Windows, se hai cancellato questa cartella devi ripristinarla: ecco come

Gli aggiornamenti di sicurezza di aprile 2025 per Windows hanno generato non poca confusione tra gli utenti del sistema operativo Microsoft. La comparsa improvvisa di una cartella vuota denominata inetpub nell'unità C: ha spinto molti a rimuoverla, non comprendendo il suo ruolo nella protezione del sistema. La cartella, tradizionalmente associata a Internet Information Services (IIS), appariva anche su macchine che non avevano mai utilizzato il server web di Microsoft, facendo sorgere qualche dubbio sulla sua legittimità.

Microsoft ha successivamente chiarito che la creazione della cartella rappresentava una misura di sicurezza deliberata, parte delle modifiche implementate per mitigare la vulnerabilità CVE-2025-21204. La rimozione della cartella potrebbe lasciare i sistemi esposti a potenziali attacchi di escalation dei privilegi, dove utenti malintenzionati con accesso limitato potrebbero ottenere autorizzazioni di sistema. La vulnerabilità sfrutta un problema nella risoluzione dei collegamenti simbolici nello stack di Windows Update, permettendo agli aggressori di manipolare file o cartelle non autorizzate nel contesto dell'account NT AUTHORITY\SYSTEM.

Microsoft rilascia uno script per ripristinare la cartella inetpub

Per risolvere la situazione degli utenti che avevano già eliminato la cartella, Microsoft ha pubblicato uno script PowerShell denominato Set-InetpubFolderAcl. Lo strumento, disponibile tramite PowerShell Gallery, può essere installato ed eseguito con due semplici comandi da una shell PowerShell con privilegi elevati. È quindi sufficiente eseguire con diritti da amministratore Windows PowerShell (ad esempio aprendo il Menu Start, iniziare a digitare "PowerShell" e poi dalla sezione "Corrispondenza migliore" premere il tasto destro su Windows PowerShell e poi Esegui come amministratore), e poi inserire i comandi:

Install-Script -Name Set-InetpubFolderAcl

e, in seguito

C:\Program Files\WindowsPowerShell\Scripts\Set-InetpubFolderAcl.ps1

Il primo scarica lo script, mentre il secondo lo esegue sul sistema. Lo script presenta una logica operativa che gestisce diversi scenari. Se la directory inetpub non esiste, viene creata automaticamente con le autorizzazioni IIS predefinite. Nel caso sia presente ma vuota, vengono applicate le corrette autorizzazioni di sicurezza. Lo strumento gestisce anche situazioni specifiche come la presenza della sottodirectory DeviceHealthAttestation, creata dagli aggiornamenti di febbraio 2025 sui sistemi Windows Server Tuttavia, se la cartella contiene altre sottodirectory, lo script termina senza apportare modifiche per evitare interferenze con configurazioni personalizzate.

La funzionalità dello script aggiorna anche le voci di Access Control List (ACL), garantendo che le autorizzazioni siano configurate correttamente per prevenire accessi non autorizzati e potenziali vulnerabilità correlate a CVE-2025-21204. Microsoft ha sottolineato che la cartella non deve essere eliminata indipendentemente dal fatto che IIS sia attivo sul dispositivo, poiché fa parte delle modifiche che aumentano la protezione del sistema.