Исходная дата публикации: 8 апреля 2025 г.
Идентификатор базы знаний: 5058189
Сводка
В Windows существует уязвимость, которая позволяет неавторизованным пользователям просматривать полный путь к файлу к ресурсу, к которому у них нет разрешений на доступ. Эта уязвимость может возникать, когда пользователь имеет FILE_LIST_DIRECTORY права доступа к родительской папке и получает уведомления об изменении каталога.
Дополнительные сведения об этой уязвимости см. в разделах CVE-2025-21197 и CVE-2025-27738.
Дополнительные сведения
Исправление этой уязвимости входит в обновления Windows, выпущенные 8 апреля 2025 г. или позже.
Это исправление можно применить к томам NTFS и ReFS , чтобы предотвратить эту уязвимость. Это исправление выполняет FILE_LIST_DIRECTORY проверка доступа к родительской папке измененного файла или папки, прежде чем сообщить об изменениях неавторизованному пользователю. Если у пользователя нет необходимых разрешений, уведомления об изменениях будут отфильтрованы, что предотвращает несанкционированное раскрытие путей к файлам.
По умолчанию это исправление отключено, чтобы предотвратить непредвиденные угрозы безопасности или нарушения работы приложения.
Чтобы включить это исправление, можно задать значение раздела реестра или ключа групповой политики в затронутой системе. Для этого используйте один из следующих методов.
Способ 1. Реестр
В реестре Windows включите исправление в подразделе Политики или Файловая система .
Осторожность Если включены подразделы Policies и FileSystem , приоритет имеет подраздел Политики .
|
Политики |
Расположение реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies Имя DWORD: EnforceDirectoryChangeNotificationPermissionCheck Дата значения: 1 (значение по умолчанию — 0) Примечание Чтобы отключить исправление, задайте для параметра Значение значение 0. |
|
FileSystem |
Расположение реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem Имя DWORD: EnforceDirectoryChangeNotificationPermissionCheck Дата значения: 1 (значение по умолчанию — 0) Примечание Чтобы отключить исправление, задайте для параметра Значение значение 0. |
Метод 2. PowerShell
Чтобы включить исправление, запустите PowerShell от имени администратора и включите исправление в подразделе Политики или Файловая система .
|
Политики |
Выполните следующую команду: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type Dword |
|
FileSystem |
Выполните следующую команду: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type DWord |
Чтобы отключить исправление, запустите PowerShell от имени администратора и отключите исправление в подразделе Политики или Файловая система .
|
Политики |
Выполните следующую команду: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
|
FileSystem |
Выполните следующую команду: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
