Patching Kontrol Akun Pengguna (UAC)
Patching Kontrol Akun Pengguna (UAC) memungkinkan penulis penginstalan Penginstal Windows mengidentifikasi patch yang ditandatangani secara digital yang dapat diterapkan di masa mendatang oleh pengguna non-administrator.
Jika tanda tangan digital tidak cocok dengan sertifikat, Windows Vista menampilkan kotak dialog UAC yang meminta otorisasi administrator sebelum menginstal patch. Pada sistem yang lebih lama dari Windows Vista, alat penginstal tidak akan menerapkan patch bertanda tangan yang tidak cocok dengan sertifikat.
Jika non-administrator mencoba menerapkan patch ke aplikasi, dan kondisi berikut belum terpenuhi, Windows Vista akan memberi tahu pengguna bahwa otorisasi administrator diperlukan sebelum menginstal patch. Non-administrator dapat terus menginstal patch, tanpa perlu mendapatkan otorisasi administrator tambahan, asalkan kondisi berikut terpenuhi.
Aplikasi ini diinstal pada Windows Vista atau Windows XP menggunakan Windows Installer 3.0 atau yang lebih baru.
Windows Server 2008: Tidak didukung.
Jika aplikasi diinstal pada Windows XP, aplikasi juga harus diinstal dari media yang dapat dilepas, seperti disk CD-ROM atau DVD. Pembatasan ini tidak berlaku jika aplikasi diinstal pada Windows Vista.
Aplikasi tidak diinstal dari citra sumber penginstalan administratif .
Aplikasi ini awalnya diinstal per mesin. Untuk informasi tentang cara mengaktifkan non-administrator untuk menerapkan patch ke aplikasi yang dikelola per pengguna setelah patch disetujui sebagai dipercaya oleh administrator, lihat Patching Per-User Aplikasi Terkelola.
Tabel MsiPatchCertificate ada dalam paket Pemasang Jendela (file .msi) dan berisi informasi yang diperlukan untuk mengaktifkan UAC. Tabel dan informasi mungkin telah disertakan dalam paket penginstalan asli atau ditambahkan ke paket oleh file patch Pemasang Windows (file .msp).
Patch ditandatangani secara digital oleh sertifikat yang tercantum dalam tabel MsiPatchCertificate. Untuk informasi selengkapnya tentang sertifikat tanda tangan digital, lihat Tanda Tangan Digital dan Pemasang Windows.
Tanda tangan digital pada paket patch dapat diverifikasi terhadap sertifikat dalam tabel MsiPatchCertificate. Untuk informasi selengkapnya tentang penggunaan tanda tangan digital, sertifikat digital, dan WinVerifyTrust, lihat bagian Keamanan dari Kit Pengembangan Perangkat Lunak (SDK) Microsoft Windows.
Sertifikat penanda tangan yang digunakan untuk memverifikasi tanda tangan digital pada paket patch valid dan belum dicabut.
Catatan
Meskipun Anda tidak dapat menandatangani patch menggunakan sertifikat yang kedaluwarsa, evaluasi tanda tangan digital pada patch tidak gagal jika sertifikat telah kedaluwarsa. Evaluasi menggunakan tabel MsiPatchCertificate saat ini, yang terdiri dari tabel MsiPatchCertificate dalam paket asli dan setiap perubahan pada tabel dengan patch yang diurutkan sebelum tabel saat ini. Patch dapat menambahkan sertifikat baru ke tabel MsiPatchCertificate untuk mengevaluasi patch yang diurutkan setelah patch saat ini. Sertifikat yang dicabut selalu ditolak.
Patching hak istimewa terkecil belum dinonaktifkan dengan mengatur properti MSIDISABLELUAPATCHING atau kebijakan DisableLUAPatching .
Patch yang telah diterapkan menggunakan patching UAC juga dapat dihapus oleh non-administrator.
Administrator dapat menerapkan patch ke produk yang diinstal per mesin terlepas dari pengaturan UAC aplikasi.
Anda dapat menentukan apakah patching hak istimewa paling sedikit diaktifkan untuk aplikasi dengan menggunakan fungsi MsiGetProductInfoEx untuk mengkueri properti INSTALLPROPERTY_AUTHORIZED_LUA_APP, atau dengan menggunakan metode ProductInfo untuk meminta properti "AuthorizedLUAApp". Jika nilai salah satu properti adalah 1, aplikasi diaktifkan untuk patching akun pengguna dengan hak istimewa paling sedikit.
Administrator dapat menonaktifkan patching hak istimewa paling sedikit di komputer dengan mengatur kebijakan DisableLUAPatching ke 1. Anda dapat mengatur properti MSIDISABLELUAPATCHING ke 1 selama penginstalan awal aplikasi untuk mencegah patching hak istimewa paling sedikit hanya untuk aplikasi tersebut.
Fungsionalitas ini tersedia dimulai dengan Pemasang Windows versi 3.0. Patching Kontrol Akun Pengguna (UAC) disebut patching akun pengguna hak istimewa terkecil (LUA) di Windows XP. Patching LUA tidak tersedia di Windows 2000 dan Windows Server 2003.
Untuk informasi selengkapnya tentang kompatibilitas aplikasi dan pengembangan aplikasi yang kompatibel dengan Kontrol Akun Pengguna (UAC), lihat informasi UAC yang disediakan di Microsoft Technet.