Microsoft восстанавливает папку C:\inetpub в Windows 11 — даже без IIS
Microsoft выпустила PowerShell-скрипт под названием Set-InetpubFolderAcl, который восстанавливает системную папку C:\inetpub, если та была удалена в Windows 11. Причём создаётся она даже на устройствах, где Internet Information Services (IIS) не используется. Удалять эту папку не рекомендуется — она важна с точки зрения безопасности.
Как работает скрипт
Администраторы могут установить и запустить скрипт следующими командами:
Install-Script -Name Set-InetpubFolderAcl C:\Program` Files\WindowsPowerShell\Scripts\Set-InetpubFolderAcl.ps1
Скрипт не просто создаёт папку, но и выставляет на неё правильные разрешения IIS, чтобы закрыть потенциальную уязвимость CVE-2025-21204. Она связана с неправильной обработкой символических ссылок в системе обновлений Windows. На уязвимых устройствах злоумышленник с низкими правами может использовать это, чтобы получить доступ к системным файлам через символические ссылки и повысить свои привилегии до уровня SYSTEM.
Что нужно знать об обновлении KB5055523
Microsoft сообщает, что с апреля 2025 года Windows откажется устанавливать обновление KB5055523, если C:\inetpub была создана вручную до его установки. Поэтому папку не следует удалять, даже если IIS у вас не используется. Она теперь является частью защитных механизмов Windows.
При этом сама папка остаётся пустой, но принадлежит учётной записи NT AUTHORITY\SYSTEM, что подтверждает её системный характер. Удаление папки вручную не приводит к сбоям, но может нарушить работу будущих обновлений.
Что такое inetpub?
inetpub — это стандартная директория для IIS. Обычно она содержит подпапки:
Однако в случае обновления KB5055523 создаётся только сама папка без содержимого — даже если IIS в системе не используется.
Вывод: Microsoft теперь считает C:\inetpub важной частью архитектуры безопасности Windows 11. Не удаляйте её — это может повлиять на установку обновлений и стабильность системы.