Compartilhar via

Assinaturas digitais e Windows Installer

  • Artigo

O Windows Installer pode usar assinaturas digitais para detectar recursos corrompidos. Um certificado de signatário pode ser comparado com o certificado de signatário de um recurso externo a ser instalado pelo pacote. Para obter mais informações sobre o uso de assinaturas digitais, certificados digitais e WinVerifyTrust, consulte a seção Segurança do Microsoft Windows Software Development Kit (SDK).

Com o Windows Installer, as assinaturas digitais podem ser usadas com pacotes do Windows Installer, transformações, patches, módulos de mesclagem e arquivos de gabinete externo. O Windows Installer é integrado à Política de Restrição de Software no Microsoft Windows XP. As políticas podem ser criadas para permitir ou impedir instalações com base em critérios diferentes, incluindo um certificado de signatário ou editor específico. O Windows Installer pode executar a validação de assinatura de arquivos de gabinete externos em todas as plataformas em que o CryptoAPI versão 2.0 está instalado.

Observe que a inicialização Setup.exe de exemplo fornecida com o SDK do Windows Installer executa uma verificação de assinatura em um pacote do Windows Installer antes de iniciar a instalação.

A execução de uma instalação administrativa remove a assinatura digital do pacote. Uma instalação administrativa modifica o pacote de instalação para adicionar o fluxo AdminProperties, o que invalidaria a assinatura digital original. Um administrador pode desistir do pacote.

A aplicação de um patch em uma instalação administrativa também remove a assinatura digital do pacote. Isso ocorre porque as alterações persistem no pacote de instalação corrigido da instalação administrativa. Um administrador pode desistir do pacote.

A partir do Windows Installer versão 3.0, a Aplicação de patch do UAC (Controle de Conta de Usuário) permite que usuários não administradores apliquem patch a aplicativos instalados no contexto por computador. A aplicação de patch do UAC é habilitada fornecendo um certificado de signatário na tabela MsiPatchCertificate e assinando patches com o mesmo certificado.

Para obter mais informações, consulte Assinaturas digitais e arquivos de gabinete externos, Windows Installer e política de restrição de software, Como criar uma instalação assinada e totalmente verificada e Um exemplo de instalação do Windows Installer baseado em URL.