早前提到微软发布的 202504 例行安全更新会在 Windows 11 24H2 版系统根目录里创建名为 intepub 的空文件夹,如果用户安装 KB5055523 更新就会注意到这个空文件夹。这个文件夹是微软 Internet 信息服务 (IIS) 创建的,原本我们猜测是这个空文件夹可能是微软出现某种失误或者在更新过程中临时启用 IIS 服务导致的,本身是空文件夹那随手删除就行反正也不会产生什么影响。
只是万万没想到创建这个空文件夹是微软有意为之并非失误,事实上这个空文件夹还牵涉到 Windows 11 系统安全问题,现在被删除后还不能直接手动创建,因为存在权限方面的问题用户必须通过启用 IIS 来自动创建这个文件夹。
可能微软也没想到大家对于系统根目录出现陌生文件夹如此在意,所以微软在更新日志中也没有提到这个问题,考虑到删除后影响系统安全所以微软又更新日志添加了这个文件夹的说明。
微软在补充的更新日志中表示:
安装 KB5055523 或更高版本的更新后,设备会创建 %SYSTEMDRIVE%\inetpub 文件夹,无论设备是否启用 IIS 服务都不应该删除这个文件夹,创建这个文件夹属于增强保护措施,无需 IT 管理员或用户采取任何措施。有关更多信息请参阅 CVE-2025-21204。
漏洞说明:
CVE-2025-21204 是关于 Windows NT 更新堆栈中的文件访问 (链接跟踪) 中不正确链接解析允许授权攻击者在本地提升权限的漏洞,成功利用该漏洞且经过身份验证的攻击者可以在 NT AUTHORITY\SYSTEM 账户的上下文执行和 / 或操纵目标计算机上的文件管理。
从漏洞说明也可以看到这个空文件夹还涉及到链接跟踪问题因此用户并不能简单地重新创建 inetpub 文件夹来执行恢复,相反用户应当通过启用 IIS 服务使其自动创建具有相关权限的文件夹以封堵漏洞保护系统安全。
下面是具体操作步骤:
1. 任务栏搜索框输入 控制面板 并打开
2. 在控制面板里打开程序、开启或关闭 Windows 功能
3. 在这里勾选 IIS 服务 (Internet Information Services) 并点击确定
4. 等待 1 分钟左右 IIS 服务会完成安装,此时会自动创建 intepub 文件夹
