Ursprungligt publiceringsdatum: 8 april 2025
KB-ID: 5058189
Sammanfattning
Det finns en säkerhetsrisk i Windows som gör att obehöriga användare kan visa den fullständiga filsökvägen till en resurs som de inte har behörighet att komma åt. Den här säkerhetsrisken kan uppstå när användaren har FILE_LIST_DIRECTORY åtkomstbehörighet för en överordnad mapp och hämtar aviseringar om katalogändring.
Mer information om den här säkerhetsrisken finns i CVE-2025-21197 och CVE-2025-27738.
Mer information
Korrigeringen för den här säkerhetsrisken ingår i Windows-uppdateringarna som släpptes 8 april 2025 eller senare.
Den här korrigeringen kan tillämpas på NTFS - och ReFS-volymer för att förhindra den här säkerhetsrisken. Den här korrigeringen utför en FILE_LIST_DIRECTORY åtkomstkontroll mot den överordnade mappen i den ändrade filen eller mappen innan ändringar rapporteras till en obehörig användare. Om användaren inte har de behörigheter som krävs filtreras ändringsmeddelandena bort, vilket förhindrar obehörigt avslöjande av filsökvägar.
Den här korrigeringen är inaktiverad som standard för att förhindra oväntade säkerhetsrisker eller programstörningar.
Om du vill aktivera den här korrigeringen kan du ange registernyckelvärdet eller grupprincipnyckelvärdet på det system som påverkas. Det gör du genom att använda någon av följande metoder.
Metod 1: Registret
Aktivera korrigeringen i undernyckeln Principer eller FileSystem i Windows-registret.
Försiktighet Om både principerna och filesystem-undernycklarna är aktiverade har undernyckeln Principer företräde.
|
Politik |
Registerplats: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies DWORD-namn: EnforceDirectoryChangeNotificationPermissionCheck Värdedatum: 1 (Standardvärdet är 0) Obs! Om du vill inaktivera korrigeringen anger du värdet 0 för Värdedata . |
|
Filsystem |
Registerplats: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem DWORD-namn: EnforceDirectoryChangeNotificationPermissionCheck Värdedatum: 1 (Standardvärdet är 0) Obs! Om du vill inaktivera korrigeringen anger du värdet 0 för Värdedata . |
Metod 2: PowerShell
Om du vill aktivera korrigeringen kör du PowerShell som administratör och aktiverar korrigeringen i undernyckeln Principer eller FileSystem .
|
Politik |
Kör det här kommandot: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type Dword |
|
Filsystem |
Kör det här kommandot: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type DWord |
Om du vill inaktivera korrigeringen kör du PowerShell som administratör och inaktiverar korrigeringen i undernyckeln Principer eller FileSystem .
|
Politik |
Kör det här kommandot: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
|
Filsystem |
Kör det här kommandot: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
