Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Соблюдение следующих рекомендаций при создании пакета установщика Windows помогает поддерживать безопасную среду во время установки:
- Администраторы должны устанавливать управляемые приложения в целевую папку установки, к которой пользователи, не обладающие правами администратора, не имеют прав на изменение.
- Сделайте любое свойство, заданное пользователем общедоступным свойством. Закрытые свойства нельзя изменить пользователем, взаимодействующим с пользовательским интерфейсом. Дополнительные сведения см. в разделе о свойствах.
- Не используйте свойства для паролей или других сведений, которые должны оставаться безопасными. Установщик может записать значение свойства, указанного в таблице свойств или, либо создать его во время выполнения для записи в журнал или в системный реестр. Дополнительные сведения см. в разделе Предотвращение записи конфиденциальной информации в файл журнала.
- Если установка требует, чтобы установщик использовал повышенные привилегии , используйте ограниченные общедоступные свойства , чтобы задать ограничения на изменение общедоступных свойств пользователем. Некоторые ограничения обычно необходимы для поддержания безопасной среды, когда для установки требуются повышенные привилегии.
- Избегайте установки служб, которые олицетворяют привилегии определенного пользователя, так как это может записывать данные безопасности в журнал или системный реестр. Это создает потенциал для проблемы безопасности, конфликта паролей или потери данных конфигурации при перезапуске системы. Дополнительные сведения см. в таблице ServiceInstall .
- Используйте таблицу LockPermissions и таблицу MsiLockPermissionsEx для защиты служб, файлов, разделов реестра и созданных папок в заблокированной среде.
- Добавьте цифровые подписи в установку, чтобы обеспечить целостность файлов. Дополнительные сведения см. в цифровых подписях и установщика Windows и создании полностью проверенной установки.
- Создайте пакет установщика Windows, который завершает установку таким образом, что при запрете доступа к ресурсам пользователю, обеспечивается поддержание безопасной среды. Проверьте права доступа пользователя и определите, достаточно ли места на диске перед началом установки. Как правило, установщик должен отображать только диалоговое окно обзора, если текущий пользователь является администратором или если установка не требует повышенных привилегий. Для получения подробной информации см. в разделе Устойчивость источника.
- Используйте защищенные преобразования для безопасного хранения преобразований на локально защищенной файловой системе компьютера пользователя. Это предотвращает доступ пользователя на запись к преобразованию.
- Сведения о том, как обеспечить устойчивость источников мультимедиа в управляемых приложениях, см. в .
- Используйте свойствосводки безопасности, чтобы указать, должен ли пакет быть открыт только для чтения. Это свойство рекомендуется установить как доступное только для чтения для базы данных установки и устанавливаться как доступное только для чтения с соблюдением этого ограничения для преобразования или исправления.
- Установщик выполняет пользовательские действия с привилегиями пользователя по умолчанию, чтобы ограничить доступ пользовательских действий к системе. Установщик может выполнять пользовательские действия с повышенными привилегиями, если устанавливается управляемое приложение или если системная политика предписывает использование повышенных привилегий. Дополнительные сведения см. в разделе безопасности пользовательских действий .
- Используйте политику DisablePatch для обеспечения безопасности в средах, где необходимо ограничить установку обновлений.
- Используйте таблицу AppId , чтобы зарегистрировать общие параметры безопасности и конфигурации для объектов DCOM.
- Дополнительные сведения см. в Руководстве по обеспечению безопасности пользовательских действий.
- Дополнительные сведения см. в Руководства по обеспечению безопасности пакетов на заблокированных компьютерах.
- Начиная с установщика Windows 3.0 исправление учетных записей пользователей (UAC) позволяет пользователям без администратора устанавливать исправления приложений, установленных в контексте компьютера. Исправление UAC включено путем предоставления сертификата подписи в таблице MsiPatchCertificate и подписывания исправлений с тем же сертификатом.
- Возможность установщика Windows 5.0 настроить разрешения на доступ к службам, файлам, созданным папкам и записям реестра может помочь сделать приложения установки более безопасными. Дополнительные сведения см. в разделе Защита ресурсов.