Microsoft току-що пусна Windows 11 Build 25951 до Канарския канал вътре в Програма Windows Insider, а изданието носи важна функция, която значително ще подобри защитата в устройства с Windows 11.
Тази функция е блокиране на SMB NTLM, което ИТ администратор може да използва, за да блокира умишлено Windows да предлага NTLM чрез SMB.
Започвайки с тази компилация (компилация 25951), SMB клиентът вече поддържа блокиране на NTLM за отдалечени изходящи връзки. Това променя наследеното поведение, където Windows SPNEGO ще договори Kerberos, NTLM и други механизми с целевия сървър, за да вземе решение за поддържан пакет за сигурност. NTLM в този случай се отнася за всички версии на пакета за сигурност на LAN Manager: LM, NTLM и NTLMv2.
Това е нова функция, която ще добави допълнителен слой защита за Windows 11.
Нападател, който подмами потребител или приложение да изпрати NTLM отговор на предизвикателство до злонамерен сървър, няма да го направи вече не получават никакви NTLM данни и не могат да използват груба сила, да кракнат или да подадат парола, тъй като те никога няма да бъдат изпратени през мрежа. Това добавя ново ниво на защита за предприятията без изискване за
напълно деактивирайте NTLM използване в ОС.
ИТ администратор ще може да конфигурира тази опция с групови правила и PowerShell.
Windows 11 Build 25951: Всички функции
Управление на SMB диалекти
Започвайки с тази компилация (компилация 25951), SMB сървърът вече поддържа контрол върху кои SMB 2 и 3 диалекти ще преговаря. Това променя наследеното поведение, при което Windows SMB винаги е договарял най-високия съответстващ сървърен диалект от SMB 2.0.2 до 3.1.1 клиенти. Започвайки с Windows 10, беше добавена поддръжка за контролиране на SMB клиентски диалекти, но не и сървърни диалекти.
С тази нова опция администратор може да премахне по-стари SMB протоколи от използване в организацията, блокирайки по-стари, по-малко сигурни и по-малко способни Windows устройства и трети страни да се свързват.
Можете да конфигурирате тази опция с групови правила и PowerShell. Както SMB клиентът, така и сървърът вече включват пълна поддръжка за управление (преди това клиентската поддръжка беше само ръчно редактиране на регистър).
За повече информация относно разбирането и конфигурирането на SMB диалекти прегледайте https://aka.ms/SmbDialectManage.
Промени и подобрения
[Заключен екран]
- Коригирахме изскачащия прозорец на мрежата на заключения екран, за да съответства по-добре на потребителския интерфейс на изскачащия прозорец на мрежата от бързите настройки в системната област на лентата на задачите.
Вече известни проблеми
- Някои популярни игри може да не работят правилно на най-новите версии на Insider Preview в Canary Channel. Моля, не забравяйте да изпратите отзиви в Центъра за обратна връзка за всички проблеми, които виждате при игра на игри на тези компилации.
- [НОВО] Проучваме съобщения, че опашката за печат вече не е достъпна.
