Simptomi

Počevši od sigurnosnog ažuriranja sustava Windows iz rujna 2024., Windows Installer (MSI) počeo je zahtijevati od UAC-a (User Account Control) upit za vjerodajnice prilikom popravka aplikacije. Taj je zahtjev dodatno proveden u sigurnosnom ažuriranju sustava Windows iz kolovoza 2025. radi rješavanja sigurnosne ranjivosti CVE-2025-50173

Zbog sigurnosnih pogrešaka obuhvaćenih ažuriranjem iz kolovoza 2025., korisnici koji nisu administratori mogu naići na probleme prilikom pokretanja nekih aplikacija: 

  • Aplikacije koje u pozadini pokrenu popravak MSI-ja (bez prikaza korisničkog sučelja) neće uspjeti s porukom o pogrešci. Instaliranje i pokretanje programa Office Professional Plus 2010, primjerice, kao neusmjesnog administratora ne bi uspjelo uz pogrešku 1730 tijekom postupka konfiguracije.

  • Korisnici koji nisu administratori mogli bi primiti neočekivane upite za kontrolu korisničkog računa (UAC) kada msi instalacijski program izvodi određene prilagođene akcije. Te akcije mogu obuhvaćati operacije konfiguracije ili popravka u prednjem planu ili pozadini, uključujući tijekom početne instalacije aplikacije. Te akcije obuhvaćaju sljedeće:

    • Pokretanje naredbi za popravak MSI-ja (kao što je msiexec /fu).

    • Instaliranje MSI datoteke nakon što se korisnik prvi put prijavi u aplikaciju.

    • Pokretanje programa Windows Installer tijekom aktivne instalacije.

    • Implementacija paketa putem Microsoft Configuration Manager (ConfigMgr) koji se pozivaju na konfiguracije "oglašavanja" specifične za korisnika.

    • Omogućavanje sigurne radne površine.

Rješenje 

Da biste riješili te probleme, sigurnosnim ažuriranjem sustava Windows (i novijim ažuriranjima) iz rujna 2025. smanjuje se opseg zahtjeva za UAC-om za popravke MSI-ja i IT administratorima omogućuje onemogućivanje upita korisničkog računa za određene aplikacije tako da ih doda na popis dopuštenih. 

Nakon instalacije ažuriranja za rujan 2025., UAC upiti bit će potrebni samo tijekom operacija popravka MSI-ja ako ciljna MSI datoteka sadrži povišenu prilagođenu akciju

Budući da će UAC upiti i dalje biti potrebni za aplikacije koje izvode prilagođene akcije, nakon instalacije ovog ažuriranja IT administratori će imati pristup zaobilazno rješenje koje može onemogućiti UAC upite za određene aplikacije dodavanjem MSI datoteka na popis dopuštenih. 

Kako dodati aplikacije na popis dopuštenih da biste onemogućili UAC upite 

Upozorenje: Imajte na umu da se na taj način odustajanja uklanja dubinska sigurnosna značajka obrane za te programe. 

Važno: U ovom se članku navode upute o tome kako izmijeniti registar. Svakako sigurnosno kopirajte registar prije izmjene. Provjerite znate li kako vratiti registar ako se pojavi problem. Dodatne informacije o sigurnosnoj kopiji, vraćanju i izmjeni registra potražite u članku Kako sigurnosno kopirati u sustavu Windows.

Prije početka morat ćete nabaviti kod proizvoda MSI datoteke koju želite dodati na popis dopuštenih. To možete učiniti pomoću alata ORCA koji je dostupan u paketu Windows SDK: 

  1. Preuzmite i instalirajte komponente Windows SDK-a za razvojne inženjere za Windows Installer.

  2. Idite na C:\Programske datoteke (x86)\Windows Kits\10\bin\10.0.26100.0\x86 i pokrenite Orca-x86_en-us.msi. Time ćete instalirati orca alat (Orca.exe).

  3. PokreniteOrca.exe.

  4. U alatu ORCA pomoću mogućnosti Datoteka > otvori potražite MSI datoteku koju želite dodati na popis dopuštenih datoteka.

  5. Kada se MSI tablice otvore, na popisu s lijeve strane kliknite Svojstvo i zabilježite vrijednost ProductCode

    Snimka zaslona s alatom ORCA

  6. Kopirajte ProductCode. Kasnije će vam trebati.

Kada imate kôd proizvoda, slijedite ove korake da biste onemogućili UAC upite za taj proizvod: 

  1. U okvir pretraživanje upišite regedit, a zatim odaberite Editor u rezultatima pretraživanja. 

  2. Pronađite i odaberite sljedeći potključ u registru:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  3. Na izborniku Uređivanje postavite pokazivač na Novo, a zatim odaberite Vrijednost DWORD.

  4. Upišite SecureRepairPolicy za naziv DWORD-a, a zatim pritisnite Enter.

  5. Desnom tipkom miša kliknite SecureRepairPolicy, a zatim odaberite Izmijeni.

  6. U okvir Vrijednost podataka upišite 2, a zatim odaberite U redu

  7. Pronađite i odaberite sljedeći potključ u registru:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  8. Na izborniku Uređivanje pokažite na Novo, a zatim kliknite Tipku.

  9. Upišite SecureRepairWhitelist za naziv tipke, a zatim pritisnite Enter.

  10. Dvokliknite tipku SecureRepairWhitelist da biste je otvorili.

  11. Na izborniku Uređivanje pokažite na Novo, a zatim kliknite Vrijednost niza. Stvorite vrijednosti niza koje sadrže ProductCode koji ste ranije (uključujući vitičaste zagrade {}) MSI datoteka koje želite dodati na popis dopuštenih datoteka. Naziv vrijednosti niza jest ProductCode, a VRIJEDNOST može biti prazna. 

    Snimka zaslona s kodom proizvoda dodanim u registar

Facebook LinkedIn E-pošta

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Prednosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft Security

Centar za pristupačnost