В апреле 2025 года пользователи Windows столкнулись с неожиданной и на первый взгляд бессмысленной переменой: в корне системного диска появилась пустая папка C:\inetpub. Удивительно, но даже на тех компьютерах, где служба IIS (Internet Information Services) никогда не активировалась, каталог всё равно создавался. Пользователи удаляли его — система продолжала работать. Но Microsoft заявила: папку удалять нельзя. Возникает закономерный вопрос — зачем тогда она нужна?
Разберёмся в этом по порядку. Без эмоций, но с фактами и логикой. Готовы? Поехали.
📂 Что это за папка и почему она появилась?
Папка inetpub — это стандартный каталог, который используется службой IIS, встроенным веб-сервером Windows. Обычно он появляется только при установке IIS и содержит подкаталоги вроде wwwroot, logs, ftproot и другие, связанные с веб-хостингом.
Однако в апреле 2025 года после установки накопительных обновлений эта папка стала появляться даже у пользователей, не включавших IIS. Причём создавалась она пустой, с правами на чтение только для SYSTEM. Естественно, у администраторов возникли вопросы: зачем она там? Это ошибка? Это атака?
Microsoft довольно быстро отреагировала и официально заявила: да, папка создаётся намеренно. Да, её нельзя удалять. И да, даже если IIS не установлен — она всё равно должна присутствовать.
🛡 Как это связано с безопасностью?
Корень проблемы — в уязвимости CVE-2025-21204. Это баг повышения привилегий, связанный с компонентом Windows Process Activation. Подробности об уязвимости ограничены (всё-таки речь идёт о системной безопасности), но известно, что она позволяет злоумышленнику получить права SYSTEM при определённых условиях.
Что делает Microsoft? Она создаёт в системе заранее известную директорию с жёсткими правами доступа, чтобы заблокировать вектор атаки. Это не очевидное, но вполне логичное решение: злоумышленник не сможет создать папку, которую система уже создала — и, значит, не сможет использовать её для внедрения или подмены элементов активации службы.
Ключевой момент: если эта папка уже существует, то установка апрельского обновления может завершиться с ошибкой. Потому что система проверяет, создавалась ли папка обновлением, и если её что-то подменило — обновление не доверяет окружению.
🔥 Что пошло не так?
Microsoft не сразу и не слишком ясно объяснила ситуацию. Пользователи обнаружили странную пустую папку. Она не требовалась для работы системы. Её можно было удалить без последствий. А значит — её и удалили.
Позднее выяснилось, что удаление папки нарушает защитный механизм против CVE-2025-21204. Microsoft попыталась объяснить, как вручную вернуть папку: установить IIS, затем удалить его. Это выглядело как костыль, и не решало проблему системно.
ИБ-эксперты подлили масла в огонь, указав, что злоумышленники могут использовать inetpub, чтобы помешать установке обновлений. Достаточно создать папку заранее с некорректными правами, и Windows откажется обновляться.
🛠 Что теперь предлагает Microsoft?
Теперь ситуация прояснилась. Microsoft выпустила официальный скрипт PowerShell:
Install-Script -Name Set-InetpubFolderAcl
Он создаёт или исправляет папку inetpub, устанавливает нужные права, защищает от атак и устраняет проблемы с обновлением.
В скрипте также предусмотрена корректная настройка ACL (списков контроля доступа) для каталога DeviceHealthAttestation. Этот каталог участвует в проверке целостности системы и важен для корпоративных сред, использующих контроль доверенной загрузки и TPM (Trusted Platform Module).
Иначе говоря, теперь всё работает прозрачно: один скрипт — и система возвращает правильные настройки безопасности.
🧠 Что из этого нужно запомнить?
- Папка C:\inetpub — это не ошибка. Это часть механизма защиты Windows от уязвимости повышения привилегий.
- Удалять её нельзя, даже если вы не используете IIS. Её наличие важно для корректной установки обновлений и защиты от атак.
- Если вы уже удалили папку — восстановите её с помощью скрипта от Microsoft. Устанавливать и удалять IIS теперь не нужно.
- Администраторы должны учитывать этот аспект при автоматизации обновлений. Скрипт можно встроить в пайплайн обслуживания Windows-серверов.
📌 Вывод
На первый взгляд, пустая папка — не повод для тревоги. Но в мире системной безопасности даже пустой каталог может сыграть роль замка от серьёзной атаки. Microsoft выбрала путь минимального вмешательства: один каталог, один скрипт — и уязвимость CVE-2025-21204 становится недоступной.
Важно не только обновлять систему, но и понимать, зачем в ней появляются новые элементы. Бесконтрольное удаление «ненужных» файлов может нарушить тонкие защитные механизмы. Поэтому ИТ-специалисту важно не просто обслуживать систему, а знать, как она устроена.
Если статья помогла вам разобраться — поставьте 👍 лайк. Это поможет алгоритмам рекомендовать материалы, которые действительно полезны. А если у вас остались вопросы или вы не согласны с позицией Microsoft — напишите в комментариях, обсудим.