IT之家11 月 16 日消息,微软今天发布Win11Build 25997 预览版更新的同时,还发布了 Windows Server Build 25997 预览版,主要为数据中心版本和标准版添加了 SMB over QUIC。
IT之家在此附上更新内容如下:
新增内容:
数据中心版本和标准版支持 SMB over QUIC
自该版本(Build 25997)开始,Windows Server 数据中心版和标准版均支持 SMB over QUIC,此前仅在 Windows Server Azure Edition 中提供。
关于本次更新的详细信息可以访问:http://www.zzvips.com/uploads/allimg/gw0o4zei1da.com style="text-align: justify;">有关 SMB over QUIC 的信息可以访问:http://www.zzvips.com/uploads/allimg/5eeintgqcsp.com style="text-align: justify;">更改 SMB 防火墙规则 自该版本(Build 25997)开始,创建 SMB 分享会更改长期 Windows Defender 防火墙默认行为。 以前,创建分享会自动将防火墙配置为为给定防火墙配置文件启用“文件和打印机共享”组中的规则。 现在,Windows 会自动配置新的“文件和打印机共享(限制性)”组,该组不再包含入站 NetBIOS 端口 137-139。 微软计划将来对此规则进行更新,以同时删除入站 ICMP、LLMNR 和后台处理程序服务端口,并限制为仅 SMB 共享所需的端口。 此更改强制实施更高的网络安全默认标准,并使 SMB 防火墙规则更接近 Windows Server“文件服务器”角色行为。 如有必要,管理员仍然可以配置“文件和打印机共享”组,以及修改此新的防火墙组。 微软在 Win11 Build 25951 预览版中,SMB 客户端将支持阻止远程出站连接的 NTLM。Windows SPNEGO 会与目标服务器协商 Kerberos、NTLM 和其他机制,以决定支持的安全包。 IT之家注:这里的 NTLM 是指 LAN Manager 安全包的所有版本: LM、NTLM 和 NTLMv2。 得益于此,IT 管理员就可以主动阻止 Windows 通过 SMB 提供 NTLM。这样一来,哪怕攻击者成功欺骗用户或应用程序向恶意服务器发送 NTLM 响应也不会收到任何 NTLM 数据,也无法进行暴力破解、密码破解或密码传递。这为企业提供了更高的保护级别,而无需完全禁用操作系统中的 NTLM 功能。 管理员可以使用组策略和 PowerShell 配置此选项。还可以使用 NET USE 和 PowerShell 根据需要阻止 SMB 连接中使用的 NTLM。 以前,SMB 仅支持 TCP / 445、QUIC / 443 和 RDMA iWARP / 5445。SMB 客户端现在支持使用硬编码默认值的备用网络端口通过 TCP、QUIC 或 RDMA 连接到 SMB 服务器。 此外,Windows Server 中的 SMB over QUIC 服务器还支持为不同终端配置不同端口。Windows Server 不支持配置备用 SMB 服务器 TCP 端口,但 Samba 等第三方支持。 用户可以使用 NET USE 命令和 New-SmbMapping PowerShell cmdlet 指定备用 SMB 客户端端口,也可以使用组策略完全禁用此功能。 Windows 11Insider Preview Build 25977 中首次宣布的基于 QUIC 客户端访问控制的 SMB 功能现在支持使用具有使用者备用名称的证书,而不仅仅是单个使用者。 这意味着客户端访问控制功能现在支持使用 Microsoft AD 证书颁发机构和多个终结点名称,就像当前发布的基于 QUIC 的 SMB 版本一样。现在,您可以使用推荐的选项评估该功能,而不需要自签名测试证书。 微软还指出,此预览版将于2024 年 9 月 15 日到期。需要的网友可以点击这里下载该镜像,更新日志地址:这里。SMB NTLM 阻止例外列表
SMB 备用客户端和服务器端口:
基于 QUIC 的 SMB 客户端访问控制证书更改:
可用下载:
密钥仅对预览版本有效: