Sinds update Windows 11 kunnen je mappen er vreemd uitzien
De jongste Patch Tuesday-update dichtte niet alleen 200 beveiligingslekken in Windows, maar bracht ook weer prestatieverbeteringen. Wat minder ruchtbaarheid was er rond een extra beveiligingsmaatregel voor Windows 10 en Windows 11 (via Windows Report). Voortaan negeert het systeem namelijk desktop.ini-bestanden van onbetrouwbare bronnen. Microsoft bevestigde dat daardoor ook aangepaste mapiconen of -namen niet langer kunnen verschijnen. Dat is geen fout, maar maakt deel uit van de strengere beveiligingsstrategie.
De juni-updates KB5094126 (Windows 11 25H2/24H2), KB5093998 (Windows 11 23H2) en KB5094127 (Windows 10 22H2) veranderen hoe Windows omgaat met desktop.ini-configuraties. Dat is het verborgen configuratiebestand dat bepaalt hoe een map er exact uitziet. Als gebruiker of beheerder kan je daarmee aanpassen hoe mappen verschijnen in Windows Verkenner. Zo kan je namen, iconen en andere uiterlijke info naar wens veranderen.
Enkel voor vertrouwde bronnen
Vanaf nu toont Windows die aanpassingen niet meer als het desktop.ini-bestand afkomstig is van een bron die niet volledig te vertrouwen is. Dat gaat dan om bestanden die van het internet komen, van bepaalde WebDAV- of HTTP‑locaties of bestanden op netwerkpaden die niet als intranet of vertrouwd zijn gemarkeerd.
Microsoft voert de strengere maatregel in omdat aanvallers al lang de mechanismen van aangepaste mappen misbruiken. Ze konden zo’n desktop.ini-bestand manipuleren en op een gedeelde netwerkmap plaatsen. Zodra iemand die map dan opende, kon een buffer overflow ontstaan. Daarbij probeert een programma meer gegevens in een tijdelijk geheugengebied te proppen dan er eigenlijk in passen. Die overtollige data stroomt over naar aangrenzende geheugenlocaties, wat leidt tot crashes of ernstige beveiligingslekken. Dat is voor Microsoft voldoende reden om dergelijke bestanden niet langer automatisch te vertrouwen.
Door die aangepaste omgang met desktop.ini kan het voorkomen dat het uiterlijk van je mappen er nu anders uitziet. De werking blijft gelukkig onveranderd, dus je behoudt de toegang tot die mappen. Het gebeurt trouwens enkel als Windows de bron van het desktop.ini-bestand niet vertrouwt.
Wie wil, kan die strengere omgang trouwens herroepen. Dat doe je natuurlijk best enkel als je de nodige ervaring hebt. Het gaat overigens vooral om computers binnen organisaties die de mappen niet meer zien zoals voorheen. Microsoft raadt aan om enkel bronnen te vertrouwen waarvan je zeker weet dat ze veilig zijn. Een mogelijke oplossing is om de betreffende locatie toe te voegen aan de lijst met vertrouwde zones.
