微软在 2026 年 6 月 Patch Tuesday 更新中对 Windows 处理 desktop.ini 文件的方式进行了安全加固。安装 KB5094126(Windows 11 25H2/24H2)或 KB5093998(Windows 11 23H2)后,来自不受信任来源的自定义文件夹展示将被阻止。
安全机制变更背景
desktop.ini 是 Windows 用于自定义文件夹外观与行为的配置文件,可设置自定义图标、缩略图、本地化名称及信息提示。由于 Windows Shell 在打开文件夹时自动读取该文件,其解析过程中存在的未检查缓冲区自 Windows XP 时代起便成为潜在攻击面。攻击者可通过构造包含恶意属性的 desktop.ini 文件并放置于网络共享,当用户浏览该文件夹时触发缓冲区溢出,进而以当前用户权限执行任意代码。
受影响的文件来源类型
更新后,以下三类来源的 desktop.ini 文件将被视为不可信:
- 携带 Mark-of-the-Web(MOTW)标记的互联网下载文件
- 从特定远程位置(如部分 WebDAV 或 HTTP 位置)复制的文件
- 位于未被区域策略归类为内部网络或受信任的网络路径上的文件
管理员可选的三种应对方案
微软在支持文档中提供了分层的管理选项,按推荐程度排序如下:
方案一:添加至受信任站点(推荐)
将已知内部或托管内容源添加至受信任站点列表。被标记为信任的来源可正常处理 desktop.ini,同时保留对其他位置的保护机制。
方案二:通过组策略恢复先前行为
启用策略 “Allow the use of remote paths in file shortcut icons” 可恢复 2026 年 6 月更新前的行为,适用于需要广泛兼容性的组织环境。
方案三:移除 MOTW 标记
对确认可信的内容,可通过 PowerShell 命令移除 MOTW 标记。单文件使用 Unblock-File "路径\desktop.ini",批量处理可使用 Get-ChildItem 配合管道与 Unblock-File。
安全建议与注意事项
微软明确警告,不建议使用组策略进行大面积回退,这会降低对潜在恶意远程文件夹定制内容的防护。官方建议仅对受控内部来源授予信任,并尽可能保持严格的信任设置。
via Neowin
