IT之家 11 月 16 日消息，微軟今天發(fā)布 Win11 Build 25997 預(yù)覽版更新的同時(shí)，還發(fā)布了 Windows Server Build 25997 預(yù)覽版，主要為數(shù)據(jù)中心版本和標(biāo)準(zhǔn)版添加了 SMB over QUIC。

IT之家在此附上更新內(nèi)容如下：

新增內(nèi)容：

數(shù)據(jù)中心版本和標(biāo)準(zhǔn)版支持 SMB over QUIC

自該版本（Build 25997）開始，Windows Server 數(shù)據(jù)中心版和標(biāo)準(zhǔn)版均支持 SMB over QUIC，此前僅在 Windows Server Azure Edition 中提供。

關(guān)于本次更新的詳細(xì)信息可以訪問：https://aka.ms/SMBoverQUICServer.

有關(guān) SMB over QUIC 的信息可以訪問：https://aka.ms/SMBoverQUIC.

更改 SMB 防火墻規(guī)則

自該版本（Build 25997）開始，創(chuàng)建 SMB 分享會(huì)更改長(zhǎng)期 Windows Defender 防火墻默認(rèn)行為。

以前，創(chuàng)建分享會(huì)自動(dòng)將防火墻配置為為給定防火墻配置文件啟用“文件和打印機(jī)共享”組中的規(guī)則。

現(xiàn)在，Windows 會(huì)自動(dòng)配置新的“文件和打印機(jī)共享（限制性）”組，該組不再包含入站 NetBIOS 端口 137-139。

微軟計(jì)劃將來對(duì)此規(guī)則進(jìn)行更新，以同時(shí)刪除入站 ICMP、LLMNR 和后臺(tái)處理程序服務(wù)端口，并限制為僅 SMB 共享所需的端口。

此更改強(qiáng)制實(shí)施更高的網(wǎng)絡(luò)安全默認(rèn)標(biāo)準(zhǔn)，并使 SMB 防火墻規(guī)則更接近 Windows Server“文件服務(wù)器”角色行為。

如有必要，管理員仍然可以配置“文件和打印機(jī)共享”組，以及修改此新的防火墻組。

SMB NTLM 阻止例外列表

微軟在 Win11 Build 25951 預(yù)覽版中，SMB 客戶端將支持阻止遠(yuǎn)程出站連接的 NTLM。Windows SPNEGO 會(huì)與目標(biāo)服務(wù)器協(xié)商 Kerberos、NTLM 和其他機(jī)制，以決定支持的安全包。

IT之家注：這里的 NTLM 是指 LAN Manager 安全包的所有版本： LM、NTLM 和 NTLMv2。

得益于此，IT 管理員就可以主動(dòng)阻止 Windows 通過 SMB 提供 NTLM。這樣一來，哪怕攻擊者成功欺騙用戶或應(yīng)用程序向惡意服務(wù)器發(fā)送 NTLM 響應(yīng)也不會(huì)收到任何 NTLM 數(shù)據(jù)，也無法進(jìn)行暴力破解、密碼破解或密碼傳遞。這為企業(yè)提供了更高的保護(hù)級(jí)別，而無需完全禁用操作系統(tǒng)中的 NTLM 功能。

管理員可以使用組策略和 PowerShell 配置此選項(xiàng)。還可以使用 NET USE 和 PowerShell 根據(jù)需要阻止 SMB 連接中使用的 NTLM。

SMB 備用客戶端和服務(wù)器端口：

以前，SMB 僅支持 TCP / 445、QUIC / 443 和 RDMA iWARP / 5445。SMB 客戶端現(xiàn)在支持使用硬編碼默認(rèn)值的備用網(wǎng)絡(luò)端口通過 TCP、QUIC 或 RDMA 連接到 SMB 服務(wù)器。

此外，Windows Server 中的 SMB over QUIC 服務(wù)器還支持為不同終端配置不同端口。Windows Server 不支持配置備用 SMB 服務(wù)器 TCP 端口，但 Samba 等第三方支持。

用戶可以使用 NET USE 命令和 New-SmbMapping PowerShell cmdlet 指定備用 SMB 客戶端端口，也可以使用組策略完全禁用此功能。

基于 QUIC 的 SMB 客戶端訪問控制證書更改：

Windows 11 Insider Preview Build 25977 中首次宣布的基于 QUIC 客戶端訪問控制的 SMB 功能現(xiàn)在支持使用具有使用者備用名稱的證書，而不僅僅是單個(gè)使用者。

這意味著客戶端訪問控制功能現(xiàn)在支持使用 Microsoft AD 證書頒發(fā)機(jī)構(gòu)和多個(gè)終結(jié)點(diǎn)名稱，就像當(dāng)前發(fā)布的基于 QUIC 的 SMB 版本一樣?，F(xiàn)在，您可以使用推薦的選項(xiàng)評(píng)估該功能，而不需要自簽名測(cè)試證書。

可用下載：

• 18 種語言的 ISO 格式的 Windows Server LTSC 預(yù)覽版，并且只有英文的 VHDX 格式。
• ISO 和 VHDX 格式的 Windows Server Datacenter Azure 預(yù)覽版，僅英文。
• 微軟服務(wù)器語言和可選功能預(yù)覽

密鑰僅對(duì)預(yù)覽版本有效：

• 服務(wù)器標(biāo)準(zhǔn)：MFY9F-XBN2F-TYFMP-CCV49-RMYVH
• 數(shù)據(jù)中心：2KNJJ-33Y9H-2GXGX-KMQWH-G6H67
• Azure 版本不接受密鑰

微軟還指出，此預(yù)覽版將于 2024 年 9 月 15 日到期。需要的網(wǎng)友可以點(diǎn)擊這里下載該鏡像，更新日志地址：這里。