Patchen der Benutzerkontensteuerung (User Account Control, UAC)
Das Patchen der Benutzerkontensteuerung (User Account Control, UAC) ermöglicht es den Autor*innen von Windows Installer-Installationen, digital signierte Patches zu identifizieren, die in Zukunft von Benutzer*innen ohne Administratorrechte angewendet werden können.
Wenn die digitale Signatur nicht mit dem Zertifikat übereinstimmt, zeigt Windows Vista ein UAC-Dialogfeld an, in dem vor der Installation des Patches die Administratorautorisierung angefordert wird. Auf Systemen vor Windows Vista wendet das Installationsprogramm keinen signierten Patch an, der nicht mit dem Zertifikat übereinstimmt.
Wenn Nicht-Administrator*innen versuchen, einen Patch auf eine Anwendung anzuwenden, und die folgenden Bedingungen nicht erfüllt wurden, benachrichtigt Windows Vista die Benutzer*innen, dass vor der Installation des Patches eine Administratorautorisierung erforderlich ist. Nicht-Administrator*innen können die Installation des Patches fortsetzen, ohne eine zusätzliche Administratorautorisierung erhalten zu müssen, sofern die folgenden Bedingungen erfüllt sind.
Die Anwendung wurde unter Windows Vista oder Windows XP mit Windows Installer 3.0 oder höher installiert.
Windows Server 2008: Nicht unterstützt.
Wenn die Anwendung unter Windows XP installiert wurde, muss die Anwendung auch von Wechselmedien wie CD-ROM oder DVD installiert worden sein. Diese Einschränkung gilt nicht, wenn die Anwendung unter Windows Vista installiert wurde.
Die Anwendung wurde nicht über ein Administratorinstallations-Quellimage installiert.
Die Anwendung wurde ursprünglich pro Computer installiert. Informationen dazu, wie Sie Nicht-Administrator*innen das Anwenden von Patches auf verwaltete Anwendungen pro Benutzer ermöglichen, nachdem der Patch von einem Administrator bzw. einer Administratorin als vertrauenswürdig genehmigt wurde, finden Sie unter Patchen von verwalteten Anwendungen pro Benutzer.
Die MsiPatchCertificate-Tabelle befindet sich im Window Installer-Paket (MSI-Datei) und enthält die Informationen, die zum Aktivieren der UAC erforderlich sind. Die Tabelle und die Informationen waren möglicherweise im ursprünglichen Installationspaket enthalten oder wurden dem Paket durch eine Windows Installer-Patchdatei (MSP-Datei) hinzugefügt.
Die Patches werden digital von einem Zertifikat signiert, das in der MsiPatchCertificate-Tabelle aufgeführt ist. Weitere Informationen zu digitalen Signaturzertifikaten finden Sie unter Digitale Signaturen und Windows Installer.
Die digitale Signatur im Patchpaket kann anhand des Zertifikats in der MsiPatchCertificate-Tabelle überprüft werden. Weitere Informationen zur Verwendung digitaler Signaturen, digitaler Zertifikate und WinVerifyTrust finden Sie im Abschnitt Sicherheit des Microsoft Windows Software Development Kit (SDK).
Das Signaturgeberzertifikat, das verwendet wird, um zu überprüfen, ob die digitale Signatur im Patchpaket gültig ist und nicht widerrufen wurde.
Hinweis
Obwohl Sie einen Patch nicht mit einem abgelaufenen Zertifikat signieren können, schlägt die Auswertung einer digitalen Signatur für einen Patch nicht fehl, wenn das Zertifikat abgelaufen ist. Bei der Auswertung wird die aktuelle MsiPatchCertificate-Tabelle verwendet, die aus der MsiPatchCertificate-Tabelle des Originalpakets und allen Änderungen an der Tabelle durch Patches besteht, die dem aktuellen vorausgegangen sind. Ein Patch kann der MsiPatchCertificate-Tabelle neue Zertifikate hinzufügen, um Patches auszuwerten, die nach dem aktuellen Patch sequenziert wurden. Ein widerrufenes Zertifikat wird immer abgelehnt.
Das Patchen auf Basis der geringsten Rechte wurde durch Festlegen der MSIDISABLELUAPATCHING-Eigenschaft oder der DisableLUAPatching-Richtlinie nicht deaktiviert.
Ein Patch, der mithilfe von UAC-Patching angewendet wurde, kann auch von Nicht-Administrator*innen entfernt werden.
Administrator*innen können Patches auf pro Computer installierte Produkte anwenden, unabhängig von der UAC-Einstellung der Anwendung.
Sie können bestimmen, ob Patchen auf Basis der geringsten Rechten für eine Anwendung aktiviert ist, indem Sie die MsiGetProductInfoEx-Funktion verwenden, um die INSTALLPROPERTY_AUTHORIZED_LUA_APP-Eigenschaft abzufragen, oder indem Sie die ProductInfo-Methode verwenden, um die Eigenschaft „AuthorizedLUAApp“ abzufragen. Wenn der Wert einer Eigenschaft 1 ist, ist die Anwendung für das Patchen von Benutzerkonten mit den geringsten Rechten aktiviert.
Administrator*innen kann das Patchen auf Basis der geringsten Rechte auf dem Computer deaktivieren, indem sie die DisableLUAPatching-Richtlinie auf 1 festlegen. Sie können die MSIDISABLELUAPATCHING-Eigenschaft während der Erstinstallation einer Anwendung auf 1 festlegen, um das Patchen auf Basis der geringsten Rechte nur für diese Anwendung zu verhindern.
Diese Funktionalität ist ab Windows Installer Version 3.0 verfügbar. Das Patchen der Benutzerkontensteuerung (User Account Control, UAC) wurde in Windows XP als LUA-Patching (Benutzerkonto mit geringsten Rechten) bezeichnet. Das LUA-Patching ist unter Windows 2000 und Windows Server 2003 nicht verfügbar.
Weitere Informationen zur Anwendungskompatibilität und zur Entwicklung von Anwendungen, die mit der Benutzerkontensteuerung (User Account Control, UAC) kompatibel sind, finden Sie in den UAC-Informationen, die auf Microsoft Technet bereitgestellt werden.