Özgün yayımlama tarihi: 9 Eylül 2025, Cumartesi

KB Kimliği: 5067315

Belirtiler

Eylül 2024 Windows güvenlik güncelleştirmesi ile birlikte Windows Installer (MSI), bir uygulamayı onarırken kimlik bilgileriniz için Kullanıcı Hesabı Denetimi (UAC) istemi gerektirmeye başladı. Bu gereksinim, CVE-2025-50173 güvenlik açığını gidermek için Ağustos 2025 Windows güvenlik güncelleştirmesinde daha da zorunlu kılındı. 

Ağustos 2025 güncelleştirmesine dahil edilen güvenlik sağlamlaştırma nedeniyle, yönetici olmayan kullanıcılar bazı uygulamaları çalıştırırken sorunlarla karşılaşabilir: 

  • Sessizce MSI onarımı başlatan uygulamalar (kullanıcı arabirimini görüntülemeden) bir hata iletisiyle başarısız olur. Örneğin, Office Professional Plus 2010'u yönetici olmayan bir yönetici olarak yüklemek ve çalıştırmak yapılandırma işlemi sırasında Hata 1730 ile başarısız olabilir.

  • Yönetici olmayan kullanıcılar, MSI yükleyicileri belirli özel eylemleri gerçekleştirdiğinde beklenmeyen Kullanıcı Hesabı Denetimi (UAC) istemleri alabilir. Bu eylemler, bir uygulamanın ilk yüklemesi sırasında da dahil olmak üzere ön planda veya arka planda yapılandırma veya onarım işlemlerini içerebilir. Bu eylemler şunlardır:

    • MSI onarım komutları çalıştırılması (msiexec /fu gibi).

    • Kullanıcı bir uygulamada ilk kez oturum açtığında bir MSI dosyası yükleme.

    • Etkin Kurulum sırasında Windows Installer uygulamasının çalıştırılması.

    • Kullanıcıya özgü "reklam" yapılandırmalarını kullanan Microsoft Configuration Manager (ConfigMgr) aracılığıyla paketleri dağıtma.

    • Güvenli Masaüstünün etkinleştirilmesi.

Çözüm 

Eylül 2025 Windows güvenlik güncelleştirmesi (ve sonraki güncelleştirmeler) bu sorunları gidermek için MSI onarımları için UAC istemleri gerektirme kapsamını azaltır ve BT yöneticilerinin belirli uygulamalar için UAC istemlerini izin verilenler listesine ekleyerek devre dışı bırakmasına olanak tanır. 

Eylül 2025 güncelleştirmesini yükledikten sonra, UAC istemleri yalnızca hedef MSI dosyası yükseltilmiş bir özel eylem içeriyorsa MSI onarım işlemleri sırasında gerekli olacaktır. 

Özel eylemler gerçekleştiren uygulamalar için UAC istemleri gerekli olacağından, bu güncelleştirmeyi yükledikten sonra BT yöneticileri bir izin verilenler listesine MSI dosyaları ekleyerek belirli uygulamalar için UAC istemlerini devre dışı bırakabilen bir geçici çözüme erişebilir. 

UAC istemlerini devre dışı bırakmak için bir izin verilenler listesine uygulama ekleme 

Uyarı: Bu geri çevirme yönteminin bu programlar için bu derinlemesine savunma güvenlik özelliğini etkili bir şekilde kaldırdığını unutmayın. 

Önemli: Bu makale, kayıt defterinde nasıl değişiklik yapabileceğiniz hakkında bilgiler içerir. Değiştirmeden önce kayıt defterinizi yedeklediğinizden emin olun. Sorun oluşması durumunda kayıt defterini nasıl geri yükleyebileceğinizi bildiğinizden emin olun. Kayıt defterini yedekleme, geri yükleme ve değiştirme hakkında daha fazla bilgi için bkz. Windows’da kayıt defterini yedekleme ve geri yükleme.

Başlamadan önce, izin verilenler listesine eklemek istediğiniz MSI dosyasının ürün kodunu almanız gerekir. Bunu, Windows SDK'da bulunan ORCA aracını kullanarak yapabilirsiniz: 

  1. Windows Installer Geliştiricileri için Windows SDK Bileşenleri'ni indirin ve yükleyin.

  2. C:\Program Files (x86)\Windows Kits\10\bin\10.0.26100.0\x86 konumuna gidin ve Orca-x86_en-us.msiçalıştırın. Bu işlem ORCA aracını (Orca.exe) yükler.

  3. Orca.exeçalıştırın.

  4. ORCA aracında, izin verilenler listesine eklemek istediğiniz MSI dosyasına göz atmak için Dosya > Aç'ı kullanın.

  5. MSI tabloları açıldıktan sonra soldaki listede Özellik'e tıklayın ve ProductCode değerini not edin. 

    ORCA aracının ekran görüntüsü

  6. ProductCode'u kopyalayın. Daha sonra ihtiyacınız olacak.

Ürün kodunu aldıktan sonra bu ürün için UAC istemlerini devre dışı bırakmak için şu adımları izleyin: 

  1. Arama kutusuna regedit yazın ve arama sonuçlarında Kayıt Defteri Düzenleyici'nı seçin. 

  2. Kayıt defterinde aşağıdaki alt anahtarı bulun ve seçin:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  3. Düzenle menüsünde Yeni’nin üzerine gelin ve DWORD Değeri’ni seçin.

  4. DWORD adı için SecureRepairPolicy yazın ve Enter tuşuna basın.

  5. SecureRepairPolicy'ye sağ tıklayın ve değiştir'i seçin.

  6. Değer verileri kutusuna 2 yazın ve Tamam'ı seçin. 

  7. Kayıt defterinde aşağıdaki alt anahtarı bulun ve seçin:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  8. Düzenle menüsünde Yeni'nin üzerine gelin ve Anahtar'a tıklayın.

  9. Anahtarın adı için SecureRepairWhitelist yazın ve Enter tuşuna basın.

  10. SecureRepairWhitelist tuşuna çift tıklayarak anahtarı açın.

  11. Düzenle menüsünde Yeni'nin üzerine gelin ve Dize Değeri'ne tıklayın. İzin verilenler listesine eklemek istediğiniz MSI dosyalarının daha önce not ettiğiniz ProductCode değerini (küme ayraçları {}dahil) içeren Dize Değerleri oluşturun. Dize Değerinin ADı ProductCode'dur ve VALUE boş bırakılabilir. 

    Kayıt defterine eklenen Ürün Kodunun ekran görüntüsü

Facebook LinkedIn E-posta

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Microsoft 365 abonelik avantajları

Microsoft 365 eğitimi

Microsoft güvenliği

Erişilebilirlik merkezi