通过

SecurityPolicy 云解决方案提供商

  • 项目

下表显示了 Windows 的适用性:

版次 Windows 10 Windows 11
Home 键
专业版
Windows SE
商用版
企业
教育

SecurityPolicy 配置服务提供程序用于配置 WAP 推送、OMA 客户端预配、OMA DM、服务指示 (SI) 、服务加载 (SL) 和彩信的安全策略设置。

注意

此配置服务提供程序要求从网络配置应用程序访问ID_CAP_CSP_FOUNDATION和ID_CAP_DEVICE_MANAGEMENT_SECURITY_POLICIES功能。

对于 SecurityPolicy CSP,除非节点已存在,否则不能使用 Replace 命令。

以下示例以树格式显示 OMA DM 和 OMA 客户端预配使用的 SecurityPolicy 配置服务提供程序管理对象。

./Vendor/MSFT
SecurityPolicy
----PolicyID

PolicyID 将安全策略标识符定义为十进制值。

支持以下安全策略。

  • PolicyID:4104 |十六进制:1008

    • 策略名称:TPS 策略
    • 策略说明:此设置指示是否可以为移动运营商分配受信任的预配服务器 (TPS) SECROLE_OPERATOR_TPS 角色。
      • 默认值:1
      • 支持的值:
        • 0:禁用 TPS 角色分配。
        • 1:TPS 角色分配已启用,可以分配给移动运营商。

  • PolicyID:4105 |十六进制:1009

    • 策略名称:消息身份验证重试策略
    • 策略说明:此设置指定允许用户尝试验证无线应用程序协议 (WAP) PIN 签名消息的最大次数。
      • 默认值:3
      • 支持的值:0 到 256

  • PolicyID:4108 |十六进制:100c

    • 策略名称:服务加载策略
    • 策略说明:此设置通过指定可以接受 SL 消息的安全角色来指示是否接受 SL 消息。 SL 消息会将新服务或预配 XML 下载到设备。
      • 默认值:256 (SECROLE_KNOWN_PPG)
      • 支持的值:SECROLE_ANY_PUSH_SOURCE、SECROLE_KNOWN_PPG

  • PolicyID:4109 |十六进制:100d

    • 策略名称:服务指示策略
    • 策略说明:此设置通过指定可以接受 SI 消息的安全角色来指示是否接受 SI 消息。 将 SI 消息发送到设备,以通知用户新服务、服务更新和预配服务。
      • 默认值:256 (SECROLE_KNOWN_PPG)
      • 支持的值:SECROLE_ANY_PUSH_SOURCE、SECROLE_KNOWN_PPG

  • PolicyID:4111 |十六进制:100f

    • 策略名称:OTA 预配策略
    • 策略说明:此设置确定是否将处理 PIN 签名的 OMA 客户端预配消息。 此策略的值指定角色掩码。 如果消息在角色掩码中至少包含以下角色之一,则会处理该消息。 为确保配置客户端接受正确签名的 OMA 客户端预配消息,还必须在此策略中设置在 4141、4142 和 4143 策略中设置的所有角色。 例如,为确保设备接受正确签名的 USERNETWPIN 签名的 OMA 客户端预配消息,如果策略 4143 设置为 4096 (SECROLE_ANY_PUSH_SOURCE) 运营商解锁的设备,策略 4111 还必须设置SECROLE_ANY_PUSH_SOURCE角色。
      • 默认值:384 (SECROLE_OPERATOR_TPS |SECROLE_KNOWN_PPG)
      • 支持的值:SECROLE_KNOWN_PPG、SECROLE_ANY_PUSH_SOURCE、SECROLE_OPERATOR_TPS

  • PolicyID:4113 |十六进制:1011

    • 策略名称:WSP 推送策略
    • 策略说明:此设置指示是否路由来自 WAP 堆栈的无线会话协议 (WSP) 通知。
      • 默认值:1
      • 支持的值:
        • 0:不允许路由 WSP 通知。
        • 1:允许路由 WSP 通知。

  • PolicyID:4132 |十六进制:1024

    • 策略名称:网络 PIN 签名的 OTA 预配消息用户提示策略
    • 策略说明:此策略指定在处理纯网络引脚签名的 OTA 预配消息之前,设备是否将提示 UI 获取用户确认。 如果出现提示,则用户能够放弃 OTA 预配消息。
      • 默认值:0
      • 支持的值:
        • 0:当 OTA WAP 预配消息完全使用网络引脚签名时,设备会提示 UI 获取用户确认。
        • 1:没有用户提示。

  • PolicyID:4141 |十六进制:102d

    • 策略名称:OMA CP NETWPIN 策略
    • 策略说明:此设置确定是否接受 OMA 网络 PIN 签名消息。 消息的角色掩码和策略的角色掩码通过 AND 操作符结合。 如果结果为非零值,则接受消息。
      • 默认值:0
      • 支持的值:SECROLE_KNOWN_PPG、SECROLE_ANY_PUSH_SOURCE、SECROLE_OPERATOR_TPS

  • PolicyID:4142 |Hex:102e

    • 策略名称:OMA CP USERPIN 策略
    • 策略说明:此设置确定将接受 OMA 用户 PIN 或用户 MAC 签名消息。 消息的角色掩码和策略的角色掩码通过 AND 操作符结合。 如果结果为非零值,则接受消息。
      • 默认值:256
      • 支持的值:SECROLE_OPERATOR_TPS、SECROLE_ANY_PUSH_SOURCE、SECROLE_KNOWN_PPG

  • PolicyID:4143 |十六进制:102f

    • 策略名称:OMA CP USERNETWPIN 策略
    • 策略说明:此设置确定是否接受 OMA 用户网络 PIN 签名消息。 消息的角色掩码和策略的角色掩码通过 AND 操作符结合。 如果结果为非零值,则接受消息。
      • 默认值:256
      • 支持的值:SECROLE_KNOWN_PPG、SECROLE_ANY_PUSH_SOURCE、SECROLE_OPERATOR_TPS

  • PolicyID:4144 |十六进制:1030

    • 策略名称:彩信策略
    • 策略说明:此设置确定是否将处理彩信。 此策略的值指定角色掩码。 如果消息在角色掩码中至少包含一个角色,则会处理该消息。
      • 默认值:256 (SECROLE_KNOWN_PPG)
      • 支持的值:SECROLE_KNOWN_PPG、SECROLE_ANY_PUSH_SOURCE

备注

安全角色允许或限制对设备资源的访问。 安全角色基于消息源和消息的签名方式。 可以通过组合要分配的角色的十进制值,将多个角色分配给安全策略 XML 文档中的消息。 例如,若要同时分配SECROLE_KNOWN_PPG和SECROLE_OPERATOR_TPS角色,请使用十进制值 384 (256+128) 。

支持以下安全角色。

安全角色 十进制值 描述
SECROLE_OPERATOR_TPS 128 受信任的预配服务器。
分配给来自推送发起程序的 WAP 消息,该消息由受信任的推送代理网关 (SECROLE_TRUSTED_PPG) (SECROLE_PPG_AUTH) 进行身份验证,其中推送发起程序的统一资源标识符 (URI) 对应于受信任的预配服务器的 URI, (TPS) 设备上。
移动运营商可以确定此角色和SECROLE_OPERATOR角色是否需要相同的权限。
SECROLE_KNOWN_PPG 256 已知推送代理网关。
分配此角色的消息指示设备知道推送代理网关的地址。
SECROLE_ANY_PUSH_SOURCE 4096 推送路由器。
推送路由器接收的消息将分配给此角色。

OMA 客户端预配示例

设置安全策略:

<wap-provisioningdoc>
    <characteristic type="SecurityPolicy">
        <parm name="4141" value="0"/>
    </characteristic>
<wap-provisioningdoc>

查询安全策略:

<wap-provisioningdoc>
    <characteristic type="SecurityPolicy">
        <parm-query name="4141"/>
    </characteristic>
<wap-provisioningdoc>

OMA DM 示例

设置安全策略:

<SyncML xmlns='SYNCML:SYNCML1.2'>
    <SyncHdr>
    …
    </SyncHdr>
    <SyncBody>
        <Replace>
            <CmdID>1</CmdID>
            <Item>
                <Target><LocURI>./Vendor/MSFT/SecurityPolicy/4141</LocURI></Target>
                <Meta>
                    <Format xmlns="syncml:metinf">int</Format>
                </Meta>
                <Data>0</Data>
            </Item>
        </Replace>
        <Final/>
    </SyncBody>
</SyncML>

查询安全策略:

<SyncML xmlns='SYNCML:SYNCML1.2'>
    <SyncHdr>
    …
    </SyncHdr>
    <SyncBody>
        <Get>
            <CmdID>1</CmdID>
            <Item>
            <Target><LocURI>./Vendor/MSFT/SecurityPolicy/4141</LocURI></Target>
            </Item>
        </Get>
        <Final/>
    </SyncBody>
</SyncML>

Microsoft 自定义元素

下表显示了此配置服务提供程序支持 OMA 客户端预配的 Microsoft 自定义元素。

元素 可用
parm-query
noparm 是。 如果使用此元素,则策略默认设置为 0, (对应于) 最严格的策略值。

配置服务提供程序参考