症狀

從 2024 年 9 月 Windows 安全性更新開始,Windows Installer (MSI) 開始要求使用者帳戶控制 (UAC) 在修復應用程式時提示輸入您的憑證。 此要求在 2025 年 8 月的 Windows 安全性更新中進一步強制執行,以解決安全性弱點 CVE-2025-50173。 

由於 2025 年 8 月更新中包含的安全性強化,非管理員使用者在執行某些應用程式時可能會遇到問題: 

  • 啟動 MSI 修復的應用程式會以無訊息方式修復 (而不顯示使用者介面) 會失敗並顯示錯誤訊息。 例如,以非系統管理員身分安裝和執行 Office 專業增強版 2010 會在設定程式期間失敗,並出現錯誤 1730。

  • 當 MSI 安裝程式執行某些 自訂動作時,非管理員使用者可能會收到非預期的使用者帳戶控制 (UAC) 提示。 這些動作可能包括前景或背景的設定或修復作業,包括在應用程式的初始安裝期間。 這些動作包括:

    • 執行 MSI 修復命令 (例如 msiexec /fu)。

    • 在使用者第一次登入應用程式之後安裝 MSI 檔案。

    • 在主動安裝期間執行 Windows Installer。

    • 透過依賴使用者特定「廣告」設定的Microsoft Configuration Manager (ConfigMgr)部署套件。

    • 啟用安全桌面。

解決方式 

為了解決這些問題,2025 年 9 月的 Windows 安全性更新 (及更新版本的更新) 減少了 MSI 修復所需的 UAC 提示範圍,並使 IT 管理員能夠透過將特定應用程式新增至允許清單來停用特定應用程式的 UAC 提示。 

安裝 2025 年 9 月更新之後,只有在目標 MSI 檔案包含 提升許可權的自訂動作時,才會在 MSI 修復作業期間需要 UAC 提示。 

由於執行自定義操作的應用程序仍然需要 UAC 提示,因此安裝此更新後,IT 管理員將可以訪問一種解決方法,該解決方法可以通過將 MSI 文件添加到允許列表來禁用特定應用程序的 UAC 提示。 

如何將應用程式新增至允許清單以停用 UAC 提示 

警告: 請注意,此選擇退出方法有效地刪除了這些程式的深度防禦安全功能。 

重要: 本文包括如何修改登錄的相關資訊。 請務必先備份登錄,再進行修改。 請確定在發生問題時您知道如何還原登錄。 如需有關如何備份、還原和修改登錄的詳細資訊,請參閱如何在 Windows 中備份及還原登錄

在開始之前,您需要取得要新增至允許清單的 MSI 檔案的產品代碼。 您可以使用 Windows SDK 中提供的 ORCA 工具來執行此動作: 

  1. 下載並安裝適用於 Windows SDK 開發人員的 Windows SDK 元件

  2. 導覽至 C:\Program Files (x86) \Windows Kits\10\bin\10.0.26100.0\x86 並執行 Orca-x86_en-us.msi。 這將安裝 ORCA 工具 (Orca.exe)

  3. 運行 Orca.exe

  4. 在 ORCA 工具中,使用 [檔案] > [開啟] 瀏覽至您要新增至允許清單的 MSI 檔案。

  5. 開啟 MSI 資料表之後,按一下左側清單中的 [屬性],並記下 ProductCode 值。 

    ORCA工具截圖

  6. 複製 ProductCode。 您稍後會需要它。

獲得產品代碼後,請按照以下步驟禁用該產品的 UAC 提示: 

  1. 在 [搜尋] 方塊中,輸入 regedit,然後在搜尋結果中選取 [登錄編輯器]。 

  2. 在登錄中找出並選取下列子機碼:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  3. 在 [編輯] 功能表上,指向 [新增],然後選取 [DWORD 值]。

  4. 輸入 SecureRepairPolicy 作為 DWORD 的名稱,然後按 Enter。

  5. 以滑鼠右鍵按一下 SecureRepairPolicy,然後選取 [修改]。

  6. [值資料] 方塊中,輸入 2,然後選取 [確定]。 

  7. 在登錄中找出並選取下列子機碼:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

  8. [編輯] 功能表中,指向 [新增],然後按一下 [機碼]

  9. 輸入 SecureRepairWhitelist 作為金鑰的名稱,然後按 Enter。

  10. 按兩下 SecureRepairWhitelist 鍵將其開啟。

  11. [編輯] 功能表上,指向 [ 新增],然後按一下 [字串值]。 建立字串值,其中包含您先前記下的 ProductCode (包括您要新增至允許清單的 MSI 檔案的括弧 {}) 。 字串值的 NAME 是 ProductCode,且 VALUE 可以保留空白。 

    新增至登錄的產品代碼螢幕擷取畫面

Facebook LinkedIn Email

Need more help?

Want more options?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

Microsoft 365 訂閱權益

Microsoft 365 訓練

Microsoft 安全性

協助工具中心