裝置安全性組態概觀

發行項
08/21/2008

更新：2007 年 11 月

[安全性組態] 窗格是 [裝置安全性管理員] 的一部分。使用 [ 安全性組態] 窗格可在 Windows Mobile 裝置和模擬器上檢視、變更、匯入和匯出「安全性組態」。若要開啟 [裝置安全性管理員]，請按一下 [工具] 功能表上的 [裝置安全性管理員]。

安全性組態清單

裝置的安全性組態會決定應用程式載入器的行為，防止某些應用程式的安全與執行。每個 Windows Mobile 裝置或模擬器，都會使用下表中七個可能之安全性組態中的一個。

鎖定

這是最具限制性的安全性組態。只有以存在於裝置憑證存放區中之憑證所簽署的應用程式，才會具有執行的權限。從桌面應用程式進行的所有遠端 API (RAPI) 呼叫都會遭到拒絕。

警告：
將「鎖定」組態提供給實體裝置 (Physical Device) 是無法回復的。該裝置將會拒絕來自 [裝置安全性管理員] 的後續連接嘗試。您將無法將裝置解除鎖定或變更安全性組態。不同於實體裝置，模擬器永遠都能解除鎖定。

安全性關閉

裝置具有限制最少的安全性模式。任何來源的應用程式都能安裝，並能在執行時完整存取系統資源。來自桌面應用程式的 RAPI 呼叫，都可以在無限制的情況下進行。

協力廠商簽署層級二

不允許未簽署的應用程式執行。以有權限的憑證存放區中之憑證所簽署的應用程式，都會以更高的權限執行。以一般憑證存放區中之憑證所簽署的應用程式，則會具有較低的權限。例如，這類應用程式無法存取系統 API，也無法存取受保護的登錄機碼。RAPI 呼叫會先檢查 SECROLE_USER_AUTH 角色遮罩，然後才授予權限。

協力廠商簽署層級一

不允許未簽署的應用程式執行。以憑證存放區中之憑證所簽署的應用程式，都能安裝並在執行時完整存取系統資源。RAPI 呼叫會先檢查 SECROLE_USER_AUTH 角色遮罩，然後才授予權限。

提示二層

會提示使用者提供權限給未簽署的應用程式進行安裝。如果授與權限，未簽署的應用程式便會以一般的權限執行。這表示應用程式無法存取系統 API，也無法存取受保護的登錄機碼。以有權限的憑證存放區中之憑證所簽署的應用程式，都會以特許的權限執行。以一般憑證存放區中之憑證所簽署的應用程式，則會以一般的權限來執行。RAPI 呼叫會先檢查 SECROLE_USER_AUTH 角色遮罩，然後才授予權限。

提示一層

會提示使用者提供權限給未簽署的應用程式，以具完整存取系統資源的權限進行安裝和執行。RAPI 呼叫會先檢查 SECROLE_USER_AUTH 角色遮罩，然後才授予權限。

自訂

安全性原則設定不符合任何標準的安全性組態。請參閱個別的安全性原則設定，以決定裝置的安全性組態。

何謂安全性組態？

所謂安全性組態是一種描述性的名稱，提供五種安全性原則的集合。例如，「鎖定」安全性組態具有一層的原則設定、沒有提示、沒有未簽署的封包、沒有未簽署的應用程式，也沒有 RAPI 存取。下表列出定義了每個安全性組態的安全性原則。

組態	原則 ID 4102 (未簽署應用程式是否能執行？)	原則 ID 4101 (未簽署封包是否能執行？)	原則 ID 4122 (提示使用者？)	原則 ID 4123 (一層？)	原則 ID 4097 (RAPI)
鎖定	否 (0)	否 (0)	否 (1)	二層 (0) 或一層 (1)	停用 (0)
協力廠商簽署層級一	否 (0)	否 (0)	否 (1)	一層 (1)	受限制的 (2)
協力廠商簽署層級二	否 (0)	否 (0)	否 (1)	二層 (0)	受限制的 (2)
提示二層	是 (1)	是 (1)	是 (0)	二層 (0)	受限制的 (2)
提示一層	是 (1)	是 (1)	是 (0)	一層 (1)	受限制的 (2)
安全性關閉	是 (1)	是 (1)	否 (1)	一層 (1)	允許 (1)