Microsoft щойно випустила Windows 11, збірка 25951 до Канарського каналу всередині Програма Windows Insider, і випуск приносить важливу функцію, яка значно покращить захист пристроїв Windows 11.
Ця функція є блокуванням SMB NTLM, яку ІТ-адміністратор може використати, щоб навмисно заблокувати Windows від пропонування NTLM через SMB.
Починаючи з цієї збірки (збірка 25951), клієнт SMB тепер підтримує блокування NTLM для віддалених вихідних з’єднань. Це змінює застарілу поведінку, де Windows СПНЕГО узгоджуватиме Kerberos, NTLM та інші механізми з цільовим сервером, щоб визначити підтримуваний пакет безпеки. NTLM у цьому випадку відноситься до всіх версій пакета безпеки LAN Manager: LM, NTLM і NTLMv2.
Це нова функція, яка додасть додатковий рівень захисту для Windows 11.
Зловмисник, який обманом змушує користувача або програму надіслати відповіді на виклик NTLM на зловмисний сервер, ні більше не отримувати будь-які дані NTLM і не може грубою силою, зламати або передати пароль, оскільки вони ніколи не будуть надіслані через мережі. Це додає новий рівень захисту для підприємств без вимог
повністю вимкнути NTLM використання в ОС.
ІТ-адміністратор зможе налаштувати цей параметр за допомогою групової політики та PowerShell.
Windows 11 Build 25951: усі функції
Управління діалектами SMB
Починаючи з цієї збірки (збірка 25951), SMB-сервер тепер підтримує керування діалектами SMB 2 і 3, які він узгоджуватиме. Це змінює застарілу поведінку, коли Windows SMB завжди узгоджував найвищий відповідний діалект сервера від клієнтів SMB 2.0.2 до 3.1.1. Починаючи з Windows 10, додано підтримку для керування діалектами клієнтів SMB, але не діалекти сервера.
За допомогою цієї нової опції адміністратор може видалити старі протоколи SMB із використання в організації, блокуючи старі, менш безпечні та менш потужні пристрої Windows і сторонні особи від підключення.
Ви можете налаштувати цей параметр за допомогою групової політики та PowerShell. І клієнт, і сервер SMB тепер включають повну підтримку керування (раніше підтримка клієнта була лише ручне редагування реєстру).
Щоб дізнатися більше про розуміння та налаштування діалектів SMB, перегляньте https://aka.ms/SmbDialectManage.
Зміни та вдосконалення
[Екран блокування]
- Ми налаштували спливаюче меню мережі на екрані блокування, щоб краще відповідати інтерфейсу користувача спливаючого вікна мережі з швидких налаштувань у системному лотку на панелі завдань.
Відомі проблеми
- Деякі популярні ігри можуть не працювати належним чином на останніх збірках Insider Preview на Canary Channel. Обов’язково надішліть відгук у Feedback Hub щодо будь-яких проблем, які виникають під час гри на цих збірках.
- [НОВИЙ] Ми перевіряємо повідомлення про те, що черга друку більше не доступна.
