软件更新和UAC

Question

Windows如何处理安全和软件更新？我需要将软件部署到几台计算机上，这些软件将定期更新。更新只是下载并运行新的安装程序。显然，对于初始安装，管理员需要运行安装程序，但在此之后，安装程序是否被列入白名单，以非管理员身份运行？这是针对XP和7的。安装程序是使用WiX生成的msi。

Answer 1

不，安装程序未被列入白名单。即使是这样，更新也是另一个安装程序。因此，您的问题的答案是:用户必须在UAC提示中确认提升。

Firefox和Opera就是例子。每次准备安装更新时，更新程序都会显示UAC提示。另一方面，Chrome在没有UAC提示的情况下进行更新，原因很简单，因为它安装在没有写保护的用户配置文件中(我的意思是当前用户拥有完整的权限)。

Firefox计划实现一项服务，以方便更新过程。该服务在系统权限下运行，它可以使用系统权限启动更新程序，而无需用户同意提升，因为它已经拥有对系统的完全访问权限。这就是杀毒软件自我更新的方式。通常有两个进程:服务和客户端，它显示UI并与服务进行通信。

在MSI的情况下，有系统策略。例如，您可以启用一个策略，根据该策略，任何基于Windows Installer的安装都将以高权限运行。通常，补丁程序(次要更新)会被提升。可能存在控制主要更新的策略(卸载旧版本，然后安装新版本)，但我不知道有这样的策略。

Answer 2

我不知道WiX，但可以为您现有的安装程序包生成.msp补丁。如果使用MsiPatchCertificate表正确填写了MSI，则可以在打补丁时避免抬高。

更多详情请访问：User Account Control (UAC) Patching，Patching Game Software in Windows XP, Windows Vista, and Windows 7