Delen via

Digitale handtekeningen en Windows Installer

  • Artikel

Windows Installer kan digitale handtekeningen gebruiken om beschadigde resources te detecteren. Een ondertekenaarcertificaat kan worden vergeleken met het ondertekencertificaat van een externe resource die door het pakket moet worden geïnstalleerd. Zie de sectie Security van de Microsoft Windows Software Development Kit (SDK) voor meer informatie over het gebruik van digitale handtekeningen, digitale certificaten en WinVerifyTrust.

Met Windows Installer kunnen digitale handtekeningen worden gebruikt met Windows Installer-pakketten, transformaties, patches, samenvoegmodules en externe cabinetbestanden. Windows Installer is geïntegreerd met softwarerestrictiebeleid op Microsoft Windows XP. Beleidsregels kunnen worden gemaakt om installaties toe te staan of te voorkomen op basis van verschillende criteria, waaronder een bepaald ondertekencertificaat of een bepaalde uitgever. Windows Installer kan handtekeningvalidatie van externe cabinetbestanden uitvoeren op alle platforms waarop CryptoAPI versie 2.0 is geïnstalleerd.

Houd er rekening mee dat het voorbeeld Setup.exe bootstrap die is geleverd met de Windows Installer SDK een handtekeningcontrole uitvoert op een Windows Installer-pakket voordat de installatie wordt gestart.

Als u een administratieve installatie uitvoert de digitale handtekening uit het pakket verwijdert. Een beheerinstallatie wijzigt het installatiepakket om de AdminProperties-stream toe te voegen, waardoor de oorspronkelijke digitale handtekening ongeldig wordt. Een beheerder kan het pakket intrekken.

Als u een patch toepast op een beheerinstallatie, wordt ook de digitale handtekening uit het pakket verwijderd. De reden hiervoor is dat de wijzigingen zich blijven voordoen in het patch-installatiepakket van de installatie met beheerdersrechten. Een beheerder kan het pakket intrekken.

Vanaf Windows Installer versie 3.0 kunnen UAC-patching (User Account Control) gebruikers die geen beheerder zijn, toepassingen patchen die zijn geïnstalleerd in de context per machine. UAC-patching is ingeschakeld door een ondertekenaarcertificaat op te geven in de MsiPatchCertificate tabel- en ondertekeningspatches met hetzelfde certificaat.

Zie voor meer informatie digitale handtekeningen en externe cabinetbestanden, Windows Installer en softwarerestrictiebeleid, het ontwerpen van een volledig geverifieerde installatieen een URL gebaseerd Windows Installer-installatievoorbeeld.