Вихідна дата публікації: 8 квітня 2025 р.
Ідентифікатор KB: 5058189
Зведення
У Windows існує вразливість, яка дає змогу неавторизованим користувачам переглядати повний шлях до файлу ресурсу, до якому вони не мають дозволів на доступ. Ця вразливість може виникнути, якщо користувач має FILE_LIST_DIRECTORY права на доступ до батьківської папки та отримує сповіщення про змінення каталогу.
Докладні відомості про цю вразливість див. в статті CVE-2025-21197 і CVE-2025-27738.
Додаткові відомості
Виправлення цієї вразливості включено в оновлення Windows, випущені 8 квітня 2025 р. або пізніше.
Це виправлення можна застосувати до томів NTFS і ReFS , щоб запобігти цій вразливості. Це виправлення виконує перевірку доступу FILE_LIST_DIRECTORY до батьківської папки зміненого файлу або папки, перш ніж надсилати звіт про зміни неавторизованому користувачу. Якщо користувач не має потрібних дозволів, сповіщення про зміни буде відфільтровано, що запобігає несанкціонованому розголошенню шляхів до файлів.
За замовчуванням це виправлення вимкнуто, щоб запобігти будь-яким несподіваним ризикам безпеки або переривання роботи програми.
Щоб увімкнути це виправлення, можна встановити значення розділу реєстру або значення розділу групової політики у відповідній системі. Для цього скористайтеся одним із наведених нижче способів.
Спосіб 1: Реєстр
У реєстрі Windows увімкніть виправлення в підрозділі Політики або FileSystem .
Обережність Якщо ввімкнуто як політики , так і підрозділи FileSystem , підрозділ політики має вищий пріоритет.
|
Політики |
Розташування реєстру: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies Ім'я DWORD: Примусова перевірка змінення примітки для ремісії Дата значення: 1 (значення за промовчанням – 0) Нотатка Щоб вимкнути виправлення, установіть для параметра Значення значення 0. |
|
Файлова система |
Розташування реєстру: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem Ім'я DWORD: Примусова перевірка змінення примітки для ремісії Дата значення: 1 (значення за промовчанням – 0) Нотатка Щоб вимкнути виправлення, установіть для параметра Значення значення 0. |
Метод 2: PowerShell
Щоб увімкнути виправлення, запустіть PowerShell із правами адміністратора та ввімкніть виправлення в підрозділі Політики або FileSystem .
|
Політики |
Виконайте цю команду: Set-ItemProperty -шлях "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type Dword |
|
Файлова система |
Виконайте цю команду: Set-ItemProperty -шлях "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type DWord |
Щоб вимкнути виправлення, запустіть PowerShell із правами адміністратора та вимкніть виправлення в підрозділі Політики або FileSystem .
|
Політики |
Виконайте цю команду: Set-ItemProperty -шлях "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
|
Файлова система |
Виконайте цю команду: Set-ItemProperty -шлях "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
