Oryginalna data publikacji: 8 kwietnia 2025 r.
Identyfikator BAZY WIEDZY: 5058189
Podsumowanie
W systemie Windows występuje luka umożliwiająca nieautoryzowanym użytkownikom wyświetlenie pełnej ścieżki pliku do zasobu, do którego nie mają uprawnień dostępu. Ta luka może wystąpić, gdy użytkownik ma FILE_LIST_DIRECTORY prawa dostępu do folderu nadrzędnego i otrzymuje powiadomienia o zmianach katalogu.
Aby uzyskać więcej informacji na temat tej luki, zobacz CVE-2025-21197 i CVE-2025-27738.
Więcej informacji
Poprawka rozwiązła tę lukę w zabezpieczeniach jest dostępna w aktualizacjach systemu Windows wydanych 8 kwietnia 2025 r. lub później.
Tę poprawkę można zastosować do woluminów NTFS i ReFS , aby zapobiec tej luce. Ta poprawka umożliwia sprawdzenie dostępu FILE_LIST_DIRECTORY względem folderu nadrzędnego zmienionego pliku lub folderu przed zgłoszeniem zmian nieautoryzowanemu użytkownikowi. Jeśli użytkownik nie posiada niezbędnych uprawnień, powiadomienia o zmianach zostaną odfiltrowane, co uniemożliwi nieautoryzowane ujawnienie ścieżek plików.
Domyślnie ta poprawka jest wyłączona, aby zapobiec nieoczekiwanym zagrożeniom bezpieczeństwa lub zakłóceniom aplikacji.
Aby włączyć tę poprawkę, możesz ustawić wartość klucza rejestru lub klucza zasad grupy w systemie, którego dotyczy problem. W tym celu użyj jednej z następujących metod.
Metoda 1. Rejestr
W rejestrze systemu Windows włącz poprawkę w zasadach lub podkluczu System plików .
Ostrożność Jeśli zarówno podklucze Zasady , jak i podklucze FileSystem są włączone, podklucz Zasady ma pierwszeństwo.
|
Manifest |
Lokalizacja rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies Nazwa DWORD: EnforceDirectoryChangeNotificationPermissionCheck Data wartości: 1 (wartość domyślna to 0) Uwaga Aby wyłączyć poprawkę, ustaw dla pola Dane wartości wartość 0. |
|
FileSystem |
Lokalizacja rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem Nazwa DWORD: EnforceDirectoryChangeNotificationPermissionCheck Data wartości: 1 (wartość domyślna to 0) Uwaga Aby wyłączyć poprawkę, ustaw dla pola Dane wartości wartość 0. |
Metoda 2. Program PowerShell
Aby włączyć poprawkę, uruchom program PowerShell jako administrator i włącz poprawkę w podkluczu Zasady lub System plików .
|
Manifest |
Uruchom to polecenie: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type Dword |
|
FileSystem |
Uruchom to polecenie: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type DWord |
Aby wyłączyć poprawkę, uruchom program PowerShell jako administrator i wyłącz poprawkę w podkluczu Zasady lub System plików .
|
Manifest |
Uruchom to polecenie: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
|
FileSystem |
Uruchom to polecenie: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
