微软windowsserverbuild25997预览版更新

11月16日消息，微软今天发布Win11Build25997预览版更新的同时，还发布了WindowsServerBuild25997预览版，主要为数据中心版本和标准版添加了SMBoverQUIC。

IT之家在此附上更新内容如下：

新增内容：数据中心版本和标准版支持SMBoverQUIC

自该版本（Build25997）开始，WindowsServer数据中心版和标准版均支持SMBoverQUIC，此前仅在WindowsServerAzureEdition中提供。

关于本次更新的详细信息可以访问：https://aka.ms/SMBoverQUICServer.

有关SMBoverQUIC的信息可以访问：https://aka.ms/SMBoverQUIC.

更改SMB防火墙规则

自该版本（Build25997）开始，创建SMB分享会更改长期WindowsDefender防火墙默认行为。

以前，创建分享会自动将防火墙配置为为给定防火墙配置文件启用“文件和打印机共享”组中的规则。

现在，Windows会自动配置新的“文件和打印机共享（限制性）”组，该组不再包含入站NetBIOS端口137-139。

微软计划将来对此规则进行更新，以同时删除入站ICMP、LLMNR和后台处理程序服务端口，并限制为仅SMB共享所需的端口。

此更改强制实施更高的网络安全默认标准，并使SMB防火墙规则更接近WindowsServer“文件服务器”角色行为。

如有必要，管理员仍然可以配置“文件和打印机共享”组，以及修改此新的防火墙组。

SMBNTLM阻止例外列表

微软在Win11Build25951预览版中，SMB客户端将支持阻止远程出站连接的NTLM。WindowsSPNEGO会与目标服务器协商Kerberos、NTLM和其他机制，以决定支持的安全包。

IT之家注：这里的NTLM是指LANManager安全包的所有版本：LM、NTLM和NTLMv2。

得益于此，IT管理员就可以主动阻止Windows通过SMB提供NTLM。这样一来，哪怕攻击者成功欺骗用户或应用程序向恶意服务器发送NTLM响应也不会收到任何NTLM数据，也无法进行暴力破解、密码破解或密码传递。这为企业提供了更高的保护级别，而无需完全禁用操作系统中的NTLM功能。

管理员可以使用组策略和PowerShell配置此选项。还可以使用NETUSE和PowerShell根据需要阻止SMB连接中使用的NTLM。

SMB备用客户端和服务器端口：

以前，SMB仅支持TCP/445、QUIC/443和RDMAiWARP/5445。SMB客户端现在支持使用硬编码默认值的备用网络端口通过TCP、QUIC或RDMA连接到SMB服务器。

此外，WindowsServer中的SMBoverQUIC服务器还支持为不同终端配置不同端口。WindowsServer不支持配置备用SMB服务器TCP端口，但Samba等第三方支持。

用户可以使用NETUSE命令和New-SmbMappingPowerShellcmdlet指定备用SMB客户端端口，也可以使用组策略完全禁用此功能。

基于QUIC的SMB客户端访问控制证书更改：

Windows11InsiderPreviewBuild25977中首次宣布的基于QUIC客户端访问控制的SMB功能现在支持使用具有使用者备用名称的证书，而不仅仅是单个使用者。

这意味着客户端访问控制功能现在支持使用MicrosoftAD证书颁发机构和多个终结点名称，就像当前发布的基于QUIC的SMB版本一样。现在，您可以使用推荐的选项评估该功能，而不需要自签名测试证书。

可用下载：

18种语言的ISO格式的WindowsServerLTSC预览版，并且只有英文的VHDX格式。

ISO和VHDX格式的WindowsServerDatacenterAzure预览版，仅英文。

微软服务器语言和可选功能预览

密钥仅对预览版本有效：

服务器标准：MFY9F-XBN2F-TYFMP-CCV49-RMYVH

数据中心：2KNJJ-33Y9H-2GXGX-KMQWH-G6H67

Azure版本不接受密钥

微软还指出，此预览版将于2024年9月15日到期。