Застосовується до
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 Windows Server 2019 Windows Server, version 23H2 Windows Server 2025

Вихідна дата публікації: 8 квітня 2025 р.

Ідентифікатор KB: 5058189

Зведення

У Windows існує вразливість, яка дає змогу неавторизованим користувачам переглядати повний шлях до файлу ресурсу, до якому вони не мають дозволів на доступ. Ця вразливість може виникнути, якщо користувач має FILE_LIST_DIRECTORY права на доступ до батьківської папки та отримує сповіщення про змінення каталогу.

Докладні відомості про цю вразливість див. в статті CVE-2025-21197 і CVE-2025-27738.

Додаткові відомості

Виправлення цієї вразливості включено в оновлення Windows, випущені 8 квітня 2025 р. або пізніше.

Це виправлення можна застосувати до томів NTFS і ReFS , щоб запобігти цій вразливості. Це виправлення виконує перевірку доступу FILE_LIST_DIRECTORY до батьківської папки зміненого файлу або папки, перш ніж надсилати звіт про зміни неавторизованому користувачу. Якщо користувач не має потрібних дозволів, сповіщення про зміни буде відфільтровано, що запобігає несанкціонованому розголошенню шляхів до файлів.

За замовчуванням це виправлення вимкнуто, щоб запобігти будь-яким несподіваним ризикам безпеки або переривання роботи програми.

Щоб увімкнути це виправлення, можна встановити значення розділу реєстру або значення розділу групової політики у відповідній системі. Для цього скористайтеся одним із наведених нижче способів.

Спосіб 1: Реєстр

У реєстрі Windows увімкніть виправлення в підрозділі Політики або FileSystem .

Обережність Якщо ввімкнуто як політики , так і підрозділи FileSystem , підрозділ політики має вищий пріоритет.

Політики

Розташування реєстру: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies

Ім'я DWORD: Примусова перевірка змінення примітки для ремісії

Дата значення: 1 (значення за промовчанням – 0)

Нотатка Щоб вимкнути виправлення, установіть для параметра Значення значення 0.

Файлова система

Розташування реєстру: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem

Ім'я DWORD: Примусова перевірка змінення примітки для ремісії

Дата значення: 1 (значення за промовчанням – 0)

Нотатка Щоб вимкнути виправлення, установіть для параметра Значення значення 0.

Метод 2: PowerShell

Щоб увімкнути виправлення, запустіть PowerShell із правами адміністратора та ввімкніть виправлення в підрозділі Політики або FileSystem .

Політики

Виконайте цю команду:

Set-ItemProperty -шлях "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type Dword

Файлова система

Виконайте цю команду:

Set-ItemProperty -шлях "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type DWord

Щоб вимкнути виправлення, запустіть PowerShell із правами адміністратора та вимкніть виправлення в підрозділі Політики або FileSystem .

Політики

Виконайте цю команду:

Set-ItemProperty -шлях "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord

Файлова система

Виконайте цю команду:

Set-ItemProperty -шлях "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.