Mise à jour corrective du contrôle de compte d’utilisateur (UAC)

La mise à jour corrective du contrôle de compte d’utilisateur (UAC) permet aux auteurs d’installations Windows Installer d’identifier les correctifs signés numériquement qui peuvent être appliqués ultérieurement par des utilisateurs non administrateurs.

Si la signature numérique ne correspond pas au certificat, Windows Vista affiche une boîte de dialogue UAC demandant une autorisation d’administrateur avant d’installer le correctif. Sur les systèmes antérieurs à Windows Vista, le programme d’installation n’applique pas de correctif signé qui ne correspond pas au certificat.

Si un utilisateur non administrateur tente d’appliquer un correctif à une application et que les conditions suivantes ne sont pas remplies, Windows Vista informe l’utilisateur qu’une autorisation d’administrateur est requise avant d’installer le correctif. Un utilisateur non administrateur peut poursuivre l’installation du correctif, sans avoir besoin d’obtenir une autorisation d’administrateur supplémentaire, à condition que les conditions suivantes soient remplies.

  • L’application a été installée sur Windows Vista ou Windows XP avec Windows Installer version 3.0 ou ultérieure.

    Windows Server 2008 : non pris en charge.

  • Si l’application a été installée sur Windows XP, elle doit également avoir été installée à partir d’un support amovible, tel qu’un CD-ROM ou un disque DVD. Cette restriction ne s’applique pas si l’application a été installée sur Windows Vista.

  • L’application n’a pas été installée à partir d’une image source d’installation administrative.

  • L’application a initialement été installée par machine. Pour savoir comment autoriser les utilisateurs non administrateurs à appliquer des correctifs à des applications gérées par utilisateur une fois que le correctif a été approuvé comme fiable par un administrateur, consultez Mise à jour corrective des applications gérées par utilisateur.

  • La table MsiPatchCertificate est fournie dans le package Windows Installer (fichier .msi) ; elle contient les informations nécessaires pour activer le contrôle de compte d’utilisateur (UAC). La table et les informations ont pu être incluses dans le package d’installation d’origine, ou ajoutées au package par un fichier de correctifs Windows Installer (fichier .msp).

  • Les correctifs sont signés numériquement par un certificat listé dans la table MsiPatchCertificate. Pour plus d’informations sur les certificats de signature numérique, consultez Signatures numériques et Windows Installer.

  • La signature numérique sur le package de correctifs peut être vérifiée avec le certificat listé dans la table MsiPatchCertificate. Pour plus d’informations sur l’utilisation des signatures numériques, des certificats numériques et de WinVerifyTrust, consultez la section Sécurité du SDK Microsoft Windows.

  • Le certificat de signataire utilisé pour vérifier la signature numérique sur le package de correctifs est valide et n’a pas été révoqué.

    Notes

    Vous ne pouvez pas signer un correctif avec un certificat expiré, mais l’évaluation d’une signature numérique sur un correctif n’échoue pas si le certificat a expiré. L’évaluation utilise la table MsiPatchCertificate actuelle, qui se compose de la table MsiPatchCertificate fourni dans le package d’origine et de toutes les modifications apportées à la table par des correctifs précédant le correctif actuel dans la séquence. Un correctif peut ajouter de nouveaux certificats à la table MsiPatchCertificate pour évaluer les correctifs situés après le correctif actuel dans la séquence. Un certificat révoqué est toujours rejeté.

     

  • La mise à jour corrective du compte d’utilisateur limité (LUA) n’a pas été désactivée en définissant la propriété MSIDISABLELUAPATCHING ou la stratégie DisableLUAPatching.

Un correctif qui a été appliqué à l’aide de la mise à jour corrective UAC peut également être supprimé par un utilisateur non administrateur.

Les administrateurs peuvent appliquer des correctifs aux produits installés par machine, quel que soit le paramètre UAC de l’application.

Vous pouvez déterminer si la mise à jour corrective LUA est activée pour une application en utilisant la fonction MsiGetProductInfoEx pour interroger la propriété INSTALLPROPERTY_AUTHORIZED_LUA_APP, ou en utilisant la méthode ProductInfo pour interroger la propriété AuthorizedLUAApp. Si l’une de ces propriétés a la valeur 1, l’application est activée pour la mise à jour corrective LUA.

Un administrateur peut désactiver la mise à jour corrective LUA sur l’ordinateur en définissant la stratégie DisableLUAPatching sur 1. Vous pouvez définir la propriété MSIDISABLELUAPATCHING sur 1 lors de l’installation initiale d’une application afin d’empêcher la mise à jour corrective LUA uniquement pour cette application.

Cette fonction est disponible à partir de Windows Installer version 3.0. La mise à jour corrective du contrôle de compte d’utilisateur (UAC) était appelée mise à jour corrective du compte d’utilisateur limité (LUA) dans Windows XP. La mise à jour corrective LUA n’est pas disponible sur Windows 2000 et Windows Server 2003.

Pour plus d’informations sur la compatibilité des applications et le développement d’applications compatibles avec le contrôle de compte d’utilisateur (UAC), consultez les informations sur le contrôle de compte d’utilisateur fournies sur Microsoft Technet.