Condividi tramite


Applicazione di patch al controllo dell'account utente

L'applicazione di patch al controllo dell'account utente consente agli autori di installazioni di Windows Installer di identificare le patch firmate digitalmente che possono essere applicate in futuro da utenti non amministratori.

Se la firma digitale non corrisponde al certificato, Windows Vista visualizza una finestra di dialogo controllo dell'account utente che richiede l'autorizzazione dell'amministratore prima di installare la patch. Nei sistemi precedenti a Windows Vista, il programma di installazione non applicherà una patch firmata che non corrisponde al certificato.

Se un non amministratore tenta di applicare una patch a un'applicazione e le condizioni seguenti non sono state soddisfatte, Windows Vista informerà l'utente che l'autorizzazione di amministratore è necessaria prima di installare la patch. Un non amministratore può continuare a installare la patch, senza dover ottenere un'autorizzazione di amministratore aggiuntiva, purché vengano soddisfatte le condizioni seguenti.

  • L'applicazione è stata installata in Windows Vista o Windows XP con Windows Installer 3.0 o versione successiva.

    Windows Server 2008: Non supportato.

  • Se l'applicazione è stata installata in Windows XP, l'applicazione deve essere stata installata anche da supporti rimovibili, ad esempio un disco CD-ROM o DVD. Questa restrizione non si applica se l'applicazione è stata installata in Windows Vista.

  • L'applicazione non è stata installata da un'immagine di origine dell'installazione amministrativa .

  • L'applicazione è stata originariamente installata per computer. Per informazioni su come consentire agli utenti non amministratori di applicare patch alle applicazioni gestite dall'utente dopo l'approvazione della patch come attendibile da un amministratore, vedere Applicazione di patch Per-User applicazioni gestite.

  • La tabella MsiPatchCertificate è presente nel pacchetto window Installer (file .msi) e contiene le informazioni necessarie per abilitare controllo dell'account utente. La tabella e le informazioni potrebbero essere state incluse nel pacchetto di installazione originale o aggiunte al pacchetto da un file patch di Windows Installer (file msp).

  • Le patch sono firmate digitalmente da un certificato elencato nella tabella MsiPatchCertificate. Per altre informazioni sui certificati di firma digitale, vedere Firme digitali e Windows Installer.

  • La firma digitale nel pacchetto patch può essere verificata in base al certificato nella tabella MsiPatchCertificate. Per altre informazioni sull'uso di firme digitali, certificati digitali e WinVerifyTrust, vedere la sezione Sicurezza di Microsoft Windows Software Development Kit (SDK).

  • Certificato del firmatario usato per verificare che la firma digitale nel pacchetto patch sia valida e non sia stata revocata.

    Nota

    Anche se non è possibile firmare una patch usando un certificato scaduto, la valutazione di una firma digitale in una patch non ha esito negativo se il certificato è scaduto. La valutazione usa la tabella MsiPatchCertificate corrente, costituita dalla tabella MsiPatchCertificate nel pacchetto originale ed eventuali modifiche apportate alla tabella in base alle patch sequenziate prima di quella corrente. Una patch può aggiungere nuovi certificati alla tabella MsiPatchCertificate per valutare le patch sequenziate dopo la patch corrente. Un certificato revocato viene sempre rifiutato.

     

  • L'applicazione di patch con privilegi minimi non è stata disabilitata impostando la proprietà MSIDISABLELUAPATCHING o il criterio DisableLUAPatching .

Una patch applicata tramite l'applicazione di patch di Controllo dell'account utente può essere rimossa anche da un non amministratore.

Gli amministratori possono applicare patch ai prodotti installati per computer indipendentemente dall'impostazione di Controllo dell'account utente dell'applicazione.

È possibile determinare se l'applicazione di patch con privilegi minimi è abilitata per un'applicazione usando la funzione MsiGetProductInfoEx per eseguire una query per la proprietà INSTALLPROPERTY_AUTHORIZED_LUA_APP oppure utilizzando il metodo ProductInfo per eseguire una query per la proprietà "AuthorizedLUAApp". Se il valore di una delle due proprietà è 1, l'applicazione viene abilitata per l'applicazione di patch dell'account utente con privilegi minimi.

Un amministratore può disabilitare l'applicazione di patch con privilegi minimi nel computer impostando il criterio DisableLUAPatching su 1. È possibile impostare la proprietà MSIDISABLELUAPATCHING su 1 durante l'installazione iniziale di un'applicazione per impedire l'applicazione di patch con privilegi minimi solo per tale applicazione.

Questa funzionalità è disponibile a partire da Windows Installer versione 3.0. L'applicazione di patch al controllo dell'account utente (UAC) è stata denominata applicazione di patch all'account utente con privilegi minimi in Windows XP. L'applicazione di patch LUA non è disponibile in Windows 2000 e Windows Server 2003.

Per altre informazioni sulla compatibilità delle applicazioni e sullo sviluppo di applicazioni compatibili con controllo dell'account utente, vedere le informazioni di Controllo dell'account utente fornite in Microsoft Technet.