Vue d'ensemble de la configuration de la sécurité des appareils

Article
08/21/2008

Mise à jour : novembre 2007

Le volet Configuration de la sécurité fait partie du Gestionnaire de sécurité des appareils. Utilisez le volet Configuration de la sécurité pour visualiser, modifier, importer et exporter des configurations de sécurité sur les appareils Windows Mobile et les émulateurs. Pour ouvrir le Gestionnaire de sécurité des appareils, cliquez sur Gestionnaire de sécurité des appareils dans le menu Outils.

Liste de configurations de sécurité

La configuration de la sécurité d'un appareil détermine le comportement du chargeur d'application, qui peut empêcher certaines applications de s'installer et de s'exécuter. Chaque appareil Windows Mobile ou émulateur utilise l'une de sept configurations de sécurité du tableau suivant.

Verrouillé

C'est la configuration de sécurité la plus restrictive. Seules les applications signées avec un certificat présent dans le magasin de certificats de l'appareil ont l'autorisation de s'exécuter. Tous les appels d'API distants (RAPI) d'applications de bureau sont rejetés.

Attention :
Configurer un appareil physique en mode verrouillé est irréversible. L'appareil refusera les tentatives de connexion suivantes du Gestionnaire de sécurité des appareils. Vous ne serez pas en mesure de déverrouiller l'appareil ou de modifier la configuration de la sécurité. Contrairement aux appareils physiques, les émulateurs peuvent toujours être déverrouillés.

Sécurité désactivée

L'appareil a le modèle de sécurité le moins restrictif. Les applications de toute source peuvent s'installer et s'exécuter avec un accès complet aux ressources système. Les appels RAPI d'applications de bureau peuvent être traités sans restrictions.

Deuxième couche signée par un tiers

Les applications non signées ne sont pas autorisées à s'exécuter. Les applications signées avec un certificat du magasin de certificats privilégié s'exécutent avec des autorisations élevées. Les applications signées avec un certificat du magasin de certificats normal ont des autorisations inférieures. Par exemple, de telles applications ne peuvent pas accéder aux API système et ne peuvent pas, non plus, accéder aux clés de Registre protégées. Les appels RAPI sont vérifiés par rapport au masque du rôle SECROLE_USER_AUTH avant d'être octroyés.

Première couche signée par un tiers

Les applications non signées ne sont pas autorisées à s'exécuter. Les applications signées avec un certificat du magasin de certificats peuvent s'installer et s'exécuter avec l'accès complet aux ressources système. Les appels RAPI sont vérifiés par rapport au masque du rôle SECROLE_USER_AUTH avant d'être octroyés.

Demander la deuxième couche

Les utilisateurs sont invités à donner aux applications non signées l'autorisation de s'installer. Si l'autorisation est accordée, les applications non signées peuvent s'exécuter avec les autorisations normales. Cela signifie que les applications ne peuvent pas accéder aux API système et ne peuvent pas, non plus, accéder aux clés de Registre protégées. Les applications signées avec un certificat du magasin de certificats privilégié s'exécutent avec les autorisations privilégiées. Les applications signées avec un certificat du magasin de certificats normal s'exécutent avec des autorisations normales. Les appels RAPI sont vérifiés par rapport au masque de rôle SECROLE_USER_AUTH avant d'être octroyés.

Demander la première couche

Les utilisateurs sont invités à donner aux applications non signées l'autorisation de s'installer et de s'exécuter avec l'accès complet aux ressources système. Les appels RAPI sont vérifiés par rapport au masque du rôle SECROLE_USER_AUTH avant d'être octroyés.

Personnaliser

Les paramètres de stratégie de sécurité ne correspondent à aucun des paramètres de configuration de sécurité standard. Consultez les paramètres de stratégie de sécurité individuels pour déterminer la configuration de sécurité de l'appareil.

Qu'est-ce qu'une configuration de sécurité ?

Une configuration de sécurité est un nom descriptif donné à un ensemble de cinq stratégies de sécurité. Pour fournir un exemple, la configuration de sécurité Verrouillé a des paramètres de stratégie de première couche, aucune invite, aucun CAB non signé, aucune application non signée et aucun accès RAPI. Le tableau suivant répertorie les stratégies de sécurité qui définissent chaque configuration de la sécurité.

Configuration	ID de stratégie 4102 (Est-ce que les applications non signées peuvent s'exécuter ?)	ID de stratégie 4101 (Est-ce que les CAB non signés peuvent s'exécuter ?)	ID de stratégie 4122 (Demander à l'utilisateur ?)	ID de stratégie 4123 (Première couche ?)	ID de stratégie 4097 (RAPI)
Verrouillé	Non (0)	Non (0)	Non (1)	Deuxième couche (0) ou première couche (1)	Désactivé (0)
Première couche signée par un tiers	Non (0)	Non (0)	Non (1)	Première couche (1)	Restreint (2)
Deuxième couche signée par un tiers	Non (0)	Non (0)	Non (1)	Deuxième couche (0)	Restreint (2)
Demander la deuxième couche	Oui (1)	Oui (1)	Oui (0)	Deuxième couche (0)	Restreint (2)
Demander la première couche	Oui (1)	Oui (1)	Oui (0)	Première couche (1)	Restreint (2)
Sécurité désactivée	Oui (1)	Oui (1)	Non (1)	Première couche (1)	Autorisé (1)

Remarque :
Le nom « Personnaliser » s'applique à tout ensemble de paramètres de stratégie de sécurité qui n'est pas conforme à une configuration de la sécurité standard mentionnée dans le tableau ci-dessus.