Sümptomid

Alates 2024. aasta septembrist hakkas Windows Installer (MSI) rakenduse parandamisel nõudma kasutajakonto kontrolli (UAC)lt teie identimisteabe küsimist. Seda nõuet jõustati 2025. aasta augusti Windowsi turbevärskenduses turbenõrkuste kõrvaldamiseks, CVE-2025-50173

2025. aasta augusti värskenduses sisalduva turvalisuse kõvenemise tõttu võivad administraatorist mitteadministraatorist kasutajad mõne rakenduse käitamisel esineda probleeme. 

  • Rakendused, mis käivitavad MSI parandamise vaikselt (kasutajaliidest kuvamata), nurjuvad tõrketeatega. Näiteks Office Professional Plus 2010 installimine ja käitamine mitteadministraatorina nurjuks konfigureerimisprotsessi ajal tõrkega 1730.

  • Administraatorita kasutajad võivad saada ootamatuid kasutajakonto kontrolli (UAC) viipasid, kui MSI installerid teevad teatud kohandatud toiminguid. Need toimingud võivad hõlmata konfiguratsiooni- või parandamistoiminguid esiplaanil või taustal, sh rakenduse esialgse installimise ajal. Need toimingud on järgmised.

    • MSI paranduskäskude käitamine (nt msiexec /fu).

    • MSI-faili installimine pärast seda, kui kasutaja esimest korda rakendusse sisse logib.

    • Windows Installeri käivitamine Active Setupi ajal.

    • Pakettide juurutamine Microsoft Configuration Manager (ConfigMgr) kaudu, mis põhinevad kasutajakohastel reklaamikonfiguratsioonidel.

    • Secure Desktopi lubamine.

Lahendus 

Nende probleemide lahendamiseks vähendab 2025. aasta septembri Windowsi turbevärskendus (ja uuemad värskendused) MSI paranduste jaoks UAC viipade nõudmise ulatust ja lubab IT-administraatoritel keelata UAC viibad konkreetsete rakenduste jaoks, lisades need lubatud rakenduste loendisse. 

Pärast 2025. aasta septembri värskenduse installimist nõutakse UAC viipasid ainult MSI parandustoimingute ajal, kui siht-MSI-fail sisaldab ülendatud kohandatud toimingut

Kuna UAC viibad on kohandatud toiminguid sooritavate rakenduste puhul endiselt nõutavad, on it-administraatoritel pärast selle värskenduse installimist juurdepääs ajutisele lahendusele, mis saab keelata UAC viibad konkreetsete rakenduste jaoks, lisades lubatud failide loendisse MSI-failid. 

Rakenduste lisamine lubatud lehtede loendisse UAC viipade keelamiseks 

Hoiatus.: Võtke arvesse, et see loobumismeetod eemaldab tõhusalt nende programmide kaitse süvaturbefunktsiooni. 

NB!: See artikkel sisaldab teavet registri muutmise kohta. Veenduge, et olete enne registri muutmist selle varundanud. Probleemi ilmnemisel veenduge, et teate, kuidas registrit taastada. Lisateavet registri varundamise, taastamise ja muutmise kohta leiate artiklist Windowsis registri varundamine ja taastamine.

Enne alustamist peate hankima selle MSI-faili tootekoodi, mille soovite lubatud failide loendisse lisada. Selleks saate kasutada Tööriista ORCA , mis on saadaval Windows SDK-s. 

  1. Laadige alla ja installige Windows SDK komponendid Windows Installeri arendajatele.

  2. Liikuge asukohta C:\Program Files (x86)\Windows Kits\10\bin\10.0.26100.0\x86 ja käivitage Orca-x86_en-us.msi. See installib ORCA tööriista (Orca.exe)..

  3. KäivitageOrca.exe.

  4. Kasutage ORCA tööriistas faili > Ava, et sirvida MSI-failini, mille soovite lubatud failide loendisse lisada.

  5. Kui MSI-tabelid on avatud, klõpsake vasakul asuvas loendis väärtust Atribuut ja märkige üles väärtus ProductCode

    Tööriista ORCA kuvatõmmis

  6. Kopeerige tootekood. Teil läheb seda hiljem vaja.

Kui teil on tootekood, tehke selle toote UAC viipade keelamiseks järgmist. 

  1. Tippige väljale Otsing tekst regedit ja valige otsingutulemites Register korrektor

  2. Otsige registrist üles järgmine alamvõti ja valige see:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  3. Osutage menüüs Redigeeri käsule Uus ja valige väärtus DWORD Value.

  4. Tippige DWORD-i nimeks SecureRepairPolicy ja vajutage sisestusklahvi (Enter).

  5. Paremklõpsake valikut SecureRepairPolicy ja seejärel valige Muuda.

  6. Tippige väljale Väärtuseandmed väärtus 2 ja valige OK

  7. Otsige registrist üles järgmine alamvõti ja valige see:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  8. Osutage menüüs Edit (Redigeeri) käsule New (Uus) ja seejärel klõpsake nuppu Key (Klahv).

  9. Tippige klahvi nimeks SecureRepairWhitelist ja vajutage sisestusklahvi (Enter).

  10. Klahvi SecureRepairWhitelist avamiseks topeltklõpsake seda.

  11. Osutage menüüs Edit (Redigeeri) käsule New (Uus) ja seejärel klõpsake käsku String Value (Stringi väärtus). Looge stringiväärtused, mis sisaldavad MSI-failide varasemaid (sh looksulge {}) sisaldavaid tootekoodi, mille soovite lubatud failide loendisse lisada. Stringi väärtuse nimi on Tootekood ja väärtuse võib tühjaks jätta. 

    Registrisse lisatud tootekoodi kuvatõmmis

Facebook LinkedIn Meil

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Microsoft 365 tellimuse eelised

Microsoft 365 koolitus

Microsofti turbeteenus

Hõlbustuskeskus