[English]Die Sicherheitsupdates vom 12. August 2025 für Windows haben zur Folge, dass Nutzer verschiedener Produkte plötzlich eine Benutzerkontensteuerungs-Abfrage für Administratorrechte sehen. Nun hat Microsoft bestätigt, dass die August 2025-Updates zu diesem Problem bei Windows 10 und Windows 11 führen. Windows Server ist auch betroffen.
Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)
Rückblick auf das UAC-Problem
Die ersten Informationen zu Problemen nach Installation der August 2025-Updates erreichten mich zu AutoCAD. Sowohl Blog-Leser als auch Foreneinträge wiesen auf ein Problem mit AutoCAD hin, sobald die August 2025-Updates unter Windows installiert wurden. Nach dem ersten Programmstart von AutoCAD öffnet sich die UAC-Abfrage und es werden Adminrechte verlangt. Ursache sind die Microsoft Updates vom 12.08.2025 (siehe Patchday: Windows 10/11 Updates (12. August 2025)). Später stellte sich heraus, dass viele weitere Software-Pakete betroffen waren. Ich hatte im Blog-Beitrag AutoCAD, Firefox, SAP wollen nach Windows August 2025-Updates Admin-Rechte (MSI error 1730) über das Problem berichtet und auch einen temporären Workaround skizziert, um die UAC-Abfrage zumindest temporär zu unterdrücken.
Microsoft bestätigt das UAC-Problem
Zum 3. September 2025 hat Microsoft im Windows Release Health-Dashboard diverser Windows-Version bestätigt, dass es ein Problem gibt. Im Supportbeitrag Non-admins might receive unexpected UAC prompts when doing MSI repair operations heißt es, dass die Windows-Sicherheitsupdates vom 12. August 2025 (z.B. KB5063878) und späteren Updates eine Sicherheitsverbesserung enthalten.
Es soll die Anforderung von Administratorrechten bei der Durchführung von Windows Installer (MSI)-Reparaturen über die Benutzerkontensteuerung (User Account Control, UAC) erzwungen werden. Dies soll die Sicherheitslücke CVE-2025-50173 beheben. Diese besteht, weil eine schwache Authentifizierung in Windows Installer es einem autorisierten Angreifer ermöglicht, seine Berechtigungen lokal zu erweitern.
Vielfältige Software-Pakete mit MSI-Installer betroffen
Dieses Problem kann sich auf Anwendungen auswirken, die Windows Installer (MSI) verwenden, z. B. Autodesk AutoCAD oder Office Professional Plus 2010. Ich hatte in meinem Blog-Beitrag auch SAP-Software oder den Firefox genannt. Selbst bei der Anwendung PhotoFiltre, die hier portabel läuft, meldet sich gelegentlich die Benutzerkontensteuerung und fragt, ob die Anwendung Änderungen am System durchführen darf.
Szenarien, in denen die UAC-Meldung erscheint
Microsoft schreibt, dass nach der Installation des Windows-Sicherheitsupdates vom 12. August 2025 (und späteren Updates) in den folgenden Szenarien die Anzeige der UAC-Eingabeaufforderungen für Administratorrechte für Standardbenutzer angezeigt werden können:
- Ausführen von MSI-Reparaturbefehlen (z. B. msiexec /fu)
- Starten von Autodesk-Anwendungen, einschließlich einiger Versionen von AutoCAD, Civil 3D und Inventor CAM, oder beim Installieren einer MSI-Datei, nachdem sich ein Benutzer zum ersten Mal bei der Anwendung angemeldet hat.
- Installieren von Anwendungen, die sich pro Benutzer konfigurieren.
- Ausführen von Windows Installer während der aktiven Einrichtung.
- Bereitstellen von Paketen über Manager Configuration Manager (ConfigMgr), die auf benutzerspezifischen „Werbe"-Konfigurationen basieren.
- Aktivieren von Secure Desktop.
Startet ein Standardbenutzer eine Anwendung, die einen MSI-Reparaturvorgang ohne Anzeige der Benutzeroberfläche initiiert, schlägt dies mit einer Fehlermeldung fehl und es wird der Fehler 1730 angezeigt (sie ist bei Office Professional Plus 2010 der Fall).
Welche Windows-Versionen sind betroffen?
Leider sind alle Windows-Clients ab Windows 1o gemäß folgender Auflistung betroffen:
- Windows 10 Enterprise 2015 LTSC
- Windows 10 Enterprise 2016 LTSC
- Windows 10 Enterprise 2019 LTSC
- Windows 10 Versionen 21H2 und 22H2
- Windows 11 Versionen 22H2, 23H2 und 24H2
Weiterhin sind bei Windows Server folgende Versionen betroffen:
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows Server Version 1809
- Windows Server 2022
- Windows Server 2025
In meinem Blog-Beitrag AutoCAD, Firefox, SAP wollen nach Windows August 2025-Updates Admin-Rechte (MSI error 1730) hatte ich einige der betroffenen Windows-Versionen sowie verursachenden KB-Artikel genannt.
Microsoft schlägt Workarounds vor
Microsoft hat im Supportbeitrag Non-admins might receive unexpected UAC prompts when doing MSI repair operations gleich mehrere Workarounds vorgeschlagen. Eine Möglichkeit ist, die betroffene Anwendung mit Administratorrechten auszuführen (im Startmenü suchen, den Treffer per Rechtsklick auswählen und im Kontextmenü Als Administrator ausführen wählen). Diese Option wird aber nur den wenigsten Nutzern zugestanden werden können.
Um Standardbenutzern die Nutzung der Anwendung ohne UAC-Abfrage zu ermöglichen, können IT-Administratoren in verwalteten Umgebungen ein Known Issue Rollback (KIR) per spezieller Gruppenrichtlinie ausführen. Diese Gruppenrichtlinie steht für folgende Windows-Versionen bereit:
- Windows Server 2025
- Windows Server 2022
- Windows 11 Version 22H2, 23H2, 24H2
- Windows 10 Version 21H2, 22H2
Um die KIR-Gruppenrichtlinie zu erhalten, müssen Betroffene sich an den Microsoft-Support for Business wenden. IT-Administratoren wird dringend empfohlen, andere Workarounds wie das Deaktivieren verwandter Funktionen zu vermeiden (hierunter dürfte der von mir im Beitrag AutoCAD, Firefox, SAP wollen nach Windows August 2025-Updates Admin-Rechte (MSI error 1730) erwähnte Workaround fallen).
Microsoft arbeitet daran, dieses Problem zu beheben. IT-Administratoren sollen die Möglichkeit erhalten, bestimmten Apps die Durchführung von MSI-Reparaturvorgängen ohne UAC-Eingabeaufforderungen zu gestatten. Diese Verbesserung wird in einem zukünftigen Windows-Update veröffentlicht. Details liegen noch nicht vor.
Ähnliche Artikel:
Microsoft Security Update Summary (12. August 2025)
Patchday: Windows 10/11 Updates (12. August 2025)
Patchday: Windows Server-Updates (12. August 2025)
Patchday: Microsoft Office Updates (12. August 2025)
Windows 11 24H2: Update KB5063878 wirft Installationsfehler 0x80240069
Windows 11 24H2: KIR-Fix für WSUS-Installationsfehler 0x80240069 bei Update KB5063878
Windows 11 24H2: Update KB5063878 als Re-Release für WSUS (14. Aug. 2025)
Windows 11 24H2: Führt Aug. 2025-Update KB5063878 zu SSD-Fehlern?
Windows 10/11: Out-of-Band-Updates KB5066188 / KB5066189 (19.8.2025)
August 2025-Patchday-Nachlese: Upgrade-Fehler 0x8007007F; Reset/Recovery kaputt
Windows 11 24H2: Führt Aug. 2025-Update KB5063878 zu SSD-Fehlern?
Windows 11 24H2: Microsoft prüft Berichte über SSD-Probleme durch KB5063878
Windows 11 24H2: Preview-Update KB5062660 wirft CertificateServicesClient Fehler-Events
AutoCAD, Firefox, SAP wollen nach Windows August 2025-Updates Admin-Rechte (MSI error 1730)
MVP: 2013 – 2016
Das lange laufende Microsoft Projekt "alles wird für Endnutzer immer mehr vernagelt bis hin zur Unterbindung von Drittsoftware ausserhalb Windows Store" trägt frühe Früchte, insbesondere wenn die eine umsetzende Hand nicht mehr weiss, was die andere gerade tut. Wenn alles fertig ist, gibt es solche Probleme dann nicht mehr, da dann kein Dritter mehr einem Installer irgendetwas unterschieben könnte.
Ja aber, nunja, kein aber, es wird heissen "nur der Windows Store bringt Sicherheit und alle wollen Sicherheit", tja.
Ein Grund mehr einen Exit von der Microssoft Strategie vorzunehmen. Den "Personal" Computer softwaretechnisch Microsoft zu übereignen ist keine gute Idee und konterkariert die Idee des "Personal". Angeblich werde dadurch alles sicher. Nur mit Microsoft stimmt das Marketinggewäsch eben nicht. Microsoft und Sicherheit sind orthogonal zueinander.
Habe mich die Tage schon gewundert, wollte mit UniGetUI etwas deinstallieren, was nicht ging, als ich es dann über die Systemsteuerung > Software deinstalliert habe kam eine Abfrage, ob wohl ich nicht nur Besitzer als auch Administrator bin.
Ich halte diese Benutzerkontrollsteuerung von Microsoft eh für Nonsens, unter Windows 7 hat die noch funktioniert, ab 10 war es eine Farce.
Ich melde mich ans Admin am PC an, währenddessen noch ein anderer User angemeldet ist, ändere etwas, was der User mit seinen Rechten nicht kann.
Melde mich ab und der eingeschränkte User besitzt plötzlich Temporär Admin Rechte. Das kann dich keine Benutzerkontrollsteuerung sein, das ist doch ein Witz.
Der "Witz" könnte auch eine gezielte Backdoor sein, die Du zufällig gefunden hast, sowas weiss man bei MS nie…
Für Microsoft ist alles, was nicht von Microsoft kommt, eine Bedrohung, aber selbst die Microsoft Patches fragt es noch nach,
Naja, auch unter Linux musst du einen sudo machen wenn du per apt Software installierst oder aktualisierst.
Das ist jedoch ein großer Unterschied wie Tag und Nacht, ob ich mich unter Linux mittels Passwort legitimiere, (was ich ja immer tun muss) um eine Änderung vorzunehmen oder ob ich mich mittels Passwort erst neu als Admin anmelde, anschließend wieder abmelde und dann auf dem Ausgeführten User Admin rechte habe.
Also irgendwas ist da Kaputt und es liegt nicht an der Software, die dort installiert ist, es gibt dort kaum Software, weil die Software auf einem Terminal Server liegt, es ist also eher ein Nacktes Betriebssystem.
Nein, das musst du nicht. Wenn dein Windows-Benutzer lokale Adminrechte hat, klickst du im UAC-Dialog auf "Ok" und signalisierst damit "du darfst, mach mal" und wenn du keine lokalen Adminrechte hast, musst du in der UAC-Abfrage einen passenden Adminaccount (user+pass) angeben. Es ist nicht nötig, sich mit einer anderen Sitzung (Benutzer wechseln, bzw. Benutzer ab und Admin an) anzumelden. Sieht man, wie wenig Ahnung abseits von deinem red++hat-OS du hast.
Geschwurbel. Der Artikel Gänseblümchen 4. September 2025 um 13:58 Uhr hat ganz zutreffend kommentiert.
Sie können also ausschliessen, dass es sich bei dem beschriebenen Szenario "Admin meldet sich an, während eingeschränkter User angemeldet ist, der dann nach Admin abmelden plötzlich selbst temporär Admin Rechte hat" um eine Backdoor handelt? Bitte begründen Sie Ihre Einschätzung fachlich. Geschwurbel ruft nur einer, der das beschriebene Szenario nicht verstanden hat.
Genau so ist es und es kann oder darf eigentlich nicht so sein!
Siehe meinen Kommentar weiter oben "5. September 2025 um 14:04 Uhr". Rede nur wo mit, wo du weißt, dass du Ahnung hast… Stifte durch Ahnungslosigkeit keine Verwirrung…
Ich denke nicht, dass die UAC kaputt ist. Ich glaube eher, dass diverse Software versucht, im normalen Benutzerkontext Dinge zu tun, die man nur mit Adminrechten machen sollte, zum Beispiel Programmdateien aktualisieren etc. Adobe Creative Cloud Suite hatte ich neulich schon genannt, dort haben wir das Problem leider auch.
"Eine Möglichkeit ist, die betroffene Anwendung mit Administratorrechten auszuführen (im Startmenü suchen, den Treffer per Rechtsklick auswählen und im Kontextmenü Als Administrator ausführen wählen). Diese Option wird aber nur den wenigsten Nutzern zugestanden werden können."
Ich habe diese Option, aber das Problem ist, dass nach meiner Erfahrung zuweilen die Anwendung dann ggf. in C:\Benutzer\Admin\… statt c:\Benutzer\Anwender\… schreibt oder sucht, da ja nicht der Anwender Adminrechte bekommt, sondern die App im Admin-Profil (wenn ich das richtig formuliert habe) ausgeführt wird.
Ist mir (unabhängig von dem akuten Update-Problem) z. B. bei JAM UltraSearch aufgefallen, weil die Suchdefinitionen plötzlich "weg" waren.
Bei Schrottsoftware hilft einem das beste Betriebssystem nichts. Programm-Dateien, die für alle Benutzer nutzbar sein sollen, legt man nicht ins Benutzerprofil. Dafür gibts die namentlich zum Programm gehörenden Ordner in %programfiles% oder %ALLUSERSPROFILE%.
Man muss das mal überlegen, das Konzept mit %programfiles% für Programmdateien gibts mindestens seit Windows 2000, der %ALLUSERSPROFILE% Ordner existiert seit Vista. Lesen Softwarenetwickler die Microsoft-Dokus/Empfehlungen, wo man seine Dateien hinlegen soll, nicht? "Hamwa schon unter Windows 3.1 so gemacht, muss auch weiter so gehen…"
Hier ebenfalls. Leider schon zu viel Zeit mit Fehlersuche verschwindet bevor ich den Artikel gesehen habe…
Branchensoftware startet bei neu angelegten TS Usern Drittanbieter Installer für Report Addon. Da kommt dann die UAC.
befürchte das dann mit einem elevated User zu bestätigen wird nicht klappen weil der Installer dann nicht mehr im user Kontext läuft.
Werde ich morgen trotzdem Mal testen müssen.
Siehe meinen Kommentar direkt oben drüber vom 5. September 2025 um 14:08 Uhr .
Gebe dir Recht. Nur leider hat man häufig keine Alternative bei spezieller Branchensoftware. :/
Hat aber übrigens funktioniert sich bei den betreffenden Usern beim UAC prompt 1x mit einem elevated Konto anzumelden. Beim nächsten Start dann keine UAC mehr.
Doch dem Hersteller mal auf den Tisch hauen und dem vorrechnen wieviel unnötige Supportzeit die eigenen Admins mit dem seinem Fehler verplempern. Vielleicht mal fragen, ob er die Kosten dafür übernimmt?
Hach ja. Schön wär's. Realität sieht dann leider anders aus….
Und vor allem ist in diesem Fall dann noch ein Modul von noch einem anderen Hersteller die Ursache welches "nur" eingebunden ist. Da kannst du dann Pingpong spielen. Das kostet dich mehr Zeit und Nerven als es irgendwie selber zu fixen…
Die KIR-Gruppenrichtinie kann auch direkt über das Autodesk Forum heruntergeladen werden, siehe:
https://forums.autodesk.com/t5/installation-licensing-forum/why-is-a-random-msi-running-for-standard-users-the-first-time/td-p/13772700/page/2#M160840
Wenn der Link nicht direkt greift, dann zum Beitrag von jorma_heikkuri vom 07.09.2025 scrollen
Heute getestet, die Probleme sind damit behoben.
Trotzdem warte ich noch den Patchday am nächsten Mittwoch ab.
Feedback folgt…
Angeblich ist das Problem mit dem September Update behoben und die KIR-Gruppenrichtlinie ist nicht länger erforderlich.
After installing the September 2025 Windows security update (KB5065426) or later updates, UAC prompts will only be required during MSI repair operations if the target MSI file contains an elevated custom action.
Since UAC prompts will still be required for apps that perform custom actions, after installing this update, IT admins will have access to a workaround to disable UAC prompts for specific apps by adding MSI files to an allowlist. For details, see the KB article: Unexpected UAC prompts when running MSI repair operations after installing the August 2025 Windows security update.
A Group Policy had previously been made available from Microsoft's Support for business using Known Issue Rollback (KIR) to work around this issue. Organizations no longer need to install and configure this Group Policy to address this issue.
Ich habe gestern das KB5065431 (so die UAC Probleme beheben) installiert bekommen in der Firma – seit dem braucht der Rechner beim Starten 10 Minuten bis zur Passwort Eingabe und weitere 10 Minuten, bis ich den Desktop sehe. Versuche ich dann etwas mit Adminrechten auszuführen, dann wird die Anzeige abgedunkelt, aber der UAC-Dialog wird nicht eingeblendet. Ob es an dem neuen KB5065431 liegt? Keine Ahnung. :-(