Windows 11 24H2 和 Windows Server 2025 中引進的最新 SMB (伺服器訊息區,Server Message Block) 功能旨在強化資料、使用者和組織的安全性。 根據預設,這些功能大多會自動啟用。 這些 SMB 功能旨在降低環境中的網路攻擊和資料外洩風險,以提供更安全可靠的計算環境。
在主要作業系統 (OS) 發布之前,使用者可以下載下列版本來預覽安全性功能:
Windows 11 版本 24H2 或更新版本
Windows Server 2025 或更新版本
SMB 安全性功能
了解 SMB 安全性功能可幫助使用者保護敏感資料,並防止共用資源遭到未經授權的存取。 下一節將概略介紹這些功能。
SMB 簽署
自 Windows 11 24H2 和 Windows Server 2025 開始,所有輸出和輸入 SMB 連線現在皆預設為需要簽署。 先前只有在連線到名為 SYSVOL 和 NETLOGON 的共用、以及 AD 網域控制器的用戶端時,才預設需要 SMB 簽署。
SMB 簽署可防止資料篡改,以及旨在竊取憑證的中繼攻擊。 只要預設啟用強制簽署,系統管理員和使用者無需成為 SMB 網路通訊協定安全性專家,就能啟用這項重要的安全功能。 啟用 SMB 簽署後,用戶端和伺服器只會接受已簽署的封包,並會拒絕任何未簽署的封包。 來自來賓使用者的封包將會遭拒 - 也就是說,原本允許使用者在未提供憑證的情況下連線至伺服器的功能 (來賓回退) 已遭停用。 這項安全性措施會要求使用者在存取伺服器前進行身分驗證,確保只有授權使用者才能存取伺服器及其資源,以協助防止未經授權的存取和資料外洩。
若要了解更多資訊,請參閱控制 SMB 簽署行為。
SMB 替代連接埠
您可以使用 SMB 用戶端,與 TCP、QUIC 和 RDMA 的替代連接埠建立連線。 這些連接埠可能不同於 Internet Assigned Numbers Authority (IANA) 和網際網路工程任務推動小組 (IETF) 指定的預設連接埠,其中 TCP、QUIC 和 RDMA 的預設連接埠分別為 445、443 和 5445。
在 Windows Server 中,可以在允許的防火牆連接埠上託管 SMB over QUIC 連線,而不限於預設的 443 連接埠。 然而,需要注意的是,只有在將 SMB 伺服器設為接聽替代連接埠時,才能連線至該連接埠。 此外,還可以將部署設定為不允許使用替代連接埠,或限制特定伺服器使用這些連接埠。
若想深入了解,請參閱設定備用 SMB 連接埠。
SMB 稽核增強功能
SMB 現在已有能力稽核 SMB over QUIC 的使用情況,並支援第三方加密和簽署。 這些功能皆可同時在 SMB 伺服器和用戶端層級使用。 如果您使用 Windows 或 Windows Server 裝置,現在可以更容易地判斷這些裝置是否正在使用 SMB over QUIC。 您也可以更輕鬆地驗證第三方軟體是否支援簽署和加密,再將這些功能設為強制使用。
若要深入了解,請參閱:
SMB 驗證速率限制器
SMB 伺服器服務現在會限制驗證嘗試失敗的次數。 這適用於 Windows Server 和 Windows 用戶端上的 SMB 檔案共用。 暴力密碼破解攻擊會嘗試猜測使用者名稱和密碼,且每秒可能對 SMB 伺服器發動數十至數千次嘗試。 SMB 驗證速率限制器現已預設啟用,讓每次失敗的 NTLM 或 Local KDC Kerberos 驗證嘗試之後有 2 秒的延遲時間。 因此,原本在 5 分鐘內每秒傳送 300 次猜測的攻擊 (總計 90,000 次嘗試),現在需要 50 小時才能完成。 如此將能大幅降低攻擊者持續使用此方法的可能性。
若要深入了解,請參閱:
現已支援 SMB 用戶端加密強制啟用
SMB 用戶端現在可以強制加密所有輸出 SMB 連線。 這項措施可確保最高層級的網路安全性,並將 SMB 簽署提升至相同的管理層級。 啟用後,SMB 用戶端只能連線至支援 SMB 3.0 或更新版本以及 SMB 加密的 SMB 伺服器。 第三方 SMB 伺服器可能支援 SMB 3.0,但不支援 SMB 加密。 與 SMB 簽署不同,加密在預設情況下並不會強制啟用。
若要了解更多資訊,請參閱將 SMB 用戶端設定為需要在 Windows 中加密。
SMB 方言管理
您現在可以強制使用 SMB 2 和 3 通訊協定版本。 先前,SMB 伺服器和用戶端僅支援自動交涉從 SMB 2.0.2 到 3.1.1 之間最相符的方言。 有了這項新功能,您就可以刻意避免與較舊的通訊協定版本或裝置連線。 例如,您可以指定僅使用 SMB 3.1.1 連線,這是該通訊協定最安全的方言。 您可以在 SMB 用戶端和伺服器上獨立設定最小值和最大值,並能根據需要選擇僅設定最小值。
若要深入了解,請參閱:
SMB 防火牆預設連接埠變更
內建防火牆規則已不再包含 SMB NetBIOS 連接埠。 原本只有在使用 SMB1 時才需要這些連接埠,而 SMB1 現已淘汰並會預設移除。 這項修改可讓 SMB 防火牆規則與 Windows Server 檔案伺服器角色的標準行為保持一致。 系統管理員可以重新設定規則,以恢復舊版連接埠。
若想深入了解,請參閱更新的防火牆規則。
SMB 不安全訪客驗證
預設情況下,Windows 11 專業版已不再允許 SMB 用戶端訪客連線,或回退至 SMB 伺服器訪客身分。 這可讓 Windows 11 專業版符合 Windows 10 和 Windows 11 企業版、教育版和工作站專業版的行為。 訪客登入不需要密碼,且不支援簽署和加密等標準安全性功能。
允許用戶端使用訪客登入,會讓使用者面臨中間人攻擊或惡意伺服器情境的風險。 這類風險的例子包括網路釣魚攻擊 (欺騙使用者開啟遠端共用上的檔案) 以及偽裝伺服器 (誘使用戶端相信它是合法的)。 攻擊者不需要知道使用者的憑證,而弱式密碼也無法發揮作用。 預設情況下,只有第三方遠端裝置可能需要訪客存取權。
若要深入了解,請參閱如何在 SMB2 和 SMB3 中啟用不安全的訪客登入。
SMB NTLM 封鎖
SMB 用戶端現在可以避免對遠端輸出連線進行 NTLM 驗證。 這改變了以往一律使用交涉驗證的行為 (交涉驗證可能會將 Kerberos 降級為 NTLM)。 封鎖 NTLM 驗證可防止用戶端裝置將 NTLM 要求傳送至惡意伺服器,從而減輕暴力密碼破解、破解、轉送和雜湊傳遞攻擊的風險。
NTLM 封鎖對於強制組織進行 Kerberos 驗證是必要的,因為 Kerberos 會使用票證系統和更先進的密碼編譯技術進行身分識別驗證,因此更加安全。 系統管理員可以指定例外狀況,以允許透過 SMB 對特定伺服器進行 NTLM 驗證。
若要深入了解,請參閱:
SMB over QUIC 用戶端存取控制
您可以使用 SMB over QUIC 用戶端存取控制,限制哪些用戶端可以存取 SMB over QUIC 伺服器。 先前的行為允許來自任何信任 QUIC 伺服器憑證發行鏈的用戶端進行連線嘗試。 有了用戶端存取控制,就會為連線至檔案伺服器的裝置建立允許清單和封鎖清單。
用戶端現在必須擁有自己的憑證,並出現在允許清單中,才能建立 QUIC 連線,進而進行任何 SMB 連線。 用戶端存取控制可為組織提供一層新的保護,無需變更 SMB 連線期間使用的驗證,也不會改變使用者體驗。 此外,您可以完全停用 SMB over QUIC 用戶端,或僅允許連線至特定伺服器。
若要深入了解,請參閱:
Windows Server 中的 SMB over QUIC
SMB over QUIC 之前只存在於 Azure 版本的 Windows Server 2022 中,而現在已於所有版本的 Windows Server 2025 中提供。 SMB over QUIC 是過時 TCP 通訊協定的替代方案,適用於不受信任的網路,例如網際網路。 它使用 TLS 1.3 和憑證來確保所有 SMB 流量皆已加密,讓行動和遠端使用者透過邊緣防火牆即可使用,無需使用 VPN。 此外,QUIC 還能確保在需要使用 NTLM 時,使用者的挑戰-回應 (密碼資料) 不會像使用 TCP 時一樣暴露在網路上。
若要深入了解,請參閱:
SMB 遠端郵件槽已遭淘汰
根據預設,SMB 和 Active Directory (AD) 之間的 DC 定位器通訊協定已不再啟用遭到淘汰的遠端郵件槽。 遠端郵件槽通訊協定最初是在 MS DOS 中引進,現在已被視為過時且不可靠。 此外,它缺乏任何驗證或授權機制,因此也不安全。
若要深入了解,請參閱: