Opprinnelig publiseringsdato: 8. april 2025
KB-ID: 5058189
Oppsummering
Det finnes et sikkerhetsproblem i Windows som gjør det mulig for uautoriserte brukere å vise den fullstendige filbanen til en ressurs de ikke har tilgangstillatelse til. Dette sikkerhetsproblemet kan oppstå når brukeren har FILE_LIST_DIRECTORY tilgangsrettigheter i en overordnet mappe og henter varsler om katalogendring.
Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, kan du se CVE-2025-21197 og CVE-2025-27738.
Mer informasjon
Løsningen på dette sikkerhetsproblemet er inkludert i Windows-oppdateringene som ble utgitt 8. april 2025.
Denne løsningen kan brukes på NTFS- ogReFS-volumer for å forhindre dette sikkerhetsproblemet. Denne løsningen utfører en FILE_LIST_DIRECTORY tilgangskontroll mot den overordnede mappen til den endrede filen eller mappen før du rapporterer endringer til en uautorisert bruker. Hvis brukeren ikke har de nødvendige tillatelsene, filtreres endringsvarslene ut og forhindrer uautorisert offentliggjøring av filbaner.
Som standard deaktiveres denne løsningen for å forhindre uventede sikkerhetsrisikoer eller programavbrudd.
Hvis du vil aktivere denne løsningen, kan du angi registernøkkelverdien eller nøkkelverdien for gruppepolicyen på det berørte systemet. Hvis du vil gjøre dette, kan du bruke én av følgende metoder.
Metode 1: Register
Aktiver løsningen i Policyer eller FileSystem-undernøkkelen i Windows-registret.
Forsiktighet Hvis både policyene og FileSystem-undernøklene er aktivert, har policyundernøkkelen forrang.
|
Manifest |
Registerplassering: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies DWORD-navn: EnforceDirectoryChangeNotificationPermissionCheck Verdidato: 1 (Standardverdi er 0) Obs! Hvis du vil deaktivere løsningen, angir du verdidataene til 0. |
|
Filsystem |
Registerplassering: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem DWORD-navn: EnforceDirectoryChangeNotificationPermissionCheck Verdidato: 1 (Standardverdi er 0) Obs! Hvis du vil deaktivere løsningen, angir du verdidataene til 0. |
Metode 2: PowerShell
Hvis du vil aktivere løsningen, kjører du PowerShell som administrator og aktiverer løsningen i policyer eller FileSystem-undernøkkelen .
|
Manifest |
Kjør denne kommandoen: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type Dword |
|
Filsystem |
Kjør denne kommandoen: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type DWord |
Hvis du vil deaktivere løsningen, kjører du PowerShell som administrator og deaktiverer løsningen i policyer eller FileSystem-undernøkkelen .
|
Manifest |
Kjør denne kommandoen: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
|
Filsystem |
Kjør denne kommandoen: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
