デバイスのセキュリティ構成の概要
更新 : 2007 年 11 月
[セキュリティ構成] ペインは、デバイス セキュリティ マネージャの一部です。[セキュリティ構成] ペインを使用して、セキュリティ構成の表示、変更、および Windows Mobile デバイスおよびエミュレータとのインポート/エクスポートを実行します。デバイス セキュリティ マネージャを開くには、[ツール] メニューの [デバイス セキュリティ マネージャ] をクリックします。
セキュリティ構成の一覧
デバイスのセキュリティ構成は、アプリケーション ローダーの動作を決定します。これにより、特定のアプリケーションのインストールと実行を抑制できます。すべての Windows Mobile デバイスまたはエミュレータは、次の表に示す 7 つのセキュリティ構成のいずれかを使用します。
構成 |
説明 |
|---|---|
ロック済み |
これは、最も制限が厳しいセキュリティ構成です。デバイスの証明書ストアに存在する証明書を使用して署名されたアプリケーションだけが、実行を許可されます。デスクトップ アプリケーションからのすべてのリモート API (RAPI) 呼び出しは拒否されます。 .gif "Caution メモ") 注意 :
物理デバイスへの Locked 構成のプロビジョニングは元に戻すことはできません。デバイスは、デバイス セキュリティ マネージャからの以降の接続要求を拒否します。デバイスのロックを解除することも、セキュリティ構成を変更することもできません。物理デバイスとは異なり、エミュレータは常にロック解除できます。
|
セキュリティ オフ |
制限が最も少ないデバイスのセキュリティ モデルです。任意のソースからアプリケーションをインストールし、システム リソースに対するフル アクセス権を使用してアプリケーションを実行できます。デスクトップ アプリケーションからの RAPI 呼び出しは制限なしで処理できます。 |
サードパーティ署名あり 2 層 |
無署名のアプリケーションは、実行を許可されません。特権のある証明書ストア内の証明書を使用して署名されたアプリケーションは、高いレベルのアクセス許可を使用して実行されます。通常の証明書ストア内の証明書を使用して署名されたアプリケーションには、低いレベルのアクセス許可が割り当てられます。たとえば、このようなアプリケーションはシステム API にアクセスできず、保護されたレジストリ キーにアクセスできません。RAPI 呼び出しは、SECROLE_USER_AUTH ロール マスクによって確認された後で許可されます。 |
サードパーティ署名あり 1 層 |
無署名のアプリケーションは、実行を許可されません。証明書ストア内の証明書を使用して署名されたアプリケーションをインストールし、システム リソースにフル アクセスして実行できます。RAPI 呼び出しは、SECROLE_USER_AUTH ロール マスクによって確認された後で許可されます。 |
2 層の入力を求める |
無署名のアプリケーションをインストールする許可をユーザーに求めます。許可が与えら得た場合、無署名のアプリケーションは、標準のアクセス許可を使用して実行できます。つまり、アプリケーションはシステム API にアクセスできず、保護されたレジストリ キーにアクセスできません。特権のある証明書ストア内の証明書を使用して署名されたアプリケーションは、特権のあるアクセス許可を使用して実行されます。通常の証明書ストア内の証明書を使用して署名されたアプリケーションは、標準のアクセス許可を使用して実行されます。RAPI 呼び出しは、SECROLE_USER_AUTH ロール マスクによって確認された後で許可されます。 |
1 層の入力を求める |
無署名のアプリケーションをインストールし、システム リソースにフル アクセスして実行する許可をユーザーに求めます。RAPI 呼び出しは、SECROLE_USER_AUTH ロール マスクによって確認された後で許可されます。 |
カスタム |
セキュリティ ポリシー設定は、標準セキュリティ構成のどれとも一致しません。デバイスのセキュリティ構成を決定するには、個々のセキュリティ ポリシー設定を参照してください。 |
セキュリティ構成とは
セキュリティ構成は、5 つのセキュリティ ポリシーを組み合わせたセットに与えられるわかりやすい名前です。たとえば、"ロック済み" セキュリティ構成のポリシー設定は、1 層、プロンプト表示なし、無署名 CAB 不許可、無署名アプリケーション不許可、および RAPI アクセス不許可です。各セキュリティ構成を定義するセキュリティ ポリシーの一覧を次の表に示します。
構成 |
ポリシー ID 4102 (無署名アプリケーションの実行許可) |
ポリシー ID 4101 (無署名 CAB の実行許可) |
ポリシー ID 4122 (ユーザーへの確認の有無) |
ポリシー ID 4123 (1 層か否か) |
ポリシー ID 4097 (RAPI) |
|---|---|---|---|---|---|
ロック済み |
なし (0) |
なし (0) |
なし (1) |
2 層 (0) または 1 層 (1) |
無効 (0) |
サードパーティ署名あり 1 層 |
なし (0) |
なし (0) |
なし (1) |
1 層 (1) |
制限付き (2) |
サードパーティ署名あり 2 層 |
なし (0) |
なし (0) |
なし (1) |
2 層 (0) |
制限付き (2) |
2 層の入力を求める |
あり (1) |
あり (1) |
あり (0) |
2 層 (0) |
制限付き (2) |
1 層の入力を求める |
あり (1) |
あり (1) |
あり (0) |
1 層 (1) |
制限付き (2) |
セキュリティ オフ |
あり (1) |
あり (1) |
なし (1) |
1 層 (1) |
許可 (1) |
.gif "メモ") メモ : |
|---|
"カスタム" という名前は、上の表に示した標準的なセキュリティ構成と一致しないすべてのセキュリティ ポリシー設定のセットに適用されます。 |
各セキュリティ ポリシーとポリシー ID の説明については、「セキュリティ ポリシー設定」を参照してください。
XML プロビジョニング インポート/エクスポート ファイルの形式
名前属性は、セキュリティ ポリシー設定表のポリシー ID 列に対応します。
<wap-provisioningdoc>
<characteristic type="SecurityPolicy">
<parm name="4123" value="1" />
<parm name="4122" value="1" />
<parm name="4101" value="16" />
<parm name="4102" value="1" />
<parm name="4097" value="1" />
</characteristic>
</wap-provisioningdoc>
参照
処理手順
方法 : セキュリティ構成のインポート/エクスポート (デバイス)