症状
从 2024 年 9 月 Windows 安全更新开始,Windows Installer (MSI) 开始要求在修复应用程序时使用用户帐户控制 (UAC) 提示输入凭据。 2025 年 8 月 Windows 安全更新中进一步强制实施此要求,以解决安全漏洞 CVE-2025-50173。
由于 2025 年 8 月更新中包含的安全强化,非管理员用户在运行某些应用时可能会遇到问题:
-
(不显示用户界面) 静默启动 MSI 修复 的应用将失败并显示错误消息。 例如,以非管理员身份安装和运行 Office Professional Plus 2010 会在配置过程中失败并显示错误 1730。
-
当 MSI 安装程序执行某些 自定义作时,非管理员用户可能会收到意外的用户帐户控制 (UAC) 提示。 这些作可能包括前台或后台的配置或修复作,包括在应用程序的初始安装期间。 这些作包括:
-
运行 MSI 修复命令(如 msiexec /fu)。
-
在用户首次登录应用后安装 MSI 文件。
-
在智能安装过程中运行 Windows Installer。
-
通过依赖于用户特定“播发”配置的Microsoft Configuration Manager (ConfigMgr)部署包。
-
启用安全桌面。
-
解决方法
为了解决这些问题,2025 年 9 月 Windows 安全更新 (及更高版本的更新) 缩小了要求 UAC 提示进行 MSI 修复的范围,并使 IT 管理员能够通过将 UAC 提示添加到允许列表来禁用特定应用的 UAC 提示。
安装 2025 年 9 月更新后,仅当目标 MSI 文件包含 提升的自定义作时,MSI 修复作期间才需要 UAC 提示。
由于执行自定义作的应用仍需要 UAC 提示,因此安装此更新后,IT 管理员将有权访问一种解决方法,该解决方法可以通过将 MSI 文件添加到允许列表来禁用特定应用的 UAC 提示。
如何将应用添加到允许列表以禁用 UAC 提示
警告: 请注意,此选择退出方法有效地删除了这些程序的这种深层防御安全功能。
重要: 本文包含有关如何修改注册表的信息。 确保先备份注册表,然后再对其进行修改。 请务必了解在出现问题时如何还原注册表。 有关如何备份和还原注册表的详细信息,请参阅 如何备份和还原 Windows 中的注册表。
在开始之前,需要获取要添加到允许列表的 MSI 文件的产品代码。 可以使用 Windows SDK 中提供的 ORCA 工具执行此作:
-
导航到 C:\Program Files (x86) \Windows Kits\10\bin\10.0.26100.0\x86 并运行 Orca-x86_en-us.msi。 这将 (Orca.exe) 安装 ORCA 工具。
-
运行 Orca.exe。
-
在 ORCA 工具中,使用“文件 > 打开”浏览到要添加到允许列表的 MSI 文件。
-
打开 MSI 表后,单击左侧列表中的“属性”,并记下 ProductCode 值。
-
复制 ProductCode。 稍后会用到它。
获得产品代码后,请按照以下步骤禁用该产品的 UAC 提示:
-
在“搜索”框中键入“regedit”,然后在搜索结果中选择“注册表编辑器”。
-
在注册表中找到并选择以下子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
-
在“编辑”菜单上,指向“新建”,然后选择“DWORD 值”。
-
为 DWORD 的名称键入 SecureRepairPolicy ,然后按 Enter。
-
右键单击“ SecureRepairPolicy”,然后选择“修改”。
-
在“ 值数据 ”框中,键入 2,然后选择“确定”。
-
在注册表中找到并选择以下子项:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
-
在“编辑”菜单上,指向“新建”,然后单击“项”。
-
键入 SecureRepairWhitelist 以获取密钥的名称,然后按 Enter。
-
双击 SecureRepairWhitelist 键将其打开。
-
在“编辑”菜单上,指向“新建”,然后单击“字符串值”。 创建包含前面记下的 ProductCode 的字符串值 (包括大括号 {}) 要添加到允许列表的 MSI 文件。 字符串值的名称是 ProductCode,VALUE 可以留空。
