Обновление безопасности Windows за август 2025 года (KB5063878) и последующие релизы привели к росту неожиданных запросов User Account Control (UAC) и ошибкам при установке приложений в средах без прав администратора. По данным Microsoft, изменения связаны с устранением уязвимости повышения привилегий в Windows Installer — CVE-2025-50173, которая позволяла аутентифицированному злоумышленнику получить права уровня SYSTEM.
Что изменилось в UAC и Windows Installer
Чтобы пресечь эксплуатацию CVE-2025-50173, Microsoft ужесточила модель выполнения операций восстановления MSI: UAC теперь запрашивает учетные данные администратора при выполнении “repair” и связанных операций Windows Installer. Это затрагивает сценарии без UI, включая команды восстановления (например, msiexec /fu), а также установки, которые используют Windows Installer во время Active Setup для настройки на уровне конкретного пользователя.
Если обычный пользователь запускает приложение, инициирующее тихую операцию восстановления, процесс завершается ошибкой. Компания подтверждает, что в таких случаях возможны сообщения вроде Error 1730 при конфигурации, как, например, при установке и первом запуске Office Professional Plus 2010 в пользовательском контексте.
Кого затрагивает и какие симптомы наблюдаются
Проблема проявляется у пользователей без административных прав во всех поддерживаемых линейках Windows — как клиентских, так и серверных. Среди клиентских платформ: Windows 11 24H2, 23H2, 22H2; Windows 10 22H2, 21H2, 1809; Windows 10 Enterprise LTSC 2019/2016; Windows 10 1607; Windows 10 Enterprise 2015 LTSB. Среди серверных: Windows Server 2025, 2022, 2019, 2016, 1809, 2012 R2, 2012.
На практике ИТ-отделы сталкиваются с тем, что:
— развертывания через Configuration Manager (ConfigMgr), завязанные на пользовательские конфигурации (advertising), перестают работать без повышения прав;
— могут возникать сложности с включением Secure Desktop;
— часть приложений Autodesk (в т.ч. отдельные версии AutoCAD, Civil 3D, Inventor CAM) запускается с ошибками из‑за запроса UAC в момент «самовосстановления» компонентов.
Технический контекст: почему это важно для безопасности
Механизм «самоисцеления» MSI (self-healing/repair) исторически мог затрагивать как пользовательские, так и машинные компоненты. В цепочках постэксплуатации злоумышленники нередко пытались использовать такие операции для повышения привилегий. Ужесточение UAC по сути «закрывает» этот вектор — теперь операции восстановления MSI без явного админ-доступа отклоняются, что соответствует принципу наименьших привилегий. Побочный эффект — рост трения для беззвучных установок и сценариев конфигурации в пользовательском контексте.
Рекомендации и временные обходные пути для ИТ-администраторов
Microsoft сообщает, что работает над опцией, позволяющей разрешать конкретным приложениям выполнять операции восстановления MSI без дополнительных UAC-запросов (механизм исключений/разрешений на уровне политики). До выхода официального решения рекомендуется запускать приложения, использующие MSI, от имени администратора.
Практические шаги для минимизации сбоев:
— Перевод инсталляций в машинный контекст. При упаковке указывайте ALLUSERS=1 и развертывайте через ConfigMgr в контексте SYSTEM («Whether or not a user is logged on») для исключения пользовательских repair-триггеров.
— Исключение рекламных ярлыков и автопочинки. Устанавливайте DISABLEADVTSHORTCUTS=1, избегайте advertised shortcuts и сценариев, провоцирующих self-heal.
— Минимизация Active Setup. По возможности переносите инициализацию в машинные ск
