Symptome

Ab dem Windows-Sicherheitsupdate vom September 2024 fordert Windows Installer (MSI) beim Reparieren einer Anwendung eine UAC-Aufforderung (User Account Control, Benutzerkontensteuerung) für Ihre Anmeldeinformationen an. Diese Anforderung wurde im Windows-Sicherheitsupdate vom August 2025 weiter erzwungen, um das Sicherheitsrisiko CVE-2025-50173 zu beheben. 

Aufgrund der Sicherheitshärtung, die im Update vom August 2025 enthalten ist, treten bei Nicht-Administratorbenutzern möglicherweise Probleme auf, wenn einige Apps ausgeführt werden: 

  • Apps, die eine MSI-Reparatur im Hintergrund ( ohne Anzeige der Benutzeroberfläche) initiieren, schlagen mit einer Fehlermeldung fehl. Wenn Sie beispielsweise Office Professional Plus 2010 als Nichtadministrator installieren und ausführen, tritt während des Konfigurationsprozesses der Fehler 1730 auf.

  • Benutzer ohne Administratorrechte können unerwartete Aufforderungen zur Benutzerkontensteuerung (User Account Control, UAC) erhalten, wenn MSI-Installationsprogramme bestimmte benutzerdefinierte Aktionen ausführen. Diese Aktionen können Konfigurations- oder Reparaturvorgänge im Vordergrund oder Hintergrund umfassen, einschließlich während der Erstinstallation einer Anwendung. Zu diesen Aktionen gehören:

    • Ausführen von MSI-Reparaturbefehlen (z. B. msiexec /fu).

    • Installieren einer MSI-Datei, nachdem sich ein Benutzer zum ersten Mal bei einer App anmeldet.

    • Ausführen von Windows Installer während des Active Setups.

    • Bereitstellen von Paketen über Microsoft Configuration Manager (ConfigMgr), die auf benutzerspezifischen "Werbekonfigurationen" basieren.

    • Aktivieren des sicheren Desktops.

Lösung 

Um diese Probleme zu beheben, reduziert das Windows-Sicherheitsupdate vom September 2025 (und spätere Updates) den Umfang, in dem UAC-Aufforderungen für MSI-Reparaturen erforderlich sind, und it-Administratoren können UAC-Aufforderungen für bestimmte Apps deaktivieren, indem sie zu einer Positivliste hinzugefügt werden. 

Nach der Installation des Updates vom September 2025 sind UAC-Eingabeaufforderungen nur während MSI-Reparaturvorgängen erforderlich, wenn die MSI-Zieldatei eine benutzerdefinierte Aktion mit erhöhten Rechten enthält. 

Da UAC-Eingabeaufforderungen für Apps, die benutzerdefinierte Aktionen ausführen, weiterhin erforderlich sind, haben IT-Administratoren nach der Installation dieses Updates Zugriff auf eine Problemumgehung, die UAC-Aufforderungen für bestimmte Apps deaktivieren kann, indem msi-Dateien zu einer Positivliste hinzugefügt werden. 

Hinzufügen von Apps zu einer Positivliste zum Deaktivieren von UAC-Eingabeaufforderungen 

Warnung: Beachten Sie, dass diese Deaktivierungsmethode dieses Sicherheitsfeature für diese Programme effektiv entfernt. 

Wichtig: Dieser Artikel enthält Informationen zum Ändern der Registrierung. Stellen Sie sicher, dass Sie die Registrierung sichern, bevor Sie sie ändern. Stellen Sie sicher, dass Sie wissen, wie Sie die Registrierung wiederherstellen, falls ein Problem auftreten sollte. Weitere Informationen zum Sichern, Wiederherstellen und Ändern der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

Bevor Sie beginnen, müssen Sie den Produktcode der MSI-Datei abrufen, die Sie der Positivliste hinzufügen möchten. Dazu können Sie das ORCA-Tool verwenden, das in Windows SDK verfügbar ist: 

  1. Laden Sie Windows SDK-Komponenten für Windows Installer-Entwickler herunter, und installieren Sie sie.

  2. Navigieren Sie zu C:\Programme (x86)\Windows Kits\10\bin\10.0.26100.0\x86 , und führen SieOrca-x86_en-us.msiaus. Dadurch wird das ORCA-Tool (Orca.exe) installiert.

  3. Führen Sie Orca.exeaus.

  4. Verwenden Sie im ORCA-Tool Datei > Öffnen, um zu der MSI-Datei zu navigieren, die Sie der Positivliste hinzufügen möchten.

  5. Sobald die MSI-Tabellen geöffnet sind, klicken Sie in der Liste auf der linken Seite auf Eigenschaft, und notieren Sie sich den ProductCode-Wert

    Screenshot des ORCA-Tools

  6. Kopieren Sie den ProductCode. Sie benötigen sie später.

Sobald Sie über den Produktcode verfügen, führen Sie die folgenden Schritte aus, um UAC-Aufforderungen für dieses Produkt zu deaktivieren: 

  1. Geben Sie im Suchfeldregedit ein, und wählen Sie in den Suchergebnissen Registrierungs-Editor aus. 

  2. Suchen Sie den folgenden Unterschlüssel in der Registrierung, und wählen Sie ihn aus:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  3. Zeigen Sie im Menü Bearbeiten auf Neu, und wählen Sie dann DWORD-Wert aus.

  4. Geben Sie SecureRepairPolicy als Namen des DWORD ein, und drücken Sie dann die EINGABETASTE.

  5. Klicken Sie mit der rechten Maustaste auf SecureRepairPolicy, und wählen Sie dann Ändern aus.

  6. Geben Sie im Feld Wertdaten den Wert 2 ein, und wählen Sie OK aus. 

  7. Suchen Sie den folgenden Unterschlüssel in der Registrierung, und wählen Sie ihn aus:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  8. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie anschließend auf Schlüssel.

  9. Geben Sie SecureRepairWhitelist als Namen der Taste ein, und drücken Sie dann die EINGABETASTE.

  10. Doppelklicken Sie auf den Schlüssel SecureRepairWhitelist , um ihn zu öffnen.

  11. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie dann auf Zeichenfolgenwert. Erstellen Sie Zeichenfolgenwerte, die den ProductCode enthalten, den Sie sich zuvor notiert haben (einschließlich geschweifter Klammern {}) der MSI-Dateien, die Sie der Positivliste hinzufügen möchten. Der NAME des Zeichenfolgenwerts ist der ProductCode, und der WERT kann leer gelassen werden. 

    Screenshot des Zur Registrierung hinzugefügten Produktcodes

Facebook LinkedIn E-Mail

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter