Поставщик служб конфигурации SecurityPolicy

  • Статья

В таблице ниже показано применимость Windows:

Выпуск Windows 10 Windows 11
Домашняя Да Да
Pro Да Да
Windows SE Нет Да
Для бизнеса Да Да
Корпоративная Да Да
Для образовательных учреждений Да Да

Поставщик службы конфигурации SecurityPolicy используется для настройки параметров политики безопасности для отправки WAP, подготовки клиента OMA, OMA DM, индикации службы (SI), загрузки служб (SL) и MMS.

Примечание.

Этому поставщику службы конфигурации требуется доступ к ID_CAP_CSP_FOUNDATION и ID_CAP_DEVICE_MANAGEMENT_SECURITY_POLICIES возможностям из приложения конфигурации сети.

Для поставщика служб CSP SecurityPolicy нельзя использовать команду Replace, если узел уже существует.

В следующем примере показан объект управления поставщиком службы конфигурации SecurityPolicy в формате дерева, используемый как в OMA DM, так и в подготовке клиента OMA.

./Vendor/MSFT
SecurityPolicy
----PolicyID

PolicyID Определяет идентификатор политики безопасности в виде десятичного значения.

Поддерживаются следующие политики безопасности.

  • PolicyID: 4104 | Шестнадцатеричный: 1008

    • Имя политики: политика TPS
    • Описание политики. Этот параметр указывает, можно ли назначить операторам мобильной связи роль доверенного сервера подготовки (TPS) SECROLE_OPERATOR_TPS.
      • Значение, используемое по умолчанию: 1
      • Поддерживаемые значения:
        • 0. Назначение ролей TPS отключено.
        • 1. Назначение ролей TPS включено и может быть назначено операторам мобильной связи.

  • PolicyID: 4105 | Шестнадцатеричный: 1009

    • Имя политики: политика повторных попыток проверки подлинности сообщений
    • Описание политики. Этот параметр указывает максимальное количество попыток проверки подлинности сообщения с пин-кодом протокола WAP.
      • Значение по умолчанию: 3
      • Поддерживаемые значения: от 0 до 256

  • PolicyID: 4108 | Шестнадцатеричный: 100c

    • Имя политики: политика загрузки службы
    • Описание политики. Этот параметр указывает, принимаются ли сообщения SL, путем указания ролей безопасности, которые могут принимать сообщения SL. Сообщение SL скачивает новые службы или подготавливает XML-код на устройство.
      • Значение по умолчанию: 256 (SECROLE_KNOWN_PPG)
      • Поддерживаемые значения: SECROLE_ANY_PUSH_SOURCE, SECROLE_KNOWN_PPG

  • PolicyID: 4109 | Шестнадцатеричный:100d

    • Имя политики: политика индикации службы
    • Описание политики. Этот параметр указывает, принимаются ли сообщения SI, путем указания ролей безопасности, которые могут принимать сообщения SI. На устройство отправляется сообщение si для уведомления пользователей о новых службах, обновлениях служб и службах подготовки.
      • Значение по умолчанию: 256 (SECROLE_KNOWN_PPG)
      • Поддерживаемые значения: SECROLE_ANY_PUSH_SOURCE, SECROLE_KNOWN_PPG

  • PolicyID: 4111 | Hex:100f

    • Имя политики: политика подготовки OTA
    • Описание политики. Этот параметр определяет, будут ли обрабатываться сообщения о подготовке клиента OMA, подписанные ПИН-кодом. Это значение политики указывает маску роли. Если сообщение содержит хотя бы одну из следующих ролей в маске роли, оно обрабатывается. Чтобы клиент конфигурации принял правильно подписанные сообщения о подготовке клиента OMA, все роли, заданные в политиках 4141, 4142 и 4143, также должны быть заданы в этой политике. Например, чтобы убедиться, что устройство принимает должным образом подписанные сообщения о подготовке клиента OMA с подписью USERNETWPIN, если для устройства с разблокировкой оператора задано значение 4143( 4096 (SECROLE_ANY_PUSH_SOURCE), в политике 4111 также должна быть задана SECROLE_ANY_PUSH_SOURCE роль.
      • Значение по умолчанию: 384 (SECROLE_OPERATOR_TPS | SECROLE_KNOWN_PPG)
      • Поддерживаемые значения: SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE SECROLE_OPERATOR_TPS

  • PolicyID: 4113 | Hex:1011

    • Имя политики: политика принудительной отправки WSP
    • Описание политики. Этот параметр указывает, направляются ли уведомления по протоколу WSP из стека WAP.
      • Значение, используемое по умолчанию: 1
      • Поддерживаемые значения:
        • 0. Маршрутизация уведомлений WSP запрещена.
        • 1. Маршрутизация уведомлений WSP разрешена.

  • PolicyID: 4132 | Шестнадцатеричный:1024

    • Имя политики: политика запроса пользователя с пин-кодом сети с подписью OTA Provision Message
    • Описание политики. Эта политика указывает, будет ли устройство запрашивать в пользовательском интерфейсе подтверждение пользователя перед обработкой сообщения о подготовке OTA с чистой подписью сетевого контакта. При появлении запроса пользователь может отменить сообщение о подготовке OTA.
      • Значение по умолчанию: 0
      • Поддерживаемые значения:
        • 0. Устройство предлагает пользовательскому интерфейсу получить подтверждение пользователя, когда сообщение о подготовке OTA WAP подписывается исключительно сетевым пин-кодом.
        • 1. Запрос пользователя отсутствует.

  • PolicyID: 4141 | Шестнадцатеричный:102d

    • Имя политики: OMA CP NETWPIN Policy
    • Описание политики. Этот параметр определяет, будет ли принято сообщение с подписанным ПИН-кодом сети OMA. Маска роли сообщения и маска роли политики объединяются с помощью оператора AND. Если результат отличен от нуля, сообщение принимается.
      • Значение по умолчанию: 0
      • Поддерживаемые значения: SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE SECROLE_OPERATOR_TPS

  • PolicyID: 4142 | Hex:102e

    • Имя политики: политика USERPIN OMA CP
    • Описание политики. Этот параметр определяет, будет ли принят ПИН-код пользователя OMA или сообщение, подписанное пользователем MAC. Маска роли сообщения и маска роли политики объединяются с помощью оператора AND. Если результат отличен от нуля, сообщение принимается.
      • Значение по умолчанию: 256
      • Поддерживаемые значения: SECROLE_OPERATOR_TPS, SECROLE_ANY_PUSH_SOURCE, SECROLE_KNOWN_PPG

  • PolicyID: 4143 | Hex:102f

    • Имя политики: OMA CP USERNETWPIN Policy
    • Описание политики. Этот параметр определяет, будет ли принято сообщение с подписанным ПИН-кодом сети OMA. Маска роли сообщения и маска роли политики объединяются с помощью оператора AND. Если результат отличен от нуля, сообщение принимается.
      • Значение по умолчанию: 256
      • Поддерживаемые значения: SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE SECROLE_OPERATOR_TPS

  • PolicyID: 4144 | Шестнадцатеричный:1030

    • Имя политики: политика MMS-сообщений
    • Описание политики. Этот параметр определяет, будут ли обрабатываться MMS-сообщения. Это значение политики указывает маску роли. Если сообщение содержит хотя бы одну из ролей в маске роли, оно обрабатывается.
      • Значение по умолчанию: 256 (SECROLE_KNOWN_PPG)
      • Поддерживаемые значения: SECROLE_KNOWN_PPG, SECROLE_ANY_PUSH_SOURCE

Комментарии

Роли безопасности разрешают или ограничивают доступ к ресурсам устройства. Роль безопасности основана на источнике сообщения и способе его подписи. Для сообщения в XML-документе политики безопасности можно назначить несколько ролей, объединяя десятичные значения ролей, которые необходимо назначить. Например, чтобы назначить роли SECROLE_KNOWN_PPG и SECROLE_OPERATOR_TPS, используйте десятичное значение 384 (256+128).

Поддерживаются следующие роли безопасности.

Роль безопасности Десятичное значение Описание
SECROLE_OPERATOR_TPS 128 Доверенный сервер подготовки.
Назначается сообщениям WAP, поступающим от инициатора отправки, который проходит проверку подлинности (SECROLE_PPG_AUTH) доверенным шлюзом прокси-службы push-службы (SECROLE_TRUSTED_PPG), и где универсальный идентификатор ресурса (URI) инициатора отправки соответствует URI доверенного сервера подготовки (TPS) на устройстве.
Оператор мобильной связи может определить, требуются ли для этой роли и SECROLE_OPERATOR одинаковые разрешения.
SECROLE_KNOWN_PPG 256 Известный прокси-шлюз принудительной отправки.
Сообщения, которым назначена эта роль, указывают на то, что устройство знает адрес шлюза push-прокси.
SECROLE_ANY_PUSH_SOURCE 4096 Принудительная отправка маршрутизатора.
Этой роли будут назначены сообщения, полученные маршрутизатором отправки.

Примеры подготовки клиента OMA

Настройка политики безопасности:

<wap-provisioningdoc>
    <characteristic type="SecurityPolicy">
        <parm name="4141" value="0"/>
    </characteristic>
<wap-provisioningdoc>

Запрос политики безопасности:

<wap-provisioningdoc>
    <characteristic type="SecurityPolicy">
        <parm-query name="4141"/>
    </characteristic>
<wap-provisioningdoc>

Примеры OMA DM

Настройка политики безопасности:

<SyncML xmlns='SYNCML:SYNCML1.2'>
    <SyncHdr>
    …
    </SyncHdr>
    <SyncBody>
        <Replace>
            <CmdID>1</CmdID>
            <Item>
                <Target><LocURI>./Vendor/MSFT/SecurityPolicy/4141</LocURI></Target>
                <Meta>
                    <Format xmlns="syncml:metinf">int</Format>
                </Meta>
                <Data>0</Data>
            </Item>
        </Replace>
        <Final/>
    </SyncBody>
</SyncML>

Запрос политики безопасности:

<SyncML xmlns='SYNCML:SYNCML1.2'>
    <SyncHdr>
    …
    </SyncHdr>
    <SyncBody>
        <Get>
            <CmdID>1</CmdID>
            <Item>
            <Target><LocURI>./Vendor/MSFT/SecurityPolicy/4141</LocURI></Target>
            </Item>
        </Get>
        <Final/>
    </SyncBody>
</SyncML>

Пользовательские элементы Майкрософт

В следующей таблице показаны пользовательские элементы Майкрософт, которые этот поставщик служб конфигурации поддерживает для подготовки клиента OMA.

Элементы Доступно
parm-query Да
noparm Да. Если этот элемент используется, политика по умолчанию имеет значение 0 (соответствует наиболее строгим значениям политики).

Справочник по поставщикам служб конфигурации