设备安全配置概述

项目
09/04/2008

更新：2007 年 11 月

“安全配置”窗格是设备安全管理器的一部分。使用“安全配置”窗格可以查看、更改、导入和导出 Windows Mobile 设备和仿真程序上的安全配置。若要打开设备安全管理器，请单击“工具”菜单上的“设备安全管理器”。

安全配置列表

设备的安全配置决定了应用程序加载程序的行为，从而可以防止安装和执行某些应用程序。每个 Windows Mobile 设备或仿真程序都使用下表中七种可能的安全配置之一。

锁定

这是限制性最高的安全配置。只有使用设备证书存储区中存在的证书进行签名的应用程序才有权运行。所有从桌面应用程序发出的远程 API (RAPI) 调用都将被拒绝。

警告：
对物理设备应用“锁定”配置的操作是不可逆的。该设备将拒绝设备安全管理器随后进行的连接尝试。您将无法解锁设备或更改安全配置。与物理设备不同，仿真程序总是可以解锁。

安全关闭

设备具有限制性最低的安全模型。来自任何源的应用程序都可以使用完全的系统资源访问权限安装和运行。发自桌面应用程序的 RAPI 调用可以没有任何限制地得到处理。

第三方签名的双层

未签名的应用程序不允许运行。使用特权证书存储区中的证书签名的应用程序可以在提升的权限下运行。使用常规证书存储区中的证书签名的应用程序具有较低的权限。例如，此类应用程序不能访问系统 API，并且不能访问受保护的注册表项。在授予 RAPI 调用权限之前，系统首先会根据 SECROLE_USER_AUTH 角色掩码对这些调用进行检查。

第三方签名的单层

未签名的应用程序不允许运行。使用证书存储区中的证书签名的应用程序可以使用完全的系统资源访问权限安装和运行。在授予 RAPI 调用权限之前，系统首先会根据 SECROLE_USER_AUTH 角色掩码对这些调用进行检查。

提示双层

将提示用户向未签名的应用程序授予权限以便进行安装。如果被授予权限，则未签名的应用程序可以使用常规权限来运行。这意味着这些应用程序不能访问系统 API，并且不能访问受保护的注册表项。使用特权证书存储区中的证书签名的应用程序可以在特权下运行。使用常规证书存储区中的证书签名的应用程序在常规权限下运行。在授予 RAPI 调用权限之前，系统首先会根据 SECROLE_USER_AUTH 角色掩码对这些调用进行检查。

提示单层

将提示用户向未签名的应用程序授予权限，以便其使用完全的系统资源访问权限安装和运行。在授予 RAPI 调用权限之前，系统首先会根据 SECROLE_USER_AUTH 角色掩码对这些调用进行检查。

Custom

安全策略设置与任何标准安全配置都不匹配。请参见各种安全策略设置，以确定设备的安全配置。

什么是安全配置？

安全配置是一个描述性名称，用来命名由五个安全策略组成的一组安全策略。例如，“锁定”安全配置的策略设置包括：单层、无提示、不允许未签名的 cab、不允许未签名的应用程序和不允许 RAPI 访问。下表列出了定义每种安全配置的安全策略。

配置	策略 ID 4102 （未签名的应用程序是否可以运行？）	策略 ID 4101 （未签名的 CAB 是否可以运行？）	策略 ID 4122 （是否提示用户？）	策略 ID 4123 （是否为单层？）	策略 ID 4097 (RAPI)
锁定	否 (0)	否 (0)	否 (1)	双层 (0) 或单层 (1)	禁用 (0)
第三方签名的单层	否 (0)	否 (0)	否 (1)	单层 (1)	受限制 (2)
第三方签名的双层	否 (0)	否 (0)	否 (1)	双层 (0)	受限制 (2)
提示双层	是 (1)	是 (1)	是 (0)	双层 (0)	受限制 (2)
提示单层	是 (1)	是 (1)	是 (0)	单层 (1)	受限制 (2)
安全关闭	是 (1)	是 (1)	否 (1)	单层 (1)	允许 (1)

说明：
名称“自定义”适用于任何一组不符合上表中标准安全配置的安全策略设置。

有关每个安全策略和策略 ID 的说明，请参见安全策略设置。

配置导入/导出文件的 XML 的格式

名称属性对应于“安全策略设置”表中的“策略 ID”列。

<wap-provisioningdoc>

</characteristic>

</wap-provisioningdoc>

请参见

任务

如何：更改设备安全配置

如何：导入/导出安全配置（设备）

通过

设备安全配置概述

安全配置列表

什么是安全配置？

配置导入/导出文件的 XML 的格式

请参见

任务

概念

其他资源