Ursprungligt publiceringsdatum: den 9 september 2025

KB-ID: 5067315

Symptom

Från och med Windows-säkerhetsuppdateringen september 2024 började Windows Installer (MSI) kräva att UAC (User Account Control) skulle ange dina autentiseringsuppgifter när du reparerade ett program. Det här kravet tillämpades ytterligare i Windows-säkerhetsuppdateringen augusti 2025 för att åtgärda säkerhetsrisker, CVE-2025-50173

På grund av den säkerhetshärdning som ingår i augusti 2025-uppdateringen kan användare som inte är administratörer få problem när de kör vissa appar: 

  • Appar som initierar en MSI-reparation tyst (utan att visa användargränssnittet) misslyckades med ett felmeddelande. Om du till exempel installerar och kör Office Professional Plus 2010 som icke-administratör skulle det misslyckas med fel 1730 under konfigurationsprocessen.

  • Användare som inte är administratörer kan få oväntade UAC-uppmaningar (User Account Control) när MSI-installationsprogram utför vissa anpassade åtgärder. Dessa åtgärder kan omfatta konfigurations- eller reparationsåtgärder i förgrunden eller bakgrunden, inklusive under den första installationen av ett program. Dessa åtgärder omfattar:

    • Köra MSI-reparationskommandon (till exempel msiexec /fu).

    • Installera en MSI-fil när en användare loggar in i en app för första gången.

    • Kör Windows Installer under aktiv installation.

    • Distribuera paket via Microsoft Configuration Manager (ConfigMgr) som är beroende av användarspecifika "annonseringskonfigurationer".

    • Aktiverar Säkert skrivbord.

Lösning 

För att åtgärda dessa problem minskar Windows-säkerhetsuppdateringen för september 2025 (och senare uppdateringar) utrymmet för att kräva UAC-uppmaningar om MSI-reparationer och gör det möjligt för IT-administratörer att inaktivera UAC-uppmaningar för specifika appar genom att lägga till dem i en lista över tillåtna appar. 

När du har installerat uppdateringen för september 2025 krävs UAC-uppmaningar endast under MSI-reparationsåtgärder om msi-målfilen innehåller en anpassad åtgärd med förhöjd behörighet

Eftersom UAC-uppmaningar fortfarande krävs för appar som utför anpassade åtgärder har IT-administratörer efter installationen av den här uppdateringen tillgång till en lösning som kan inaktivera UAC-uppmaningar för specifika appar genom att lägga till MSI-filer i en lista över tillåtna appar. 

Så här lägger du till appar i en lista över tillåtna appar för att inaktivera UAC-uppmaningar 

Varning!: Tänk på att den här metoden tar bort den här avancerade säkerhetsfunktionen effektivt för dessa program. 

Viktigt!: Den här artikeln innehåller information om hur du ändrar registret. Se till att du säkerhetskopierar registret innan du ändrar det. Du bör veta hur du återställer registret om det uppstår problem. Mer information om hur du säkerhetskopierar, återställer och ändrar registret finns i Säkerhetskopiera och återställa registret i Windows.

Innan du börjar måste du hämta produktkoden för den MSI-fil som du vill lägga till i listan över tillåtna filer. Du kan göra detta med hjälp av ORCA-verktyget som är tillgängligt i Windows SDK: 

  1. Ladda ned och installera Windows SDK-komponenter för Windows Installer-utvecklare.

  2. Gå till C:\Program Files (x86)\Windows Kits\10\bin\10.0.26100.0\x86 och kör Orca-x86_en-us.msi. Då installeras ORCA-verktyget (Orca.exe).

  3. Kör Orca.exe.

  4. I ORCA-verktyget använder du Arkiv > Öppna för att bläddra till den MSI-fil du vill lägga till i listan över tillåtna filer.

  5. När MSI-tabellerna är öppna klickar du på Egenskap i listan till vänster och noterar productcode-värdet

    Skärmbild av ORCA-verktyget

  6. Kopiera Produktkod. Du behöver det senare.

När du har produktkoden följer du dessa steg för att inaktivera UAC-uppmaningar för den produkten: 

  1. Skriv regedit i sökrutan och välj Register Editor i sökresultatet. 

  2. Leta reda på och välj följande undernyckel i registret:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  3. Gå till Redigera-menyn, peka på Nytt och välj sedan DWORD-värde.

  4. Skriv SecureRepairPolicy för namnet på DWORD och tryck sedan på Retur.

  5. Högerklicka på SecureRepairPolicy och välj sedan Ändra.

  6. Skriv 2 i rutan Värdedata och välj OK

  7. Leta reda på och välj följande undernyckel i registret:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  8. Peka på NyttRedigera-menyn och klicka sedan på Tangent.

  9. Skriv SecureRepairWhitelist för namnet på nyckeln och tryck sedan på Retur.

  10. Dubbelklicka på tangenten SecureRepairWhitelist för att öppna den.

  11. Peka Nytt på Redigera-menyn och klicka sedan på Strängvärde. Skapa strängvärden som innehåller ProductCode som du noterade tidigare (inklusive klammerparenteser {}) för de MSI-filer du vill lägga till i allowlisten. Namnet på strängvärdet är ProductCode och VÄRDET kan lämnas tomt. 

    Skärmbild av produktkod som lagts till i registret

Facebook LinkedIn E-post

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter