立即下载
时间 2026-06-11 13:58:10
作者 yonghuang
来源 系统之家装机大师 6 月 11 日最新消息,六月 Windows 月度补丁加固 desktop.ini 安全策略,外部来源配置文件默认拦截不加载。仅本机可信目录文件允许生效,封堵恶意利用 desktop.ini 伪装文件夹、投放病毒的攻击路径,企业可借助组策略添加信任目录,兼顾安全与自定义文件夹样式需求。
安全机制变更背景
desktop.ini 是 Windows 用于自定义文件夹外观与行为的配置文件,可设置自定义图标、缩略图、本地化名称及信息提示。由于 Windows Shell 在打开文件夹时自动读取该文件,其解析过程中存在的未检查缓冲区自 Windows XP 时代起便成为潜在攻击面。攻击者可通过构造包含恶意属性的 desktop.ini 文件并放置于网络共享,当用户浏览该文件夹时触发缓冲区溢出,进而以当前用户权限执行任意代码。
受影响的文件来源类型
更新后,以下三类来源的 desktop.ini 文件将被视为不可信:
携带 Mark-of-the-Web(MOTW)标记的互联网下载文件。
从特定远程位置(如部分 WebDAV 或 HTTP 位置)复制的文件。
位于未被区域策略归类为内部网络或受信任的网络路径上的文件。
管理员可选的三种应对方案
微软在支持文档中提供了分层的管理选项,按推荐程度排序如下:
方案一:添加至受信任站点(推荐)
将已知内部或托管内容源添加至受信任站点列表。被标记为信任的来源可正常处理 desktop.ini,同时保留对其他位置的保护机制。
方案二:通过组策略恢复先前行为
启用策略 “Allow the use of remote paths in file shortcut icons” 可恢复 2026 年 6 月更新前的行为,适用于需要广泛兼容性的组织环境。
方案三:移除 MOTW 标记
对确认可信的内容,可通过 PowerShell 命令移除 MOTW 标记。单文件使用 Unblock-File “路径\desktop.ini”,批量处理可使用 Get-ChildItem 配合管道与 Unblock-File。
安全建议与注意事项
微软明确警告,不建议使用组策略进行大面积回退,这会降低对潜在恶意远程文件夹定制内容的防护。官方建议仅对受控内部来源授予信任,并尽可能保持严格的信任设置。
系统推荐
1. 拥有超强的性能,专为“干重活”的专业用户设计(例如 CAD、动画、媒体制作者、图形设计团队等等),推荐你下载:Windows11 25H2 专业工作站版(前往下载)
2. 真正纯净的 Windows11 专业版系统,安装完成以后不捆绑软件,系统占用小。推荐你下载:Windows11 25H2 纯净专业版系统(前往下载)
3. 拥有五年超长生命周期支持的养老版,不频繁更新补丁,适合对稳定性要求高的企业用户。推荐你下载:Win11 24H2 LTSC 2024 企业版(前往下载)
4. 支持远程桌面主机、组策略管理等高级功能,适合对安全性、管理性和专业性有更高需求的用户。推荐你下载:Windows 11 25H2 专业版(前往下载)
以上是系统之家装机大师提供的最新资讯,感谢您的阅读,更多精彩内容请关注系统之家装机大师官网。
