昨日Win11預(yù)覽版面向 Canary 頻道的 Windows Insider 項(xiàng)目成員�����,發(fā)布了Win11Build 25992 預(yù)覽版更新,本次更新最值得關(guān)注的變化是調(diào)整 SMB 功能���,并支持創(chuàng)建7-zip 和 TAR 格式的壓縮文件。
在此附上 Win11 Build 25992 預(yù)覽版更新內(nèi)容如下:
調(diào)整 SMB 功能:
自 Build 25992 預(yù)覽版開始,微軟開始調(diào)整服務(wù)器消息塊 (SMB) 協(xié)議���。
SMB 防火墻規(guī)則調(diào)整:
創(chuàng)建 SMB 共享會調(diào)整 Windows Defender 防火墻的長期默認(rèn)行為。
在此前版本中��,創(chuàng)建 SMB 共享會自動配置防火墻���,針對指定防火墻配置文件啟用“文件和打印機(jī)共享”規(guī)則。
而自該版本開始�,Win11 將配置啟用全新的“文件和打印機(jī)共享(限制性)”組�,不再入站 NetBIOS 端口 137-139����。
我們計(jì)劃將來對此規(guī)則進(jìn)行更新���,以同時刪除入站 ICMP、LLMNR 和后臺處理程序服務(wù)端口�����,并限制為僅 SMB 共享所需的端口。
此更改強(qiáng)制實(shí)施更高程度的網(wǎng)絡(luò)安全默認(rèn)值����,并讓 SMB 防火墻規(guī)則更接近 Windows Server“文件服務(wù)器”角色行為���。如有必要����,管理員仍然可以配置“文件和打印機(jī)共享”組��,以及修改此新的防火墻組。
SMB NTLM 阻止例外列表
微軟在 Win11 Build 25951 預(yù)覽版中���,SMB 客戶端將支持阻止遠(yuǎn)程出站連接的 NTLM。Windows SPNEGO 會與目標(biāo)服務(wù)器協(xié)商 Kerberos��、NTLM 和其他機(jī)制,以決定支持的安全包�����。
注:這里的 NTLM 是指 LAN Manager 安全包的所有版本: LM�����、NTLM 和 NTLMv2����。
得益于此,IT 管理員就可以主動阻止 Windows 通過 SMB 提供 NTLM�。這樣一來,哪怕攻擊者成功欺騙用戶或應(yīng)用程序向惡意服務(wù)器發(fā)送 NTLM 響應(yīng)也不會收到任何 NTLM 數(shù)據(jù)����,也無法進(jìn)行暴力破解���、密碼破解或密碼傳遞。這為企業(yè)提供了更高的保護(hù)級別�����,而無需完全禁用操作系統(tǒng)中的 NTLM 功能。
管理員可以使用組策略和 PowerShell 配置此選項(xiàng)�。還可以使用 NET USE 和 PowerShell 根據(jù)需要阻止 SMB 連接中使用的 NTLM�����。
SMB 備用客戶端和服務(wù)器端口:
以前����,SMB 僅支持 TCP / 445、QUIC / 443 和 RDMA iWARP / 5445���。SMB 客戶端現(xiàn)在支持使用硬編碼默認(rèn)值的備用網(wǎng)絡(luò)端口通過 TCP��、QUIC 或 RDMA 連接到 SMB 服務(wù)器。
此外��,Windows Server 中的 SMB over QUIC 服務(wù)器還支持為不同終端配置不同端口��。Windows Server 不支持配置備用 SMB 服務(wù)器 TCP 端口��,但 Samba 等第三方支持����。
用戶可以使用 NET USE 命令和 New-SmbMapping PowerShell cmdlet 指定備用 SMB 客戶端端口,也可以使用組策略完全禁用此功能����。
基于 QUIC 的 SMB 客戶端訪問控制證書更改:
Windows 11Insider Preview Build 25977 中首次宣布的基于 QUIC 客戶端訪問控制的 SMB 功能現(xiàn)在支持使用具有使用者備用名稱的證書���,而不僅僅是單個使用者���。
這意味著客戶端訪問控制功能現(xiàn)在支持使用 Microsoft AD 證書頒發(fā)機(jī)構(gòu)和多個終結(jié)點(diǎn)名稱�,就像當(dāng)前發(fā)布的基于 QUIC 的 SMB 版本一樣�,F(xiàn)在�����,您可以使用推薦的選項(xiàng)評估該功能�,而不需要自簽名測試證書�。
改進(jìn)和優(yōu)化 [文件管理器]
顯著提高文件管理器中打開大型.zip 文件的性能
除了 ZIP 文件支持��,支持添加創(chuàng)建 7-zip 和 TAR 壓縮文件���。
[Snap 布局]
在 Snap 布局中顯示推薦,幫助用戶更快����、更合理地調(diào)整桌面窗口布局。
修復(fù)已知問題
修復(fù)了導(dǎo)致空白選項(xiàng)顯示在“個性化”和“隱私與安全”設(shè)置頁面上的問題�����,如果單擊該選項(xiàng)����,則會導(dǎo)致“設(shè)置”崩潰。
修復(fù)了在桌面?zhèn)让媸褂糜|摸或筆調(diào)用時導(dǎo)致右鍵菜單在屏幕外繪制的問題�����。
修復(fù)了“設(shè)置主頁”可能會顯示登錄 Microsoft 賬戶的錯誤提示問題�。
修復(fù)了上個預(yù)覽版中快速設(shè)置崩潰和 WIN + A 不起作用的問題
修復(fù)了導(dǎo)致任務(wù)欄圖標(biāo)在切換桌面后消失的問題。
