微软分享用于恢复不应删除的 inetpub 文件夹的脚本

微软发布了一个 PowerShell 脚本，用于帮助恢复由 2025 年 4 月 Windows 安全更新创建的、如果被删除的空 inetpub 文件夹。正如微软此前警告的那样，此文件夹有助于缓解一个高危的 Windows 进程激活权限提升漏洞。

今年四月，在安装新的安全更新后，Windows 用户突然发现创建了一个空的 C:Inetpub 文件夹。由于此文件夹与微软的 Internet Information Server 相关联，用户们发现即使没有安装 Web 服务器，它也被创建出来，这让他们感到困惑。

这导致一些人删除了该文件夹，使他们再次容易受到已修补漏洞的攻击。微软表示，删除了该文件夹的用户可以通过从 Windows 的“启用或关闭 Windows 功能”控制面板安装 Internet Information Services 来手动重新创建它 。

一旦安装了 IIS，一个新的 inetpub 文件夹将被添加到 C: 驱动器的根目录下，其中包含文件，并与四月份 Windows 安全更新创建的目录具有相同的 SYSTEM 所有权。此外，如果您不使用 IIS，您可以使用相同的 Windows 功能控制面板将其卸载以将其删除，同时保留 C:inetpub 文件夹。

周三，在对 CVE-2025-21204 咨询的最新更新中，该公司还分享了一个修复脚本 ，该脚本帮助管理员使用以下命令从 PowerShell shell 重新创建此文件夹：

Install-Script -Name Set-InetpubFolderAclC:Program` FilesWindowsPowerShellScriptsSet-InetpubFolderAcl.ps1

正如微软解释的那样，该脚本将设置正确的 IIS 权限，以防止未经授权的访问以及与 CVE-2025-21204 相关的潜在漏洞。

它还将更新 Windows Server 系统上 DeviceHealthAttestation 目录的访问控制列表 (ACL) 条目，以确保其在由 2025 年 2 月的安全更新创建时是安全的。

微软：“不要删除它。”

此 inetpub 文件夹（即使在之前未安装 IIS Web 服务器平台的系统上，也会由 4 月的安全更新自动创建）缓解的安全漏洞（CVE-2025-21204）是由 Windows Update Stack 中的链接解析问题引起的。

这很可能意味着 Windows Update 可能会以一种方式跟随未修补设备上的符号链接，从而让本地攻击者欺骗操作系统访问或修改意外的文件或文件夹。

微软表示，成功利用漏洞可让权限较低的攻击者提升权限，并在 NT AUTHORITYSYSTEM 帐户的上下文中操纵或执行文件管理操作。

虽然在我们的测试中删除该文件夹并未导致使用 Windows 出现问题，但微软告诉 BleepingComputer，它是故意创建的，不应被删除。 微软在针对 CVE-2025-21204 安全漏洞的更新建议中发出了同样的警告，警告用户不要删除空的 %systemdrive%inetpub 文件夹。

“无论目标设备上是否激活 Internet Information Services (IIS)，都不应删除此文件夹。 这种行为是增加保护的变更的一部分，不需要 IT 管理员和最终用户采取任何操作，”该公司警告说。

网络安全专家凯文·博蒙特还演示了非管理员用户可以滥用此文件夹来阻止安装 Windows 更新 ，方法是在 C:inetpub 和任何 Windows 文件之间创建一个连接点。