Im Rahmen des Sicherheitsupdates 2918614 (August 2014) wurde für den Installerdienst ein mehrschichtiger Schutzmechanismus eingeführt. Für jedes Installationspaket (MSI) wird eine Datei mit einem Hash-Wert im Ordner "%windir%\Installer" abgespeichert. Bei einer Reparatur oder Aktualisierung einer installierten Anwendung oder Komponente wird dieser Wert überprüft bzw. das Paket verifiziert. Kann kein Hash-Wert gefunden (alle Installationen vor dem Update) oder die Überprüfung schlägt fehl, so wird (unerwartet) das Dialogfeld der Benutzerkontensteuerung angezeigt oder die Installation wird mit einer Fehlermeldung abgebrochen. Nach der Installation des Sicherheitsupdates ist es aber möglich, einzelne (sichere) Installationspakete in einer Liste einzutragen, bei denen die Hash-Überprüfung übersprungen / ignoriert werden soll. Dadurch wird aber möglicherweise die Sicherheit des Computers eingeschränkt.

So geht's:

• Starten Sie ...\windows\regedit.exe bzw. ...\winnt\regedt32.exe.
• Liste mit den Anwendungen verwenden:
  • Klicken Sie sich durch folgende Schlüssel (Ordner) hindurch:
    HKEY_LOCAL_MACHINE
    Software
    Policies
    Microsoft
    Windows
    Installer
    Falls die letzten Schlüssel noch nicht existieren, dann müssen Sie diese erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "Schlüssel".
  • Doppelklicken Sie auf den Schlüssel "SecureRepairPolicy".
    Falls dieser Schlüssel noch nicht existiert, dann müssen Sie ihn erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "DWORD-Wert" (REG_DWORD). Als Schlüsselnamen geben Sie "SecureRepairPolicy" ein.
  • Ändern Sie den Wert ggf. von "0" (deaktiviert) auf "2" (aktiviert).
• Liste mit den Awendungen festlegen:
  • Klicken Sie sich durch folgende Schlüssel (Ordner) hindurch:
    HKEY_LOCAL_MACHINE
    Software
    Policies
    Microsoft
    Windows
    Installer
    SecureRepairWhitelist
    Falls die letzten Schlüssel noch nicht existieren, dann müssen Sie diese erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "Schlüssel".
  • Klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "Zeichenfolge" (REG_SZ). Als Schlüsselnamen geben Sie den Produktcode der Anwendung ein. Z. B.: "{15B9A647-DAF9-4B6B-B544-4B8B62CA3ABA}"
• Die Änderungen werden ggf. erst nach einem Neustart aktiv.

Hinweise:

• SecureRepairPolicy:
  0 = Die im Unterschlüssel "SecureRepairWhitelist" angegebene Liste der Anwendungen wird ignoriert. (Standard)
  2 = Die im Unterschlüssel "SecureRepairWhitelist" angegebene Liste der Anwendungen wird verwendet.
• SecureRepairWhitelist:
  Legt eine Liste mit Produktcodes für Windows Installer fest, die als sichere Herkunft gelten und keine Hash-Überprüfung erfordern.
• Um einen Produktcode aus der Liste zu löschen, klicken Sie auf den Schlüssel und drücken die Taste "Entf".
• Ändern Sie bitte nichts anderes in der Registrierungsdatei. Dies kann zur Folge haben, dass Windows und/oder Anwendungsprogramme nicht mehr richtig arbeiten.

Querverweise:

• Windows Installer - Benutzerkontensteuerung bei fehlendem Hash-Wert nicht anzeigen
• Windows Vista:
  • Sicherheitsupdate: Windows-Installationsdienst kann Erhöhung von Berechtigungen ermöglichen (32-Bit)
  • Sicherheitsupdate: Windows-Installationsdienst kann Erhöhung von Berechtigungen ermöglichen (64-Bit)
• Windows 7:
  • Sicherheitsupdate: Windows-Installationsdienst kann Erhöhung von Berechtigungen ermöglichen (32-Bit)
  • Sicherheitsupdate: Windows-Installationsdienst kann Erhöhung von Berechtigungen ermöglichen (64-Bit)