werden.
Eingabeaufforderung, Ebene 2	Benutzer werden aufgefordert, nicht signierten Anwendungen eine Installationsberechtigung zu erteilen. Wenn die Berechtigung erteilt wurde, können nicht signierte Anwendungen mit normalen Berechtigungen ausgeführt werden. Dies bedeutet, dass die Anwendungen nicht auf System-APIs und geschützte Registrierungsschlüssel zugreifen können. Anwendungen, die mit einem Zertifikat im privilegierten Zertifikatsspeicher signiert sind, werden mit erweiterter Berechtigung ausgeführt. Anwendungen, die mit einem Zertifikat im normalen Zertifikatsspeicher signiert sind, werden mit normaler Berechtigung ausgeführt. RAPI-Aufrufe werden anhand der Maske der SECROLE_USER_AUTH-Rolle überprüft, bevor sie zugelassen werden.
Eingabeaufforderung, Ebene 1	Benutzer werden aufgefordert, nicht signierten Anwendungen eine Installations- und Ausführungsberechtigung mit vollem Zugriff auf Systemressourcen zu erteilen. RAPI-Aufrufe werden anhand der Maske der SECROLE_USER_AUTH-Rolle überprüft, bevor sie zugelassen werden.
Benutzerdefiniert	Die Einstellungen der Sicherheitsrichtlinien stimmen mit keiner der Standardsicherheitskonfigurationen überein. Informieren Sie sich unter den Einstellungen der einzelnen Sicherheitsrichtlinien, um die Gerätesicherheitskonfiguration zu ermitteln.

Was ist eine Sicherheitskonfiguration?

Eine Sicherheitskonfiguration ist ein beschreibender Name, der an eine Gruppe von fünf Sicherheitsrichtlinien vergeben wird. Bei einer gesperrten Sicherheitskonfiguration sehen die Richtlinieneinstellungen beispielsweise eine Ebene, keine Aufforderung, keine nicht signierten CABs, keine nicht signierten Anwendungen und keinen RAPI-Zugriff vor. In der folgenden Tabelle finden Sie die Sicherheitsrichtlinien, durch die die einzelnen Sicherheitskonfigurationen definiert werden.

Konfiguration	Richtlinien-ID 4102 (Können nicht signierte Anwendungen ausgeführt werden?)	Richtlinien-ID 4101 (Können nicht signierte CABs ausgeführt werden?)	Richtlinien-ID 4122 (Eingabeaufforderung für Benutzer?)	Richtlinien-ID 4123 (Ebene 1?)	Richtlinien-ID 4097 (RAPI)
Gesperrt	Nein (0)	Nein (0)	Nein (1)	Ebene 2 (0) oder Ebene 1 (1)	Deaktiviert (0)
Drittanbietersignatur, Ebene 1	Nein (0)	Nein (0)	Nein (1)	Ebene 1 (1)	Eingeschränkt (2)
Drittanbietersignatur, Ebene 2	Nein (0)	Nein (0)	Nein (1)	Ebene 2 (0)	Eingeschränkt (2)
Eingabeaufforderung, Ebene 2	Ja (1)	Ja (1)	Ja (0)	Ebene 2 (0)	Eingeschränkt (2)
Eingabeaufforderung, Ebene 1	Ja (1)	Ja (1)	Ja (0)	Ebene 1 (1)	Eingeschränkt (2)
Sicherheit deaktiviert	Ja (1)	Ja (1)	Nein (1)	Ebene 1 (1)	Zugelassen (1)

Hinweis:
Die Bezeichnung Benutzerdefiniert bezieht sich auf eine beliebige Gruppe von Sicherheitsrichtlinieneinstellungen, die keiner Standardsicherheitskonfiguration in der vorangehenden Tabelle entsprechen.