Condividi tramite

Applicazione di patch al controllo dell'account utente

  • Articolo

Controllo dell'Account Utente Il processo di patching consente agli autori delle installazioni di Windows Installer di identificare le patch firmate digitalmente che possono essere applicate in futuro da utenti non amministratori.

Se la firma digitale non corrisponde al certificato, Windows Vista visualizza una finestra di dialogo UAC chiedendo l'autorizzazione dell'amministratore prima di installare la patch. Nei sistemi precedenti a Windows Vista, il programma di installazione non applicherà una patch firmata che non corrisponde al certificato.

Se un utente non amministratore tenta di applicare una patch a un'applicazione e le condizioni seguenti non sono state soddisfatte, Windows Vista informerà l'utente che l'autorizzazione di amministratore è necessaria prima di installare la patch. Un non amministratore può continuare a installare la patch, senza dover ottenere autorizzazioni di amministratore aggiuntive, purché vengano soddisfatte le condizioni seguenti.

  • L'applicazione è stata installata in Windows Vista o Windows XP usando Windows Installer 3.0 o versione successiva.

    Windows Server 2008: Non supportato.

  • Se l'applicazione è stata installata in Windows XP, l'applicazione deve essere stata installata anche da supporti rimovibili, ad esempio un disco CD-ROM o DVD. Questa restrizione non si applica se l'applicazione è stata installata in Windows Vista.

  • L'applicazione non è stata installata da un'immagine di origine per l'installazione amministrativa.

  • L'applicazione è stata originariamente installata a livello di macchina. Per informazioni su come consentire agli utenti non amministratori di applicare le patch alle applicazioni gestite per utente dopo che la patch è stata approvata come attendibile da un amministratore, vedere Applicazione delle patch Per-User Applicazioni gestite.

  • La tabella MsiPatchCertificate è presente nel pacchetto del programma di installazione di Windows (.msi file) e contiene le informazioni necessarie per abilitare il Controllo dell'Account Utente. La tabella e le informazioni potrebbero essere state incluse nel pacchetto di installazione originale o aggiunte al pacchetto da un file di patch di Windows Installer (file msp).

  • Le patch vengono firmate digitalmente da un certificato elencato nella tabella MsiPatchCertificate. Per altre informazioni sui certificati di firma digitale, vedere Firme digitali e Windows Installer.

  • La firma digitale nel pacchetto patch può essere verificata rispetto al certificato nella tabella MsiPatchCertificate. Per altre informazioni sull'uso di firme digitali, certificati digitali e WinVerifyTrust, vedere la sezione Security di Microsoft Windows Software Development Kit (SDK).

  • Certificato del firmatario usato per verificare che la firma digitale nel pacchetto patch sia valida e non sia stata revocata.

    Nota

    Anche se non è possibile firmare una patch usando un certificato scaduto, la valutazione di una firma digitale in una patch non ha esito negativo se il certificato è scaduto. La valutazione utilizza la tabella MsiPatchCertificate corrente, costituita dalla tabella MsiPatchCertificate nel pacchetto originale e dalle modifiche alla tabella apportate dalle patch sequenziate prima di quella corrente. Una patch può aggiungere nuovi certificati alla tabella MsiPatchCertificate per valutare le patch sequenziate dopo la patch corrente. Un certificato revocato viene sempre rifiutato.

     

  • L'applicazione di patch con privilegi minimi non è stata disabilitata impostando la proprietàMSIDISABLELUAPATCHING o il criterio DisableLUAPatching.

Una patch applicata tramite patching UAC può essere rimossa anche da un non amministratore.

Gli amministratori possono applicare patch ai prodotti installati per computer indipendentemente dall'impostazione UAC dell'applicazione.

È possibile determinare se l'applicazione di patch con privilegi minimi è abilitata per un'applicazione usando la funzione MsiGetProductInfoEx per eseguire una query per la proprietà INSTALLPROPERTY_AUTHORIZED_LUA_APP oppure usando il metodo ProductInfo per eseguire una query sulla proprietà "AuthorizedLUAApp". Se il valore di una delle proprietà è 1, l'applicazione è abilitata per la gestione degli aggiornamenti degli account utente con privilegi minimi.

Un amministratore può disabilitare l'applicazione di patch con privilegi minimi nel computer impostando il criterio DisableLUAPatching su 1. È possibile impostare la proprietàMSIDISABLELUAPATCHINGsu 1 durante l'installazione iniziale di un'applicazione per impedire l'applicazione di patch con privilegi minimi solo per tale applicazione.

Questa funzionalità è disponibile a partire da Windows Installer versione 3.0. L'applicazione di patch del controllo dell'account utente (UAC) è stata denominata applicazione di patch dell'account utente con privilegi minimi in Windows XP. L'applicazione di patch LUA non è disponibile in Windows 2000 e Windows Server 2003.

Per altre informazioni sulla compatibilità delle applicazioni e sullo sviluppo di applicazioni compatibili con il Controllo dell'Account Utente (UAC), vedere le informazioni sul Controllo dell'Account Utente (UAC) fornite in Microsoft Technet.