Pasta inetpub no Windows e sua função de segurança
Uma pasta vazia no diretório raiz do Windows geralmente levanta suspeitas. Ainda mais se ela aparecer após uma atualização e tiver um nome que muitos usuários associam a servidores web. Foi o que aconteceu com inetpubAlgumas pessoas viram a pasta na unidade do sistema, não encontraram arquivos dentro dela e a excluíram, pensando que eram dados residuais desnecessários.
Nesse caso, as aparências enganam. A pasta pode estar vazia e ainda assim fazer parte de uma medida de segurança. Ela não está lá para o usuário acessar. Ela está lá porque o Windows espera que ela exista com permissões específicas.
Você não deveria ter apagado esta pasta do Windows. Veja como recuperá-la.
O que você deve decidir antes de tocar nisso
- A Microsoft cria a pasta intencionalmente. inetpub na unidade de instalação do Windows.
- Você não deve excluir a pasta. inetpub Para proteger a segurança do seu equipamento.
- E em Você o apagou por engano, mas pode restaurá-lo. com um script oficial do PowerShell.
O mais frustrante é que o Windows não explica nada quando isso acontece. Simplesmente está lá, visível, com um nome técnico e sem nenhum contexto para o usuário. Essa falta de explicação é o que transforma uma ferramenta legítima de mitigação em uma pasta que muitos acabam tratando como lixo eletrônico.
Por que o inetpub apareceu mesmo que o IIS nunca tenha sido ativado?
A palavra inetpub Isso não é novidade no Windows. Está relacionado ao Internet Information Services, ou IIS, o componente que permite hospedar sites e aplicativos no sistema. Se o IIS estiver ativo, a pasta pode conter subpastas como... história, registros e temperatura.
Mas aqui está a nuance: após as atualizações KB5055523 para o Windows 11 e KB5055518 para Windows 10, inetpub O problema também começou a aparecer em computadores onde o IIS não estava habilitado. Por isso, parecia ser um bug.
A diferença entre uma "pasta do IIS" e uma "pasta criada por uma atualização de segurança" é importante. No primeiro caso, faz parte de um serviço web. No segundo, atua como parte de uma correção de segurança relacionada a permissões, caminhos e operações internas do Windows. Para o usuário, elas parecem iguais; para o sistema, porém, servem a propósitos diferentes.
A Microsoft esclareceu o caso em Documento de suporte oficial KB5055523Ao instalar a atualização, o Windows cria uma pasta %systemdrive%\inetpubmesmo que o IIS não esteja habilitado.
O motivo está relacionado à vulnerabilidade CVE-2025-21204. Essa vulnerabilidade afetava o serviço de elevação de privilégios de processos do Windows e podia explorar links simbólicos para manipular operações de gerenciamento de arquivos na pilha de serviços do Windows. Em outras palavras, tratava-se de uma questão de confiança relacionada aos caminhos e permissões que o Windows utiliza ao lidar com arquivos confidenciais.
Portanto, a questão principal não é se a pasta parece vazia. A questão principal é quem a criou, onde ela está localizada e quais permissões ela possui.
A armadilha de criar um novo inetpub manualmente
Se você já excluiu a pasta, criar outra com o mesmo nome parece uma solução razoável. Mas não é bem assim.
Uma pasta chamada inetpub Uma pasta criada pelo usuário não necessariamente tem as mesmas permissões que a pasta gerada pela atualização. E, neste caso, as permissões não são um detalhe menor: elas são parte da razão pela qual a pasta existe.
Você pode verificar isso no Explorador se adicionar a coluna. "Proprietário"A pasta criada pela Microsoft aparece com um proprietário. SistemaUma pasta criada manualmente geralmente está associada ao usuário que a criou.
Se a pasta ainda estiver na Lixeira, restaurá-la de lá pode ser suficiente. Caso contrário, existem duas abordagens comuns: habilitar o IIS ou usar o script oficial. Habilitar o IIS pode recriar a estrutura, mas também adiciona componentes e subpastas específicos de um servidor web. Para quem não usa o IIS, isso é mais ruído do que o necessário.
A opção mais limpa é a script oficial da MicrosoftPorque restaura a pasta com as permissões adequadas sem obrigar você a ativar completamente o IIS.
Abra o PowerShell como administrador e execute:
Definir-PolíticaDeExecução -Escopo Processo -IgnorarPolíticaDeExecução
Em seguida, instale o script:
Install-Script -Name Set-InetpubFolderAcl -ForceSe o PowerShell solicitar que você instale o provedor NuGet, responda com E e pressione Enter. Em seguida, repita o comando de instalação.
Se você vir a mensagem “Comando não encontrado” ou se o script não for chamado corretamente a partir do console, execute-o com o caminho completo:
& "C:\Program Files\WindowsPowerShell\Scripts\Set-InetpubFolderAcl.ps1"Ao terminar, verifique a unidade onde o Windows está instalado. A pasta inetpub Deverá estar lá novamente, não mais como uma pasta improvisada, mas com a configuração que a mitigação espera.
Não há muito mais o que fazer com inetpubNão ocupa muito espaço, não requer manutenção e não significa que você tenha um servidor web rodando em segundo plano. Sua função, neste contexto, é mais sutil: estar presente onde o Windows precisar.
A lição é menos óbvia do que o problema: na raiz do sistema, uma pasta vazia nem sempre é apenas um resquício. Às vezes, é uma medida de segurança que passa despercebida até que desapareça.
