Sicherheitskritisch: Ordner inetpub wiederherstellen
Mit den April-Updates hat Microsoft ein leeres "inetpub"-Verzeichnis auf Windows-Systemen erstellt – selbst ohne installierten IIS-Webserver. Für viele ein Grund, dieses zu löschen. Doch ohne den Ordner sind Windows-Systeme angreifbar für eine kritische Schwachstelle. Microsoft hat nun ein PowerShell-Skript veröffentlicht, um den Ordner wiederherzustellen.
Nach den Windows-Sicherheitsupdates im April 2025 haben viele Admins plötzlich einen leeren "C:\Inetpub"-Ordner auf ihren Systemen entdeckt. Verständlicherweise war das verwirrend – schließlich ist dieser Ordner normalerweise mit Microsofts Internet Information Server verknüpft. Viele haben den Ordner dann kurzerhand gelöscht. Ein Fehler, wie sich herausstellt.
Der Ordner ist nämlich kein Versehen, sondern ein gezielter Schutz gegen die Sicherheitslücke CVE-2025-21204. Diese Schwachstelle im Windows Update Stack ermöglicht es lokalen Angreifern, durch unsachgemäße Link-Auflösung ihre Berechtigungen zu erweitern. Im Klartext: Angreifer können symbolische Links ausnutzen, um Windows dazu zu bringen, auf unerwünschte Dateien oder Ordner zuzugreifen. Im schlimmsten Fall landen sie mit NT AUTHORITY\SYSTEM-Rechten - also vollen Admin-Privilegien.
PowerShell-Skript zur Rettung
Microsoft hat jetzt reagiert und ein PowerShell-Skript veröffentlicht, mit dem der Ordner wiederhergestellt werden kann. Die Befehle sind simpel:
Install-Script -Name Set-InetpubFolderAcl
C:\Program Files\WindowsPowerShell\Scripts\Set-InetpubFolderAcl.ps1Das Skript setzt nicht nur die korrekten IIS-Berechtigungen, sondern kümmert sich auch um die Access Control Lists (ACL) für das DeviceHealthAttestation-Verzeichnis auf Windows Server-Systemen. Alles automatisch, kein manuelles Gefummel mit Berechtigungen nötig.
Alternative: IIS temporär installieren
Falls das Skript nicht verwendet werden soll, kann auch der Umweg über IIS gegangen werden. Eine Installation der Internet Information Services über "Windows-Features aktivieren oder deaktivieren" in der Systemsteuerung erstellt den inetpub-Ordner mit den korrekten SYSTEM-Berechtigungen. Anschließend kann IIS wieder deinstalliert werden - der Ordner bleibt bestehen und schützt das System weiterhin.
Laut Bleepingcomputer.com und Microsoft ist die Botschaft klar: Der Ordner sollte in Ruhe gelassen werden. Auch wenn er leer aussieht und überflüssig erscheint, ist er ein wichtiger Baustein der Systemsicherheit. Cybersecurity-Experte Kevin Beaumont hat sogar demonstriert, dass Nicht-Admin-User diesen Ordner nutzen können, um Windows-Updates zu blockieren – ein weiterer Grund, warum die korrekte Konfiguration so wichtig ist.