Tünetek

A Windows 2024. szeptemberi biztonsági frissítésétől kezdve a Windows Installer (MSI) elkezdte kérni a felhasználói fiókok felügyeletének (UAC) kérését az alkalmazások javításakor. Ezt a követelményt a 2025. augusztusi Windows biztonsági frissítésben is érvényesítették a CVE-2025-50173 biztonsági rés kezelése érdekében. 

A 2025. augusztusi frissítésben foglalt biztonsági korlátozás miatt a nem rendszergazda felhasználók problémákat tapasztalhatnak egyes alkalmazások futtatásakor: 

  • Az MSI-javítást csendesen kezdeményező alkalmazások (a felhasználói felület megjelenítése nélkül) hibaüzenettel hiúsulnának meg. Például a 2010-Office Professional Plus nem rendszergazdaként való telepítése és futtatása 1730-as hibával meghiúsulna a konfigurációs folyamat során.

  • A nem rendszergazda felhasználók váratlan felhasználói fiókok felügyeletére (UAC) vonatkozó utasításokat kaphatnak, amikor az MSI-telepítők bizonyos egyéni műveleteket hajtanak végre. Ezek a műveletek tartalmazhatnak konfigurációs vagy javítási műveleteket az előtérben vagy a háttérben, beleértve az alkalmazás kezdeti telepítése során is. Ezek a műveletek a következők:

    • MSI-javítási parancsok futtatása (például msiexec /fu).

    • MSI-fájl telepítése, miután a felhasználó először jelentkezik be egy alkalmazásba.

    • A Windows Installer futtatása Active Setup során.

    • Csomagok üzembe helyezése Microsoft Configuration Manager (ConfigMgr) keresztül, amelyek felhasználóspecifikus "hirdetési" konfigurációkra támaszkodnak.

    • A Secure Desktop engedélyezése.

Megoldás 

A problémák megoldása érdekében a Windows 2025. szeptemberi biztonsági frissítése (és újabb frissítései) csökkentik az UAC-kérések MSI-javításokra vonatkozó kéréseinek hatókörét, és lehetővé teszi a rendszergazdák számára, hogy letiltsák az egyes alkalmazások UAC-kéréseit, ha hozzáadják őket egy engedélyezési listához. 

A 2025. szeptemberi frissítés telepítése után az UAC-kérésekre csak akkor lesz szükség az MSI-javítási műveletek során, ha a cél MSI-fájl emelt szintű egyéni műveletet tartalmaz. 

Mivel az egyéni műveleteket végrehajtó alkalmazásokhoz továbbra is UAC-kérésekre lesz szükség, a frissítés telepítése után a rendszergazdák hozzáférhetnek egy áthidaló megoldáshoz, amely letilthatja az egyes alkalmazások UAC-kéréseit, ha MSI-fájlokat ad hozzá egy engedélyezési listához. 

Alkalmazások hozzáadása engedélyezési listához az UAC-kérések letiltásához 

Figyelmeztetés: Vegye figyelembe, hogy ez a leiratkozási módszer hatékonyan eltávolítja a mélységi védelemmel kapcsolatos biztonsági funkciót ezekhez a programokhoz. 

Fontos: Ez a cikk információt tartalmaz a beállításjegyzék módosításáról. A módosítás előtt készítsen biztonsági másolatot a beállításjegyzékről. Legyen tisztában azzal is, hogy probléma esetén hogyan állíthatja vissza a beállításjegyzéket. A beállításjegyzék biztonsági mentésének, visszaállításának és módosításának módjáról további információkat a Windows beállításjegyzék biztonsági mentése és visszaállítása című témakörben talál.

A kezdés előtt be kell szereznie az engedélyezési listához hozzáadni kívánt MSI-fájl termékkódját. Ezt a Windows SDK elérhető ORCA eszközzel teheti meg: 

  1. Töltse le és telepítse Windows SDK-összetevőket a Windows Installer-fejlesztők számára.

  2. Lépjen a C:\Program Files (x86)\Windows Kits\10\bin\10.0.26100.0\x86 mappába, és futtassa aOrca-x86_en-us.msi. Ezzel telepíti az ORCA eszközt (Orca.exe)..

  3. Futtassa Orca.exeparancsot.

  4. Az ORCA eszköz Fájl > Megnyitás parancsával keresse meg az engedélyezési listához hozzáadni kívánt MSI-fájlt.

  5. Az MSI-táblák megnyitása után kattintson a bal oldali listában a Tulajdonság elemre, és jegyezze fel a ProductCode értéket. 

    Az ORCA eszköz képernyőképe

  6. Másolja ki a ProductCode-ot. Később szüksége lesz rá.

Ha már rendelkezik a termékkóddal, az alábbi lépéseket követve tiltsa le a termék UAC-kéréseit: 

  1. A Keresés mezőbe írja be a regedit kifejezést, majd a keresési eredmények között válassza a Beállításjegyzék Szerkesztő lehetőséget. 

  2. Keresse meg és válassza ki a következő alkulcsot a beállításjegyzékben:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  3. A Szerkesztés menüben mutasson az Új elemre, majd válassza a DWORD érték lehetőséget.

  4. Írja be a SecureRepairPolicy nevet a DWORD névhez, majd nyomja le az Enter billentyűt.

  5. Kattintson a jobb gombbal a SecureRepairPolicy elemre, majd válassza a Módosítás parancsot.

  6. Az Érték adatmezőbe írja be a 2 értéket, és válassza az OK gombot

  7. Keresse meg és válassza ki a következő alkulcsot a beállításjegyzékben:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  8. A Szerkesztés menüben mutasson az Új elemre, majd kattintson a Kulcs elemre.

  9. Írja be a SecureRepairWhitelist nevet a kulcsnak, majd nyomja le az Enter billentyűt.

  10. Kattintson duplán a SecureRepairWhitelist kulcsra a megnyitásához.

  11. A Szerkesztés menüben mutasson az Új elemre, majd kattintson a Sztringérték elemre. Hozzon létre sztringértékeket, amelyek tartalmazzák az engedélyezési listához hozzáadni kívánt MSI-fájlok korábbi termékkódját (beleértve a kapcsos zárójeleket {}). A sztringérték neve a ProductCode, és az ÉRTÉK üresen hagyható. 

    Képernyőkép a beállításjegyzékhez hozzáadott termékkódról

Facebook LinkedIn E-mail

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A Microsoft 365-előfizetés előnyei

Microsoft 365-képzés

Microsoft Biztonság

Akadálymentességi központ