Microsoft hat gerade veröffentlicht Windows 11 Build 25951 zum Kanarischen Kanal innerhalb der Windows-Insider-Programm, und die Veröffentlichung bringt eine wichtige Funktion mit sich, die den Schutz auf Windows 11-Geräten erheblich verbessern wird.
Bei dieser Funktion handelt es sich um die SMB-NTLM-Blockierung, mit der ein IT-Administrator absichtlich verhindern kann, dass Windows NTLM über SMB anbietet.
Ab diesem Build (Build 25951) unterstützt der SMB-Client nun das Blockieren von NTLM für ausgehende Remoteverbindungen. Dadurch ändert sich das Legacy-Verhalten von Windows SPNEGO würde Kerberos, NTLM und andere Mechanismen mit dem Zielserver aushandeln, um über ein unterstütztes Sicherheitspaket zu entscheiden. NTLM bezieht sich in diesem Fall auf alle Versionen des LAN Manager-Sicherheitspakets: LM, NTLM und NTLMv2.
Dies ist eine neue Funktion, die eine zusätzliche Schutzebene bietet Windows 11.
Ein Angreifer, der einen Benutzer oder eine Anwendung dazu verleitet, NTLM-Challenge-Antworten an einen bösartigen Server zu senden, wird dies nicht tun Sie erhalten keine NTLM-Daten mehr und können keine Brute-Force-Angriffe durchführen, keine Passwörter knacken oder weitergeben, da diese niemals über das gesendet werden Netzwerk. Dies fügt ein neues Schutzniveau für Unternehmen hinzu, ohne dass dies erforderlich ist
NTLM vollständig deaktivieren Verwendung im Betriebssystem.
Ein IT-Administrator kann diese Option mit Gruppenrichtlinien und PowerShell konfigurieren.
Windows 11 Build 25951: Alle Funktionen
SMB-Dialektverwaltung
Ab diesem Build (Build 25951) unterstützt der SMB-Server nun die Steuerung, welche SMB 2- und 3-Dialekte er aushandelt. Dadurch ändert sich das alte Verhalten, bei dem Windows SMB immer den am höchsten übereinstimmenden Serverdialekt von SMB 2.0.2- bis 3.1.1-Clients ausgehandelt hat. Ab Windows 10 wurde Unterstützung für hinzugefügt Steuerung der SMB-Client-Dialekte, aber keine Serverdialekte.
Mit dieser neuen Option kann ein Administrator ältere SMB-Protokolle aus der Verwendung in der Organisation entfernen und so die Verbindung älterer, weniger sicherer und weniger leistungsfähiger Windows-Geräte und Dritter blockieren.
Sie können diese Option mit Gruppenrichtlinien und PowerShell konfigurieren. Sowohl der SMB-Client als auch der SMB-Server bieten jetzt vollständige Verwaltungsunterstützung (zuvor war nur die Client-Unterstützung verfügbar). manuelle Bearbeitung der Registrierung).
Weitere Informationen zum Verstehen und Konfigurieren von SMB-Dialekten finden Sie unter https://aka.ms/SmbDialectManage.
Änderungen und Verbesserungen
[Bildschirm sperren]
- Wir haben das Netzwerk-Flyout auf dem Sperrbildschirm angepasst, damit es besser zur Benutzeroberfläche des Netzwerk-Flyouts in den Schnelleinstellungen in der Taskleiste in der Taskleiste passt.
Bekannte Probleme
- Einige beliebte Spiele funktionieren möglicherweise nicht richtig auf den neuesten Insider Preview-Builds im Canary Channel. Bitte geben Sie im Feedback-Hub unbedingt Feedback zu allen Problemen ab, die Ihnen beim Spielen dieser Builds auffallen.
- [NEU] Wir gehen Berichten nach, dass auf die Druckwarteschlange nicht mehr zugegriffen werden kann.
