Znaki

Od septembra 2024 je Windows Installer (MSI) začel zahtevati poziv za nadzor uporabniškega računa (UAC) za vaše poverilnice pri popravilu programa. Ta zahteva je bila v varnostni posodobitvi sistema Windows v avgustu 2025 nadalje uveljavljena za rešitev varnostne ranljivosti CVE-2025-50173

Zaradi varnostnega utrjenja, vključenega v posodobitvi iz avgusta 2025, lahko pri zagonu nekaterih aplikacij pride do težav za uporabnike, ki niso skrbniki: 

  • Aplikacije, ki sprožijo tiho popravilo MSI (brez uporabniškega vmesnika), ne bi uspele s sporočilom o napaki. Namestitev in zagon programa Office Professional Plus 2010 kot ne-skrbnika na primer ne uspeta, pri tem pa pride do napake 1730 med postopkom konfiguracije.

  • Uporabniki, ki niso skrbniki, lahko prejmejo nepričakovane pozive za nadzor uporabniškega računa (UAC), ko namestitvene aplikacije MSI izvajajo določena dejanja po meri. Ta dejanja lahko vključujejo operacije konfiguracije ali popravila v ospredju ali ozadju, tudi med začetno namestitvijo aplikacije. Med te ukrepe spadajo:

    • Izvajanje ukazov za popravilo MSI (na primer msiexec /fu).

    • Namestitev datoteke MSI po tem, ko se uporabnik prvič vpiše v aplikacijo.

    • Izvajanje funkcije Windows Installer med aktivno namestitvijo.

    • Uvajanje paketov s konfiguracijo Microsoft Configuration Manager (ConfigMgr), ki temeljijo na konfiguracijah »oglaševanja«, ki so značilne za uporabnika.

    • Omogočanje varnega namizja.

Rešitev 

Z varnostno posodobitvijo sistema Windows v septembru 2025 (in novejšimi posodobitvami) v septembru 2025 zmanjšate obseg zahtevanih pozivov za nadzor uporabniškega računa za popravila MSI in skrbnikom za IT omogočite, da onemogočijo pozive za nadzor uporabniškega računa za določene aplikacije tako, da jih dodajo na seznam allowlist. 

Po namestitvi posodobitve iz septembra 2025 bodo pozivi za nadzor uporabniškega računa potrebni le med postopki popravila MSI, če ciljna datoteka MSI vsebuje povišano dejanje po meri

Ker bodo pozivi za nadzor uporabniškega računa še vedno zahtevani za aplikacije, ki izvajajo dejanja po meri, bodo imeli po namestitvi te posodobitve skrbniki za IT dostop do nadomestne rešitve, ki lahko onemogoči pozive za nadzor uporabniškega računa za določene aplikacije tako, da dodajo datoteke MSI na seznam allowlist. 

Dodajanje aplikacij na seznam allowlist za onemogočanje pozivov za nadzor uporabniškega računa 

Opozorilo: Ne pozabite, da ta način odjave učinkovito odstrani to obrambo v globino varnostne funkcije za te programe. 

Pomembno: V tem članku so na voljo informacije o tem, kako lahko spremenite register. Preden spremenite register, naredite varnostno kopijo registra. Če pride do težave, se prepričajte, da znate obnoviti register. Za več informacij o tem, kako lahko varnostno kopirate, obnovite in spreminjate register, glejte Kako varnostno kopirati in obnoviti register v sistemu Windows.

Preden začnete, boste morali pridobiti kodo izdelka datoteke MSI, ki jo želite dodati na seznam allowlist. To lahko naredite tako, da uporabite orodje ORCA, ki je na voljo v kompletu za windows SDK: 

  1. Prenesite in namestite komponente Windows SDK za razvijalce programa Windows Installer.

  2. Poiščite C:\Programske datoteke (x86)\Kompleti sistema Windows\10\bin\10.0.26100.0\x86 in zaženiteOrca-x86_en-us.msi. S tem boste namestili orodje ORCA (Orca.exe).

  3. ZaženiteOrca.exe.

  4. V orodju ORCA z ukazom > Odpri poiščite datoteko MSI, ki jo želite dodati na seznam allowlist.

  5. Ko so tabele MSI odprte, na seznamu na levi kliknite Lastnost in zabeležite vrednost »KodaIzdelka«. 

    Posnetek zaslona orodja ORCA

  6. Kopirajte kodo izdelka. Potrebovali ga boste pozneje.

Ko imate kodo izdelka, sledite tem korakom, da onemogočite pozive za nadzor uporabniškega računa za ta izdelek: 

  1. V polje Iskanje vnesite regedit in med rezultati Urejevalnik možnost Urejevalnik registra. 

  2. V registru poiščite in izberite ta podključ:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  3. V meniju Edit (Urejanje) pokažite na New (Novo) in kliknite DWORD Value (Vrednost DWORD).

  4. Vnesite SecureRepairPolicy za ime DWORD in pritisnite Enter.

  5. Z desno tipko miške kliknite SecureRepairPolicy in nato izberite Spremeni.

  6. V polje Podatki o vrednosti vnesite 2 in izberite V redu

  7. V registru poiščite in izberite ta podključ:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  8. V meniju Uredi pokažite na Novo in kliknite Ključ.

  9. Vnesite SecureRepairWhitelist za ime tipke in pritisnite Enter.

  10. Dvokliknite ključ SecureRepairWhitelist , da ga odprete.

  11. V meniju Uredi pokažite na Novo in kliknite Vrednost niza. Ustvarite vrednosti nizov, ki vsebujejo kodo izdelka, ki ste jo zabeležili (vključno z zavitimi oklepaji {}) datotek MSI, ki jih želite dodati na seznam allowlist. Ime vrednosti niza je KodaIzdelka in VREDNOST lahko pustite prazno. 

    Posnetek zaslona, na kateri je bila koda izdelka dodana v register

Facebook LinkedIn E-pošta

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Ugodnosti naročnine na Microsoft 365

Izobraževanje za Microsoft 365

Microsoftova varnost

Središče za dostopnost