Android 台灣中文網
標題: Windows 檔案總管預覽功能存在 NTLM 雜湊外洩風險——如何自保 [打印本頁]
作者: qciwbu95 時間: 2025-10-29 13:18
標題: Windows 檔案總管預覽功能存在 NTLM 雜湊外洩風險——如何自保
本帖最後由 qciwbu95 於 2025-10-29 13:52 編輯
Windows 檔案總管預覽功能存在 NTLM 雜湊外洩風險
——如何自保
NT LAN Manager (NTLM) 是微軟用於 Windows 帳戶和服務的驗證協定。由於其存在資安弱點,雖然 NTLM 已大多被 Kerberos 取代,成為 Active Directory 環境中的主要驗證機制,但 NTLM 仍保留用於向下相容。在特定條件下,NTLM 仍可能被濫用。
當使用者在檔案總管中開啟預覽時,某些含有特定指令的檔案可能會觸發 NTLM 驗證請求,Windows 可能會自動將使用者的雜湊密碼傳送至惡意伺服器。駭客取得這些雜湊值後,可以離線暴力破解密碼,或直接發動「Pass-the-Hash」攻擊。
根據微軟的說法,這類攻擊目前確實正在發生,因此在 2025 年 10 月的安全更新中,Windows 已經停止顯示帶有 網路標記 ( Mark of the Web, MoTW,即從網際網路下載的檔案 ) 標籤的檔案預覽。
▼ 如何防範 NTLM 雜湊外洩
當您預覽從網際網路下載的檔案時,採取預防措施非常重要,因為 Microsoft Defender 無法單純透過掃描檔案來偵測 NTLM 請求。以下是您可以採取的安全步驟:
更新至最新的 Windows 版本:在 10 月 14 日的安全更新中,Windows 已停用帶有 MoTW 標記的檔案預覽。如果您使用 Windows 11,請前往 設定 → Windows Update,確保您的系統已安裝最新的更新。
- 進行線上檔案行為分析:
防毒軟體掃描對於偵測惡意 NTLM 請求並不有效。如果您有所疑慮,應使用行為分析工具掃描檔案。這類工具會在沙箱(Sandbox)中執行檔案並追蹤其行為。Joe Sandbox 和 MetaDefender 都能在沙箱中開啟檔案並追蹤其行為。
- 保護 NTLM 憑證:
您可以採取主動措施,將 NTLM 洩漏成功的可能性降到最低。請參考相關指南中的方法來保護 Windows NTLM 憑證免受威脅。
- 在虛擬機器(VM)中追蹤檔案行為:
您可以建立一個虛擬機器來測試檔案行為,確保其在預覽時不會發送任何網路請求。您可以使用 Windows 內建的 Hyper-V虛擬機器應用程式 或第三方然後在預覽檔案時追蹤其網路使用狀況。
- 在整個系統中停用檔案總管預覽:
要徹底排除透過檔案預覽導致 NTLM 雜湊外洩的可能性,您可以完全停用預覽處理常式。在檔案總管中,點選上方「...」(或「檢視更多」)選單中的「選項」。接著,切換到「檢視」分頁,取消勾選「在預覽窗格中顯示預覽處理常式」的選項。
▼ 如何預覽可信任的檔案
如果您已確認下載的檔案是安全的,並且在最新 Windows 更新後仍想預覽它,您必須解除封鎖後才能預覽。方法如下:
- 在檔案上按右鍵,選擇「內容」。
. - 在「一般」分頁下,勾選「安全性」區塊中的「解除封鎖」核取方塊,然後確認變更。
. - 點擊「套用」→「確定」。
.
