Aracılığıyla paylaş

Kaynakların Güvenliğini Sağlama

  • Makale

Windows Installer'ın hizmetler, dosyalar, oluşturulan klasörler ve kayıt defteri girdileri üzerinde erişim izinleri ayarlama özelliği, yükleme uygulamalarının daha güvenli hale getirmesine yardımcı olabilir. Kaynakları güvenli hale getirmek için MsiLockPermissionsEx veya LockPermissions tablolarının kullanılması, Güvenli Yüklemeler Yazmak için önerilenYönergelerinden biridir. MsiLockPermissionsEx tablosu, paket yazarının özel eylem yazmak zorunda kalmadan kaynağın güvenliğini sağlamasını sağlayabilir.

Windows Installer 5.0 için geliştirilen paketlerden başlayarak MsiLockPermissionsEx tablosu, LockPermissions tablosunun kullanımını değiştirmelidir. MsiLockPermissionsEx tablosu tarafından sağlanan genişletilmiş işlevsellik, bir paketin Windows Services, dosyaları, klasörleri ve kayıt defteri anahtarlarının güvenliğini sağlamasını sağlar. Bir paket hem MsiLockPermissionsEx hem de LockPermissions tablolarını içermemelidir.

Windows Installer 4.5 ve öncesi, MsiLockPermissionsEx tablosunu yoksayar. Windows Installer 5.0'dan başlayarak, paket hem LockPermissions tablosu hem de MsiLockPermissionsEx tablosu içeriyorsa yükleme 1941 hata iletisiyle başarısız olur. Yalnızca LockPermissions tablosunu içeren mevcut yükleme paketleri, Windows Installer 5.0 kullanılarak yüklenmeye devam edebilir.

Windows Installer 5.0, MsiLockPermissionsEx tablosundaki bilgileri, InstallFiles, InstallServices, WriteRegistryValues ve CreateFolders standart eylemlerini çalıştırırken işler. Güvenliği sağlanabilir bir nesnenin güvenli hale getirilmesi veya yeniden yüklenmesi gerekir ve bu nesneyi yeniden yüklemeden var olan bir nesneye Erişim Denetim Listesi (ACL) eklemek mümkün değildir.

Güvenliği sağlanacak hizmet, dosya, dizin veya kayıt defteri anahtarını belirtmek için, MsiLockPermissionsEx tablosunun LockObject ve Table alanlarına tanımlayıcı bilgileri girin. Nesne, ServiceInstall Table, Dosya Tablosu, Kayıt Defteri Tablosuveya CreateFolder Table içindeki birincil anahtarıyla tanımlanır.

Belirtilen izinlerin bir nesneye uygulanmasını istemek için, geçerli güvenlik tanımlayıcısı tanım dili (SDDL) kullanarak MsiLockPermissionsEx tablosunun SDDLText alanına geçerli bir güvenlik tanımlayıcısı dizesi girin. MsiLockPermissionsEx tablosu izinleri reddeden, üst kaynaktan izin devralmayı belirten veya yeni bir hesabın izinlerini belirten bir güvenlik tanımlayıcısı belirtebilir. Verilebilen, reddedilebilen veya devralınan tüm izinlerin listesi için bkz. ACE Dizeleri. Windows Installer 5.0, kullanılabilir güvenlik tanımlayıcıları (SID) kümesini genişletir. Geçerli SID'lerin listesi için bkz. SID Dizeleri.

Not

Bir üst kaynağın güvenlik tanımlayıcısını, izinlerinin alt nesneler tarafından devralınacağını belirtecek şekilde yapılandırmak istiyorsanız, yükleyicinizin alt nesneleri oluşturmadan önce üst kaynağa izinler uygulaması gerekir. Yükleyiciniz üst kaynağa devralınabilir izinleri uygulamadan önce alt nesneleri oluşturursa, üst kaynağın izinleri alt nesnelere yayılmaz.

Windows Installer 5.0'dan itibaren, BiçimlendirilmişSDDLMetni veri türü, Biçimlendirilmiş veri türünü genişletir. Windows Installer, MsiLockPermissionsEx tablosunun SDDLText sütununa girilen FormattedSDDLText dizesinin Güvenlik Tanımlayıcısı Dize Biçimi ile uyumlu olduğunu doğrular.

Windows Installer 4.5 veya önceki: Desteklenmiyor. MsiLockPermissionsEx tablosu ve FormattedSDDLText veri türü Windows Installer 5.0'ın başından itibaren kullanılabilir.