科技媒体Borncity于5月8日发布报告,披露了Windows 11系统组策略编辑器存在的一个关键漏洞。该漏洞可能导致管理员设置的大数值策略被系统静默篡改,对依赖精确配置的企业IT环境构成潜在风险。
具体而言,在Windows 11的24H2及25H2版本中,当管理员通过本地组策略编辑器(gpedit.msc)或远程服务器管理工具(RSAT)中的组策略管理控制台(GPMC)进行操作时,若输入某些超大的十进制策略值,系统并不会正确保存原始输入。相反,它会自动将数值“缩小”后再写入注册表。一个已被确认可稳定复现的案例是:输入数值4294967295,保存后该值会被错误地更改为2147483647。
据悉,此漏洞由安全研究员Mark Heitbrink发现并已于2026年3月报告给微软(案件编号111952)。然而,截至2026年5月,微软除自动确认邮件外,尚未发布任何公开的修复进展或安全公告。因此,Mark选择在技术网站gruppenrichtlinien.de上公开披露了此客户端异常行为。
经过广泛测试,确认Windows 11的24H2和25H2版本稳定存在此问题。值得注意的是,在Windows 10 IoT 2019企业版LTSC、Windows 10 22H2专业版以及Windows Server系列系统中,相同测试数值却能正确保留。这表明该Bug主要影响较新版本的Windows 11客户端操作系统。

Windows组策略编辑器(gpedit.msc)数值篡改Bug界面展示

Windows 11 25H2系统中gpedit.msc保存后的异常结果对比
复现此Windows组策略错误的方法较为简单:管理员需打开组策略编辑器,导航至“计算机配置”->“管理模板”->“Windows组件”->“传递优化”,找到“延迟http的前台下载(以秒为单位)”策略。启用该策略后, 在数值框中输入十进制数4294967295(其对应的十六进制为FFFFFFFF)

漏洞根源分析:数据类型处理错误
目前,技术社区普遍认为问题的根源在于底层的数据类型处理逻辑错误。分析指出,Windows 11客户端在解析组策略模板文件(*.ADMX)后,可能错误地将本应作为“DWORD”(无符号32位整数)处理的策略值字段,误判为“LONG”或“INT”(有符号32位整数)类型。
这相当于一个本应容纳0至42亿(232-1)数值的容器,被系统误认为其上限仅为21亿(231-1,即2147483647)。因此,当输入值超过有符号整数的最大值时,系统发生溢出,并错误地将其截断或替换为它能处理的最大有符号整数值。
潜在影响与风险:企业IT管理的隐患
这绝非一个无关紧要的数字游戏。对于需要精细化管理策略的企业网络和系统管理员而言,此漏洞具有实质性的破坏力。Mark Heitbrink指出,存在此类“最大值”(MaxValue)问题的组策略条目可能超过50条,广泛分布于操作系统设置、Windows Defender防病毒策略以及Microsoft Office相关配置中。
这意味着,管理员在控制台前端的所有操作看似成功,但后端存储的策略值可能已被静默修改。这会直接影响企业软件批量部署的准确性、安全策略的强制执行效力以及整体IT合规控制的可靠性,为系统管理引入了不可预测的风险和隐患。
临时解决方案与建议
目前,微软官方尚未提供修复补丁或明确的时间表。对于必须配置相关策略的企业IT管理员,建议采取以下临时应对措施以规避风险:
1. 使用未受影响的系统进行管理:建议在Windows Server或未受影响的Windows 10系统上,通过RSAT工具创建和修改组策略对象(GPO)。
2. 强制进行交叉验证:在任何策略修改后,务必在最终生效的目标Windows 11客户端上,重新打开组策略编辑器,核对保存的数值是否与原始设置一致。
3. 关注官方更新:密切关注微软官方安全公告和Windows Update,以便在补丁发布后第一时间部署。
在官方修复发布之前,通过谨慎验证和交叉核对,可以有效减少因组策略失效而导致的系统配置错误和安全风险。
