Izvorni datum objave: 8. travnja 2025.
KB ID: 5058189
Sažetak
U sustavu Windows postoji ranjivost koja neovlaštenim korisnicima omogućuje prikaz cijelog puta datoteke do resursa kojem nemaju dozvole za pristup. Ta se ranjivost može pojaviti kada korisnik FILE_LIST_DIRECTORY prava pristupa nadređenoj mapi i pribavlja obavijesti o promjeni direktorija.
Dodatne informacije o toj ranjivosti potražite u člancima CVE-2025-21197 i CVE-2025-27738.
Dodatne informacije
Popravak za tu ranjivost obuhvaćen je ažuriranjima sustava Windows objavljenima 8. travnja 2025. ili kasnije.
Ovaj popravak može se primijeniti na NTFS i ReFS jedinice kako bi se spriječila ova ranjivost. Ovo rješenje provodi provjeru FILE_LIST_DIRECTORY pristupa nadređenoj mapi promijenjene datoteke ili mape prije prijavljivanja promjena neovlaštenom korisniku. Ako korisnik ne sadrži potrebne dozvole, obavijesti o promjenama filtrirat će se, što onemogućuje neovlašteno otkrivanje putova datoteka.
Taj je popravak po zadanom onemogućen da bi se spriječili neočekivani sigurnosni rizici ili prekidi u aplikacijama.
Da biste omogućili taj popravak, možete postaviti vrijednost ključa registra ili vrijednost ključa pravilnika grupe na zahvaćenom sustavu. Da biste to učinili, koristite jednu od sljedećih metoda.
1. način: registar
U registru sustava Windows uključite popravak u podključu Pravilniciili Datotečni sustav.
Oprez Ako su omogućeni ipravilnici i podključovi datotečnog sustava, potključ Pravila ima prednost.
|
Politika |
Mjesto registra: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies DWORD naziv: EnforceDirectoryChangeNotificationPermissionCheck Datum vrijednosti: 1 (zadana je vrijednost 0) Napomena Da biste isključili popravak, postavite vrijednost podataka na 0. |
|
Datotečni sustav |
Mjesto registra: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem DWORD naziv: EnforceDirectoryChangeNotificationPermissionCheck Datum vrijednosti: 1 (zadana je vrijednost 0) Napomena Da biste isključili popravak, postavite vrijednost podataka na 0. |
Drugi način: PowerShell
Da biste omogućili popravak, pokrenite PowerShell kao administrator i uključite popravak u podključuPravilnici ili Datotečni sustav.
|
Politika |
Pokreni ovu naredbu: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type Dword |
|
Datotečni sustav |
Pokreni ovu naredbu: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type DWord |
Da biste onemogućili popravak, pokrenite PowerShell kao administrator i isključite popravak u podključuPravilnici ili Datotečni sustav.
|
Politika |
Pokreni ovu naredbu: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
|
Datotečni sustav |
Pokreni ovu naredbu: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
