Windows 11 24H2 和 Windows Server 2025 中引入的最新 SMB(服务器消息块)功能旨在增强数据、用户和组织的安全性。 默认情况下,这些功能中的大多数都是自动启用的。 这些 SMB 功能旨在通过降低环境中网络攻击和数据泄露的风险,提供更安全且更可靠的计算环境。
用户可以在我们的主要操作系统 (OS) 发布之前下载以下版本以预览安全功能:
Windows 11 版本 24H2 或更高版本
Windows Server 2025 或更高版本
SMB 安全功能
了解 SMB 安全功能可帮助用户保护其敏感数据,并防止未经授权的访问共享资源。 下一节将简要概述这些功能。
SMB 签名
从 Windows 11 24H2 和 Windows Server 2025 开始,默认情况下,所有出站和入站 SMB 连接现在都需要签名。 以前,默认情况下,只有连接到名为 SYSVOL 和 NETLOGON 的共享以及 AD 域控制器的客户端才需要 SMB 签名。
SMB 签名可防止窃取凭据的数据篡改和中继攻击。 通过在默认情况下强制签名,管理员和用户不需要是 SMB 网络协议安全方面的专家就可以启用这一重要的安全特性。 启用 SMB 签名会导致客户端和服务器仅接受已签名的数据包,并拒绝任何未签名的数据包。 来自来宾用户的数据包被拒绝,这意味着允许用户在不提供凭据的情况下连接到服务器的功能(来宾回退)被禁用。 此安全措施通过要求用户在访问服务器之前进行身份验证来帮助防止未经授权的访问和数据泄露,从而确保只有授权用户才能访问服务器及其资源。
若要了解详细信息,请参阅控制 SMB 签名行为。
SMB 备用端口
SMB 客户端可用于与 TCP、QUIC 和 RDMA 的备用端口建立连接。 这些端口可能与 Internet 号码分配机构 (IANA) 和 Internet 工程任务组 (IETF) 分配的默认端口不同,TCP、QUIC 和 RDMA 的默认端口分别为 445、443 和 5445。
在 Windows Server 中,可以在允许的防火墙端口上托管 SMB over QUIC 连接,但不一定是默认端口 443。 但是,请务必注意,只有 SMB 服务器配置为在特定端口上侦听时,才有可能连接到其他端口。 此外,可以配置部署以禁止使用备用端口或将其限制在某些服务器上。
要了解详细信息,请参阅配置替代 SMB 端口。
SMB 审核改进
SMB 现在能够审核使用 SMB over QUIC,并支持第三方加密和签名。 这些功能可以在 SMB 服务器和客户端级别使用。 如果你使用的是 Windows 或 Windows Server 设备,现在更容易确定它们是否使用 SMB over QUIC。 你还可以更容易地验证第三方软件是否支持签名和加密,然后再强制执行。
若要了解更多信息,请参阅以下文章:
SMB 身份验证速率限制器
SMB 服务器服务现在限制失败的身份验证尝试次数。 这适用于 Windows Server 和 Windows 客户端上的 SMB 文件共享。 暴力破解攻击试图猜测用户名和密码,并且可以以每秒数十到数千次的尝试轰炸 SMB 服务器。 SMB 身份验证速率限制器现在默认启用,每次基于 NTLM 或本地 KDC Kerberos 的身份验证尝试失败之间有 2 秒的延迟。 因此,在 5 分钟内每秒发送 300 次猜测(90,000 次尝试)的攻击现在需要 50 个小时才能完成。 这使得攻击者坚持使用这种方法的可能性大大降低。
若要了解更多信息,请参阅以下文章:
现在支持 SMB 客户端加密授权
SMB 客户端现在可以为所有出站 SMB 连接强制加密。 此措施可确保最高级别的网络安全,并将 SMB 签名提升到相同的管理级别。 启用后,SMB 客户端仅连接到支持 SMB 3.0 或更高版本和 SMB 加密的 SMB 服务器。 第三方 SMB 服务器可能支持 SMB 3.0,但不支持 SMB 加密。 与 SMB 签名不同,默认情况下加密不是强制性的。
若要了解更多信息,请参阅在 Windows 中将 SMB 客户端配置为要求进行加密。
SMB 方言管理
现在可以强制使用 SMB 2 和 3 协议版本。 以前,SMB 服务器和客户端仅支持从 SMB 2.0.2 到 3.1.1 的最高匹配方言的自动协商。 借助这项新功能,可以有意阻止较旧的协议版本或设备进行连接。 例如,可以指定连接仅使用 SMB 3.1.1,这是协议中最安全的方言。 最小值和最大值可以在 SMB 客户端和服务器上独立设置;如果需要,可以选择仅设置最小值。
若要了解更多信息,请参阅以下文章:
SMB 防火墙默认端口更改
SMB NetBIOS 端口不再包含在内置防火墙规则中。 这些端口仅在 SMB1 使用时需要,SMB1 现在已被弃用并默认删除。 此修改使 SMB 防火墙规则与 Windows Server 文件服务器角色的标准行为保持一致。 管理员能够重新配置规则以恢复传统端口。
要了解详细信息,请参阅更新的防火墙规则。
SMB 不安全来宾身份验证
默认情况下,Windows 11 专业版不再允许 SMB 客户端来宾连接或来宾回退到 SMB 服务器。 这Windows 11 专业版与 Windows 10 和 Windows 11 企业工作站版、教育工作站版和专业工作站版的行为保持一致。 来宾登录不需要密码,也不支持签名和加密等标准安全功能。
允许客户端使用来宾登录会使用户面临中间敌手攻击方案或恶意服务器方案的风险。 例如,网络钓鱼攻击欺骗用户打开远程共享上的文件,或者欺骗服务器,使其相信客户端是合法的。 攻击者不需要知道用户的凭据,弱密码也会被忽略。 默认情况下,只有第三方远程设备可能需要来宾访问。
若要了解更多信息,请参阅如何在 SMB2 和 SMB3 中启用不安全的来宾登录。
SMB NTLM 阻止
SMB 客户端现在可以阻止远程出站连接的 NTLM 身份验证。 这修改了以前始终使用协商身份验证的行为,该身份验证可能会从 Kerberos 降级到 NTLM。 通过阻止 NTLM 身份验证,这可以防止客户端设备向恶意服务器发送 NTLM 请求,从而缓解暴力攻击、破解、中继和哈希传递攻击。
NTLM 阻止对于强制组织对 Kerberos 进行身份验证是必要的,Kerberos 更安全,因为它使用其票证系统和高级加密技术验证标识。 管理员可以指定例外,以允许通过 SMB 对特定服务器进行 NTLM 身份验证。
若要了解更多信息,请参阅以下文章:
SMB over QUIC 客户端访问控制
通过 SMB over QUIC 客户端访问控制,可以限制哪些客户端可以访问 SMB over QUIC 服务器。 之前的行为允许来自信任 QUIC 服务器证书颁发链的任何客户端的连接尝试。 通过客户端访问控制,为连接到文件服务器的设备创建了允许名单和阻止名单。
客户端现在必须有自己的证书,并且必须位于允许列表中,才能建立 QUIC 连接,然后才能进行任何 SMB 连接。 客户端访问控制为组织提供了额外的保护,而无需更改 SMB 连接期间使用的身份验证,并且用户体验仍然不受影响。 此外,可以完全禁用 SMB over QUIC 客户端,或仅允许连接到特定服务器。
若要了解更多信息,请参阅以下文章:
Windows Server 中的 SMB over QUIC
SMB over QUIC 现已在所有版本的 Windows Server 2025 中提供,而它仅存在于 Windows Server 2022 的 Azure 版本中。 SMB over QUIC 是过时 TCP 协议的替代方法,旨在用于 Internet 等不受信任的网络。 TLS 1.3 和证书用于确保所有 SMB 流量都经过加密,使其能够通过边缘防火墙被移动和远程用户使用,而无需 VPN。 QUIC 还确保,如果需要 NTLM,用户质询响应(密码数据)不会像 TCP 那样暴露在网络上。
若要了解更多信息,请参阅以下文章:
SMB 远程 Mailslots 弃用
默认情况下,与 Active Directory (AD) 一起使用 SMB 和 DC 定位器协议时,不再启用远程 Mailslots,因为它已被弃用。 最初在 MS-DOS 中引入的远程 Mailslot 协议现在被认为已经过时且不可靠。 它还不安全,因为它缺少任何身份验证或授权机制。
若要了解更多信息,请参阅以下文章: