Oprindelig publiceringsdato: 8. april 2025
KB-id: 5058189
Sammendrag
Der findes en sikkerhedsrisiko i Windows, der giver uautoriserede brugere mulighed for at få vist hele filstien til en ressource, de ikke har adgangstilladelse til. Denne sikkerhedsrisiko kan opstå, når brugeren har FILE_LIST_DIRECTORY adgangsrettigheder til en overordnet mappe og får meddelelser om mappeændringer.
Du kan få mere at vide om denne sårbarhed under CVE-2025-21197 og CVE-2025-27738.
Flere oplysninger
Rettelsen af denne sårbarhed er inkluderet i de Windows-opdateringer, der blev udgivet den 8. april 2025 eller derefter.
Denne rettelse kan anvendes på NTFS- ogReFS-diskenheder for at forhindre denne sikkerhedsrisiko. Denne rettelse udfører en FILE_LIST_DIRECTORY adgangskontrol mod den overordnede mappe i den ændrede fil eller mappe, før du rapporterer ændringer til en uautoriseret bruger. Hvis brugeren ikke har de nødvendige tilladelser, filtreres beskederne om ændringer fra, hvilket forhindrer uautoriseret afsløring af filstier.
Denne rettelse er som standard deaktiveret for at forhindre uventede sikkerhedsrisici eller programafbrydelser.
Hvis du vil aktivere denne rettelse, kan du angive nøgleværdien i registreringsdatabasen eller nøgleværdien for gruppepolitik på det berørte system. Det kan du gøre ved at bruge en af følgende metoder.
Metode 1: Registreringsdatabase
I Windows-registreringsdatabasen skal du aktivere rettelsen i undernøglen Policies eller FileSystem .
Forsigtighed Hvis både undernøglerne Politikker og FileSystem er aktiveret, har undernøglen Politikker forrang.
|
Politikker |
Placering af registreringsdatabasen: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies DWORD-navn: EnforceDirectoryChangeNotificationPermissionCheck Værdidato: 1 (Standardværdien er 0) Bemærk! Hvis du vil deaktivere rettelsen, skal du angive Værdidata til 0. |
|
Filsystem |
Placering af registreringsdatabasen: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem DWORD-navn: EnforceDirectoryChangeNotificationPermissionCheck Værdidato: 1 (Standardværdien er 0) Bemærk! Hvis du vil deaktivere rettelsen, skal du angive Værdidata til 0. |
Metode 2: PowerShell
Hvis du vil aktivere rettelsen, skal du køre PowerShell som administrator og aktivere rettelsen i undernøglen Policies eller FileSystem .
|
Politikker |
Kør denne kommando: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type Dword |
|
Filsystem |
Kør denne kommando: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type DWord |
Hvis du vil deaktivere rettelsen, skal du køre PowerShell som administrator og deaktivere rettelsen i undernøglen Policies eller FileSystem .
|
Politikker |
Kør denne kommando: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
|
Filsystem |
Kør denne kommando: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
