Microsoft выпустила скрипт на PowerShell под названием Set-InetpubFolderAcl, который создаёт папку «C:inetpub», если она была удалена в Windows 11. Это необходимо, даже если в системе нет Internet Information Services (IIS), причём но эту папку не нужно удалять из-за соображений безопасности.
Microsoft в специальном скрипте для системных администраторов помогает повторно создать эту папку с помощью следующих команд:
Install-Script -Name Set-InetpubFolderAcl
C:Program` FilesWindowsPowerShellScriptsSet-InetpubFolderAcl.ps1
Как объяснили в компании, скрипт установит правильные разрешения IIS для предотвращения несанкционированного доступа и потенциальных уязвимостей, связанных с CVE-2025-21204. Эта уязвимость связана с неправильной отработкой разрешения ссылок в стеке обновлений Windows. Это, вероятно, означает, что Центр обновления Windows может следовать символическим ссылкам на непропатченых устройствах (например, без обновления KB5055523) таким образом, что может позволить локальным злоумышленникам обмануть ОС, чтобы получить доступ или изменить непреднамеренные файлы или папки. Microsoft утверждает, что успешная эксплуатация позволяет злоумышленникам с низкими привилегиями повышать свои разрешения в системе и манипулировать или выполнять операции по управлению файлами в контексте учётной записи NT AUTHORITYSYSTEM.
В начале апреля 2025 года Microsoft уточнила, что эта пустая папка была намеренно создана на ПК пользователей, причём апрельские накопительные обновления Windows не будут установлены, если каталог «C:inetpub» был создан до развёртывания обновления KB5055523.
«Эта папка не должна удаляться независимо от того, активны ли службы Internet Information Services (IIS) на целевом устройстве. Такое поведение является частью изменений, которые повышают защиту, и не требует никаких действий со стороны системных администраторов и конечных пользователей», — сообщили в Microsoft. В компании не объяснили, как пустая папка inetpub «повысит защиту» ПК с Windows.
Ранее пользователи сообщили, что обновление KB5055523 для Windows 11 создаёт на ПК папку «C:inetpub» даже в том случае, если в системе нет активированной службы Internet Information Services (IIS).
Папка inetpub — это папка по умолчанию для служб Microsoft Internet Information Services (IIS), которая содержит вложенные папки для работы IIS сервера от Microsoft — например, в подпапке wwwroot должны находиться файлы для публикации на веб-сервере по http, в ftproot — для ftp и так далее.
Примечательно, что папка inetpub после установки KB5055523 является пустой. Папка принадлежит учётной записи SYSTEM, что указывает на то, что она была создана процессом с повышенными правами, которым в данном случае было накопительное обновление.
Хотя наличие папки не влияет на производительность или стабильность системы, её неожиданное создание вызвало вопросы у пользователей о том, была ли введена новая функция с этим обновлением или она была просто создана из-за ошибки. Удаление этой папки не вызывало никаких проблем при использовании Windows 11.
Источник новости: habr.com
