Digitale Signaturen und Windows Installer
Der Windows Installer kann digitale Signaturen verwenden, um beschädigte Ressourcen zu erkennen. Ein Signiererzertifikat kann mit dem Signiererzertifikat einer externen Ressource verglichen werden, die vom Paket installiert werden soll. Weitere Informationen zur Verwendung digitaler Signaturen, digitaler Zertifikate und WinVerifyTrustfinden Sie im Abschnitt Sicherheit des Microsoft Windows Software Development Kit (SDK).
Mit Windows Installer können digitale Signaturen mit Windows Installer-Paketen, Transformationen, Patches, Mergemodulen und externen Cab-Dateien verwendet werden. Windows Das Installationsprogramm ist in die Softwareeinschränkungsrichtlinie auf Microsoft Windows XP integriert. Richtlinien können erstellt werden, um Installationen basierend auf verschiedenen Kriterien zuzulassen oder zu verhindern, einschließlich eines bestimmten Signiererzertifikats oder Herausgebers. Der Windows Installer kann die Signaturüberprüfung externer Cab-Dateien auf allen Plattformen durchführen, auf denen CryptoAPI Version 2.0 installiert ist.
Beachten Sie, dass der mit dem Windows Installer SDK bereitgestellte Setup.exe Bootstrap vor dem Initiieren der Installation eine Signaturprüfung für ein Windows Installer-Paket ausführt.
Wenn Sie eine Administratorinstallation durchführen, wird die digitale Signatur aus dem Paket entfernt. Eine Administratorinstallation ändert das Installationspaket, um den AdminProperties-Stream hinzuzufügen, der die ursprüngliche digitale Signatur ungültig machen würde. Ein Administrator kann das Paket kündigen.
Durch anwenden eines Patches auf eine Administratorinstallation wird auch die digitale Signatur aus dem Paket entfernt. Der Grund dafür ist, dass die Änderungen im gepatchten Installationspaket der Administratorinstallation beibehalten werden. Ein Administrator kann das Paket kündigen.
Ab Windows Installer Version 3.0 ermöglicht das Patchen der Benutzerkontensteuerung (User Account Control, UAC) Benutzern ohne Administratorrechte das Patchen von Anwendungen, die im Kontext pro Computer installiert sind. UAC-Patching wird aktiviert, indem ein Signaturzertifikat in der MsiPatchCertificate-Tabelle und Signaturpatches mit demselben Zertifikat zur Verfügung gestellt werden.
Weitere Informationen finden Sie unter Digitale Signaturen und externe Cab-Dateien, Windows Installer und Softwareeinschränkungsrichtlinie,Erstellen einer vollständig überprüften signierten Installationund eine URL, die auf Windows Installer-Installationsbeispiel basiert.