結論
inetpubフォルダを削除してしまった場合は、MSが公開したPowershellスクリプトを用いてinetpubフォルダを適切な形で作成しましょう
CVE-2025-21204 - セキュリティ更新プログラム ガイド - Microsoft - Windows プロセス アクティブ化の特権昇格の脆弱性
Timeline
- 2025-04-08: KB5055523 がWindows11 24H2向けにWindows Update月例更新として公開される(ほかバージョン向けにも4月月例更新で展開される)
- 2025-04-10: Microsoft、『inetpub』フォルダが作成される現象を説明。Windows11やWindows10などの脆弱性に対処したもの。削除してはいけない | ニッチなPCゲーマーの環境構築Z
- 2025-04-22: Microsoftの更新プログラム、新しい脆弱性を引き起こすとの指摘 | TECH+(テックプラス)
- 2025-04-25: ↑の報告者宛にMSが返信、中程度の深刻度と評価し緊急対応はしないことを明らかに
- 2025-06-06: Microsoft: Run PS script now if you deleted "inetpub" on Windows 11, Windows 10
立て続けにinetpubフォルダを削除するなというニュースとKB5055523の対応が不完全だというニュースが飛んで、どうしたらいいんだ?となった方もいると思いますが、さしあたっててinetpubフォルダが適切な形で作成されていることが大事ということはゆるぎません。
inetpubフォルダを適切な形で作成する手順
注意
すでにC:\inetpubが存在していて、次のようなアクセス権限になっている場合は何もする必要はありません
- Powershellを管理者権限で起動する
-
powershell -ExecutionPolicy Bypassする -
Install-Script -Name Set-InetpubFolderAcl -Forceする。 - (NuGetプロバイダーが必要と言われた場合)yを入力してEnterを押す
-
& "C:\Program Files\WindowsPowerShell\Scripts\Set-InetpubFolderAcl.ps1"する
PS C:\WINDOWS\system32> powershell -ExecutionPolicy Bypass
Windows PowerShell
Copyright (C) Microsoft Corporation. All rights reserved.
新機能と改善のために最新の PowerShell をインストールしてください!https://aka.ms/PSWindows
PS C:\WINDOWS\system32> Install-Script -Name Set-InetpubFolderAcl -Force
続行するには NuGet プロバイダーが必要です
PowerShellGet で NuGet ベースのリポジトリを操作するには、'2.8.5.201' 以降のバージョンの NuGet
プロバイダーが必要です。NuGet プロバイダーは 'C:\Program Files\PackageManagement\ProviderAssemblies' または
'C:\Users\yumetodo\AppData\Local\PackageManagement\ProviderAssemblies' に配置する必要があります。'Install-PackageProvider
-Name NuGet -MinimumVersion 2.8.5.201 -Force' を実行して NuGet プロバイダーをインストールすることもできます。今すぐ
PowerShellGet で NuGet プロバイダーをインストールしてインポートしますか?
[Y] はい(Y) [N] いいえ(N) [S] 中断(S) [?] ヘルプ (既定値は "Y"): y
PS C:\WINDOWS\system32> & "C:\Program Files\WindowsPowerShell\Scripts\Set-InetpubFolderAcl.ps1"
New security permissions on C:\inetpub:
Path : Microsoft.PowerShell.Core\FileSystem::C:\inetpub
Owner : NT AUTHORITY\SYSTEM
Group : NT AUTHORITY\SYSTEM
Access : CREATOR OWNER Allow 268435456
NT AUTHORITY\SYSTEM Allow FullControl
NT AUTHORITY\SYSTEM Allow 268435456
BUILTIN\Administrators Allow FullControl
BUILTIN\Administrators Allow 268435456
BUILTIN\Users Allow ReadAndExecute, Synchronize
BUILTIN\Users Allow -1610612736
NT SERVICE\TrustedInstaller Allow FullControl
NT SERVICE\TrustedInstaller Allow 268435456
Audit :
Sddl : O:SYG:SYD:PAI(A;OICIIO;GA;;;CO)(A;;FA;;;SY)(A;OICIIO;GA;;;SY)(A;;FA;;;BA)(A;OICIIO;GA;;;BA)(A;;0x1200a9;;;BU)(
A;OICIIO;GXGR;;;BU)(A;;FA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;OICIIO;GA;;;S-1-
5-80-956008885-3418522649-1831038044-1853292631-2271478464)