Windows 11 Canary Insider Build 25951에는 SMB NTLM 차단 및 방언 관리가 추가되었습니다.

Microsoft는 Canary 채널의 Windows 참가자 프로그램 회원을 위해 최신 Windows 11 빌드를 출시했습니다. 새 빌드 번호는 25951이며 몇 가지 새로운 SMB 관련 기능과 함께 버그 수정 및 몇 가지 알려진 문제가 포함되어 있습니다. 이 빌드에 대한 ISO 파일을 다운로드할 수도 있습니다 .

변경 내역은 다음과 같습니다.

빌드 25951의 새로운 기능

SMB NTLM 차단

이 빌드(빌드 25951)부터 SMB 클라이언트는 이제 원격 아웃바운드 연결에 대해 NTLM 차단을 지원합니다. 이는 Windows SPNEGO가 Kerberos, NTLM 및 기타 메커니즘을 대상 서버와 협상하여 지원되는 보안 패키지를 결정하는 레거시 동작을 변경합니다. 이 경우 NTLM은 LAN Manager 보안 패키지의 모든 버전( LM, NTLM 및 NTLMv2) 을 나타냅니다 .

이 새로운 옵션을 사용하면 관리자는 Windows가 SMB를 통해 NTLM을 제공하지 못하도록 의도적으로 차단할 수 있습니다. 사용자나 응용 프로그램을 속여 악의적인 서버에 NTLM 챌린지 응답을 보내도록 하는 공격자는 더 이상 NTLM 데이터를 받을 수 없으며 암호는 네트워크를 통해 전송되지 않으므로 무차별 대입, 크랙 또는 암호 전달도 불가능합니다. 이는 OS에서 NTLM 사용을 완전히 비활성화할 필요 없이 기업을 위한 새로운 수준의 보호를 추가합니다 . 그룹 정책 및 PowerShell을 사용하여 이 옵션을 구성할 수 있습니다. NET USE 및 PowerShell을 사용하여 필요에 따라 SMB 연결에서 NTLM 사용을 차단할 수도 있습니다.

NTLM 차단 구성 및 문제 해결에 대한 자세한 내용은 https://aka.ms/SmbNtlmBlock 을 검토하세요 .

SMB 방언 관리

이 빌드(빌드 25951)부터 SMB 서버는 이제 협상할 SMB 2 및 3 방언 제어를 지원합니다. 이는 Windows SMB가 항상 SMB 2.0.2에서 3.1.1 클라이언트로 가장 일치하는 서버 언어를 협상하는 레거시 동작을 변경합니다. Windows 10부터 SMB 클라이언트 방언 제어 에 대한 지원이 추가되었지만 서버 방언은 지원되지 않았습니다.

이 새로운 옵션을 사용하면 관리자는 조직에서 사용되는 이전 SMB 프로토콜을 제거하여 오래되고 보안 수준이 낮으며 성능이 떨어지는 Windows 장치 및 타사 연결을 차단할 수 있습니다.

그룹 정책 및 PowerShell을 사용하여 이 옵션을 구성할 수 있습니다. 이제 SMB 클라이언트와 서버 모두 완전한 관리 지원을 포함합니다(이전에는 클라이언트 지원이 수동 레지스트리 편집 만 가능했습니다 ).

SMB 언어 이해 및 구성에 대한 자세한 내용은 https://aka.ms/SmbDialectManage를 검토하세요.

변경 및 개선

[잠금 화면]

• 작업 표시줄의 시스템 트레이에 있는 빠른 설정의 네트워크 플라이아웃 UI와 더 잘 일치하도록 잠금 화면의 네트워크 플라이아웃을 조정했습니다.

알려진 문제

• 일부 인기 게임은 카나리아 채널의 최신 Insider Preview 빌드에서 제대로 작동하지 않을 수 있습니다. 이러한 빌드에서 게임을 플레이하면서 발견되는 문제에 대해서는 피드백 허브에 피드백을 제출하시기 바랍니다.
• [NEW] 인쇄 대기열에 더 이상 액세스할 수 없다는 보고를 조사하고 있습니다.

여기에서 전체 블로그 게시물을 확인할 수 있습니다 .