SecurityPolicy-Konfigurationsdienstanbieter
Die folgende Tabelle zeigt die Anwendbarkeit von Windows:
| Edition | Windows 10 | Windows 11 |
|---|---|---|
| POS1 | Ja | Ja |
| Vorteil | Ja | Ja |
| Windows SE | Nein | Ja |
| Business | Ja | Ja |
| Unternehmen | Ja | Ja |
| Bildung | Ja | Ja |
Der SecurityPolicy-Konfigurationsdienstanbieter wird verwendet, um Sicherheitsrichtlinieneinstellungen für WAP-Push, OMA-Clientbereitstellung, OMA DM, Dienstanzeige (SI), Service Loading (SL) und MMS zu konfigurieren.
Hinweis
Dieser Konfigurationsdienstanbieter erfordert, dass über eine Netzwerkkonfigurationsanwendung auf die ID_CAP_CSP_FOUNDATION- und ID_CAP_DEVICE_MANAGEMENT_SECURITY_POLICIES-Funktionen zugegriffen werden kann.
Für den SecurityPolicy-CSP können Sie den Befehl Ersetzen nur verwenden, wenn der Knoten bereits vorhanden ist.
Das folgende Beispiel zeigt das SecurityPolicy-Konfigurationsdienstanbieterverwaltungsobjekt im Strukturformat, das sowohl von OMA DM als auch von der OMA-Clientbereitstellung verwendet wird.
./Vendor/MSFT
SecurityPolicy
----PolicyID
PolicyID Definiert den Sicherheitsrichtlinienbezeichner als Dezimalwert.
Die folgenden Sicherheitsrichtlinien werden unterstützt.
PolicyID: 4104 | Hexad.: 1008
- Richtlinienname: TPS-Richtlinie
- Richtlinienbeschreibung: Diese Einstellung gibt an, ob Mobilfunkanbietern die TpS-Rolle (Trusted Provisioning Server) SECROLE_OPERATOR_TPS zugewiesen werden kann.
- Standardwert: 1
- Unterstützte Werte:
- 0: Die TPS-Rollenzuweisung ist deaktiviert.
- 1: Die TPS-Rollenzuweisung ist aktiviert und kann Mobilfunkanbietern zugewiesen werden.
PolicyID: 4105 | Hex: 1009
- Richtlinienname: Wiederholungsrichtlinie für die Nachrichtenauthentifizierung
- Richtlinienbeschreibung: Diese Einstellung gibt an, wie oft der Benutzer maximal versuchen darf, eine PER PIN signierte Nachricht (WAP) zu authentifizieren.
- Standardwert: 3
- Unterstützte Werte: 0 bis 256
PolicyID: 4108 | Hexadakt: 100c
- Richtlinienname: Dienstladerichtlinie
- Richtlinienbeschreibung: Diese Einstellung gibt an, ob SL-Nachrichten akzeptiert werden, indem die Sicherheitsrollen angegeben werden, die SL-Nachrichten akzeptieren können. Eine SL-Nachricht lädt neue Dienste oder xml-Bereitstellung auf das Gerät herunter.
- Standardwert: 256 (SECROLE_KNOWN_PPG)
- Unterstützte Werte: SECROLE_ANY_PUSH_SOURCE, SECROLE_KNOWN_PPG
PolicyID: 4109 | Hex:100d
- Richtlinienname: Dienstanzeigerichtlinie
- Richtlinienbeschreibung: Diese Einstellung gibt an, ob SI-Nachrichten akzeptiert werden, indem die Sicherheitsrollen angegeben werden, die SI-Nachrichten akzeptieren können. Eine SI-Nachricht wird an das Gerät gesendet, um Benutzer über neue Dienste, Dienstupdates und Bereitstellungsdienste zu benachrichtigen.
- Standardwert: 256 (SECROLE_KNOWN_PPG)
- Unterstützte Werte: SECROLE_ANY_PUSH_SOURCE, SECROLE_KNOWN_PPG
PolicyID: 4111 | Hex:100f
- Richtlinienname: OTA-Bereitstellungsrichtlinie
- Richtlinienbeschreibung: Diese Einstellung bestimmt, ob PIN-signierte OMA-Clientbereitstellungsnachrichten verarbeitet werden. Der Wert dieser Richtlinie gibt eine Rollenmaske an. Wenn eine Nachricht mindestens eine der folgenden Rollen in der Rollenmaske enthält, wird die Nachricht verarbeitet. Um sicherzustellen, dass ordnungsgemäß signierte OMA-Clientbereitstellungsnachrichten vom Konfigurationsclient akzeptiert werden, müssen alle Rollen, die in den Richtlinien 4141, 4142 und 4143 festgelegt sind, ebenfalls in dieser Richtlinie festgelegt werden. Wenn beispielsweise die Richtlinie 4143 für ein gerät auf 4096 (SECROLE_ANY_PUSH_SOURCE) festgelegt ist, muss für Richtlinie 4111 auch die SECROLE_ANY_PUSH_SOURCE-Rolle festgelegt sein, um sicherzustellen, dass ordnungsgemäß signierte USERNETWPIN-Oma-Clientbereitstellungsnachrichten vom Gerät akzeptiert werden.
- Standardwert: 384 (SECROLE_OPERATOR_TPS | SECROLE_KNOWN_PPG)
- Unterstützte Werte: SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE, SECROLE_OPERATOR_TPS
PolicyID: 4113 | Hex:1011
- Richtlinienname: WSP-Pushrichtlinie
- Richtlinienbeschreibung: Diese Einstellung gibt an, ob WSP-Benachrichtigungen (Wireless Session Protocol) vom WAP-Stapel weitergeleitet werden.
- Standardwert: 1
- Unterstützte Werte:
- 0: Das Routing von WSP-Benachrichtigungen ist nicht zulässig.
- 1: Das Routing von WSP-Benachrichtigungen ist zulässig.
PolicyID: 4132 | Hex:1024
- Richtlinienname: Netzwerk-PIN signierte OTA-Bereitstellungsnachricht Benutzereingabeaufforderungsrichtlinie
- Richtlinienbeschreibung: Diese Richtlinie gibt an, ob das Gerät eine Benutzeroberfläche auffordert, die Benutzerbestätigung zu erhalten, bevor eine reine Netzwerk-Pin signierte OTA-Bereitstellungsnachricht verarbeitet wird. Wenn Sie dazu aufgefordert werden, hat der Benutzer die Möglichkeit, die OTA-Bereitstellungsnachricht zu verwerfen.
- Standardwert: 0
- Unterstützte Werte:
- 0: Das Gerät fordert eine Benutzeroberfläche auf, eine Benutzerbestätigung zu erhalten, wenn die OTA WAP-Bereitstellungsnachricht ausschließlich mit Netzwerk-PIN signiert ist.
- 1: Es gibt keine Benutzereingabeaufforderung.
PolicyID: 4141 | Hex:102d
- Richtlinienname: OMA CP NETWPIN-Richtlinie
- Richtlinienbeschreibung: Diese Einstellung bestimmt, ob die signierte OMA-Netzwerk-PIN-Nachricht akzeptiert wird. Die Maskenrolle der Nachricht und die Richtlinienrollenmaske werden mithilfe des Operators AND kombiniert. Wenn das Ergebnis ungleich Null ist, wird die Meldung akzeptiert.
- Standardwert: 0
- Unterstützte Werte: SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE, SECROLE_OPERATOR_TPS
PolicyID: 4142 | Hex:102e
- Richtlinienname: OMA CP USERPIN-Richtlinie
- Richtlinienbeschreibung: Diese Einstellung bestimmt, ob die OMA-Benutzer-PIN oder die vom Benutzer MAC signierte Nachricht akzeptiert wird. Die Maskenrolle der Nachricht und die Richtlinienrollenmaske werden mithilfe des Operators AND kombiniert. Wenn das Ergebnis ungleich Null ist, wird die Meldung akzeptiert.
- Standardwert: 256
- Unterstützte Werte: SECROLE_OPERATOR_TPS, SECROLE_ANY_PUSH_SOURCE, SECROLE_KNOWN_PPG
PolicyID: 4143 | Hex:102f
- Richtlinienname: OMA CP USERNETWPIN-Richtlinie
- Richtlinienbeschreibung: Diese Einstellung bestimmt, ob die signierte OMA-Netzwerk-PIN-Nachricht akzeptiert wird. Die Maskenrolle der Nachricht und die Richtlinienrollenmaske werden mithilfe des Operators AND kombiniert. Wenn das Ergebnis ungleich Null ist, wird die Meldung akzeptiert.
- Standardwert: 256
- Unterstützte Werte: SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE, SECROLE_OPERATOR_TPS
PolicyID: 4144 | Hex:1030
- Richtlinienname: MMS-Nachrichtenrichtlinie
- Richtlinienbeschreibung: Diese Einstellung bestimmt, ob MMS-Nachrichten verarbeitet werden. Der Wert dieser Richtlinie gibt eine Rollenmaske an. Wenn eine Nachricht mindestens eine der Rollen in der Rollenmaske enthält, wird die Nachricht verarbeitet.
- Standardwert: 256 (SECROLE_KNOWN_PPG)
- Unterstützte Werte: SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE
Hinweise
Sicherheitsrollen erlauben oder beschränken den Zugriff auf Geräteressourcen. Die Sicherheitsrolle basiert auf dem Nachrichtenursprung und der Signiertheit der Nachricht. Sie können einer Nachricht im XML-Dokument der Sicherheitsrichtlinie mehrere Rollen zuweisen, indem Sie die Dezimalwerte der Rollen kombinieren, die Sie zuweisen möchten. Verwenden Sie beispielsweise den Dezimalwert 384 (256+128), um die Rollen SECROLE_KNOWN_PPG und SECROLE_OPERATOR_TPS zuzuweisen.
Die folgenden Sicherheitsrollen werden unterstützt.
| Sicherheitsrolle | Dezimalwert | Beschreibung |
|---|---|---|
| SECROLE_OPERATOR_TPS | 128 | Vertrauenswürdiger Bereitstellungsserver. Wird WAP-Nachrichten zugewiesen, die von einem Pushinitiator stammen, der von einem vertrauenswürdigen Pushproxygateway (SECROLE_TRUSTED_PPG) authentifiziert (SECROLE_PPG_AUTH) ist und bei dem der Uniform Resource Identifier (URI) des Pushinitiators dem URI des Trusted Provisioning Server (TPS) auf dem Gerät entspricht. Der Mobilfunkanbieter kann bestimmen, ob für diese Rolle und die rolle SECROLE_OPERATOR die gleichen Berechtigungen erforderlich sind. |
| SECROLE_KNOWN_PPG | 256 | Bekanntes Pushproxygateway. Nachrichten, denen diese Rolle zugewiesen ist, geben an, dass das Gerät die Adresse für das Pushproxygateway kennt. |
| SECROLE_ANY_PUSH_SOURCE | 4096 | Pushrouter. Nachrichten, die vom Pushrouter empfangen werden, werden dieser Rolle zugewiesen. |
Beispiele für die OMA-Clientbereitstellung
Festlegen einer Sicherheitsrichtlinie:
<wap-provisioningdoc>
<characteristic type="SecurityPolicy">
<parm name="4141" value="0"/>
</characteristic>
<wap-provisioningdoc>
Abfragen einer Sicherheitsrichtlinie:
<wap-provisioningdoc>
<characteristic type="SecurityPolicy">
<parm-query name="4141"/>
</characteristic>
<wap-provisioningdoc>
OMA DM-Beispiele
Festlegen einer Sicherheitsrichtlinie:
<SyncML xmlns='SYNCML:SYNCML1.2'>
<SyncHdr>
…
</SyncHdr>
<SyncBody>
<Replace>
<CmdID>1</CmdID>
<Item>
<Target><LocURI>./Vendor/MSFT/SecurityPolicy/4141</LocURI></Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
Abfragen einer Sicherheitsrichtlinie:
<SyncML xmlns='SYNCML:SYNCML1.2'>
<SyncHdr>
…
</SyncHdr>
<SyncBody>
<Get>
<CmdID>1</CmdID>
<Item>
<Target><LocURI>./Vendor/MSFT/SecurityPolicy/4141</LocURI></Target>
</Item>
</Get>
<Final/>
</SyncBody>
</SyncML>
Benutzerdefinierte Microsoft-Elemente
Die folgende Tabelle zeigt die benutzerdefinierten Microsoft-Elemente, die dieser Konfigurationsdienstanbieter für die OMA-Clientbereitstellung unterstützt.
| Elemente | Verfügbar |
|---|---|
| parm-query | Ja |
| noparm | Ja. Wenn dieses Element verwendet wird, wird die Richtlinie standardmäßig auf 0 festgelegt (entsprechend den restriktivsten Richtlinienwerten). |
Verwandte Themen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für