Серпневе оновлення безпеки Windows 2025 (KB5063878) і подальші релізи змінили базову модель взаємодії User Account Control (UAC) із Windows Installer (MSI). Після усунення уразливості підвищення привілеїв CVE-2025-50173 системи частіше запитують облікові дані адміністратора, а інсталяції в користувацькому контексті можуть завершуватися помилками. Мета змін — перекрити вектор отримання прав SYSTEM через механізми «самовідновлення» MSI.
Що саме змінилося: UAC блокує «repair» без адміндоступу
Щоб унеможливити експлуатацію CVE-2025-50173, Microsoft посилила правила виконання repair/self-heal і споріднених дій Windows Installer: будь-яка операція відновлення MSI тепер вимагає підвищення привілеїв. Це стосується і сценаріїв без інтерфейсу — наприклад, msiexec /fu або тихих ініціалізацій під час Active Setup.
Коли стандартний користувач запускає застосунок, що «мовчки» тригерить repair, процес завершується збоєм та UAC‑запитом. Часто фіксується Error 1730 під час конфігурації; схожі симптоми описані, зокрема, при першому запуску Office Professional Plus 2010 у користувацькому контексті.
Кого зачіпає: підтримувані лінійки Windows і типові симптоми
Проблема актуальна для користувачів без прав адміністратора в клієнтських і серверних продуктах: Windows 11 24H2/23H2/22H2; Windows 10 22H2/21H2/1809; Windows 10 Enterprise LTSC 2019/2016; Windows 10 1607; Windows 10 Enterprise 2015 LTSB; Windows Server 2025/2022/2019/2016/1809/2012 R2/2012.
У практиці ІТ-відділів спостерігаються: падіння розгортань через Configuration Manager (ConfigMgr), якщо вони покладаються на «advertising» для користувачів; ускладнення із Secure Desktop при відображенні UAC; збої запуску низки продуктів Autodesk (зокрема, окремих версій AutoCAD, Civil 3D, Inventor CAM) через спроби «самовідновлення» компонентів у користувацькому профілі.
Безпековий контекст: чому посилення виправдане
Механізм MSI self-healing історично міг змінювати як користувацькі, так і машинні компоненти. Це створювало можливості для підвищення привілеїв у ланцюжках постексплуатації. Нові правила фактично відхиляють repair‑операції без явного адміндоступу, що узгоджується з принципом найменших привілеїв і зменшує площу атаки. Компроміс — зростання тертя для беззвучних інсталяцій та конфігурацій у контексті користувача.
Рекомендації для ІТ-адміністраторів: як мінімізувати збої
Microsoft повідомляє, що працює над політикою-винятком, яка дозволить довіреним застосункам виконувати MSI‑repair без додаткових UAC‑запитів. Доти доцільно запускати інсталятори MSI від імені адміністратора або розгортати їх у машинному контексті.
Переводьте інсталяції у машинний контекст. Пакуйте з параметром ALLUSERS=1 та розгортайте через ConfigMgr у контексті SYSTEM («Whether or not a user is logged on»), щоби виключити користувацькі тригери repair.
Вимикайте рекламні ярлики та автопочинку. Використовуйте DISABLEADVTSHORTCUTS=1, уникайте advertised shortcuts і сценаріїв, що можуть ініціювати self‑heal у профілі користувача.
Мінімізуйте Active Setup. Переносьте ініціалізацію на рівень машини; користувацькі налаштування доставляйте через Group Policy Preferences або підвищені постінсталяційні скрипти (наприклад, заплановане завдання при першому вході).
Контролюйте помилки MSI. Включайте детальне логування (/L*v) для виявлення кодів на кшталт Error 1730, корелюйте їх із журналами UAC та подій, щоб швидше локалізувати проблемні пакети.
Дотримуйтеся рекомендацій вендорів. Для складних пакетів (наприклад, Autodesk) використовуйте офіційні трансформи MST і гайди з тонкого налаштування прав доступу до ресурсів MSI, щоб уникати непотрібних repair‑викликів.
Посилення UAC і зміни в Windows Installer після KB5063878 — це зважений крок у бік захисту від ескалації привілеїв, однак він потребує коригування підходів до розгортання ПЗ. Переведіть якомога більше інсталяцій у контекст машини, відмовтеся від advertised‑моделей, стандартизуйте параметри MSI та документуйте винятки. Це зменшить кількість UAC‑запитів, стабілізує розгортання й водночас збереже підвищений рівень безпеки. Систематизуйте практики вже сьогодні, щоб безболісно інтегрувати майбутній механізм винятків і підтримувати надійність ІТ‑інфраструктури.
