Oorspronkelijke publicatiedatum: 8 april 2025
KB-id: 5058189
Samenvatting
Er bestaat een beveiligingsprobleem in Windows waardoor onbevoegde gebruikers het volledige bestandspad kunnen bekijken naar een resource waartoe ze geen toegangsmachtigingen hebben. Dit beveiligingsprobleem kan optreden wanneer de gebruiker FILE_LIST_DIRECTORY toegangsrechten heeft voor een bovenliggende map en meldingen over mapwijziging ontvangt.
Zie CVE-2025-21197 en CVE-2025-27738 voor meer informatie over dit beveiligingsprobleem.
Meer informatie
De oplossing voor dit beveiligingsprobleem is opgenomen in de Windows-updates die zijn uitgebracht op of na 8 april 2025.
Deze oplossing kan worden toegepast op NTFS- en ReFS-volumes om dit beveiligingsprobleem te voorkomen. Met deze oplossing wordt een FILE_LIST_DIRECTORY toegangscontrole uitgevoerd op de bovenliggende map van het gewijzigde bestand of de gewijzigde map voordat wijzigingen worden gerapporteerd aan een onbevoegde gebruiker. Als de gebruiker niet over de benodigde machtigingen beschikt, worden de wijzigingsmeldingen gefilterd, waardoor niet-geautoriseerde openbaarmaking van bestandspaden wordt voorkomen.
Deze oplossing is standaard uitgeschakeld om onverwachte beveiligingsrisico's of onderbrekingen van toepassingen te voorkomen.
Als u deze oplossing wilt inschakelen, kunt u de waarde van de registersleutel of de waarde van de groepsbeleidssleutel instellen op het betreffende systeem. Gebruik hiervoor een van de volgende methoden.
Methode 1: Register
Schakel in het Windows-register de oplossing in de subsleutel Beleid of Bestandssysteem in.
Voorzichtigheid Als zowel de subsleutel Beleidsregels als de subsleutel Bestandssysteem zijn ingeschakeld, heeft de subsleutel Beleid voorrang.
|
Beleid |
Registerlocatie: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies DWORD-naam: EnforceDirectoryChangeNotificationPermissionCheck Waardedatum: 1 (standaardwaarde is 0) Opmerking Als u de oplossing wilt uitschakelen, stelt u de waardegegevens in op 0. |
|
FileSystem |
Registerlocatie: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem DWORD-naam: EnforceDirectoryChangeNotificationPermissionCheck Waardedatum: 1 (standaardwaarde is 0) Opmerking Als u de oplossing wilt uitschakelen, stelt u de waardegegevens in op 0. |
Methode 2: PowerShell
Als u de oplossing wilt inschakelen, voert u PowerShell uit als beheerder en schakelt u de oplossing in de subsleutel Beleid of Bestandssysteem in.
|
Beleid |
Voer deze opdracht uit: Set-ItemProperty -Pad "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type Dword |
|
FileSystem |
Voer deze opdracht uit: Set-ItemProperty -Pad "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type DWord |
Als u de oplossing wilt uitschakelen, voert u PowerShell uit als beheerder en schakelt u de oplossing uit in de subsleutel Beleid of Bestandssysteem .
|
Beleid |
Voer deze opdracht uit: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
|
FileSystem |
Voer deze opdracht uit: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
