Windows 檔案總管預覽功能存在 NTLM 雜湊外洩風險——如何自保

Windows 檔案總管預覽功能存在 NTLM 雜湊外洩風險
　　——如何自保

NT LAN Manager (NTLM) 是微軟用於 Windows 帳戶和服務的驗證協定。由於其存在資安弱點，雖然 NTLM 已大多被 Kerberos 取代，成為 Active Directory 環境中的主要驗證機制，但 NTLM 仍保留用於向下相容。在特定條件下，NTLM 仍可能被濫用。

當使用者在檔案總管中開啟預覽時，某些含有特定指令的檔案可能會觸發 NTLM 驗證請求，Windows 可能會自動將使用者的雜湊密碼傳送至惡意伺服器。駭客取得這些雜湊值後，可以離線暴力破解密碼，或直接發動「Pass-the-Hash」攻擊。

根據微軟的說法，這類攻擊目前確實正在發生，因此在 2025 年 10 月的安全更新中，Windows 已經停止顯示帶有 網路標記 ( Mark of the Web, MoTW，即從網際網路下載的檔案 ) 標籤的檔案預覽。


▼ 如何防範 NTLM 雜湊外洩

當您預覽從網際網路下載的檔案時，採取預防措施非常重要，因為 Microsoft Defender 無法單純透過掃描檔案來偵測 NTLM 請求。以下是您可以採取的安全步驟：

更新至最新的 Windows 版本：

在 10 月 14 日的安全更新中，Windows 已停用帶有 MoTW 標記的檔案預覽。如果您使用 Windows 11，請前往 設定 → Windows Update，確保您的系統已安裝最新的更新。

• 進行線上檔案行為分析：

  防毒軟體掃描對於偵測惡意 NTLM 請求並不有效。如果您有所疑慮，應使用行為分析工具掃描檔案。這類工具會在沙箱（Sandbox）中執行檔案並追蹤其行為。Joe Sandbox 和 MetaDefender 都能在沙箱中開啟檔案並追蹤其行為。

• 保護 NTLM 憑證：

  您可以採取主動措施，將 NTLM 洩漏成功的可能性降到最低。請參考相關指南中的方法來保護 Windows NTLM 憑證免受威脅。

• 在虛擬機器（VM）中追蹤檔案行為：

  您可以建立一個虛擬機器來測試檔案行為，確保其在預覽時不會發送任何網路請求。您可以使用 Windows 內建的 Hyper-V虛擬機器應用程式 或第三方然後在預覽檔案時追蹤其網路使用狀況。

• 在整個系統中停用檔案總管預覽：

  要徹底排除透過檔案預覽導致 NTLM 雜湊外洩的可能性，您可以完全停用預覽處理常式。在檔案總管中，點選上方「...」（或「檢視更多」）選單中的「選項」。接著，切換到「檢視」分頁，取消勾選「在預覽窗格中顯示預覽處理常式」的選項。

  
  

▼ 如何預覽可信任的檔案

如果您已確認下載的檔案是安全的，並且在最新 Windows 更新後仍想預覽它，您必須解除封鎖後才能預覽。方法如下：

• 在檔案上按右鍵，選擇「內容」。
  .
• 在「一般」分頁下，勾選「安全性」區塊中的「解除封鎖」核取方塊，然後確認變更。
  .
• 點擊「套用」→「確定」。
  .
  

登錄/註冊後可看大圖

Microsoft Defender 原來不夠用
感謝大大無私分享