微软为金丝雀频道的 Windows Insider 计划成员发布了最新的 Windows 11。新版本号为 25992。其中包括服务器消息块(SMB)协议更改、剪贴工具更新等。
以下是更新日志:
Build 25992 新功能
调整 SMB 功能:
自 Build 25992 预览版开始,微软开始调整服务器消息块 (SMB) 协议。
SMB 防火墙规则调整:
创建 SMB 共享会调整 Windows Defender 防火墙的长期默认行为。
在此前版本中,创建 SMB 共享会自动配置防火墙,针对指定防火墙配置文件启用“文件和打印机共享”规则。
而自该版本开始,Win11 将配置启用全新的“文件和打印机共享(限制性)”组,不再入站 NetBIOS 端口 137-139。
我们计划将来对此规则进行更新,以同时删除入站 ICMP、LLMNR 和后台处理程序服务端口,并限制为仅 SMB 共享所需的端口。
此更改强制实施更高程度的网络安全默认值,并让 SMB 防火墙规则更接近 Windows Server“文件服务器”角色行为。如有必要,管理员仍然可以配置“文件和打印机共享”组,以及修改此新的防火墙组。
SMB NTLM 阻止例外列表
微软在 Win11 Build 25951 预览版中,SMB 客户端将支持阻止远程出站连接的 NTLM。Windows SPNEGO 会与目标服务器协商 Kerberos、NTLM 和其他机制,以决定支持的安全包。
注:这里的 NTLM 是指 LAN Manager 安全包的所有版本: LM、NTLM 和 NTLMv2。
得益于此,IT 管理员就可以主动阻止 Windows 通过 SMB 提供 NTLM。这样一来,哪怕攻击者成功欺骗用户或应用程序向恶意服务器发送 NTLM 响应也不会收到任何 NTLM 数据,也无法进行暴力破解、密码破解或密码传递。这为企业提供了更高的保护级别,而无需完全禁用操作系统中的 NTLM 功能。
管理员可以使用组策略和 PowerShell 配置此选项。还可以使用 NET USE 和 PowerShell 根据需要阻止 SMB 连接中使用的 NTLM。
SMB 备用客户端和服务器端口:
以前,SMB 仅支持 TCP / 445、QUIC / 443 和 RDMA iWARP / 5445。SMB 客户端现在支持使用硬编码默认值的备用网络端口通过 TCP、QUIC 或 RDMA 连接到 SMB 服务器。
此外,Windows Server 中的 SMB over QUIC 服务器还支持为不同终端配置不同端口。Windows Server 不支持配置备用 SMB 服务器 TCP 端口,但 Samba 等第三方支持。
用户可以使用 NET USE 命令和 New-SmbMapping PowerShell cmdlet 指定备用 SMB 客户端端口,也可以使用组策略完全禁用此功能。
基于 QUIC 的 SMB 客户端访问控制证书更改:
Windows 11 Insider Preview Build 25977 中首次宣布的基于 QUIC 客户端访问控制的 SMB 功能现在支持使用具有使用者备用名称的证书,而不仅仅是单个使用者。
这意味着客户端访问控制功能现在支持使用 Microsoft AD 证书颁发机构和多个终结点名称,就像当前发布的基于 QUIC 的 SMB 版本一样。现在,您可以使用推荐的选项评估该功能,而不需要自签名测试证书。
改进和优化
[文件管理器]
- 显著提高文件管理器中打开大型.zip 文件的性能
- 除了 ZIP 文件支持,支持添加创建 7-zip 和 TAR 压缩文件。
[Snap 布局]
在 Snap 布局中显示推荐,帮助用户更快、更合理地调整桌面窗口布局。
修复已知问题
- 修复了导致空白选项显示在“个性化”和“隐私与安全”设置页面上的问题,如果单击该选项,则会导致“设置”崩溃。
- 修复了在桌面侧面使用触摸或笔调用时导致右键菜单在屏幕外绘制的问题。
- 修复了“设置主页”可能会显示登录 Microsoft 账户的错误提示问题。
- 修复了上个预览版中快速设置崩溃和 WIN + A 不起作用的问题
- 修复了导致任务栏图标在切换桌面后消失的问题。
您可以在这里获取完整的博文: