微软宣布Windows 11 Insider Preview Build 25381.1预览版推送了！

　　微软为在 Windows Insider Program 的 Canary Channel 中注册的设备发布了 Windows 11 build 25381。更新并不重要，但包含一些新的更改和改进。根据官方更改，适用于 Windows 11 的 Build 25381 现在需要默认登录所有服务器消息块 （SMB） 连接，但仅适用于操作系统的企业版。这改变了传统行为，默认情况下，系统仅在连接到名为 SYSVOL 和 NETLOGON 的共享时才需要身份验证，而 Active Directory 域控制器在任何客户端连接到它们时都需要 SMB 签名。该公司解释说，这是增强操作系统客户端和服务器版本安全性的新活动的一部分。

　　提醒：由于发布到 Canary Channel 的构建是“热销的”，我们将为发送到 Canary Channel 的构建提供有限的文档（例如，没有已知问题），但我们不会为每个航班发布博客文章 – 仅当构建中有新功能可用时。与之前的 Canary Channel build一样，此 build 有一些新功能和对文档的更改。

　　Build 25381 中的新增功能

　　SMB 签名要求变更

　　从 Windows 11 Insider Preview Build 25381 企业版开始，现在默认情况下所有连接都需要 SMB 签名。这改变了传统行为，Windows 10 和 11 默认情况下仅在连接到名为 SYSVOL 和 NETLOGON的共享时才需要 SMB 签名 ，而 Active Directory 域控制器 在任何客户端连接到它们时都需要 SMB 签名。这是为现代环境提高 Windows 和 Windows Server 安全性的活动的一部分。

　　所有版本的 Windows 和 Windows Server 都支持 SMB 签名。但是第三方可能会禁用或不支持它。如果您尝试连接到不允许 SMB 签名的第三方 SMB 服务器上的远程共享，您可能会收到以下错误消息之一：

　　0xc000a000

　　-1073700864

　　STATUS_INVALID_SIGNATURE

　　加密签名无效。

　　要解决此问题，请配置您的第三方 SMB 服务器以支持 SMB 签名。这是微软官方推荐的指导。不要在 Windows 中禁用 SMB 签名或使用 SMB1 来解决此问题（SMB1 支持签名但不强制执行）。不支持签名的 SMB 设备允许拦截和中继来自恶意方的攻击。

　　SMB 签名会降低 SMB 复制操作的性能。您可以使用更多物理 CPU 内核或虚拟 CPU 以及更新、更快的 CPU 来缓解这种情况。

　　要查看当前的 SMB 签名设置，请运行以下 PowerShell 命令：

　　获取 SmbServerConfiguration | fl 需要安全签名

　　获取 SmbClientConfiguration | fl 需要安全签名

　　要禁用 SMB 登录客户端（出站到其他设备）连接的要求，请以提升的管理员身份运行以下 PowerShell 命令：

　　设置 SmbClientConfiguration -RequireSecuritySignature $false

　　要禁用 SMB 登录服务器的要求（在 Windows 11 Insider Preview Build 25381 和更高版本的企业版设备上），请以提升的管理员身份运行以下 PowerShell 命令：

　　设置 SmbServerConfiguration -RequireSecuritySignature $false

　　不需要重新启动，但现有的 SMB 连接在关闭之前仍将使用签名。

　　有关此更改的更多信息，请访问https://aka.ms/SMBSigningOBD。

　　变化和改进

　　［一般的］

　　如果检测到摄像头流式传输问题，例如摄像头无法启动或摄像头快门关闭，将出现一个弹出对话框，建议启动自动获取帮助故障排除程序来解决问题。