Alkuperäinen julkaisupäivä: 9. syyskuuta 2025

KB-tunnus: 5067315

Ongelman ilmenemistapa

Syyskuun 2024 Windowsin suojauspäivityksestä alkaen Windows Installer (MSI) alkoi vaatia käyttäjätilien valvonnan kehotetta tunnistetietoihisi, kun korjasit sovelluksen. Tämä vaatimus otettiin edelleen käyttöön elokuussa 2025 julkaistussa Windowsin suojauspäivityksessä tietoturva-aukon CVE-2025-50173 korjaamiseksi. 

Elokuun 2025 päivitykseen sisältyvän suojauksen jäydennyksen vuoksi muilla kuin järjestelmänvalvojan käyttäjillä voi olla ongelmia joidenkin sovellusten suorittamisessa: 

  • Sovellukset, jotka aloittavat MSI-korjauksen äänettömästi (ilman käyttöliittymän näyttämistä), epäonnistuivat virhesanoman yhteydessä. Esimerkiksi Office Professional Plus 2010:n asentaminen ja suorittaminen ei-järjestelmänvalvojana epäonnistui, kun määritysprosessin aikana ilmeni virhe 1730.

  • Muut kuin järjestelmänvalvojat voivat saada odottamattomia käyttäjätilien valvonnan kehotteita, kun MSI-asennusohjelmat suorittavat tiettyjä mukautettuja toimintoja. Näihin toimintoihin voi sisältyä määritys- tai korjaustoimintoja edustalla tai taustalla, myös sovelluksen ensimmäisen asennuksen aikana. Näitä toimintoja ovat esimerkiksi seuraavat:

    • MSI-korjauskomentojen (kuten msiexec /fu) suorittaminen.

    • MSI-tiedoston asentaminen, kun käyttäjä kirjautuu sovellukseen ensimmäistä kertaa.

    • Windows Installerin suorittaminen Active Setupin aikana.

    • Otetaan käyttöön paketteja Microsoft Configuration Manager (ConfigMgr) kautta, jotka perustuvat käyttäjäkohtaisiin mainontamäärityksiin.

    • Suojatun työpöydän käyttöönotto.

Ratkaisu 

Näiden ongelmien ratkaisemiseksi syyskuun 2025 Windowsin suojauspäivitys (ja sitä uudemmat päivitykset) pienentää MSI-korjausten UAC-kehotteiden vaatimisen laajuutta ja antaa IT-järjestelmänvalvojille mahdollisuuden poistaa tiettyjen sovellusten käyttäjätilien valvontakehotteet käytöstä lisäämällä ne sallittujen luetteloon. 

Syyskuun 2025 päivityksen asentamisen jälkeen UAC-kehotteet ovat pakollisia MSI-korjaustoimintojen aikana vain, jos MSI-kohdetiedosto sisältää mukautetun lisätoiminnon

Koska UAC-kehotteet ovat edelleen pakollisia mukautettuja toimintoja suorittaville sovelluksille, IT-järjestelmänvalvojat voivat tämän päivityksen asentamisen jälkeen käyttää vaihtoehtoista menetelmää, joka voi poistaa tiettyjen sovellusten käyttäjätilien valvontakehotteet käytöstä lisäämällä MSI-tiedostoja sallittuun luetteloon. 

Sovellusten lisääminen sallittuun luetteloon käyttäjätilien valvontakehotteiden poistamista käytöstä 

Varoitus: Huomaa, että tämä eston eston menetelmä poistaa tehokkaasti tämän suojauksen perusteellisen suojausominaisuuden kyseisiltä ohjelmilta. 

Tärkeää: Tässä artikkelissa on tietoja rekisterin muokkaamisesta. Muista varmuuskopioida rekisteri ennen sen muokkaamista. Varmista, että osaat palauttaa rekisterin, jos ongelmia ilmenee. Saat lisätietoja rekisterin varmuuskopioimisesta, palauttamisesta ja muokkaamisesta tutustumalla ohjeaiheeseen Rekisterin varmuuskopioiminen ja palauttaminen Windowsissa.

Ennen aloittamista sinun on hankittava sen MSI-tiedoston tuotekoodi, jonka haluat lisätä sallittujen luetteloon. Voit tehdä tämän käyttämällä ORCA-työkalua , joka on käytettävissä Windows SDK:ssa: 

  1. Lataa ja asenna Windows SDK -osat Windows Installer -kehittäjille.

  2. Siirry kohtaan C:\Program Files (x86)\Windows Kits\10\bin\10.0.26100.0\x86 ja suorita Orca-x86_en-us.msi. Tämä asentaa ORCA-työkalun (Orca.exe).

  3. Suorita Orca.exe.

  4. Siirry ORCA-työkalussa Tiedosto > Avaa -toiminnolla MSI-tiedostoon, jonka haluat lisätä sallittuun luetteloon.

  5. Kun MSI-taulukot on avattu, valitse ominaisuus vasemmalla olevasta luettelosta ja merkitse ProductCode-arvo muistiin. 

    Näyttökuva ORCA-työkalusta

  6. Kopioi ProductCode. Tarvitset sitä myöhemmin.

Kun olet saanut tuotekoodin, poista kyseisen tuotteen käyttäjätilien valvontakehotteet käytöstä seuraavasti: 

  1. Kirjoita Haku-ruutuunregedit ja valitse hakutuloksista Rekisteri Kirjoitusavustaja

  2. Etsi ja valitse rekisteristä seuraava aliavain:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  3. Osoita Muokkaa-valikon Uusi-kohtaa ja napsauta sitten DWORD-arvo.

  4. Kirjoita DWORD:n nimeksi SecureRepairPolicy ja paina sitten Enter-näppäintä.

  5. Napsauta Hiiren kakkospainikkeella SecureRepairPolicy ja valitse sitten Muokkaa.

  6. Kirjoita Arvotiedot-ruutuun 2 ja valitse OK

  7. Etsi ja valitse rekisteristä seuraava aliavain:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  8. Valitse Muokkaa-valikossaUusi ja valitse sitten Näppäin.

  9. Kirjoita näppäimen nimeksi SecureRepairWhitelist ja paina sitten Enter-näppäintä.

  10. Avaa SecureRepairWhitelist-näppäin kaksoisnapsauttamalla sitä.

  11. Valitse Muokkaa-valikossaUusi ja valitse sitten Merkkijonon arvo. Luo merkkijonoarvoja, jotka sisältävät tuotekoodin, jonka otit huomioon aiemmin (mukaan lukien aaltosulkeet {}) MSI-tiedostoista, jotka haluat lisätä sallittujen luetteloon. Merkkijonoarvon nimi on ProductCode ja ARVO voidaan jättää tyhjäksi. 

    Näyttökuva rekisteriin lisätystä tuotekoodista

Facebook LinkedIn Sähköposti

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus