Windows 11, сборка 25951 (Canary), улучшает SMB
Microsoft выпускает сборку Windows 11 Build 25951 для инсайдеров на канале Canary. Компания выделяет несколько улучшений, внесенных в SMB, включая блокировку NTLM для SMB и управление диалектами SMB.
Что нового в Windows 11, сборка 25951 (Canary)
Блокировка SMB NTLM
Начиная с этой сборки (сборка 25951), клиент SMB поддерживает блокировку NTLM для удаленных исходящих подключений. Это меняет предыдущее поведение, при котором Windows SPNEGO согласовывала Kerberos, NTLM и другие механизмы с целевым сервером, чтобы решить, какой пакет безопасности поддерживать. В данном случае NTLM относится ко всем версиям пакета безопасности LAN Manager: LM, NTLM и NTLMv2.
С помощью этой опции администратор может заблокировать возможность Windows предлагать NTLM через SMB. Злоумышленник, который обманом заставляет пользователя или приложение отправлять ответы на запросы NTLM на вредоносный сервер, больше не будет получать любые данные NTLM и не сможет подобрать, взломать или передать пароль, поскольку он никогда не будет отправлен по сеть. Это добавляет новый уровень безопасности для бизнеса, не требуя от ОС полного отключения NTLM. Вы можете настроить этот параметр с помощью групповой политики и PowerShell. Вы также можете по требованию заблокировать использование NTLM в подключениях SMB с помощью NET USE и PowerShell.
Подробную информацию можно найти по этой ссылке: https://aka.ms/SmbNtlmBlock.
Управление диалектами для малого и среднего бизнеса
Начиная с этой сборки (сборка 25951), сервер SMB поддерживает управление диалектами SMB 2 и 3, с которыми он будет взаимодействовать. Это меняет предыдущее поведение, при котором Windows SMB всегда согласовывал с клиентами SMB версий 2.0.2–3.1.1 наиболее подходящий диалект сервера. В Windows 10 добавлена поддержка управления диалектами клиента SMB, но не диалектами сервера.
С помощью этой опции администратор может запретить использование старых протоколов SMB в организации, блокируя соединения со старыми, менее безопасными и менее функциональными устройствами на базе Windows и другими системами.
Вы можете настроить этот параметр с помощью групповой политики и PowerShell. И клиент, и сервер SMB теперь имеют полную поддержку управления (ранее поддержка клиента включала только редактирование реестра вручную).
Подробную информацию можно найти по этой ссылке: https://aka.ms/SmbDialectManage.
Изменения и улучшения
Обновлен Всплывающее меню «Сеть» на экране блокировки чтобы лучше соответствовать дизайну всплывающего меню «Сеть» меню «Быстрые действия» на панели задач.
Известные вопросы
- Некоторые популярные игры могут работать некорректно в инсайдерских сборках для канала Canary. Если вы заметили какие-либо проблемы, обязательно оставьте отзыв в приложении «Центр отзывов».
- [Новое] Расследование сообщает о том, что «Очередь печати» недоступна.
Официальный анонс связан здесь.
Если вам понравилась эта статья, поделитесь ею, используя кнопки ниже. Это не потребует от вас многого, но поможет нам расти. Спасибо за вашу поддержку!
