Microsoft właśnie wypuścił Kompilacja systemu Windows 11 25951 do Kanału Kanaryjskiego wewnątrz Niejawny tester systemu Windows, a ta wersja wprowadza ważną funkcję, która znacznie poprawi ochronę na urządzeniach z systemem Windows 11.
Ta funkcja to blokowanie protokołu SMB NTLM, którego administrator IT może użyć, aby celowo zablokować systemowi Windows oferowanie protokołu NTLM za pośrednictwem protokołu SMB.
Począwszy od tej kompilacji (kompilacja 25951) klient SMB obsługuje teraz blokowanie protokołu NTLM dla zdalnych połączeń wychodzących. Zmienia to starsze zachowanie, w którym Windows SPNEGO negocjowałby Kerberos, NTLM i inne mechanizmy z serwerem docelowym, aby wybrać obsługiwany pakiet zabezpieczeń. NTLM w tym przypadku odnosi się do wszystkich wersji pakietu zabezpieczeń LAN Manager: LM, NTLM i NTLMv2.
Jest to nowa funkcja, która zapewni dodatkową warstwę ochrony Windows 11.
Osoba atakująca, która nakłoni użytkownika lub aplikację do wysłania odpowiedzi na wezwanie NTLM do złośliwego serwera, nie zrobi tego nie będą już otrzymywać żadnych danych NTLM i nie będą mogli brutalnie wymusić, złamać ani przekazać hasła, ponieważ nigdy nie zostaną one przesłane przez sieć. Dodaje to nowy poziom ochrony dla przedsiębiorstw bez wymogu
całkowicie wyłącz NTLM użycie w systemie operacyjnym.
Administrator IT będzie mógł skonfigurować tę opcję za pomocą zasad grupy i programu PowerShell.
Windows 11, kompilacja 25951: wszystkie funkcje
Zarządzanie dialektem w małych i średnich przedsiębiorstwach
Począwszy od tej kompilacji (kompilacja 25951), serwer SMB obsługuje teraz kontrolowanie, które dialekty SMB 2 i 3 będzie negocjować. Zmienia to starsze zachowanie, w którym system Windows SMB zawsze negocjował najlepiej dopasowany dialekt serwera z klientów SMB 2.0.2 do 3.1.1. Począwszy od systemu Windows 10, dodano obsługę kontrolowanie dialektów klientów SMB, ale nie dialekty serwerów.
Dzięki tej nowej opcji administrator może usunąć starsze protokoły SMB z użycia w organizacji, blokując możliwość łączenia się ze starszymi, mniej bezpiecznymi i mniej wydajnymi urządzeniami z systemem Windows oraz stronami trzecimi.
Możesz skonfigurować tę opcję za pomocą zasad grupy i programu PowerShell. Zarówno klient SMB, jak i serwer obejmują teraz pełne wsparcie w zakresie zarządzania (poprzednio obsługa klienta obejmowała tylko ręczna edycja rejestru).
Więcej informacji na temat zrozumienia i konfigurowania dialektów SMB można znaleźć w artykule https://aka.ms/SmbDialectManage.
Zmiany i ulepszenia
[Ekran blokady]
- Dostosowaliśmy menu wysuwane sieci na ekranie blokady, aby lepiej pasowało do interfejsu użytkownika menu wysuwanego sieci z szybkich ustawień w zasobniku systemowym na pasku zadań.
Znane problemy
- Niektóre popularne gry mogą nie działać poprawnie w najnowszych kompilacjach Insider Preview na Canary Channel. Pamiętaj, aby przesłać opinię w Centrum opinii na temat wszelkich problemów, jakie zauważysz podczas grania w gry w tych kompilacjach.
- [NOWY] Badamy zgłoszenia mówiące, że kolejka wydruku nie jest już dostępna.
