Data di pubblicazione originale: 9 settembre 2025
ID KB: 5067315
Sintomi
A partire dall'aggiornamento della sicurezza di Windows di settembre 2024, Windows Installer (MSI) ha iniziato a richiedere una richiesta di controllo dell'account utente per le credenziali durante il ripristino di un'applicazione. Questo requisito è stato ulteriormente applicato nell'aggiornamento della sicurezza di Windows di agosto 2025 per risolvere la vulnerabilità di protezione , CVE-2025-50173.
A causa della protezione avanzata inclusa nell'aggiornamento di agosto 2025, gli utenti non amministratori potrebbero riscontrare problemi durante l'esecuzione di alcune app:
-
Le app che avviano un ripristino MSI in modo silenzioso (senza visualizzare l'interfaccia utente) non riescono con un messaggio di errore. Ad esempio, l'installazione e l'esecuzione di Office Professional Plus 2010 come non amministratore non riuscirebbero con l'errore 1730 durante il processo di configurazione.
-
Gli utenti non amministratori potrebbero ricevere richieste impreviste di controllo dell'account utente quando i programmi di installazione MSI eseguono determinate azioni personalizzate. Queste azioni possono includere operazioni di configurazione o ripristino in primo piano o in background, anche durante l'installazione iniziale di un'applicazione. Queste azioni includono:
-
Esecuzione di comandi di ripristino MSI, ad esempio msiexec /fu.
-
Installazione di un file MSI dopo la prima accesso di un utente a un'app.
-
Esecuzione di Windows Installer durante l'installazione.
-
Distribuzione di pacchetti tramite Microsoft Configuration Manager (ConfigMgr) che si basano su configurazioni "pubblicitarie" specifiche dell'utente.
-
Abilitazione di Desktop protetto.
-
Risoluzione
Per risolvere questi problemi, l'aggiornamento della sicurezza di Windows di settembre 2025 (e aggiornamenti successivi) riduce l'ambito per la richiesta di richieste di controllo dell'account utente per i riparazioni MSI e consente agli amministratori IT di disabilitare le richieste di controllo dell'account utente per app specifiche aggiungendole a un elenco di domini consentiti.
Dopo l'installazione dell'aggiornamento di settembre 2025, le richieste di controllo dell'account utente saranno necessarie solo durante le operazioni di ripristino MSI se il file MSI di destinazione contiene un'azione personalizzata con privilegi elevati.
Poiché le richieste di Controllo dell'account utente saranno ancora necessarie per le app che eseguono azioni personalizzate, dopo l'installazione di questo aggiornamento, gli amministratori IT avranno accesso a una soluzione alternativa che può disabilitare le richieste di controllo dell'account utente per app specifiche aggiungendo file MSI a un elenco di indirizzi consentiti.
Come aggiungere app a un elenco di utenti consentiti per disabilitare le richieste di Controllo dell'account utente
Avviso: Tenere presente che questo metodo di rifiuto esplicito rimuove in modo efficace questa funzionalità di sicurezza approfondita per tali programmi.
Importante: Questo articolo contiene informazioni su come modificare il Registro di sistema. Assicurarsi di eseguire un backup del Registro di sistema prima di modificarlo. Accertarsi di sapere come ripristinare il Registro di sistema in caso di imprevisti. Per altre informazioni su come eseguire il backup, il ripristino e la modifica del Registro di sistema, vedi Come eseguire il backup e il ripristino del Registro di sistema in Windows.
Prima di iniziare, è necessario ottenere il codice prodotto del file MSI da aggiungere all'elenco dei prodotti consentiti. A tale scopo, usare lo strumento ORCA disponibile in Windows SDK:
-
Scarica e installa i componenti di Windows SDK per gli sviluppatori di Windows Installer.
-
Passare a C:\Programmi (x86)\Windows Kits\10\bin\10.0.26100.0\x86 ed eseguire Orca-x86_en-us.msi. Verrà installato lo strumento ORCA (Orca.exe).This will install the ORCA tool (Orca.exe).
-
Eseguire Orca.exe.
-
Nello strumento ORCA usare File > Apri per passare al file MSI che si vuole aggiungere all'elenco degli indirizzi consentiti.
-
Dopo aver aperto le tabelle MSI, fare clic su Proprietà nell'elenco a sinistra e prendere nota del valore ProductCode.
-
Copiare il codice ProductCode. Sarà necessario in un secondo momento.
Una volta che hai il codice prodotto, segui questi passaggi per disabilitare le richieste di controllo dell'account utente per il prodotto:
-
Nella casella Cerca digitare regedit e selezionare Editor del Registro di sistema nei risultati della ricerca.
-
Individuare e selezionare la sottochiave seguente nel Registro di sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
-
Nel menu Modifica selezionare Nuovo, quindi fare clic su Valore DWORD.
-
Digitare SecureRepairPolicy per il nome del valore DWORD, quindi premere INVIO.
-
Fare clic con il pulsante destro del mouse su SecureRepairPolicy e quindi scegliere Modifica.
-
Nella casella Dati valore digitare 2 e selezionare OK.
-
Individuare e selezionare la sottochiave seguente nel Registro di sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
-
Scegliere Nuovo dal menu Modifica e quindi fare clic su Tasto.
-
Digitare SecureRepairWhitelist per il nome del tasto e quindi premere INVIO.
-
Fare doppio clic sulla chiave SecureRepairWhitelist per aprirla.
-
Scegliere Nuovo dal menu Modifica e quindi fare clic su Valore stringa. Creare valori stringa contenenti il CodiceProdotto annota in precedenza (incluse le parentesi graffe {}) dei file MSI che si desidera aggiungere all'elenco di indirizzi consentiti. Il NOME del valore stringa è il CodiceProdotto e il VALORE può essere lasciato vuoto.
