Symptomen

Vanaf de Windows-beveiligingsupdate van september 2024 is Windows Installer (MSI) begonnen met het vereisen van een gebruikersaccountbeheer (UAC) om uw referenties bij het herstellen van een toepassing. Deze vereiste is verder afgedwongen in de Windows-beveiligingsupdate van augustus 2025 om het beveiligingsprobleem op te lossen, CVE-2025-50173

Vanwege de beveiligingsbeveiliging die is opgenomen in de update van augustus 2025, kunnen niet-beheerders problemen ondervinden bij het uitvoeren van bepaalde apps: 

  • Apps die een MSI-herstel op de achtergrond starten (zonder gebruikersinterface weer te geven), mislukken met een foutbericht. Het installeren en uitvoeren van Office Professional Plus 2010 als een niet-beheerder mislukt bijvoorbeeld met fout 1730 tijdens het configuratieproces.

  • Gebruikers die geen beheerder zijn, kunnen onverwachte gebruikersaccountbeheer (UAC)-prompts ontvangen wanneer MSI-installatieprogramma's bepaalde aangepaste acties uitvoeren. Deze acties kunnen configuratie- of reparatiebewerkingen op de voorgrond of achtergrond omvatten, inclusief tijdens de eerste installatie van een toepassing. Deze acties omvatten:

    • MSI-herstelopdrachten uitvoeren (zoals msiexec /fu).

    • Een MSI-bestand installeren nadat een gebruiker zich voor het eerst bij een app heeft aangemeld.

    • Uitvoeren van Windows Installer tijdens Active Setup.

    • Het implementeren van pakketten via Microsoft Configuration Manager (ConfigMgr) die afhankelijk zijn van gebruikersspecifieke 'reclame'-configuraties.

    • Beveiligd bureaublad inschakelen.

Oplossing 

Om deze problemen op te lossen, vermindert de Windows-beveiligingsupdate van september 2025 (en latere updates) het bereik voor het vereisen van UAC-prompts voor MSI-reparaties en stelt IT-beheerders in staat UAC-prompts voor specifieke apps uit te schakelen door ze toe te voegen aan een acceptatielijst. 

Na de installatie van de update van september 2025 zijn UAC-prompts alleen vereist tijdens MSI-herstelbewerkingen als het msi-doelbestand een aangepaste actie met verhoogde bevoegdheid bevat. 

Omdat UAC-prompts nog steeds vereist zijn voor apps die aangepaste acties uitvoeren, hebben IT-beheerders na de installatie van deze update toegang tot een tijdelijke oplossing waarmee UAC-prompts voor specifieke apps kunnen worden uitgeschakeld door MSI-bestanden toe te voegen aan een acceptatielijst. 

Apps toevoegen aan een acceptatielijst om UAC-prompts uit te schakelen 

Waarschuwing: Houd er rekening mee dat deze afmeldingsmethode effectief deze diepgaande beveiligingsfunctie voor deze programma's verwijdert. 

Belangrijk: Dit artikel bevat informatie over het wijzigen van het register. Zorg ervoor dat u een back-up van het register maakt voordat u hierin wijzigingen aanbrengt. Zorg ervoor dat u weet hoe u het register kunt herstellen als er een probleem optreedt. Zie Een back-up maken van het register en het register terugzetten in Windows voor meer informatie over het maken van back-ups, het terugzetten en het wijzigen van het register.

Voordat u begint, moet u de productcode ophalen van het MSI-bestand dat u wilt toevoegen aan de acceptatielijst. U kunt dit doen met behulp van het ORCA-hulpprogramma dat beschikbaar is in Windows SDK: 

  1. Download en installeer Windows SDK Components voor Windows Installer-ontwikkelaars.

  2. Navigeer naar C:\Program Files (x86)\Windows Kits\10\bin\10.0.26100.0\x86 en voer Orca-x86_en-us.msiuit. Hiermee wordt het ORCA-hulpprogramma (Orca.exe) geïnstalleerd.

  3. Voer Orca.exeuit .

  4. Gebruik in het ORCA-hulpprogramma Bestand > Openen om naar het MSI-bestand te bladeren dat u aan de acceptatielijst wilt toevoegen.

  5. Zodra de MSI-tabellen zijn geopend, klikt u op Eigenschap in de lijst aan de linkerkant en noteert u de waarde ProductCode

    Schermopname van orca-hulpprogramma

  6. Kopieer de productcode. U hebt deze later nodig.

Zodra u de productcode hebt, volgt u deze stappen om UAC-prompts voor dat product uit te schakelen: 

  1. Typ regeditin het zoekvak en selecteer Register Editor in de zoekresultaten. 

  2. Zoek en selecteer de volgende subsleutel in het register:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  3. Wijs in het menu Bewerken naar Nieuw en selecteer DWORD-waarde.

  4. Typ SecureRepairPolicy als naam van de DWORD en druk op Enter.

  5. Klik met de rechtermuisknop op SecureRepairPolicy en selecteer vervolgens Wijzigen.

  6. Typ 2 in het vak Waardegegevens en selecteer OK

  7. Zoek en selecteer de volgende subsleutel in het register:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  8. Wijs in het menu Bewerkende optie Nieuw aan en klik op Sleutel.

  9. Typ SecureRepairWhitelist als naam van de sleutel en druk op Enter.

  10. Dubbelklik op de sleutel SecureRepairWhitelist om deze te openen.

  11. Wijs in het menu Bewerken de optie Nieuw aan en klik vervolgens op Tekenreekswaarde. Tekenreekswaarden maken die de ProductCode bevatten die u eerder hebt genoteerd (inclusief accolades {}) van de MSI-bestanden die u wilt toevoegen aan de acceptatielijst. De NAAM van de tekenreekswaarde is de ProductCode en de WAARDE kan leeg blijven. 

    Schermopname van productcode toegevoegd aan het register

Facebook LinkedIn E-mail

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum