微软今天也向 Windows Insider Canary 通道推出了新版本，新版本为 Windows 11 Canary Build 25951 版，和开发版一样，微软也提供了 ISO 镜像文件。

本次金丝雀版更新重点内容就是 SMB，微软对 SMB 控制、验证进行了重大变更，建议企业 IT 管理员阅读微软的详细支持文档并提早在生产环境中进行测试。

SMB NTLM 阻止：

从此版本开始，SMB 客户端现在支持阻止远程出站连接的 NTLM，这改变了之前版本中的默认行为，即 Windows SPNEGO 将与目标服务器协商 Kerberos、NTLM 和其他机制来决定支持的安全包。

本例中的 NTLM 指的是 LAN Manager 安全包的所有版本，包括 LM、NTLM 和 NTLMv2.

通过这个新选项，管理员可以阻止 Windows 通过 SMB 提供 NTLM，若攻击者尝试欺骗用户或通过应用程序向恶意服务器发送 NTLM 质询响应也不再获得任何 NTLM 数据，也不能进行暴力破解或窃取密码，因为这些信息不会再通过网络发送。

这次更新微软为企业增加了新的保护级别，而且 IT 管理员还不需要完全禁止 Windows NTLM 的使用，管理员可以通过 PowerShell 和组策略来配置此选项。

有关此选项请查看：https://aka.ms/SmbNtlmBlock

SMB 版本控制：

从此版本开始 SMB 服务器将可以设置它支持与哪些 SMB 版本进行协商，之前 Windows SMB 协商时会从 SMB 2.0.2 到 3.1.1 然后匹配最高版本的服务器，现在 IT 管理员可以直接控制协商版本。

最佳做法自然是直接剔除旧版本 SMB 协议，从而阻止那些安全性比较低且功能比较差的 Windows 客户端或其他第三方 SMB 客户端。

此功能现在也支持通过 PowerShell 和组策略进行控制，有关此选项请查看：https://aka.ms/SmbDialectManage

其他变化：

微软调整了锁屏界面上的网络弹出窗口，以便更好地适配任务栏系统托盘中快速设置中的网络弹出窗口 UI，也就是把两边的 UI 做成统一样式了。