[English]Kleiner Nachtrag vom April 2025-Patchday (8. April 2025) – vor lauter Bugs bin ich noch nicht dazu gekommen, einen weiteren (kosmetischen) Fehler zu berichten. In Windows 10 (2019 und 22H2) sowie Windows 11 (23H2 und 24H2) wird bei installierten April 2025 Sicherheitsupdates plötzlich ein leerer Order „inetpub“ angelegt. Das erfolgt aus Sicherheitsgründen.
Windows 11 24H2 hat plötzlich Ordner „inetpub“
Nach dem April 2025-Patchday (8. April 2025) häuften sich die Beschwerden von Windows-Nutzern, bei denen plötzlich ein Ordner „inetpub“ auf dem Windows-Laufwerk durch das installierte Update angelegt wurde. Will Dorman hat es beispielsweise in diesem Tweet aufgeworfen.
Ich bin auf verschiedenen Internetseiten auf diesen Sachverhalt gestoßen. Windows Latest beschreibt es beispielsweise in nachfolgendem Tweet und im Artikel Windows 11 KB5055523 issue creates “inetpub” folder out of nowhere.
Die Botschaft im Artikel lautet, dass das Update KB5055523 vom 8. April 2025 unter Windows 11 24H2 „aus heiterem Himmel“ einen Ordner „inetpub“ auf dem Systemlaufwerk anlegt. Der Ordner bleibt leer und ist ungeschützt, könnte also vom Benutzer auch gelöscht werden (sollte man aber nicht tun).
Ordner „inetpub“ ist bekannt
Der Ordner „inetpub“ ist kein Unbekannter, denn dieses Verzeichnis wird angelegt, wenn ein Administrator die Internetinformationsdienste im Dialogfeld Windows-Features aktiviert.
Bei den Internet Information Services (IIS), wie das Feature auf Englisch heißt, ist eine Webserver-Plattform, die von Microsoft entwickelt wurde, um Websites, Webanwendungen und Dienste auf Windows-Systemen zu hosten. Dieses Feature ist nicht standardmäßig installiert, kann aber über das Dialogfeld Windows-Funktionen aktiviert werden.
Ich habe mal nachgeschaut, auf meinem System ist der betreffende Dienst nicht über das betreffende Kontrollkästchen aktiviert und installiert worden. Trotzdem finde ich den Ordner auf meinem Windows 10 2019 IoT Enterprise LTSC.
Ingo Böttcher hat die Tage im Microsoft Answers-Forum diesen Post mit einer ähnlichen Erklärung veröffentlicht.
Alle Windows-Versionen betroffen
Während Windows Latest noch von Windows 11 24H2 als betroffen berichtet, hat sich ein weiterer Nutzer mit Windows 11 23H2 gemeldet, der den Ordner ebenfalls gefunden hat.
Ich selbst findet diesen Ordner unter Windows 10 2019, welches ebenfalls ein April 2025-Update erhalten hat. Die Kollegen von Bleeping Computer schreiben in diesem Artikel, dass Microsoft bestätigt habe, dass der Ordner inetpub auch unter Windows 10 erstellt wird.
Ordner wird aus Sicherheitsgründen angelegt
Der Grund, warum der Ordner plötzlich angelegt wurde, war mir bisher unbekannt. Bleeping Computer hatte aber beim Microsoft nachgefragt und erhielt auch eine Antwort. Laut Microsoft wurde der Ordner mit Absicht angelegt und sollte nicht gelöscht werden. Eine Begründung wurde aber nicht geliefert.
Ergänzung: Patrick weist in einem der nachfolgenden Kommentare aber auf Beschreibung der Schwachstelle CVE-2025-21204 durch Microsoft hin. Hier der Auszug aus der FAQ:
Does installing the Windows security updates that address this CVE cause visible change on devices?
After installing the updates listed in the Security Updates table for your operating system, a new %systemdrive%\inetpub folder will be created on your device. This folder should not be deleted regardless of whether Internet Information Services (IIS) is active on the target device. This behavior is part of changes that increase protection and does not require any action from IT admins and end users.
Dort heißt es, dass durch die Updates zum Schließen der Schwachstelle der Ordner inetpub angelegt wird.
Ähnliche Artikel:
Microsoft Security Update Summary (8. April 2025)
Patchday: Windows 10/11 Updates (8. April 2025)
Patchday: Windows Server-Updates (8. April 2025)
Patchday: Microsoft Office Updates (8. April 2025)
Outlook 2016: Kalender-Zugriff nach April 2025-Update KB5002700 gesperrt
Word/Excel 2016: Abstürze nach April 2025 Update KB5002700?
Microsoft arbeitet bestimmt am Revival der Peer Web Services aus NT4 (Workstation) Zeiten. Muss die QS sein, die Microsoft wegrationalisiert und nun durch KI ersetzt hat.
Das „Ding“ was Du meinst, hieß „Windows NT (4.0) Option Pack“, hatte auch so Zeugs wie Frontpage (1.0/2.0, es gab ein paar Revisionen) usw. dabei; IIS war es schon in der Alpha Phase von selbigem (wobei es den IIS als auch den Option Pack sogar für „Alpha“ und MIPS und Co gab, via „Select“, und ontop sogar für NT 3.51). Nur als Ergänzung :-)
Das Option Pack brachte AFAIK den IE4 und Active Desktops inkl. einige Detailverbesserung an den Dialogen. An den PWS kann ich mich jetzt nicht mehr erinnern. Neben den SP6a eigentlich Pflicht für jedes NT4 in seinen Endzeiten vor Erscheinen von 2K. Wobei es da noch ein Update für NT4 gab, das die bis heute gleich gebliebenen EIgenschafts- und Berechtigungsdialoge aus Windows 2K zu NT4 brachte.
Hach, das war die Zeit, wo MS auf breiter Front alles an Novell und Unix verdrängte. Den Peak gab es Anfang er 2000er Jahre, doch ab da setzte die Regression ein.
Mittlerweile finde ich diesen Ordner in allen meinen standardisierten Windows 11 Systemen wieder.
Dieser Ordner wird m.E. vom .Net Framework Update erzeugt. Wenn man über Systemsteuerung\Programme und Features\Windows Features\ bei .Net egal ob 3.5 oder 4.8 aus versehen die HTTP-Aktivierung aktiviert wird der Ordner auch erstellt., dann ist da glaube auch was drin :) Ich habe den Ordner auch schon direkt nach einer Installation gesehen, weis aber nicht mehr ob das noch bei Windows 8.1 oder schon Windows 10 war.
Ich war ehrlich gesagt schon überrascht dazu Artikel zu sehen und wie wenig der Sachverhalt mit der HTTP-Aktivierung bekannt ist.
Tja da lag ich wohl falsch :P
Gefunden bei Windows 10 Workstation, Pro, LTSC (2019 und 2021) sowie Windows 11 LTSC
• Title: Windows Process Activation Elevation of Privilege Vulnerability
• Version: 2.1
• Reason for revision: Added FAQ to explain that after installing the updates listed in the Security Updates table for your operating system, a new %systemdrive%\inetpub folder will be created on your device. **This folder should not be deleted regardless of whether Internet Information Services (IIS) is active on the target device.** This behavior is part of changes that increase protection and does not require any action from IT admins and end users. This is an informational change only.
Das hat Microsoft frisch geschrieben.
Added FAQ to explain that after installing the updates listed in the Security Updates table for your operating system, a new %systemdrive%\inetpub folder will be created on your device. This folder should not be deleted regardless of whether Internet Information Services (IIS) is active on the target device. This behavior is part of changes that increase protection and does not require any action from IT admins and end users. This is an informational change only.
Details dazu hier: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21204
Ist es möglich, dass es bereits im Februar mal der Fall gewesen ist? Auf einem 2025 Server Core, wo ich schon Updates installiert habe, sehe ich den Ordner auch mit dem Datum der Installation. Dort ist nur ein Ordner „DeviceHealthAttestation“ vorhanden, wo eine DLL drin ist. Bei einer 2022 Maschine, die ich noch nicht aktualisiert habe, ist der Ordner auch da, aber vom Datum im Februar, wo die Updates von Februar installiert wurden.
Also auf dem Client nicht, das sind meine Beobachtungen auf dem Server, wo ich es gerade nachgesehen habe. Und dort ist der Ordner auch leer.
Klasse.
D.h. es besteht noch Hoffnung auf die versehentliche Rückkehr des alten Minesweeper sowie von Karl Klammer?
:-) Schönes Wochenende an Alle!
Auch auf Windows 7 wird der Ordner inetpub erzeugt.
Jetzt fühle ich mich gleich viel sicherer dank dieses schützenden Ordners.
Als normaler Nutzer ohne Adminrechte kann ich in dem inetpub Ordner nicht schreiben. Das erscheint mir eher ein dreckiger Fix zu sein, der verhindert das man den Ordner erstellt und irgendwas ausführbares darin speichert weil man damit dann fiese Sachen machen könnte. Schließlich kann ich auch als Nutzer ohne Adminrechte Ordner direkt auf C erstellen.
Der inetpub-Ordner ist also auch einer dieser Mock-Ordner, mit denen man den Applocker umgehen kann.
Daher sollte man die Benutzerrechte für das Hauptverzeichnis einschränken, damit Benutzer keine neuen Ordner anlegen dürfen.
Also praktisch ein Fix für eine jetzt verbrannte Backdoor, könnte man auch sagen.
Dafür gab es vor längerer Zeit mal einen Fix, den man als Gruppenrichtlinie ausrollen konnte. Er änderte die Berechtigungen so, daß nur noch mit erhöhten Rechten man Ordner in c:\ erstellen kann. Bei der ersten Anmeldung dauerte es länger, bis die Rechte angepaßt waren. Leider finde ich auf die Schnelle nichts mehr dazu.
Ich habe den inetpup Ordner, da ich IIS installiert habe und gelegentlich einen FTP-Zugang damit zur Verfügung stelle, nachdem ich zuvor den FTP-Service aktiviert habe. Nach der Sitzung wird der Service durch mich wieder beendet.
Ich werde sicherheitshalber vor dem angesprochenen Update eine Sicherheitskopie meines inetpub Ordners anlegen. Ich weiß ja nicht, was das Update macht, wenn bereits ein inetpub Ordner vorhanden ist. Lässt das Update den dann in Ruhe oder überschreibt es ihn?
Wenn die Sicherheit eines OS durch einen leeren Ordner erhöht wird, wie ist es dann um die Sicherheit des OS bestellt?
Das normale User standardmäßig Ordner in C direkt anlegen dürfen ist ja eh schon ein Fail
Ich kenne den Zweck: Darin wird Microsoft in den nächsten Monaten nach und nach ein Abbild der M365 Cloud ablegen und dann schwenken. So spart man Rechenzentren, die Clients haben eh genug Power.
Sollte man als Satire kennzeichnen
Oder weiterdenken, was z.B. Dinge wie Copilot auf den Clients im Hintergrund so alles treiben könnten?
Wer den Ordner nicht sehen will, der sollte ihn als „System-Hidden“ markieren. Vorausgesetzt man hat im Explorer die „Geschützte Systemdateien ausblenden“-Option aktiviert gelassen.
CMD aufrufen und eingeben: attrib +H +S C:\inetpub /D
Zum rückgängig machen: attrib -H -S C:\inetpub /D
und wie bekomme ich diesen Ordner wieder, wenn er schon gelöscht wurde? Ordner anlegen ist je kein Thema, aber welcher Benutzer hat welche Rechte? Finde dazu leider keine Informationen
ich würde das Update deinstallieren und erneut installieren
Ist ein Scherz -oder?
Wegen einem Ordner das ganze Update neu installieren, das geht sicher auch einfacher?!
Ein vom Administrator beherzt ausgeführtes MKLINK „%SystemDrive%\InetPub“ „.“ schützt VIEL besser als M$FTs halbherziger Versuch (und verhindert auch die Installation des „Internet Intrusion Servers“): siehe https://skanthak.hier-im-netz.de/blunder.html#blunder56
Das Kommando ICACLs.exe %SystemDrive%\ /Deny *S-1-5-32-545:(AD,WD) /Q /Remove:d *S-1-5-32-545 /Remove:g *S-1-5-11
zum Ändern der Zugriffsrechte des Wurzelverzeichnisses steht seit VIELEN Jahren auf https://skanthak.hier-im-netz.de/SAFER.html
So sind die Rechte bei mir:
ERSTELLER-BESITZER: Spezielle Berechtigungen (was auch immer, kann nicht mehr erkennen)
SYSTEM: alles außer „Spezielle Berechtigungen“ zulassen
Administratoren: alles außer „Spezielle Berechtigungen“ zulassen
Benutzer: Lesen, ausführen; Ordnerinhalt zeigen; Lesen
TrustedInstaller: alles außer „Spezielle Berechtigungen“ zulassen
FYI
Name: C:\inetpub
Besitzer: SYSTEM
– Berechtigungen
Prinzipale: TrustedInstaller | SYSTEM | Administratoren
Typ: Zulassen
Anwenden auf: Diesen Ordner, Unterordener und Dateien
Grundlegende Berechtigungen: Vollzugriff…
Erweiterte Berechtigungen: Alle
Prinzipal: Benutzer
Typ: Zulassen
Anwenden auf: Diesen Ordner, Unterordener und Dateien
Grundlegende Berechtigungen: Lesen, Ausführen…
Erweiterte Berechtigungen: Ordner durchsuchen / Datei ausführen; Ordner auflisten / Daten lesen; Attribute lesen; Erweiterte Attribute lesen; Berechtigungen lesen
Prinzipal: ERSTELLER-BESITZER
Typ: Zulassen
Anwenden auf: Nur Unterordener und Dateien
Grundlegende Berechtigungen: Vollzugriff…
Erweiterte Berechtigungen: Alle
– Überwachung: -/-
– Effektiver Zugriff: -/-
Hier wird beschrieben das man temporär den IIS instellieren und deinstallieren kann um den Ordner neu zu erstellen.
xttps://www.bleepingcomputer.com/news/security/microsoft-windows-inetpub-folder-created-by-security-fix-dont-delete/
Ein Unding was MS da treibt ( die Information nachzureichen )
Jeder normale Admin wird das ohne weiteres Wissen für einen Fehler halten
und den Ordner löschen ( Was man nicht unbedingt braucht gehört nicht auf den Rechner ).
Ich hab das Ding auch reflexartig gelöscht …
Vermutlich gibt es einen Angriffsvector wenn der Ordner nicht da ist mit entspr. Rechten versehen. Das würde dieses seltsame Verhalten erklären.