Windows Server 25997 預(yù)覽版今日發(fā)布(附更新內(nèi)容匯總)

發(fā)布時間：2023-11-16 11:38:16 作者：佚名

微軟面向 Windows Server Insider 計劃用戶發(fā)布了最新的 Windows Server 版本,該版本的版本號為 25997，除許多更改外，還在數(shù)據(jù)中心版和標(biāo)準(zhǔn)版中添加了 SMB over QUIC，詳細(xì)請看下文介紹

微軟今天發(fā)布 Win11 Build 25997 預(yù)覽版更新的同時，還發(fā)布了 Windows Server Build 25997 預(yù)覽版，主要為數(shù)據(jù)中心版本和標(biāo)準(zhǔn)版添加了 SMB over QUIC。

附上更新內(nèi)容如下：

新增內(nèi)容：

數(shù)據(jù)中心版本和標(biāo)準(zhǔn)版支持 SMB over QUIC

自該版本（Build 25997）開始，Windows Server 數(shù)據(jù)中心版和標(biāo)準(zhǔn)版均支持 SMB over QUIC，此前僅在 Windows Server Azure Edition 中提供。

關(guān)于本次更新的詳細(xì)信息可以訪問：https://aka.ms/SMBoverQUICServer.

有關(guān) SMB over QUIC 的信息可以訪問：https://aka.ms/SMBoverQUIC.

更改 SMB 防火墻規(guī)則

自該版本（Build 25997）開始，創(chuàng)建 SMB 分享會更改長期 Windows Defender 防火墻默認(rèn)行為。

以前，創(chuàng)建分享會自動將防火墻配置為為給定防火墻配置文件啟用“文件和打印機共享”組中的規(guī)則。

現(xiàn)在，Windows 會自動配置新的“文件和打印機共享（限制性）”組，該組不再包含入站 NetBIOS 端口 137-139。

微軟計劃將來對此規(guī)則進行更新，以同時刪除入站 ICMP、LLMNR 和后臺處理程序服務(wù)端口，并限制為僅 SMB 共享所需的端口。

此更改強制實施更高的網(wǎng)絡(luò)安全默認(rèn)標(biāo)準(zhǔn)，并使 SMB 防火墻規(guī)則更接近 Windows Server“文件服務(wù)器”角色行為。

如有必要，管理員仍然可以配置“文件和打印機共享”組，以及修改此新的防火墻組。

SMB NTLM 阻止例外列表

微軟在 Win11 Build 25951 預(yù)覽版中，SMB 客戶端將支持阻止遠(yuǎn)程出站連接的 NTLM。Windows SPNEGO 會與目標(biāo)服務(wù)器協(xié)商 Kerberos、NTLM 和其他機制，以決定支持的安全包。

注：這里的 NTLM 是指 LAN Manager 安全包的所有版本： LM、NTLM 和 NTLMv2。

得益于此，IT 管理員就可以主動阻止 Windows 通過 SMB 提供 NTLM。這樣一來，哪怕攻擊者成功欺騙用戶或應(yīng)用程序向惡意服務(wù)器發(fā)送 NTLM 響應(yīng)也不會收到任何 NTLM 數(shù)據(jù)，也無法進行暴力破解、密碼破解或密碼傳遞。這為企業(yè)提供了更高的保護級別，而無需完全禁用操作系統(tǒng)中的 NTLM 功能。

管理員可以使用組策略和 PowerShell 配置此選項。還可以使用 NET USE 和 PowerShell 根據(jù)需要阻止 SMB 連接中使用的 NTLM。