Příznaky

Od aktualizace zabezpečení systému Windows ze září 2024 začala Instalační služba systému Windows (MSI) při opravě aplikace vyžadovat výzvu nástroje Řízení uživatelských účtů (UAC) k zadání přihlašovacích údajů. Tento požadavek byl dále vynucován v aktualizaci zabezpečení systému Windows ze srpna 2025 s cílem vyřešit chybu zabezpečení CVE-2025-50173

Kvůli posílení zabezpečení, které je součástí aktualizace ze srpna 2025, můžou uživatelé bez oprávnění správce zaznamenat problémy při spouštění některých aplikací: 

  • Aplikace, které iniciují opravu MSI bezobslužně (bez zobrazení uživatelského rozhraní), selžou s chybovou zprávou. Například instalace a spuštění Office Professional Plus 2010 jako uživatele bez oprávnění správce by během procesu konfigurace selhalo s chybou 1730.

  • Uživatelům, kteří nejsou správci, se můžou zobrazit neočekávané výzvy nástroje Řízení uživatelských účtů (UAC), když instalační programy MSI provádějí určité vlastní akce. Tyto akce můžou zahrnovat operace konfigurace nebo opravy v popředí nebo na pozadí, včetně počáteční instalace aplikace. Mezi tyto akce patří:

    • Spuštění příkazů pro opravu MSI (například msiexec /fu).

    • Instalace souboru MSI po prvním přihlášení uživatele k aplikaci

    • Spouští se Instalační služba systému Windows během aktivního nastavení.

    • Nasazení balíčků prostřednictvím Microsoft Configuration Manager (ConfigMgr), které závisí na konfiguracích "inzerce" specifických pro uživatele.

    • Povoluje se Zabezpečená plocha.

Řešení 

Aby se tyto problémy vyřešily, aktualizace zabezpečení Windows ze září 2025 (a novější aktualizace) zmenší rozsah pro vyžadování výzev nástroje Řízení uživatelských účtů pro opravy MSI a umožňuje správcům IT zakázat výzvy Řízení uživatelských účtů pro konkrétní aplikace tím, že je přidá do seznamu povolených. 

Po instalaci aktualizace ze září 2025 se výzvy Řízení uživatelských oprávnění budou během operací opravy MSI vyžadovat pouze v případě, že cílový soubor MSI obsahuje vlastní akci se zvýšenými oprávněními

Vzhledem k tomu, že výzvy Nástroje řízení uživatelských služeb budou i nadále vyžadovány pro aplikace, které provádějí vlastní akce, budou mít správci IT po instalaci této aktualizace přístup k alternativnímu řešení, které může zakázat výzvy Řízení uživatelských rozhraní pro konkrétní aplikace přidáním souborů MSI na seznam povolených. 

Přidání aplikací do seznamu povolených za účelem zakázání výzev nástroje Řízení uživatelských služeb 

Upozornění: Mějte na paměti, že tato metoda opt-out efektivně odebere tuto funkci hloubkového zabezpečení pro tyto programy. 

Důležité informace: Tento článek obsahuje informace o úpravě registru. Před úpravami nezapomeňte udělat zálohu registru. Ujistěte se, že víte, jak v případě problému registr obnovit. Další informace o zálohování, obnovení a úpravách registru najdete v tématu Zálohování a obnovení registru v Windows.

Než začnete, budete muset získat kód produktu souboru MSI, který chcete přidat do seznamu povolených. Můžete to provést pomocí nástroje ORCA, který je k dispozici v Windows SDK: 

  1. Stáhněte a nainstalujte součásti Windows SDK pro vývojáře Instalační služby systému Windows.

  2. Přejděte na C:\Program Files (x86)\Windows Kits\10\bin\10.0.26100.0\x86 a spusťte Orca-x86_en-us.msi. Tím se nainstaluje nástroj ORCA (Orca.exe).

  3. Spusťte Orca.exe.

  4. V nástroji ORCA pomocí příkazu Soubor > Otevřít přejděte k souboru MSI, který chcete přidat do seznamu povolených.

  5. Po otevření tabulek MSI klikněte v seznamu na levé straně na Vlastnost a poznamenejte si hodnotu ProductCode

    Snímek obrazovky s nástrojem ORCA

  6. Zkopírujte kód ProductCode. Budete ho potřebovat později.

Jakmile budete mít kód produktu, zakažte u tohoto produktu výzvy Nástroje řízení uživatelských dat podle těchto kroků: 

  1. Do vyhledávacího pole zadejte regedit a ve výsledcích hledání vyberte Registry Editor

  2. V registru vyhledejte a vyberte následující podklíč:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  3. V nabídce Úpravy přejděte na Nový a vyberte Hodnota DWORD.

  4. Jako název DWORD zadejte SecureRepairPolicy a stiskněte klávesu Enter.

  5. Klikněte pravým tlačítkem na SecureRepairPolicy a pak vyberte Změnit.

  6. Do pole Údaj hodnoty zadejte 2 a vyberte OK

  7. V registru vyhledejte a vyberte následující podklíč:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  8. V nabídce Úpravy přejděte na Nový a potom klikněte na Klíč.

  9. Jako název klíče zadejte SecureRepairWhitelist a stiskněte klávesu Enter.

  10. Poklikáním otevřete klíč SecureRepairWhitelist .

  11. V nabídce Úpravy přejděte na Nový a potom klikněte na Řetězcová hodnota. Vytvořte řetězcové hodnoty obsahující kód ProductCode, který jste si dříve poznamenali (včetně závorek {}) souborů MSI, které chcete přidat do seznamu povolených. Název řetězcové hodnoty je ProductCode a hodnota může být ponechána prázdná. 

    Snímek obrazovky s kódem produktu přidanou do registru

Facebook LinkedIn E-mail

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoft 365

Školení k Microsoft 365

Zabezpečení od Microsoftu

Centrum přístupnosti