微軟今天面向 Canary 頻道的 Windows Insider 項(xiàng)目成員，發(fā)布了 Win11 Build 25992 預(yù)覽版更新，本次更新最值得關(guān)注的變化是調(diào)整 SMB 功能，并支持創(chuàng)建 7-zip 和 TAR 格式的壓縮文件。

在此附上 Win11 Build 25992 預(yù)覽版更新內(nèi)容如下：

調(diào)整 SMB 功能：

自 Build 25992 預(yù)覽版開(kāi)始，微軟開(kāi)始調(diào)整服務(wù)器消息塊 （SMB） 協(xié)議。

SMB 防火墻規(guī)則調(diào)整：

創(chuàng)建 SMB 共享會(huì)調(diào)整 Windows Defender 防火墻的長(zhǎng)期默認(rèn)行為。

在此前版本中，創(chuàng)建 SMB 共享會(huì)自動(dòng)配置防火墻，針對(duì)指定防火墻配置文件啟用“文件和打印機(jī)共享”規(guī)則。

而自該版本開(kāi)始，Win11 將配置啟用全新的“文件和打印機(jī)共享（限制性）”組，不再入站 NetBIOS 端口 137-139。

我們計(jì)劃將來(lái)對(duì)此規(guī)則進(jìn)行更新，以同時(shí)刪除入站 ICMP、LLMNR 和后臺(tái)處理程序服務(wù)端口，并限制為僅 SMB 共享所需的端口。

此更改強(qiáng)制實(shí)施更高程度的網(wǎng)絡(luò)安全默認(rèn)值，并讓 SMB 防火墻規(guī)則更接近 Windows Server“文件服務(wù)器”角色行為。如有必要，管理員仍然可以配置“文件和打印機(jī)共享”組，以及修改此新的防火墻組。

SMB NTLM 阻止例外列表

微軟在 Win11 Build 25951 預(yù)覽版中，SMB 客戶端將支持阻止遠(yuǎn)程出站連接的 NTLM。Windows SPNEGO 會(huì)與目標(biāo)服務(wù)器協(xié)商 Kerberos、NTLM 和其他機(jī)制，以決定支持的安全包。

注：這里的 NTLM 是指 LAN Manager 安全包的所有版本： LM、NTLM 和 NTLMv2。

得益于此，IT 管理員就可以主動(dòng)阻止 Windows 通過(guò) SMB 提供 NTLM。這樣一來(lái)，哪怕攻擊者成功欺騙用戶或應(yīng)用程序向惡意服務(wù)器發(fā)送 NTLM 響應(yīng)也不會(huì)收到任何 NTLM 數(shù)據(jù)，也無(wú)法進(jìn)行暴力破解、密碼破解或密碼傳遞。這為企業(yè)提供了更高的保護(hù)級(jí)別，而無(wú)需完全禁用操作系統(tǒng)中的 NTLM 功能。

管理員可以使用組策略和 PowerShell 配置此選項(xiàng)。還可以使用 NET USE 和 PowerShell 根據(jù)需要阻止 SMB 連接中使用的 NTLM。

SMB 備用客戶端和服務(wù)器端口：

以前，SMB 僅支持 TCP / 445、QUIC / 443 和 RDMA iWARP / 5445。SMB 客戶端現(xiàn)在支持使用硬編碼默認(rèn)值的備用網(wǎng)絡(luò)端口通過(guò) TCP、QUIC 或 RDMA 連接到 SMB 服務(wù)器。

此外，Windows Server 中的 SMB over QUIC 服務(wù)器還支持為不同終端配置不同端口。Windows Server 不支持配置備用 SMB 服務(wù)器 TCP 端口，但 Samba 等第三方支持。

用戶可以使用 NET USE 命令和 New-SmbMapping PowerShell cmdlet 指定備用 SMB 客戶端端口，也可以使用組策略完全禁用此功能。

基于 QUIC 的 SMB 客戶端訪問(wèn)控制證書更改：

Windows 11 Insider Preview Build 25977 中首次宣布的基于 QUIC 客戶端訪問(wèn)控制的 SMB 功能現(xiàn)在支持使用具有使用者備用名稱的證書，而不僅僅是單個(gè)使用者。

這意味著客戶端訪問(wèn)控制功能現(xiàn)在支持使用 Microsoft AD 證書頒發(fā)機(jī)構(gòu)和多個(gè)終結(jié)點(diǎn)名稱，就像當(dāng)前發(fā)布的基于 QUIC 的 SMB 版本一樣。現(xiàn)在，您可以使用推薦的選項(xiàng)評(píng)估該功能，而不需要自簽名測(cè)試證書。

改進(jìn)和優(yōu)化

[文件管理器]

• 顯著提高文件管理器中打開(kāi)大型.zip 文件的性能
• 除了 ZIP 文件支持，支持添加創(chuàng)建 7-zip 和 TAR 壓縮文件。

[Snap 布局]

• 在 Snap 布局中顯示推薦，幫助用戶更快、更合理地調(diào)整桌面窗口布局。

修復(fù)已知問(wèn)題

• 修復(fù)了導(dǎo)致空白選項(xiàng)顯示在“個(gè)性化”和“隱私與安全”設(shè)置頁(yè)面上的問(wèn)題，如果單擊該選項(xiàng)，則會(huì)導(dǎo)致“設(shè)置”崩潰。
• 修復(fù)了在桌面?zhèn)让媸褂糜|摸或筆調(diào)用時(shí)導(dǎo)致右鍵菜單在屏幕外繪制的問(wèn)題。
• 修復(fù)了“設(shè)置主頁(yè)”可能會(huì)顯示登錄 Microsoft 賬戶的錯(cuò)誤提示問(wèn)題。
• 修復(fù)了上個(gè)預(yù)覽版中快速設(shè)置崩潰和 WIN + A 不起作用的問(wèn)題
• 修復(fù)了導(dǎo)致任務(wù)欄圖標(biāo)在切換桌面后消失的問(wèn)題。

最新評(píng)論