Signatures numériques et Windows Installer

  • Article

Windows Installer peut utiliser des signatures numériques pour détecter les ressources endommagées. Un certificat de signataire peut être comparé au certificat de signataire d’une ressource externe à installer par le package. Pour plus d’informations sur l’utilisation des signatures numériques, des certificats numériques et de WinVerifyTrust, consultez la section Sécurité du Kit de développement logiciel (SDK) Microsoft Windows.

Avec Windows Installer, les signatures numériques peuvent être utilisées avec des packages Windows Installer, des transformations, des correctifs, des modules de fusion et des fichiers d’armoire externes. Windows Installer est intégré à la stratégie de restriction logicielle sur Microsoft Windows XP. Des stratégies peuvent être créées pour autoriser ou empêcher les installations en fonction de différents critères, notamment un certificat de signataire ou un éditeur particulier. Windows Installer peut effectuer la validation de signature des fichiers d’armoire externe sur toutes les plateformes où CryptoAPI version 2.0 est installé.

Notez que l’exemple Setup.exe bootstrap fourni avec le Kit de développement logiciel (SDK) Windows Installer effectue une vérification de signature sur un package Windows Installer avant de lancer l’installation.

Effectuer une installation administrative supprime la signature numérique du package. Une installation administrative modifie le package d’installation afin d’ajouter le flux AdminProperties, ce qui invaliderait la signature numérique d’origine. Un administrateur peut démissionner du package.

L’application d’un correctif à une installation administrative supprime également la signature numérique du package. La raison en est que les modifications persistent dans le package d’installation corrigé de l’installation administrative. Un administrateur peut démissionner du package.

Depuis Windows Installer 3.0, la mise à jour corrective du contrôle de compte d’utilisateur (UAC) permet aux utilisateurs non-administrateurs d’appliquer des correctifs aux applications installées dans le contexte par ordinateur. La mise à jour corrective UAC est activée en fournissant un certificat de signataire dans la table MsiPatchCertificate et en signant des correctifs avec le même certificat.

Pour plus d’informations, consultez Signatures numériques et fichiers d’armoire externe, Windows Installer et stratégie de restriction logicielle, Création d’une installation signée entièrement vérifiée et Exemple d’installation Windows Installer basée sur une URL.