使用设备安全管理器配置设备安全策略

Windows Mobile 开发人员可以使用设备安全管理器配置设备的安全策略。当应用程序在 Windows Mobile 设备或仿真器上安装和执行时,将会应用这些安全策略。这些设置将决定一个未签名的应用程序是否允许被安装和运行,如果允许,属于哪个信任等级。当你不能在一台设备上安装或运行一个应用程序,问题常常跟设备安全性设置有关。设备安全管理器使你能够通过执行下面的任务来帮助你诊断设备安全问题:

·查看或改变已连接设备或仿真器的安全设置;
·将一个标准的安全配置应用到一台设备上;
·将一个自定义的安全配置应用到一台已连接的设备上;
·将一台设备的安全配置信息导出到桌面电脑上;
·将开发计算机上的证书添加到设备的证书存储区;
·从设备的证书存储区移除证书。

在2006年6月22日,微软就发布了针对 Windows Mobile 5.0 的设备安全管理器,全名叫 Device Security Manager PowerToy for Windows Mobile 5.0,是一个独立的应用程序。界面如下所示:

在最近发布的 Visual Studio 2008 Beta2 中,设备安全管理器已经集成到开发环境中了,从“工具-->设备安全管理器”就可以打开。

下面是连接到 Windows Mobile 6 Classic Emulator 的效果:

设备安全管理器提供了六种标准的安全配置模板,即:锁定(Locked)、安全关闭(Security Off )、第三方已签名的双层(Third Party Signed Two Tier)、第三方已签名的单层(Third Party Signed One Tier)、提示双层(Prompt Two Tier)、提示单层(Prompt One Tier)和自定义(Custom)。它们分别表示:

配置 描述
锁定 只有已签名的应用程序才具有运行权限。所有 RAPI 调用都回被拒绝。
注意:对一个物理设备应用锁定配置是不可逆的。也就是说,设备将拒绝后续来自设备安全管理器的尝试连接。你将无法解锁设备或改变它的安全配置。与物理设备不同,仿真器始终能够被解锁。
安全关闭 所有应用程序都可以在设备上运行。
第三方已签名的双层 未签名的应用程序被阻止。已签名的应用程序使用“特权”或“常规”模式运行。RAPI 调用受到限制。
第三方已签名的单层 未签名的应用程序被阻止。已签名的应用程序使用完全权限运行。RAPI 调用受到限制。
提示双层 在运行未签名的应用程序时,用户会得到提示。RAPI 调用受到限制。
提示单层 在运行未签名的应用程序时,用户会得到提示。RAPI 调用受到限制。

Windows Mobile 6 Classic Emulator 默认使用了自定义的安全配置。也就是说在它的安全策略配置跟六种标准的安全配置都不匹配。这时,我们无论在仿真器安装和运行已签名还是未签名的应用程序,都没有任何提示和限制。现在我们选中“提示单层”安全配置,然后点击设备安全管理器的工具栏按钮“部署到设备”。安全配置部署成功后,我们尝试在仿真器安装一个未签名的应用程序,Windows Mobile 系统将提示你是否运行安装该应用程序,如果选择“No”,安装将被取消。如下图所示:

 

选择适当的设备安全配置可以有效得防止非法程序在设备上运行,保证设备的安全性。设备安全管理器还可以将某台设备的安全配置导出为 XML 文件,并导入到另一台设备上。

设备安全管理器还有另外一个用法。现在市面上很多设备都部署了“提示单层”的安全配置,如果你使用这类设备用于开发调试智能设备应用程序,在将程序部署到设备上调试运行时,设备每次都会提示你是否允许运行(因为每次部署的程序文件都是不同的),浪费很多调试时间。现在我们可以使用设备安全管理器将设备的安全配置修改为“安全关闭”,之后调试就不会出现那个烦人提示了。

设备安全管理器除了可以修改 Windows Mobile 设备的安全配置,还可以为设备添加和移除证书。

本文只是简单介绍了设备安全管理器的使用,未介绍的内容可以参考 Visual Studio 2008 的 MSDN 文档。关于 Windows Mobile 的安全性,可以参考下面的资料:

Step by Step: Understanding Windows Mobile Security Using the Device Security Manager
Windows Mobile 5.0 Application Security
提高 Windows Mobile 6 的安全性
Security Considerations for Windows Mobile Messaging in the Enterprise
Security Model for Windows Mobile 5.0 and Windows Mobile 6
Top 10 Security Concerns of Windows Mobile (and how to overcome them)
Security in Device Projects
A Windows Mobile Security Primer for Developers
When Good Signatures Go Bad – Part 1 and Part 2
MSDN Webcast: Adapt Your Application (Part 2 of 3): Working with Windows Mobile Security

作者:黎波
博客:http://upto.cnblogs.com/
日期:2007年9月11日

posted @ 2007-09-11 00:20  黎波  阅读(3558)  评论(0编辑  收藏  举报