OMA Client Provisioning Security Best Practices
.gif "A checkmark indicates that the information in this topic is relevant for this platform, and that any API listed is also supported on this platform.")
.gif "A hyphen indicates that the information in this topic is not relevant for this platform, or that the platform does not support the API that is listed.")
9/19/2008
O cliente gerenciamento dispositivo no dispositivo inclui o seguinte recursos de segurança para configuração do cliente Outlook Mobile Access:
- Para não-marca Telefone, após a OEM altera determinadas configurações política de segurança durante a fabricação, o dispositivo oferece suporte à inicialização OTA assinado com rede tanto usuário números de identificação pessoal (PINs).
- Inicialização OTA está desativada para um personalizado operador móvel Telefone.
- A de confiança configuração servidor (TPS) deve enviar a mensagem configuração OTA por uma Push Proxy Gateway (PPG) privilegiado configurado e o PPG deve autenticar a TPS (iniciador enviar)
- O dispositivo oferece suporte à segurança Windows Mobile controle de acesso Role-Based.
A seguinte lista mostra sem suporte recursos de segurança devido a a natureza do protocolo de OMA Client Provisioning:
- Não há nenhum verificar integridade end to end dados (exceto inicialização OTA)
- Não há nenhuma criptografia end-to-end entre cliente e servidor
- Autenticação entre o dispositivo e servidor depende rede
Práticas recomendadas de segurança
Use controle de acesso Role-Based.
Controle de acesso é feito usando a função Windows Mobile 2003-controle de acesso de base. Ela só se aplicará a configuração OTA. As configurações expostas no dispositivo interface do usuário (interface do usuário) não se adequa com esses controles.A seguinte lista mostra o controle:
- Remotamente, se o dispositivo é bootstrapped para permitir que OTA o Outlook Mobile Access cliente configuração como Gerenciador o dispositivo, TPS servidor será concedido a função de gerente.
- Localmente, RAPI através de área de trabalho depende de como a configuração RAPI:
0 = Bloqueados
1 = Aberto; Uma solicitação pela MAPI é concedida a função de gerente.
2 = A solicitação é concedida função USER_AUTH - A função para DMProcessConfigXML API depende de como o aplicativo que chama-lo e modelo de segurança. No dispositivo camada dois, Privileged tem a função de gerente. Normal tem função USER_AUTH. Em um dispositivo uma camada, aplicativo que é permitido serem executar no dispositivo tem de gerente.
- Para arquivo configuração CAB (arquivo .CPF), ele depende de assinatura de arquivo cab. A armazenar Spc é usado para atribuir funções de segurança para certificados.
- Durante o processo inicializar, provxml é interpretada com a função de gerente
Read-Write permissão é aplicada por todas as fontes, exceto as configurações expostas a interface do usuário (interface do usuário).
Para obter mais informações sobre as funções de segurança, consulte Funções de Segurança.