Microsoft heeft het net uitgebracht Windows 11-build 25951 naar het Canarische Kanaal binnen de Windows Insider-programma, en de release brengt een belangrijke functie met zich mee die de bescherming op Windows 11-apparaten aanzienlijk zal verbeteren.
Deze functie is SMB NTLM-blokkering, die een IT-beheerder kan gebruiken om Windows opzettelijk te blokkeren van het aanbieden van NTLM via SMB.
Vanaf deze build (build 25951) ondersteunt de SMB-client nu het blokkeren van NTLM voor externe uitgaande verbindingen. Dit verandert het verouderde gedrag, waarbij Windows SPNEGO zou met de doelserver onderhandelen over Kerberos, NTLM en andere mechanismen om te beslissen over een ondersteund beveiligingspakket. NTLM verwijst in dit geval naar alle versies van het LAN Manager-beveiligingspakket: LM, NTLM en NTLMv2.
Dit is een nieuwe functie die een extra beschermingslaag toevoegt Windows 11.
Een aanvaller die een gebruiker of applicatie ertoe verleidt NTLM-uitdagingsreacties naar een kwaadwillende server te sturen, zal dat niet doen ontvangt niet langer NTLM-gegevens en kan geen wachtwoord bruut forceren, kraken of doorgeven, omdat deze nooit via de computer zullen worden verzonden netwerk. Dit voegt een nieuw beschermingsniveau toe voor ondernemingen zonder dat dit verplicht is
NTLM volledig uitschakelen gebruik in het besturingssysteem.
Een IT-beheerder kan deze optie configureren met Groepsbeleid en PowerShell.
Windows 11 Build 25951: alle functies
Dialectbeheer voor het MKB
Vanaf deze build (build 25951) ondersteunt de SMB-server nu het bepalen over welke SMB 2- en 3-dialecten er wordt onderhandeld. Dit verandert het verouderde gedrag, waarbij Windows SMB altijd onderhandelde over het hoogst overeenkomende serverdialect van SMB 2.0.2 tot 3.1.1-clients. Vanaf Windows 10 is er ondersteuning voor toegevoegd het beheren van SMB-clientdialecten, maar geen serverdialecten.
Met deze nieuwe optie kan een beheerder oudere SMB-protocollen uit het gebruik in de organisatie verwijderen, waardoor oudere, minder veilige en minder capabele Windows-apparaten en derde partijen geen verbinding meer kunnen maken.
U kunt deze optie configureren met Groepsbeleid en PowerShell. Zowel de SMB-client als de server bieden nu volledige beheerondersteuning (voorheen was de clientondersteuning alleen handmatige registerbewerking).
Raadpleeg voor meer informatie over het begrijpen en configureren van SMB-dialecten https://aka.ms/SmbDialectManage.
Veranderingen en verbeteringen
[Vergrendel scherm]
- We hebben de netwerkflyout op het vergrendelscherm aangepast zodat deze beter aansluit bij de gebruikersinterface van de netwerkflyout via de snelle instellingen in het systeemvak op de taakbalk.
Bekende problemen
- Sommige populaire games werken mogelijk niet correct op de meest recente Insider Preview-builds in het Canary Channel. Zorg ervoor dat u feedback geeft in Feedback Hub over eventuele problemen die u ondervindt bij het spelen van games op deze builds.
- [NIEUW] We onderzoeken berichten dat de afdrukwachtrij niet langer toegankelijk is.
