Ngày phát hành ban đầu: Ngày 9 tháng 9 năm 2025

ID KB: 5067315

Triệu chứng

Bắt đầu từ bản cập nhật bảo mật Windows tháng 9 năm 2024, Windows Installer (MSI) bắt đầu yêu cầu lời nhắc Kiểm soát Tài khoản Người dùng (UAC) cho thông tin xác thực của bạn khi sửa chữa ứng dụng. Yêu cầu này đã được thực thi thêm trong bản cập nhật bảo mật Windows tháng 8 năm 2025 để giải quyết lỗ hổng bảo mật, CVE-2025-50173

Do sự cố bảo mật được bao gồm trong bản cập nhật tháng 8 năm 2025, người dùng không phải là người quản trị có thể gặp sự cố khi chạy một số ứng dụng: 

  • Các ứng dụng khởi tạo sửa chữa MSI một cách im lặng (mà không hiển thị giao diện người dùng) sẽ không hoạt động kèm theo thông báo lỗi. Ví dụ: sẽ không cài đặt và chạy Office Professional Plus 2010 với tư cách người không phải người quản trị với Lỗi 1730 trong quá trình cấu hình.

  • Người dùng không phải người quản trị có thể nhận được lời nhắc Kiểm soát Tài khoản Người dùng (UAC) không mong muốn khi trình cài đặt MSI thực hiện một số hành động tùy chỉnh nhất định. Những hành động này có thể bao gồm các thao tác cấu hình hoặc sửa chữa ở mặt trước hoặc nền, bao gồm trong quá trình cài đặt ban đầu của ứng dụng. Những hành động này bao gồm:

    • Khi chạy lệnh sửa chữa MSI (ví dụ: msiexec /fu).

    • Cài đặt tệp MSI sau khi người dùng đăng nhập vào ứng dụng lần đầu tiên.

    • Chạy Windows Installer trong quá trình Active Setup.

    • Triển khai gói thông qua Microsoft Configuration Manager (ConfigMgr) dựa vào cấu hình "quảng cáo" cụ thể của người dùng.

    • Bật Màn hình an toàn (Secure Desktop).

Giải pháp 

Để khắc phục các sự cố này, bản cập nhật bảo mật Windows tháng 9 năm 2025 (và các bản cập nhật mới hơn) giảm phạm vi yêu cầu lời nhắc UAC cho việc sửa chữa MSI và cho phép người quản trị CNTT tắt lời nhắc UAC cho các ứng dụng cụ thể bằng cách thêm chúng vào danh sách cho phép. 

Sau khi cài đặt bản cập nhật tháng 9 năm 2025, hệ thống sẽ chỉ yêu cầu lời nhắc UAC trong quá trình sửa chữa MSI nếu tệp MSI mục tiêu chứa hành động tùy chỉnh mức cao

Vì sẽ vẫn cần có lời nhắc UAC cho các ứng dụng thực hiện hành động tùy chỉnh nên sau khi cài đặt bản cập nhật này, người quản trị CNTT sẽ có quyền truy nhập vào giải pháp thay thế có thể tắt lời nhắc UAC cho các ứng dụng cụ thể bằng cách thêm tệp MSI vào danh sách cho phép. 

Cách thêm ứng dụng vào danh sách cho phép để tắt lời nhắc UAC 

Cảnh báo: Hãy lưu ý rằng phương pháp chọn không tham gia này có hiệu quả loại bỏ tính năng bảo vệ chuyên sâu an ninh này cho các chương trình. 

Quan trọng: Bài viết này có chứa thông tin về cách sửa đổi sổ đăng ký. Hãy đảm bảo rằng bạn nên sao lưu sổ đăng ký trước khi bạn sửa đổi nó. Hãy đảm bảo rằng bạn biết cách khôi phục sổ đăng ký nếu sự cố xảy ra. Để biết thêm thông tin về cách sao lưu, khôi phục và sửa đổi sổ đăng ký, hãy xem Cách sao lưu và khôi phục sổ đăng ký trong Windows.

Trước khi bắt đầu, bạn sẽ cần phải nhận được mã sản phẩm của tệp MSI mà bạn muốn thêm vào danh sách cho phép. Bạn có thể thực hiện điều này bằng cách sử dụng công cụ ORCA có sẵn trong Windows SDK: 

  1. Tải xuống và cài đặt Cấu phần Windows SDK dành cho Nhà phát triển Windows Installer.

  2. Dẫn hướng đến C:\Program Files (x86)\Windows Kits\10\bin\10.0.26100.0\x86 chạyOrca-x86_en-us.msi. Thao tác này sẽ cài đặt công cụ ORCA (Orca.exe).

  3. Chạy Orca.exe.

  4. Trong công cụ ORCA, hãy sử > Tệp mở để duyệt đến tệp MSI mà bạn muốn thêm vào danh sách cho phép.

  5. Khi các bảng MSI đang mở, hãy bấm Thuộc tính trong danh sách ở bên trái và ghi chú giá trị Mã Sản phẩm. 

    Ảnh chụp màn hình công cụ ORCA

  6. Sao chép Mã Sản phẩm. Bạn sẽ cần thông tin này sau.

Sau khi bạn có mã sản phẩm, hãy làm theo các bước sau để tắt lời nhắc UAC cho sản phẩm đó: 

  1. Trong hộp Tìm kiếm, nhập regedit, rồi chọn Đăng ký Trình soạn thảo kết quả tìm kiếm. 

  2. Định vị và chọn khóa phụ sau đây trong sổ đăng ký:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  3. Trên menu Chỉnh sửa, trỏ đến Mới, rồi chọn Giá trị DWORD.

  4. Nhập SecureRepairPolicy cho tên của DWORD, rồi nhấn Enter.

  5. Bấm chuột phải vào SecureRepairPolicy, rồi chọn Sửa đổi.

  6. Trong hộp Dữ liệu giá trị, nhập 2, rồi chọn OK

  7. Định vị và chọn khóa phụ sau đây trong sổ đăng ký:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  8. Trên menu Chỉnh sửa, trỏ đến Mới, rồi bấm vào Phím.

  9. Nhập SecureRepairWhitelist cho tên của khóa, rồi nhấn Enter.

  10. Bấm đúp vào phím SecureRepairWhitelist để mở.

  11. Trên menu Chỉnh sửa, trỏ đến Mới, rồi bấm vào Giá trị Chuỗi. Tạo Giá trị Chuỗi chứa Mã Sản phẩm mà bạn đã lưu ý trước đó (bao gồm dấu ngoặc nhọn {}) của các tệp MSI mà bạn muốn thêm vào danh sách cho phép. TÊN của Giá trị Chuỗi là Mã Sản phẩm và giá trị có thể được để trống. 

    Ảnh chụp màn hình Mã Sản phẩm được thêm vào sổ đăng ký

Facebook LinkedIn Email

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng