Freigeben über


SecurityPolicy-Konfigurationsdienstanbieter

Die folgende Tabelle zeigt die Anwendbarkeit von Windows:

Edition Windows 10 Windows 11
POS1 Ja Ja
Vorteil Ja Ja
Windows SE Nein Ja
Business Ja Ja
Unternehmen Ja Ja
Bildung Ja Ja

Der SecurityPolicy-Konfigurationsdienstanbieter wird verwendet, um Sicherheitsrichtlinieneinstellungen für WAP-Push, OMA-Clientbereitstellung, OMA DM, Dienstanzeige (SI), Service Loading (SL) und MMS zu konfigurieren.

Hinweis

Dieser Konfigurationsdienstanbieter erfordert, dass über eine Netzwerkkonfigurationsanwendung auf die ID_CAP_CSP_FOUNDATION- und ID_CAP_DEVICE_MANAGEMENT_SECURITY_POLICIES-Funktionen zugegriffen werden kann.

Für den SecurityPolicy-CSP können Sie den Befehl Ersetzen nur verwenden, wenn der Knoten bereits vorhanden ist.

Das folgende Beispiel zeigt das SecurityPolicy-Konfigurationsdienstanbieterverwaltungsobjekt im Strukturformat, das sowohl von OMA DM als auch von der OMA-Clientbereitstellung verwendet wird.

./Vendor/MSFT
SecurityPolicy
----PolicyID

PolicyID Definiert den Sicherheitsrichtlinienbezeichner als Dezimalwert.

Die folgenden Sicherheitsrichtlinien werden unterstützt.

  • PolicyID: 4104 | Hexad.: 1008

    • Richtlinienname: TPS-Richtlinie
    • Richtlinienbeschreibung: Diese Einstellung gibt an, ob Mobilfunkanbietern die TpS-Rolle (Trusted Provisioning Server) SECROLE_OPERATOR_TPS zugewiesen werden kann.
      • Standardwert: 1
      • Unterstützte Werte:
        • 0: Die TPS-Rollenzuweisung ist deaktiviert.
        • 1: Die TPS-Rollenzuweisung ist aktiviert und kann Mobilfunkanbietern zugewiesen werden.
  • PolicyID: 4105 | Hex: 1009

    • Richtlinienname: Wiederholungsrichtlinie für die Nachrichtenauthentifizierung
    • Richtlinienbeschreibung: Diese Einstellung gibt an, wie oft der Benutzer maximal versuchen darf, eine PER PIN signierte Nachricht (WAP) zu authentifizieren.
      • Standardwert: 3
      • Unterstützte Werte: 0 bis 256
  • PolicyID: 4108 | Hexadakt: 100c

    • Richtlinienname: Dienstladerichtlinie
    • Richtlinienbeschreibung: Diese Einstellung gibt an, ob SL-Nachrichten akzeptiert werden, indem die Sicherheitsrollen angegeben werden, die SL-Nachrichten akzeptieren können. Eine SL-Nachricht lädt neue Dienste oder xml-Bereitstellung auf das Gerät herunter.
      • Standardwert: 256 (SECROLE_KNOWN_PPG)
      • Unterstützte Werte: SECROLE_ANY_PUSH_SOURCE, SECROLE_KNOWN_PPG
  • PolicyID: 4109 | Hex:100d

    • Richtlinienname: Dienstanzeigerichtlinie
    • Richtlinienbeschreibung: Diese Einstellung gibt an, ob SI-Nachrichten akzeptiert werden, indem die Sicherheitsrollen angegeben werden, die SI-Nachrichten akzeptieren können. Eine SI-Nachricht wird an das Gerät gesendet, um Benutzer über neue Dienste, Dienstupdates und Bereitstellungsdienste zu benachrichtigen.
      • Standardwert: 256 (SECROLE_KNOWN_PPG)
      • Unterstützte Werte: SECROLE_ANY_PUSH_SOURCE, SECROLE_KNOWN_PPG
  • PolicyID: 4111 | Hex:100f

    • Richtlinienname: OTA-Bereitstellungsrichtlinie
    • Richtlinienbeschreibung: Diese Einstellung bestimmt, ob PIN-signierte OMA-Clientbereitstellungsnachrichten verarbeitet werden. Der Wert dieser Richtlinie gibt eine Rollenmaske an. Wenn eine Nachricht mindestens eine der folgenden Rollen in der Rollenmaske enthält, wird die Nachricht verarbeitet. Um sicherzustellen, dass ordnungsgemäß signierte OMA-Clientbereitstellungsnachrichten vom Konfigurationsclient akzeptiert werden, müssen alle Rollen, die in den Richtlinien 4141, 4142 und 4143 festgelegt sind, ebenfalls in dieser Richtlinie festgelegt werden. Wenn beispielsweise die Richtlinie 4143 für ein gerät auf 4096 (SECROLE_ANY_PUSH_SOURCE) festgelegt ist, muss für Richtlinie 4111 auch die SECROLE_ANY_PUSH_SOURCE-Rolle festgelegt sein, um sicherzustellen, dass ordnungsgemäß signierte USERNETWPIN-Oma-Clientbereitstellungsnachrichten vom Gerät akzeptiert werden.
      • Standardwert: 384 (SECROLE_OPERATOR_TPS | SECROLE_KNOWN_PPG)
      • Unterstützte Werte: SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE, SECROLE_OPERATOR_TPS
  • PolicyID: 4113 | Hex:1011

    • Richtlinienname: WSP-Pushrichtlinie
    • Richtlinienbeschreibung: Diese Einstellung gibt an, ob WSP-Benachrichtigungen (Wireless Session Protocol) vom WAP-Stapel weitergeleitet werden.
      • Standardwert: 1
      • Unterstützte Werte:
        • 0: Das Routing von WSP-Benachrichtigungen ist nicht zulässig.
        • 1: Das Routing von WSP-Benachrichtigungen ist zulässig.
  • PolicyID: 4132 | Hex:1024

    • Richtlinienname: Netzwerk-PIN signierte OTA-Bereitstellungsnachricht Benutzereingabeaufforderungsrichtlinie
    • Richtlinienbeschreibung: Diese Richtlinie gibt an, ob das Gerät eine Benutzeroberfläche auffordert, die Benutzerbestätigung zu erhalten, bevor eine reine Netzwerk-Pin signierte OTA-Bereitstellungsnachricht verarbeitet wird. Wenn Sie dazu aufgefordert werden, hat der Benutzer die Möglichkeit, die OTA-Bereitstellungsnachricht zu verwerfen.
      • Standardwert: 0
      • Unterstützte Werte:
        • 0: Das Gerät fordert eine Benutzeroberfläche auf, eine Benutzerbestätigung zu erhalten, wenn die OTA WAP-Bereitstellungsnachricht ausschließlich mit Netzwerk-PIN signiert ist.
        • 1: Es gibt keine Benutzereingabeaufforderung.
  • PolicyID: 4141 | Hex:102d

    • Richtlinienname: OMA CP NETWPIN-Richtlinie
    • Richtlinienbeschreibung: Diese Einstellung bestimmt, ob die signierte OMA-Netzwerk-PIN-Nachricht akzeptiert wird. Die Maskenrolle der Nachricht und die Richtlinienrollenmaske werden mithilfe des Operators AND kombiniert. Wenn das Ergebnis ungleich Null ist, wird die Meldung akzeptiert.
      • Standardwert: 0
      • Unterstützte Werte: SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE, SECROLE_OPERATOR_TPS
  • PolicyID: 4142 | Hex:102e

    • Richtlinienname: OMA CP USERPIN-Richtlinie
    • Richtlinienbeschreibung: Diese Einstellung bestimmt, ob die OMA-Benutzer-PIN oder die vom Benutzer MAC signierte Nachricht akzeptiert wird. Die Maskenrolle der Nachricht und die Richtlinienrollenmaske werden mithilfe des Operators AND kombiniert. Wenn das Ergebnis ungleich Null ist, wird die Meldung akzeptiert.
      • Standardwert: 256
      • Unterstützte Werte: SECROLE_OPERATOR_TPS, SECROLE_ANY_PUSH_SOURCE, SECROLE_KNOWN_PPG
  • PolicyID: 4143 | Hex:102f

    • Richtlinienname: OMA CP USERNETWPIN-Richtlinie
    • Richtlinienbeschreibung: Diese Einstellung bestimmt, ob die signierte OMA-Netzwerk-PIN-Nachricht akzeptiert wird. Die Maskenrolle der Nachricht und die Richtlinienrollenmaske werden mithilfe des Operators AND kombiniert. Wenn das Ergebnis ungleich Null ist, wird die Meldung akzeptiert.
      • Standardwert: 256
      • Unterstützte Werte: SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE, SECROLE_OPERATOR_TPS
  • PolicyID: 4144 | Hex:1030

    • Richtlinienname: MMS-Nachrichtenrichtlinie
    • Richtlinienbeschreibung: Diese Einstellung bestimmt, ob MMS-Nachrichten verarbeitet werden. Der Wert dieser Richtlinie gibt eine Rollenmaske an. Wenn eine Nachricht mindestens eine der Rollen in der Rollenmaske enthält, wird die Nachricht verarbeitet.
      • Standardwert: 256 (SECROLE_KNOWN_PPG)
      • Unterstützte Werte: SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE

Hinweise

Sicherheitsrollen erlauben oder beschränken den Zugriff auf Geräteressourcen. Die Sicherheitsrolle basiert auf dem Nachrichtenursprung und der Signiertheit der Nachricht. Sie können einer Nachricht im XML-Dokument der Sicherheitsrichtlinie mehrere Rollen zuweisen, indem Sie die Dezimalwerte der Rollen kombinieren, die Sie zuweisen möchten. Verwenden Sie beispielsweise den Dezimalwert 384 (256+128), um die Rollen SECROLE_KNOWN_PPG und SECROLE_OPERATOR_TPS zuzuweisen.

Die folgenden Sicherheitsrollen werden unterstützt.

Sicherheitsrolle Dezimalwert Beschreibung
SECROLE_OPERATOR_TPS 128 Vertrauenswürdiger Bereitstellungsserver.
Wird WAP-Nachrichten zugewiesen, die von einem Pushinitiator stammen, der von einem vertrauenswürdigen Pushproxygateway (SECROLE_TRUSTED_PPG) authentifiziert (SECROLE_PPG_AUTH) ist und bei dem der Uniform Resource Identifier (URI) des Pushinitiators dem URI des Trusted Provisioning Server (TPS) auf dem Gerät entspricht.
Der Mobilfunkanbieter kann bestimmen, ob für diese Rolle und die rolle SECROLE_OPERATOR die gleichen Berechtigungen erforderlich sind.
SECROLE_KNOWN_PPG 256 Bekanntes Pushproxygateway.
Nachrichten, denen diese Rolle zugewiesen ist, geben an, dass das Gerät die Adresse für das Pushproxygateway kennt.
SECROLE_ANY_PUSH_SOURCE 4096 Pushrouter.
Nachrichten, die vom Pushrouter empfangen werden, werden dieser Rolle zugewiesen.

Beispiele für die OMA-Clientbereitstellung

Festlegen einer Sicherheitsrichtlinie:

<wap-provisioningdoc>
    <characteristic type="SecurityPolicy">
        <parm name="4141" value="0"/>
    </characteristic>
<wap-provisioningdoc>

Abfragen einer Sicherheitsrichtlinie:

<wap-provisioningdoc>
    <characteristic type="SecurityPolicy">
        <parm-query name="4141"/>
    </characteristic>
<wap-provisioningdoc>

OMA DM-Beispiele

Festlegen einer Sicherheitsrichtlinie:

<SyncML xmlns='SYNCML:SYNCML1.2'>
    <SyncHdr>
    …
    </SyncHdr>
    <SyncBody>
        <Replace>
            <CmdID>1</CmdID>
            <Item>
                <Target><LocURI>./Vendor/MSFT/SecurityPolicy/4141</LocURI></Target>
                <Meta>
                    <Format xmlns="syncml:metinf">int</Format>
                </Meta>
                <Data>0</Data>
            </Item>
        </Replace>
        <Final/>
    </SyncBody>
</SyncML>

Abfragen einer Sicherheitsrichtlinie:

<SyncML xmlns='SYNCML:SYNCML1.2'>
    <SyncHdr>
    …
    </SyncHdr>
    <SyncBody>
        <Get>
            <CmdID>1</CmdID>
            <Item>
            <Target><LocURI>./Vendor/MSFT/SecurityPolicy/4141</LocURI></Target>
            </Item>
        </Get>
        <Final/>
    </SyncBody>
</SyncML>

Benutzerdefinierte Microsoft-Elemente

Die folgende Tabelle zeigt die benutzerdefinierten Microsoft-Elemente, die dieser Konfigurationsdienstanbieter für die OMA-Clientbereitstellung unterstützt.

Elemente Verfügbar
parm-query Ja
noparm Ja. Wenn dieses Element verwendet wird, wird die Richtlinie standardmäßig auf 0 festgelegt (entsprechend den restriktivsten Richtlinienwerten).

Referenz zum Konfigurationsdienstanbieter