[English]Zum April 2025-Patchday kam es unter Windows 10/11 zur Verwirrung über einen angelegten Ordner "inetpub". Manche Nutzer löschten diesen Ordner, obwohl Microsoft diesen benötigt. Nun hat Microsoft ein "Reparatur"-Script freigegeben, welches diesen Ordner auf der Windows-Systempartition wieder restauriert.
Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)
Worum geht es bei inetpub?
Nach dem April 2025-Patchday (8. April 2025) häuften sich die Beschwerden von Windows-Nutzern, bei denen plötzlich ein Ordner "inetpub" auf dem Windows-Laufwerk durch das installierte Update angelegt wurde. Verantwortlich waren die April 2025-Updates für Windows 10 (2019 und 22H2) sowie Windows 11 (23H2 und 24H2).
Der leere Ordner "inetpub" wurde aus Sicherheitsgründen auf dem Laufwerk erzeugt, um auf die von der Lumma-Malware ausgenutzte Schwachstelle CVE-2025-21204 abzuschwächen. Microsoft schrieb in der FAQ zur Schwachstelle, dass der von den Updates auf dem Gerät angelegte neue Ordner %systemdrive%\inetpub nicht gelöscht werden sollte. Das gilt unabhängig davon, ob die Internetinformationsdienste (IIS) auf dem Zielgerät aktiv sind. Dieses Verhalten sei ist Teil der Änderungen, die den Schutz erhöhen, und erforderte keine Maßnahmen von IT-Administratoren und Endbenutzern. Ich hatte im Beitrag Windows 10/11: April 2025-Updates legen Ordner "inetpub" an über den Sachverhalt berichtet.
Script zum Anlegen des Ordners
Leider hatten viele Benutzer, nachdem Berichte im Internet erschienen, diesen Order manuell gelöscht. Aus diesem Grund hat Microsoft ein PowerShell-Script veröffentlicht, mit dem sich der Ordner wieder erzeugen lässt.
Das Script Set-InetpubFilderAcl.ps wird in der PowerShell Gallery unter dieser URL zum Download angeboten. Dieses Script muss mit administrativen Berechtigungen (Als Administrator ausführen, z.B. in der PowerShell-Konsole) über nachfolgenden Befehl in der PowerShell-Konsole aus dem Download-Ordner ausgeführt zu werden:
Install-Script -Name Set-InetpubFolderAcl
Das Script prüft, ob das Verzeichnis inetpub existiert. Wenn das Verzeichnis inetpub nicht existiert, wird es erstellt und die Standard-IIS-Berechtigungen werden auf das Verzeichnis angewendet.
Bei einem vorhandenen leeren Ordner, setzt das Skript die Standard-IIS-Berechtigungen für das Verzeichnis inetpub. Ist das Verzeichnis inetpub vorhanden und enthält es nur das Unterverzeichnis DeviceHealthAttestation, werden die Standard-IIS-Berechtigungen auf beide Verzeichnisse angewendet.
Ist das Verzeichnis inetpub vorhanden und enthält es andere Unterverzeichnisse, wird das Skript beendet, ohne Änderungen vorzunehmen.
MVP: 2013 – 2016
In welchem Ordner mus die Set-InetpubFolderAcl.ps1 liegen, damit der Powershell-Befehl greift? Windows\System32?
Im Benutzerordner, aber Powershell Console mit als Administrator ausführen aufrufen
Das ist völlig egal, wo das Script liegt, solange das System nicht speziell gehärtet ist. Aber dann stellte sich die Frsge erst gar nicht.
Man kann es auch vom USB-Stick ausführen.
Man legt nichts in c:\windows\system32 ab, denn wie der Name schon sagt, gehören dort nur Systemdateien hin.
Wo es liegt ist erstmal egal, wobei der Befehl "Install-Script -Name Set-InetpubFolderAcl" bei den Meisten eher nicht funktionieren wird! (Wg. 'Execution Policy' und scheinbar standardmäßig auch nicht vorhandenem Sicherheitszertifikat)
Wer das ohne weitere Änderung installieren will kann folgenden Befehl, so oder so ähnlich – ich habe es nicht getestet – verwenden:
Für PowerShell 6+
pwsh.exe -noprofile -executionpolicy bypass -file "PFAD\Set-InetpubFolderAcl"
Für PowerShell 5-
Powershell.exe -noprofile -executionpolicy bypass -file "PFAD\Set-InetpubFolderAcl"
Ich bilde mir ein das inetpub eh bei jedem Patchday wieder angelegt wird, wenn dieser gelöscht wurde.
Ist Einbildung ;-P
Ein System braucht bestimmte (leere) Ordner um Effekte von Malware "abzuschwächen" … ?
Naja seht ihr selbst …
Vermutlich kann man die Schwachstelle auch ausschalten, indem man den Stammordner entsprechend einschränkt. Vielleicht war das Microsoft zu heikel, weil sich zu viele Schrottsofware darauf verlässt. Aus hysterischen Gründen darf auf C:\ jeder unpriviliegerte Benutzer Ordner erstellen. Wenn dort Ordner fehlen, vorhandenen Programme oder Dienste aber von deren Vorhandensein und Integrität ausgehen, dann hat man ein Sicherheitslücke, da jeder diesen Ordner erstellen und dann beliebige Inhalte dort ablegen kann.
Das ist auch mit einer der Gründe, warum man Sofware immer nach %ProgramFiles% installiert, von der generellen Notwendigkeit pedantisch strukturellens Vorgehen in der IT, wenn man aufhnnur 0,1% Sicherheit haben will, abgesehen.
Microsoft hat einen Fehler gemacht, dass sie im Stammverzeichnis einen optionalen Ordner eingeführt haben ohne die historische Lücke durch die Berechtigungen im Stammverzeichnis zu schließen.
Aber spätestens seit MS angefangen hat Programme im Benutzerprofil abzulegen, ist klar, dass sie ihre eigene Umgebung nicht mehr verstehen. Das Skript ist natürlich nur Makulatur.
Am Ende der Windows Reise werden alle Daten und alle Programme im Benutzerprofil sein und das Benutzerprofil in der Microsoft Cloud hinter einem Microsoft Konto.
M$ beachtet die selber festgelegten Ordner ja auch nicht. Deren SQL Server speichert die Datenbanken nicht etwa irgendwo unter %ProgramData%\Microsoft SQL Server, sondern unter %ProgramFiles%.
Äh, nein… Wenn du das machst, bist du ein extrem schlechter Datenbank-Admin.
https://learn.microsoft.com/en-us/sql/sql-server/install/file-locations-for-default-and-named-instances-of-sql-server?view=sql-server-ver17
Instead of \{Program Files}\Microsoft SQL Server, a \Microsoft SQL Server is used if the user chooses to change the default installation directory.
Datenbanken gehören garnicht aufs System-Laufwerk.
Ich wiederhole mich:
Es ist also schon soweit, dass "wir" Dummy Ordner erstellen um grundlegende Designschwächen auszumerzen.
Wenn das schon soooo kritisch ist, warum ziehen sie es nicht mit den Rollups mit – um die paar Zeilen Code kommt es auch nicht mehr an.
Aber nö bisschen Strafe muss schon sein für den löschfreudigen User dem man zumindest ein PS Script zum Fraß hinwirft.
Was für eine Fricklerei… unglaublich!
Hat jemand mal getestet, ob das Script auch wirklich exakt zum selben Ergebnis
(wie durch KB5055528) führt?
Denn zumindest der oft genannte Workaround (IIS install, uninstall) erstellt den Ordner mit anderen Berechtigungen.
Sind wir jetzt also bei drei Varianten oder bleibt es bei zweien? ;-)
Grüße, Martin
P.S. Danke Hr. Born für das Update, sprich für diesen Artikel!
Nimm halt MacOS oder Linux oder BSD oder CP/M oder sonst was. ALLES ist besser als der MS Kram
Oh my dear… brauchen die typischen Klicki-Bunti-Admins und Microsoft-Jünger extra ein Skript von der großen Heiligkeit damit ein Ordner mit den passenden Berechtigungen erstellt wird?
Security Cargo-Cult at its best…
Magst du eine Anleitung posten/schreiben wie man das Script auf den Rechner bekommt und ausführen kann?
Eigentlich braucht es kein spezielles Skript!
Das Skript macht es halt nur einfacher.
Du solltest aber das Skript, wenn Du es denn hast, einfach mit Adminrechten starten.
Mehr ist nicht zu tun.
Und wenn es immer noch nicht klappt => https://www.deskmodder.de/phpBB3/viewtopic.php?t=33203
Wie gesagt, mit Adminrechten starten.
Na immerhin ist es keine Klicki-Bunti Screenshotserie sondern gleich ein Skript.
Auf Systemen mit der schrecklich offenen Startkonfiguration auf C:\ (mit Erstellungsrechten für Authenticated Users) hätten selbst hingebuntiklickte Ordner ein hohes Potential, zu offen konfigurieriert zu verbleiben.
Ich frage mich, ob das bei Betroffenen jetzt nur einmalig sein muss um den Karren aus dem Dreck zu ziehen und ob die "Reparaturmechanismen" es in Zukunft selbst korrekt nachkonfigurieren…
Und unter deinem Profi-Betriebssystem wo jeder den Quellcode einsehen kann, gibts keine Scripte? Teufelszeug…
Hallo Frokö, meinst Du mich? Falls ja, musst Du irgendwas übelst mißverstanden haben. Weil ich den Zusammenhang in Deiner Nachricht nicht zuordnen kann, muss ich passen :)
Hab damit begonnen, diverse Kommentar-Threads, wo es um gegenseitige Beharkungen geht, rigoros zu löschen – muss nicht sein! Danke für euer Verständnis.
Wo im Beitrag werden eigentlich "Admins" erwähnt?
Ach und nicht vergessen: Admin kann böse, böse Dinge auf Computer machen! ;)
Ich glaube mehr Transparenz bei der Berechtigung des Ordners kann man nicht bekommen. Ist er falsch berechtigt oder nicht vorhanden, dann wird das Thema recht schnell gelöst.
https://www.der-windows-papst.de/2025/06/07/iis-inetpub-folder-acl-manager/