Windows 11 Canary Insider Build 25951 添加了 SMB NTLM 阻止和方言管理

Microsoft 已在 Canary 渠道上為 Windows Insider 計劃的成員發布了最新的 Windows 11 版本。新的內部版本號為 25951，包含一些新的 SMB 相關功能，以及錯誤修復和一些已知問題。您還可以下載此版本的 ISO 文件。

這是變更日誌：

內部版本 25951 中的新增功能

SMB NTLM 阻止

從此版本（版本 25951）開始，SMB 客戶端現在支持阻止遠程出站連接的 NTLM。這改變了舊行為，即 Windows SPNEGO將與目標服務器協商 Kerberos、NTLM 和其他機制來決定支持的安全包。本例中的 NTLM 指的是 LAN Manager 安全包的所有版本：LM、NTLM 和 NTLMv2。

通過這個新選項，管理員可以有意阻止 Windows 通過 SMB 提供 NTLM。欺騙用戶或應用程序向惡意服務器發送 NTLM 質詢響應的攻擊者將不再接收任何 NTLM 數據，也無法暴力破解、破解或傳遞密碼，因為它們永遠不會通過網絡發送。這為企業增加了新的保護級別，而無需完全禁用操作系統中的NTLM使用。您可以使用組策略和 PowerShell 配置此選項。您還可以根據需要使用 NET USE 和 PowerShell 阻止在 SMB 連接中使用 NTLM。

有關 NTLM 阻止配置和故障排除的詳細信息，請查看https://aka.ms/SmbNtlmBlock。

中小企業方言管理

從此版本（版本 25951）開始，SMB 服務器現在支持控制它將協商哪些 SMB 2 和 3 方言。這改變了舊行為，即 Windows SMB 始終協商從 SMB 2.0.2 到 3.1.1 客戶端的最高匹配服務器方言。從 Windows 10 開始，添加了對控制 SMB 客戶端方言的支持，但不支持控制服務器方言。

通過這個新選項，管理員可以刪除組織中使用的舊版 SMB 協議，從而阻止舊版、安全性較低且功能較差的 Windows 設備和第三方進行連接。

您可以使用組策略和 PowerShell 配置此選項。SMB 客戶端和服務器現在都包含完整的管理支持（以前客戶端支持僅是手動註冊表編輯）。

有關了解和配置 SMB 方言的更多信息，請查看https://aka.ms/SmbDialectManage。

變化和改進

[鎖屏]

• 我們調整了鎖定屏幕上的網絡彈出窗口，以更好地匹配任務欄系統托盤中快速設置中的網絡彈出窗口的 UI。

已知的問題

• 一些流行的遊戲可能無法在 Canary Channel 中的最新 Insider Preview 版本上正常運行。請務必在反饋中心提交有關您在這些版本上玩遊戲時遇到的任何問題的反饋。
• [新]我們正在調查有關打印隊列不再可訪問的報告。

您可以在此處查看完整的博客文章：