应用对象
Windows Server 2025 Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Windows Server 2008 Windows 11 version 25H2, all editions Windows 11 version 24H2, all editions Windows 11 version 23H2, all editions Windows 11 version 22H2, all editions Windows 10, version 22H2, all editions Windows 10, version 21H2, all editions Windows 10, version 1809, all editions Windows 10, version 1607, all editions Windows 10, version 1511, all editions

原始发布日期: 2025 年 9 月 9 日

KB ID:5067315

重要: 

  • 2025 年 10 月 28 日和之后发布的 Windows 更新中包含了一项改进,该更新优化了用户帐户控制 (UAC) 提示要求,同时仍解决了安全漏洞 CVE-2025-50173。 此改进解决了为某些应用(包括 Autodesk AutoCAD)创建意外的 UAC 提示的问题。

  • 在尝试本文中包含的解决步骤之前,请确保已安装最新的 Windows 更新并检查最新更新是否解决了你的问题。

更改日期

说明

11/24/2025

添加了有关 2025 年 10 月 28 日及之后发布的 Windows 更新的信息,这些更新可解决某些应用的此问题,例如 Autodesk AutoCAD。

症状

从 2024 年 9 月 Windows 安全更新开始,Windows Installer (MSI) 开始要求在修复应用程序时使用用户帐户控制 (UAC) 提示输入凭据。 2025 年 8 月 Windows 安全更新中进一步强制实施此要求,以解决安全漏洞 CVE-2025-50173。 

由于 2025 年 8 月更新中包含的安全强化,非管理员用户在运行某些应用时可能会遇到问题: 

  • (不显示用户界面) 静默启动 MSI 修复 的应用将失败并显示错误消息。 例如,以非管理员身份安装和运行 Office Professional Plus 2010 会在配置过程中失败并显示错误 1730。

  • 当 MSI 安装程序执行某些 自定义作时,非管理员用户可能会收到意外的用户帐户控制 (UAC) 提示。 这些作可能包括前台或后台的配置或修复作,包括在应用程序的初始安装期间。 这些作包括:

    • 运行 MSI 修复命令(如 msiexec /fu)。

    • 在用户首次登录应用后安装 MSI 文件。

    • 在智能安装过程中运行 Windows Installer。

    • 通过依赖于用户特定“播发”配置的Microsoft Configuration Manager (ConfigMgr)部署包。

    • 启用安全桌面。

解决方法 

为了解决这些问题,2025 年 9 月 Windows 安全更新 (及更高版本的更新) 缩小了要求 UAC 提示进行 MSI 修复的范围,并使 IT 管理员能够通过将 UAC 提示添加到允许列表来禁用特定应用的 UAC 提示。 

安装 2025 年 9 月更新后,仅当目标 MSI 文件包含 提升的自定义作时,MSI 修复作期间才需要 UAC 提示。 安装 2025 年 10 月 28 日及之后发布的 Windows 更新后,将进一步细化此要求,因此仅在修复流期间执行提升的自定义作时才需要 UAC 提示。 因此,对于不执行此类提升的自定义作的应用,安装最新的 Windows 更新将解决此问题。

由于在 MSI 修复流期间执行提升的自定义作的应用仍需要 UAC 提示,因此安装 2025 年 9 月更新后,IT 管理员将有权访问一种解决方法,该解决方法可以通过将 MSI 文件添加到允许列表中来禁用特定应用的 UAC 提示。 

如何将应用添加到允许列表以禁用 UAC 提示 

警告: 请注意,此选择退出方法有效地删除了这些程序的这种深层防御安全功能。 

重要: 本文包含有关如何修改注册表的信息。 确保先备份注册表,然后再对其进行修改。 请务必了解在出现问题时如何还原注册表。 有关如何备份和还原注册表的详细信息,请参阅 如何备份和还原 Windows 中的注册表

在开始之前,需要获取要添加到允许列表的 MSI 文件的产品代码。 可以使用 Windows SDK 中提供的 ORCA 工具执行此作: 

  1. 下载并安装适用于 Windows Installer 开发人员的 Windows SDK 组件

  2. 导航到 C:\Program Files (x86) \Windows Kits\10\bin\10.0.26100.0\x86 并运行 Orca-x86_en-us.msi。 这将 (Orca.exe) 安装 ORCA 工具

  3. 运行 Orca.exe

  4. 在 ORCA 工具中,使用“文件 > 打开”浏览到要添加到允许列表的 MSI 文件。

  5. 打开 MSI 表后,单击左侧列表中的“属性”,并记下 ProductCode 值。 

    ORCA 工具的屏幕截图

  6. 复制 ProductCode。 稍后会用到它。

获得产品代码后,请按照以下步骤禁用该产品的 UAC 提示: 

  1. “搜索 ”框中,键入 “regedit”,然后在搜索结果中选择“ 注册表编辑器 ”。 

  2. 在注册表中找到并选择以下子项:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  3. 在“编辑”菜单上,指向“新建”,然后选择“DWORD 值”。

  4. 为 DWORD 的名称键入 SecureRepairPolicy ,然后按 Enter。

  5. 右键单击“ SecureRepairPolicy”,然后选择“修改”。

  6. 在“ 值数据 ”框中,键入 2,然后选择“确定”。 

  7. 在注册表中找到并选择以下子项:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  8. 在“编辑”菜单上,指向“新建”,然后单击“项”。

  9. 键入 SecureRepairWhitelist 以获取密钥的名称,然后按 Enter。

  10. 双击 SecureRepairWhitelist 键将其打开。

  11. “编辑”菜单上,指向“新建”,然后单击“字符串值”。 创建包含前面记下的 ProductCode 的字符串值 (包括大括号 {}) 要添加到允许列表的 MSI 文件。 字符串值的名称是 ProductCode,VALUE 可以留空。 

    添加到注册表的产品代码的屏幕截图

订阅 RSS 源

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心