Fecha de publicación original: 9 de septiembre de 2025

KB ID: 5067315

Síntomas

A partir de la actualización de seguridad de Windows de septiembre de 2024, Windows Installer (MSI) comenzó a requerir una solicitud de control de cuentas de usuario (UAC) para sus credenciales al reparar una aplicación. Este requisito se aplicó aún más en la actualización de seguridad de Windows de agosto de 2025 para abordar la vulnerabilidad de seguridad , CVE-2025-50173

Debido al protección de seguridad incluido en la actualización de agosto de 2025, es posible que los usuarios que no sean administradores experimenten problemas al ejecutar algunas aplicaciones: 

  • Las aplicaciones que inician una reparación de MSI de forma silenciosa (sin mostrar la interfaz de usuario) producían un error con un mensaje de error. Por ejemplo, la instalación y ejecución de Office Profesional Plus 2010 como no administrador provocaría un error 1730 durante el proceso de configuración.

  • Los usuarios que no sean administradores podrían recibir avisos inesperados del Control de cuentas de usuario (UAC) cuando los instaladores de MSI realizan determinadas acciones personalizadas. Estas acciones pueden incluir operaciones de configuración o reparación en primer plano o en segundo plano, incluso durante la instalación inicial de una aplicación. Entre estas acciones se incluyen:

    • Ejecutar comandos de reparación de MSI (como msiexec /fu).

    • Instalar un archivo MSI después de que un usuario inicie sesión en una aplicación por primera vez.

    • Ejecución de Windows Installer durante la instalación activa.

    • Implementación de paquetes a través de Microsoft Configuration Manager (ConfigMgr) que se basan en configuraciones de "publicidad" específicas del usuario.

    • Habilitar el Escritorio seguro.

Resolución 

Para solucionar estos problemas, la actualización de seguridad de Windows de septiembre de 2025 (y actualizaciones posteriores) reduce el ámbito de requerir solicitudes de UAC para reparaciones de MSI y permite a los administradores de TI deshabilitar las solicitudes de UAC para aplicaciones específicas agregándolas a una lista de permitidos. 

Después de instalar la actualización de septiembre de 2025, los avisos de UAC solo serán necesarios durante las operaciones de reparación de MSI si el archivo MSI de destino contiene una acción personalizada con privilegios elevados

Dado que se seguirán necesitando solicitudes de UAC para las aplicaciones que realizan acciones personalizadas, después de instalar esta actualización, los administradores de TI tendrán acceso a una solución alternativa que puede deshabilitar las solicitudes de UAC para aplicaciones específicas agregando archivos MSI a una lista de permitidos. 

Cómo agregar aplicaciones a una lista de permitidos para deshabilitar los mensajes de UAC 

Advertencia: Tenga en cuenta que este método de rechazo elimina eficazmente esta característica de seguridad de defensa en profundidad para esos programas. 

Importante: Este artículo contiene información sobre cómo modificar el Registro. Asegúrese de hacer una copia de seguridad del Registro antes de modificarlo. Asegúrese de que sabe cómo restaurar el registro en caso de que se produzca un problema. Para más información sobre cómo realizar una copia de seguridad, restaurar y modificar el Registro, vea Cómo realizar una copia de seguridad y restaurar el Registro en Windows.

Antes de empezar, tendrás que obtener el código de producto del archivo MSI que quieres agregar a la lista de permitidos. Para ello, usa la herramienta ORCA que está disponible en Windows SDK: 

  1. Descarga e instala componentes de Windows SDK para desarrolladores de Windows Installer.

  2. Vaya a C:\Archivos de programa (x86)\Windows Kits\10\bin\10.0.26100.0\x86 y ejecute Orca-x86_en-us.msi. Esto instalará la herramienta ORCA (Orca.exe).

  3. Ejecute Orca.exe.

  4. En la herramienta ORCA, use Archivo > Abrir para ir al archivo MSI que desea agregar a la lista de permitidos.

  5. Una vez abiertas las tablas MSI, haga clic en Propiedad en la lista de la izquierda y anote el valor de ProductCode

    Captura de pantalla de la herramienta ORCA

  6. Copia el ProductCode. La necesitarás más adelante.

Una vez que tengas el código de producto, sigue estos pasos para deshabilitar las solicitudes de UAC para ese producto: 

  1. En el cuadro de búsqueda, escribe regedit y selecciona Registro Editor en los resultados de búsqueda. 

  2. Busque y seleccione la siguiente subclave en el Registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  3. En el menú Editar, seleccione Nuevo y, después, Valor DWORD.

  4. Escriba SecureRepairPolicy como nombre de DWORD y, después, presione Entrar.

  5. Haga clic con el botón derecho en SecureRepairPolicy y, a continuación, seleccione Modificar.

  6. En el cuadro Datos del valor, escriba 2 y seleccione Aceptar

  7. Busque y seleccione la siguiente subclave en el Registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  8. En el menú Edición, seleccione Nuevo y haga clic en Clave.

  9. Escriba SecureRepairWhitelist para el nombre de la clave y presione Entrar.

  10. Haga doble clic en la clave SecureRepairWhitelist para abrirla.

  11. En el menú Editar , seleccione Nuevo y, a continuación, haga clic en Valor de cadena. Cree valores de cadena que contengan el CódigoDeProducto que anote anteriormente (incluidas las llaves {}) de los archivos MSI que desea agregar a la lista de permitidos. El NOMBRE del valor de cadena es ProductCode y el VALOR se puede dejar en blanco. 

    Captura de pantalla de código de producto agregado al Registro

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción de Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad