微软今天发布 Win11 Build 25997 预览版更新的同时,还发布了 Windows Server Build 25997 预览版,主要为数据中心版本和标准版添加了 SMB over QUIC。
附上更新内容如下:
新增内容:
- 数据中心版本和标准版支持 SMB over QUIC
自该版本(Build 25997)开始,Windows Server 数据中心版和标准版均支持 SMB over QUIC,此前仅在 Windows Server Azure Edition 中提供。
关于本次更新的详细信息可以访问:https://aka.ms/SMBoverQUICServer.
有关 SMB over QUIC 的信息可以访问:https://aka.ms/SMBoverQUIC." target="_blank">https://aka.ms/SMBoverQUIC.
- 更改 SMB 防火墙规则
自该版本(Build 25997)开始,创建 SMB 分享会更改长期 Windows Defender 防火墙默认行为。
以前,创建分享会自动将防火墙配置为为给定防火墙配置文件启用“文件和打印机共享”组中的规则。
现在,Windows 会自动配置新的“文件和打印机共享(限制性)”组,该组不再包含入站 NetBIOS 端口 137-139。
微软计划将来对此规则进行更新,以同时删除入站 ICMP、LLMNR 和后台处理程序服务端口,并限制为仅 SMB 共享所需的端口。
此更改强制实施更高的网络安全默认标准,并使 SMB 防火墙规则更接近 Windows Server“文件服务器”角色行为。
如有必要,管理员仍然可以配置“文件和打印机共享”组,以及修改此新的防火墙组。
- SMB NTLM 阻止例外列表
微软在 Win11 Build 25951 预览版中,SMB 客户端将支持阻止远程出站连接的 NTLM。Windows SPNEGO 会与目标服务器协商 Kerberos、NTLM 和其他机制,以决定支持的安全包。
注:这里的 NTLM 是指 LAN Manager 安全包的所有版本: LM、NTLM 和 NTLMv2。
得益于此,IT 管理员就可以主动阻止 Windows 通过 SMB 提供 NTLM。这样一来,哪怕攻击者成功欺骗用户或应用程序向恶意服务器发送 NTLM 响应也不会收到任何 NTLM 数据,也无法进行暴力破解、密码破解或密码传递。这为企业提供了更高的保护级别,而无需完全禁用操作系统中的 NTLM 功能。
管理员可以使用组策略和 PowerShell 配置此选项。还可以使用 NET USE 和 PowerShell 根据需要阻止 SMB 连接中使用的 NTLM。
- SMB 备用客户端和服务器端口:
以前,SMB 仅支持 TCP / 445、QUIC / 443 和 RDMA iWARP / 5445。SMB 客户端现在支持使用硬编码默认值的备用网络端口通过 TCP、QUIC 或 RDMA 连接到 SMB 服务器。
此外,Windows Server 中的 SMB over QUIC 服务器还支持为不同终端配置不同端口。Windows Server 不支持配置备用 SMB 服务器 TCP 端口,但 Samba 等第三方支持。
用户可以使用 NET USE 命令和 New-SmbMapping PowerShell cmdlet 指定备用 SMB 客户端端口,也可以使用组策略完全禁用此功能。
- 基于 QUIC 的 SMB 客户端访问控制证书更改:
Windows 11 Insider Preview Build 25977 中首次宣布的基于 QUIC 客户端访问控制的 SMB 功能现在支持使用具有使用者备用名称的证书,而不仅仅是单个使用者。
这意味着客户端访问控制功能现在支持使用 Microsoft AD 证书颁发机构和多个终结点名称,就像当前发布的基于 QUIC 的 SMB 版本一样。现在,您可以使用推荐的选项评估该功能,而不需要自签名测试证书。
可用下载:
- 18 种语言的 ISO 格式的 Windows Server LTSC 预览版,并且只有英文的 VHDX 格式。
- ISO 和 VHDX 格式的 Windows Server Datacenter Azure 预览版,仅英文。
- 微软服务器语言和可选功能预览
密钥仅对预览版本有效:
服务器标准:MFY9F-XBN2F-TYFMP-CCV49-RMYVH
数据中心:2KNJJ-33Y9H-2GXGX-KMQWH-G6H67
Azure 版本不接受密钥