อาการ
เริ่มต้นด้วยการอัปเดตความปลอดภัยของ Windows ประจําเดือนกันยายน 2024 Windows Installer (MSI) เริ่มจําเป็นต้องมีพร้อมท์การควบคุมบัญชีผู้ใช้ (UAC) สําหรับข้อมูลประจําตัวของคุณเมื่อซ่อมแซมแอปพลิเคชัน ข้อกําหนดนี้มีการบังคับใช้เพิ่มเติมในการอัปเดตความปลอดภัยของ Windows ประจําเดือนสิงหาคม 2025 เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย CVE-2025-50173
เนื่องจากการป้องกันความปลอดภัยที่รวมอยู่ในการอัปเดตประจําเดือนสิงหาคม 2025 ผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบอาจพบปัญหาเมื่อใช้งานแอปบางแอป:
-
แอปที่ เริ่มต้นการซ่อมแซม MSI โดยไม่ แสดงส่วนติดต่อผู้ใช้จะล้มเหลวโดยมีข้อความแสดงข้อผิดพลาด ตัวอย่างเช่น การติดตั้งและเรียกใช้ Office Professional Plus 2010 ในฐานะผู้ที่ไม่ใช่ผู้ดูแลระบบจะล้มเหลวด้วยข้อผิดพลาด 1730 ระหว่างกระบวนการกําหนดค่า
-
ผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบอาจได้รับพร้อมท์การควบคุมบัญชีผู้ใช้ (UAC) ที่ไม่คาดคิดเมื่อผู้ติดตั้ง MSI ดําเนินการกระทําแบบกําหนดเองบางอย่าง การดําเนินการเหล่านี้อาจรวมถึงการกําหนดค่าหรือการซ่อมแซมในเบื้องหน้าหรือพื้นหลัง รวมถึงระหว่างการติดตั้งแอปพลิเคชันครั้งแรก การดําเนินการเหล่านี้ได้แก่:
-
กําลังเรียกใช้คําสั่งซ่อมแซม MSI (เช่น msiexec /fu)
-
การติดตั้งไฟล์ MSI หลังจากที่ผู้ใช้ลงชื่อเข้าใช้แอปเป็นครั้งแรก
-
กําลังเรียกใช้ Windows Installer ระหว่างการตั้งค่าที่ใช้งานอยู่
-
การปรับใช้แพคเกจผ่าน Microsoft Configuration Manager (ConfigMgr) ที่ใช้การกําหนดค่า "โฆษณา" ที่ผู้ใช้กําหนด
-
การเปิดใช้งานเดสก์ท็อปที่ปลอดภัย
-
การแก้ปัญหา
เพื่อแก้ไขปัญหาเหล่านี้ การอัปเดตความปลอดภัยของ Windows เดือนกันยายน 2025 (และการอัปเดตที่ใหม่กว่า) จะลดขอบเขตสําหรับการกําหนดให้มีการพร้อมท์ UAC สําหรับการซ่อมแซม MSI และทําให้ผู้ดูแลระบบ IT ปิดใช้งานพร้อมท์ UAC สําหรับแอปที่ระบุโดยการเพิ่มไว้ในรายการอนุญาต
หลังจากติดตั้งการอัปเดตเดือนกันยายน 2025 พร้อมท์ UAC จะจําเป็นต้องใช้ในระหว่างการดําเนินการซ่อมแซม MSI เท่านั้นถ้าไฟล์ MSI เป้าหมายมีการดําเนินการแบบกําหนดเองที่มีการยกระดับ
เนื่องจากพร้อมท์ UAC จะยังจําเป็นสําหรับแอปที่ดําเนินการแบบกําหนดเอง หลังจากติดตั้งการอัปเดตนี้ ผู้ดูแลระบบ IT จะสามารถเข้าถึงการแก้ไขปัญหาชั่วคราวที่สามารถปิดใช้งานพร้อมท์ UAC สําหรับแอปเฉพาะโดยการเพิ่มไฟล์ MSI ลงในรายการที่อนุญาต
วิธีเพิ่มแอปลงในรายการที่อนุญาตเพื่อปิดใช้งานพร้อมท์ UAC
คำเตือน: โปรดทราบว่าวิธีการปฏิเสธเข้าร่วมนี้จะลบฟีเจอร์ความปลอดภัยระดับความลึกของการป้องกันอย่างมีประสิทธิภาพสําหรับโปรแกรมเหล่านั้น
สิ่งสำคัญ: บทความนี้มีข้อมูลเกี่ยวกับวิธีการปรับเปลี่ยนรีจิสทรี ตรวจสอบให้แน่ใจว่าคุณได้สํารองข้อมูลรีจิสทรีก่อนที่คุณจะปรับเปลี่ยน ตรวจสอบให้แน่ใจว่าคุณทราบวิธีการคืนค่ารีจิสทรีถ้ามีปัญหาเกิดขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรอง คืนค่า และปรับเปลี่ยนรีจิสทรี ให้ดูวิธีการสำรองข้อมูลและคืนค่ารีจิสทรีใน Windows
ก่อนที่คุณจะเริ่ม คุณจะต้องรับรหัสผลิตภัณฑ์ของไฟล์ MSI ที่คุณต้องการเพิ่มลงในรายการอนุญาต คุณสามารถทําได้โดยใช้เครื่องมือ ORCA ที่พร้อมใช้งานใน Windows SDK:
-
ดาวน์โหลดและติดตั้งคอมโพเนนต์ Windows SDK สําหรับนักพัฒนา Windows Installer
-
นําทางไปยัง C:\Program Files (x86)\Windows Kits\10\bin\10.0.26100.0\x86 และเรียกใช้ Orca-x86_en-us.msi ซึ่งจะติดตั้งเครื่องมือ ORCA (Orca.exe)
-
เรียกใช้ Orca.exe
-
ในเครื่องมือ ORCA ให้ใช้ ไฟล์ > เปิด เพื่อเรียกดูไฟล์ MSI ที่คุณต้องการเพิ่มลงในรายการอนุญาต
-
เมื่อตาราง MSI เปิดขึ้น ให้คลิก คุณสมบัติ ในรายการทางด้านซ้าย แล้วสังเกตค่า ProductCode
-
คัดลอกรหัสผลิตภัณฑ์ คุณจะต้องใช้ในภายหลัง
เมื่อคุณมีรหัสผลิตภัณฑ์ ให้ทําตามขั้นตอนเหล่านี้เพื่อปิดใช้งานพร้อมท์ UAC สําหรับผลิตภัณฑ์นั้น:
-
ในกล่อง ค้นหา ให้พิมพ์ regedit แล้วเลือก รีจิสทรี ตัวแก้ไข ในผลลัพธ์การค้นหา
-
ค้นหาและเลือกซับคีย์ต่อไปนี้ในรีจิสทรี:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
-
บนเมนู แก้ไข ให้ชี้ไปที่ ใหม่ แล้วเลือก ค่า DWORD
-
พิมพ์ SecureRepairPolicy สําหรับชื่อของ DWORD แล้วกด Enter
-
คลิกขวาที่ SecureRepairPolicy แล้วเลือก ปรับเปลี่ยน
-
ในกล่อง ข้อมูลค่า ให้พิมพ์ 2 แล้วเลือก ตกลง
-
ค้นหาและเลือกซับคีย์ต่อไปนี้ในรีจิสทรี:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
-
บนเมนู แก้ไข ให้ชี้ไปที่ ใหม่ แล้วคลิก คีย์
-
พิมพ์ SecureRepairWhitelist สําหรับชื่อของคีย์ แล้วกด Enter
-
ดับเบิลคลิกที่คีย์ SecureRepairWhitelist เพื่อเปิด
-
บนเมนู แก้ไข ให้ชี้ไปที่ ใหม่ แล้วคลิก ค่าสตริง สร้างค่าสตริงที่มี รหัสผลิตภัณฑ์ที่คุณจดบันทึกไว้ก่อนหน้านี้ (รวมถึงวงเล็บปีกกา {}) ของไฟล์ MSI ที่คุณต้องการเพิ่มลงในรายการอนุญาต ชื่อของค่าสตริงคือ ProductCode และค่าสามารถเว้นว่างไว้ได้
