Microsoft netop udgivet Windows 11 Build 25951 til Canary Channel inde i Windows Insider-program, og udgivelsen bringer en vigtig funktion, der i høj grad vil forbedre beskyttelsen i Windows 11-enheder.
Denne funktion er SMB NTLM-blokering, som en it-administrator kan bruge til bevidst at blokere Windows fra at tilbyde NTLM via SMB.
Startende med denne build (Build 25951) understøtter SMB-klienten nu blokering af NTLM for eksterne udgående forbindelser. Dette ændrer ældre adfærd, hvor Windows SPNEGO ville forhandle Kerberos, NTLM og andre mekanismer med destinationsserveren for at beslutte om en understøttet sikkerhedspakke. NTLM henviser i dette tilfælde til alle versioner af LAN Manager-sikkerhedspakken: LM, NTLM og NTLMv2.
Dette er en ny funktion, der vil tilføje et ekstra lag af beskyttelse til Windows 11.
En angriber, der narrer en bruger eller et program til at sende NTLM-udfordringssvar til en ondsindet server, vil ikke længere modtage NTLM-data og kan ikke brute force, knække eller videregive en adgangskode, da de aldrig vil blive sendt over netværk. Dette tilføjer et nyt beskyttelsesniveau for virksomheder uden krav om
deaktiver NTLM helt brug i OS.
En it-administrator vil være i stand til at konfigurere denne mulighed med gruppepolitik og PowerShell.
Windows 11 Build 25951: Alle funktionerne
SMB Dialektstyring
Startende med denne build (Build 25951) understøtter SMB-serveren nu at kontrollere, hvilke SMB 2- og 3-dialekter den vil forhandle. Dette ændrer ældre adfærd, hvor Windows SMB altid forhandlede den højest matchede serverdialekt fra SMB 2.0.2 til 3.1.1-klienter. Fra og med Windows 10 blev der tilføjet support til styring af SMB-klientdialekter, men ikke serverdialekter.
Med denne nye mulighed kan en administrator fjerne ældre SMB-protokoller fra brug i organisationen, hvilket blokerer ældre, mindre sikre og mindre egnede Windows-enheder og tredjeparter i at oprette forbindelse.
Du kan konfigurere denne mulighed med gruppepolitik og PowerShell. Både SMB-klient og server inkluderer nu komplet administrationssupport (tidligere var klientsupporten kun manuel redigering af registreringsdatabasen).
For mere information om at forstå og konfigurere SMB-dialekter, se gennemgang https://aka.ms/SmbDialectManage.
Ændringer og forbedringer
[Låse skærm]
- Vi har justeret netværksudspringet på låseskærmen, så det bedre matcher brugergrænsefladen på netværksudspringet fra hurtige indstillinger i systembakken på proceslinjen.
Kendte problemer
- Nogle populære spil fungerer muligvis ikke korrekt på de seneste Insider Preview-builds i Canary Channel. Sørg for at indsende feedback i Feedback Hub om eventuelle problemer, du ser med at spille spil på disse builds.
- [NY] Vi er ved at undersøge rapporter om, at udskriftskøen ikke længere er tilgængelig.
