SecurityPolicy CSP

  • Artículo

En la tabla siguiente se muestra la aplicabilidad de Windows:

Edición Windows 10 Windows 11
Inicio
Pro
Windows SE No
Negocios
Empresa
Educación

El proveedor de servicios de configuración SecurityPolicy se usa para configurar las opciones de directiva de seguridad para inserción wap, aprovisionamiento de cliente OMA, OMA DM, indicación de servicio (SI), carga de servicio (SL) y MMS.

Nota

Este proveedor de servicios de configuración requiere que se acceda a las funcionalidades de ID_CAP_CSP_FOUNDATION y ID_CAP_DEVICE_MANAGEMENT_SECURITY_POLICIES desde una aplicación de configuración de red.

Para securitypolicy CSP, no puede usar el comando Replace a menos que el nodo ya exista.

En el ejemplo siguiente se muestra el objeto de administración del proveedor de servicios de configuración SecurityPolicy en formato de árbol, tal como lo usan OMA DM y OMA Client Provisioning.

./Vendor/MSFT
SecurityPolicy
----PolicyID

PolicyID Define el identificador de directiva de seguridad como un valor decimal.

Se admiten las siguientes directivas de seguridad.

  • PolicyID: 4104 | Hexadecimal: 1008

    • Nombre de directiva: Directiva TPS
    • Descripción de la directiva: esta configuración indica si se puede asignar a los operadores móviles el rol de SECROLE_OPERATOR_TPS servidor de aprovisionamiento de confianza (TPS).
      • Valor predeterminado: 1
      • Valores admitidos:
        • 0: La asignación de roles de TPS está deshabilitada.
        • 1: La asignación de roles de TPS está habilitada y se puede asignar a operadores móviles.

  • PolicyID: 4105 | Hexadecimal: 1009

    • Nombre de directiva: Directiva de reintento de autenticación de mensajes
    • Descripción de la directiva: esta configuración especifica el número máximo de veces que el usuario puede intentar autenticar un mensaje firmado por el PIN del Protocolo de aplicación inalámbrica (WAP).
      • Valor predeterminado: 3
      • Valores admitidos: 0 a 256

  • PolicyID: 4108 | Hexadecimal: 100c

    • Nombre de directiva: Directiva de carga de servicio
    • Descripción de la directiva: esta configuración indica si se aceptan mensajes SL, especificando los roles de seguridad que pueden aceptar mensajes de SL. Un mensaje de SL descarga nuevos servicios o aprovisionamiento de XML en el dispositivo.
      • Valor predeterminado: 256 (SECROLE_KNOWN_PPG)
      • Valores admitidos: SECROLE_ANY_PUSH_SOURCE, SECROLE_KNOWN_PPG

  • PolicyID: 4109 | Hexadecimal:100d

    • Nombre de directiva: Directiva de indicación de servicio
    • Descripción de la directiva: esta configuración indica si se aceptan los mensajes si, especificando los roles de seguridad que pueden aceptar los mensajes de SI. Se envía un mensaje SI al dispositivo para notificar a los usuarios los nuevos servicios, las actualizaciones del servicio y los servicios de aprovisionamiento.
      • Valor predeterminado: 256 (SECROLE_KNOWN_PPG)
      • Valores admitidos: SECROLE_ANY_PUSH_SOURCE, SECROLE_KNOWN_PPG

  • PolicyID: 4111 | Hexadecimal:100f

    • Nombre de directiva: Directiva de aprovisionamiento de OTA
    • Descripción de directiva: esta configuración determina si se procesarán los mensajes de aprovisionamiento de cliente OMA firmados por el PIN. El valor de esta directiva especifica una máscara de rol. Si un mensaje contiene al menos uno de los siguientes roles en la máscara de roles, se procesa el mensaje. Para asegurarse de que el cliente de configuración acepta los mensajes de aprovisionamiento de cliente OMA firmados correctamente, todos los roles establecidos en las directivas 4141, 4142 y 4143 también deben establecerse en esta directiva. Por ejemplo, para asegurarse de que el dispositivo acepta los mensajes de aprovisionamiento de cliente OMA firmados por USERNETWPIN correctamente, si la directiva 4143 está establecida en 4096 (SECROLE_ANY_PUSH_SOURCE) para un dispositivo desbloqueado por el operador, la directiva 4111 también debe tener el rol SECROLE_ANY_PUSH_SOURCE establecido.
      • Valor predeterminado: 384 (SECROLE_OPERATOR_TPS | SECROLE_KNOWN_PPG)
      • Valores admitidos: SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE, SECROLE_OPERATOR_TPS

  • PolicyID: 4113 | Hexadecimal:1011

    • Nombre de directiva: directiva de inserción de WSP
    • Descripción de la directiva: esta configuración indica si se enrutan las notificaciones del Protocolo de sesión inalámbrica (WSP) de la pila WAP.
      • Valor predeterminado: 1
      • Valores admitidos:
        • 0: No se permite el enrutamiento de notificaciones de WSP.
        • 1: Se permite el enrutamiento de notificaciones de WSP.

  • PolicyID: 4132 | Hexadecimal:1024

    • Nombre de directiva: Directiva de aviso de usuario de aprovisionamiento de mensajes de Aprovisionamiento de OTA firmada por el PIN de red
    • Descripción de la directiva: esta directiva especifica si el dispositivo solicitará a una interfaz de usuario que obtenga la confirmación del usuario antes de procesar un mensaje de aprovisionamiento de OTA firmado con un pin de red puro. Si se le solicita, el usuario tiene la capacidad de descartar el mensaje de aprovisionamiento de OTA.
      • Valor predeterminado: 0
      • Valores admitidos:
        • 0: El dispositivo solicita a una interfaz de usuario que obtenga confirmación del usuario cuando el mensaje de aprovisionamiento wap de OTA esté firmado únicamente con el pin de red.
        • 1: No hay ninguna solicitud de usuario.

  • PolicyID: 4141 | Hexadecimal:102d

    • Nombre de directiva: directiva OMA CP NETWPIN
    • Descripción de la directiva: esta configuración determina si se aceptará el mensaje firmado del PIN de red OMA. La máscara de rol del mensaje y la máscara de rol de la directiva se combinan con el operador AND. Si el resultado es distinto de cero, se acepta el mensaje.
      • Valor predeterminado: 0
      • Valores admitidos: SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE, SECROLE_OPERATOR_TPS

  • PolicyID: 4142 | Hexadecimal:102e

    • Nombre de directiva: directiva USERPIN de OMA CP
    • Descripción de la directiva: esta configuración determina si se aceptará el PIN de usuario de OMA o el mensaje firmado por mac del usuario. La máscara de rol del mensaje y la máscara de rol de la directiva se combinan con el operador AND. Si el resultado es distinto de cero, se acepta el mensaje.
      • Valor predeterminado: 256
      • Valores admitidos: SECROLE_OPERATOR_TPS, SECROLE_ANY_PUSH_SOURCE, SECROLE_KNOWN_PPG

  • PolicyID: 4143 | Hexadecimal:102f

    • Nombre de directiva: directiva USERNETWPIN de OMA CP
    • Descripción de la directiva: esta configuración determina si se aceptará el mensaje firmado del PIN de red de usuario OMA. La máscara de rol del mensaje y la máscara de rol de la directiva se combinan con el operador AND. Si el resultado es distinto de cero, se acepta el mensaje.
      • Valor predeterminado: 256
      • Valores admitidos: SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE, SECROLE_OPERATOR_TPS

  • PolicyID: 4144 | Hexadecimal:1030

    • Nombre de directiva: directiva de mensaje MMS
    • Descripción de la directiva: esta configuración determina si se procesarán los mensajes MMS. El valor de esta directiva especifica una máscara de rol. Si un mensaje contiene al menos uno de los roles de la máscara de roles, se procesa el mensaje.
      • Valor predeterminado: 256 (SECROLE_KNOWN_PPG)
      • Valores admitidos: SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE

Observaciones

Los roles de seguridad permiten o restringen el acceso a los recursos del dispositivo. El rol de seguridad se basa en el origen del mensaje y en cómo se firma el mensaje. Puede asignar varios roles a un mensaje en el documento XML de directiva de seguridad combinando los valores decimales de los roles que desea asignar. Por ejemplo, para asignar los roles SECROLE_KNOWN_PPG y SECROLE_OPERATOR_TPS, use el valor decimal 384 (256+128).

Se admiten los siguientes roles de seguridad.

Rol de seguridad Valor decimal Descripción
SECROLE_OPERATOR_TPS 128 Servidor de aprovisionamiento de confianza.
Asignado a mensajes WAP que proceden de un iniciador de inserción autenticado (SECROLE_PPG_AUTH) por una puerta de enlace de proxy de inserción de confianza (SECROLE_TRUSTED_PPG) y donde el identificador uniforme de recursos (URI) del iniciador de inserción corresponde al URI del servidor de aprovisionamiento de confianza (TPS) del dispositivo.
El operador móvil puede determinar si este rol y el rol de SECROLE_OPERATOR requieren los mismos permisos.
SECROLE_KNOWN_PPG 256 Puerta de enlace de proxy de inserción conocida.
Los mensajes asignados a este rol indican que el dispositivo conoce la dirección de la puerta de enlace de proxy de inserción.
SECROLE_ANY_PUSH_SOURCE 4096 Enrutador de inserción.
Los mensajes recibidos por el enrutador de inserción se asignarán a este rol.

Ejemplos de aprovisionamiento de clientes OMA

Establecer una directiva de seguridad:

<wap-provisioningdoc>
    <characteristic type="SecurityPolicy">
        <parm name="4141" value="0"/>
    </characteristic>
<wap-provisioningdoc>

Consulta de una directiva de seguridad:

<wap-provisioningdoc>
    <characteristic type="SecurityPolicy">
        <parm-query name="4141"/>
    </characteristic>
<wap-provisioningdoc>

Ejemplos de OMA DM

Establecer una directiva de seguridad:

<SyncML xmlns='SYNCML:SYNCML1.2'>
    <SyncHdr>
    …
    </SyncHdr>
    <SyncBody>
        <Replace>
            <CmdID>1</CmdID>
            <Item>
                <Target><LocURI>./Vendor/MSFT/SecurityPolicy/4141</LocURI></Target>
                <Meta>
                    <Format xmlns="syncml:metinf">int</Format>
                </Meta>
                <Data>0</Data>
            </Item>
        </Replace>
        <Final/>
    </SyncBody>
</SyncML>

Consulta de una directiva de seguridad:

<SyncML xmlns='SYNCML:SYNCML1.2'>
    <SyncHdr>
    …
    </SyncHdr>
    <SyncBody>
        <Get>
            <CmdID>1</CmdID>
            <Item>
            <Target><LocURI>./Vendor/MSFT/SecurityPolicy/4141</LocURI></Target>
            </Item>
        </Get>
        <Final/>
    </SyncBody>
</SyncML>

Elementos personalizados de Microsoft

En la tabla siguiente se muestran los elementos personalizados de Microsoft que admite este proveedor de servicios de configuración para el aprovisionamiento de clientes OMA.

Elementos Disponible
parm-query
noparm Sí. Si se usa este elemento, la directiva se establece en 0 de forma predeterminada (correspondiente a los valores de directiva más restrictivos).

Referencia de proveedor de servicios de configuración