Unerwartete UAC-Eingabeaufforderungen während MSI-Reparaturvorgängen

Unerwartete Eingabeaufforderungen der Benutzerkontensteuerung (UAC) während MSI-Reparaturvorgängen überraschten kürzlich viele IT-Teams. Standardbenutzer (Nicht-Administratoren), die zuvor bestimmte Anwendungen ohne Berechtigungserweiterung starten konnten, sahen plötzlich Berechtigungsaufforderungen, die durch das Selbstreparaturverhalten von Windows Installer ausgelöst wurden.

Zeitleiste und technischer Hintergrund

Im August 2025 führten Windows-Sicherheitsupdates (insbesondere KB5063875 und zugehörige Builds für Windows 10 und 11) eine Sicherheitsverbesserung ein, um CVE-2025-50173, eine Schwachstelle bei der Rechteerweiterung, zu beheben. Diese Änderung stärkte das MSI-Verhalten, indem sie bei bestimmten Reparatur- und Konfigurationsaktionen eine Erhöhung der Administratorrechte erzwang. Microsoft bestätigte später das daraus resultierende Verhalten der UAC-Eingabeaufforderung als ein behobenes Problem in Windows 11 Version 23H2 auf dem Windows Release Health Dashboard.

MSI Repair Issue

Dies führte dazu, dass Benutzer ohne Administratorrechte, die zuvor Anwendungen starten konnten, die die MSI-Selbstreparatur ohne Berechtigungserweiterung auslösen, unerwartet UAC-Eingabeaufforderungen erhielten.

Mögliche Szenarien:

  • Ausführen von msiexec /fu oder ähnlichen Reparaturbefehlen
  • Starten von Anwendungen, die eine erste Selbstkonfiguration durchführen
  • Windows Installer, der über Active Setup aufgerufen wird
  • Einsätze mit benutzerspezifischen “ausgeschriebenen” Konfigurationen über ConfigMgr
  • Pro-Benutzer-Komponenten, die eine MSI-Reparatur erfordern
    (Beispiele sind Autodesk AutoCAD und ältere Office-Installationsprogramme).

Technische Auswirkungen auf MSI-basierte Anwendungen

Dieses Verhalten hat mehrere Auswirkungen für Patch- und Bereitstellungsteams:

MSI Risiken bei Repaketierung

Angekündigte Komponenten und benutzerspezifische Logik in MSIs werden in der Regel zur Unterstützung von Selbstreparaturen, Verknüpfungen oder Benutzeranpassungen verwendet. Wenn Windows Installer fehlende Schlüsselpfade unter den Speicherorten der Benutzerprofile erkennt, löst es eine Reparatur aus.

Die strengeren UAC-Anforderungen bedeuten:

  • Erwartete stille Wartung fordert jetzt zur Eingabe der Höhe auf
  • Standardbenutzer können keine MSI-Reparatur im Hintergrund mehr durchführen
  • Stille Installationen können beim ersten Start “fehlerhaft” erscheinen
  • Ältere Installationsprogramme, die sich auf die Selbstreparatur verlassen, können Fehler wie den MSI-Fehler 1730 anzeigen.

Dies betrifft neu gepackte Anwendungen und Transformationen, die schließlich benutzerspezifische Schlüsselpfade oder beworbene Funktionen in benutzerspezifischen Kontexten einführen.

PSADT und Pro-Benutzer Ressourcen

Selbst mit modernen Skripting-Frameworks wie PSAppDeployToolkit (PSADT) kann Windows Installer eine Reparatur versuchen, wenn MSI-Pakete benutzerspezifische Dateien oder Registrierungseinträge verfolgen. Bleibt dies ungeprüft, kann dies UAC-Eingabeaufforderungen auslösen, für deren Annahme keine Administrator-Anmeldeinformationen verfügbar sind.

Umgehungen und bewährte Praktiken

Bis Umgebungen Updates erhalten, die dieses Verhalten verfeinern, werden die folgenden Ansätze für die Patch-Verwaltung und Anwendungsbereitstellung empfohlen:

Vermeiden Sie MSI-Selbstreparatur-Auslöser

  • Entfernen Sie beworbene Verknüpfungen aus MSIs; erstellen Sie sie stattdessen per Skript
  • Sicherstellen, dass Benutzerprofildateien und HKCU-Registrierungseinträge keine Schlüsselpfade in MSI-Komponenten sind

PSADT für Benutzerkontext-Aufgaben verwenden

Anstatt die Ressourcen pro Benutzer in die MSI zu integrieren:

  • Bereitstellung von maschinenweiten Ressourcen über MSI
  • In PSADT-Routinen, die als Benutzer laufen, kopieren Sie Dateien in benutzerspezifische Ordner wie %APPDATA% / %LOCALAPPDATA%
  • Erstellen von Verknüpfungen und Benutzerregistrierungseinstellungen mit PSADT-Funktionen

Beispiel für dynamische PSADT-Logik (in Ihrer Invoke-AppDeployToolkit.ps1):

PSADT v4 enthält Hilfsfunktionen, um direkt mit Benutzerprofilen zu arbeiten.

Copy-ADTFileToUserProfiles -Path "$($adtSession.DirSupportFiles)\config.txt" -Destination "AppData\Roaming\MyApp"

Dadurch wird eine einzelne Datei in bestehende Benutzerprofile kopiert, ohne dass MSI sie als reparaturkritische Komponenten erkennt.

Neu paketieren, um erhöhte Aktionen zu minimieren

  • Anfällige MSI-Aktionen in Post-Installations-Skriptlogik umwandeln
  • Vermeiden Sie erweiterte benutzerdefinierte Aktionen, wenn es nicht unbedingt notwendig ist.
  • Test mit Standard-Benutzerkonten, um zu überprüfen, dass keine Reparaturauslöser vorhanden sind

Längerfristige Empfehlungen

Da Windows-Updates das MSI-UAC-Verhalten verfeinern, ist das zugrundeliegende Problem weitgehend behoben. Nichtsdestotrotz profitieren moderne Bereitstellungsmodelle von:

  • Trennung von Maschineninstallation und Benutzeranpassung
  • Skript-basierte Bereitstellung pro Benutzer (PSADT, Intune Win32 Post-Installationsschritte)
  • Vermeidung der Selbstreparatur durch Windows Installer, wo immer dies möglich ist

Operative Empfehlungen

  1. Stellen Sie sicher, dass die neuesten kumulativen Windows-Updates installiert sind
    Dieses spezielle UAC-Reparaturproblem ist laut Microsoft nun behoben, allerdings nur auf gepatchten Systemen.
  2. Testen Sie neu gepackte Anwendungen nach dem Patch Tuesday
    . Dies gilt insbesondere für Anwendungen, die auf die Konfiguration beim ersten Start oder auf eine Active Setup-ähnliche Logik angewiesen sind.
  3. Verlassen Sie sich bei der Benutzerkonfiguration nicht auf die MSI-Selbstreparatur
    . Verwenden Sie stattdessen PSADT oder Post-Installationsskripte.
  4. Design für Intune und gesperrte Endpunkte
    Wo Benutzer niemals Administratorrechte haben und UAC-Eingabeaufforderungen gleichbedeutend mit einem Anwendungsfehler sind.
MSI Repair UAC prompt

Abschließende Anmerkungen

Während Microsoft das unerwartete UAC-Verhalten in aktuellen Windows-Builds behoben hat, zeigt der Vorfall ein seit langem bestehendes Risiko bei der Paketierung in Unternehmen auf: MSI-Selbstreparaturen und benutzerspezifische Komponenten sind in abgeschotteten Umgebungen anfällig.

Durch die Verlagerung der Benutzeranpassung in PSADT und die Konzentration der MSIs auf die Installation auf Maschinenebene können Unternehmen ihre Kosten senken:

  • Fehler nach Windows-Updates,
  • Unterstützung der Gemeinkosten,
  • und Migrationsprobleme beim Wechsel von SCCM zu Intune.

Selbst wenn das Betriebssystem fixiert ist, bleibt eine gute Paketierung die beste langfristige Abhilfe. Dieser Ansatz leitet die tägliche Arbeit der Paketierung bei Apptimized.

Wenn Sie möchten, dass Ihre Anwendungsverwaltung stabil und vorhersehbar bleibt, während sich die Plattformen weiterentwickeln, können Sie uns gerne kontaktieren oder eine Demo buchen. Wir besprechen Ihr Szenario gerne mit Ihnen.

More News from Apptimized

Angepasste Versionshinweise für das 1. Quartal

Release Notes – unser regelmäßiges Update, das die neuesten Produktverbesserungen…

Verpackungsprozess in 4 einfachen Schritten: Tipps und Anwendungsfall von Apptimized Packaging experts

Die Softwarepaketierung ist eine Kernkomponente der Softwareverwaltungsstrategie eines Unternehmens und…

Packaging Pitfalls, Part 4: How to Add Drivers and Certificates to App-V Packages

Think App-V can’t handle drivers and certificates? You’re absolutely right,…