Microsoft изменила поведение панели предпросмотра в «Проводнике» Windows (File Explorer), чтобы закрыть малоинтерактивный вектор кражи учетных данных. Начиная с обновлений от 14 октября 2025 года, предпросмотр автоматически отключается для файлов, скачанных из интернета или размещенных в внешних сетевых зонах, что снижает риск утечки NTLM-хешей при простом выделении файла.
Что именно изменилось в Windows 11 и Windows Server
Механизм касается двух категорий объектов: файлов с отметкой Mark of the Web (MotW) и содержимого в сетевых папках, которые Windows классифицирует как «зона Интернета». Для таких объектов панель превью не рендерит содержимое, а вместо этого выводит предупреждение: «Файл, который вы пытаетесь просмотреть, может навредить компьютеру. Если вы доверяете файлу и источнику, от которого его получили, откройте его, чтобы увидеть содержимое».
Почему это важно: краткий разбор угрозы NTLM
Предпросмотр некоторых форматов может приводить к неявным сетевым обращениям, если внутри файла есть HTML‑теги и другие ссылки на внешние ресурсы (например, link, src и подобные), указывающие на путь на сервер злоумышленника. В таких сценариях система может попытаться аутентифицироваться по NTLM, отправив хеш‑ответ, что открывает путь к перехвату или релею учетных данных. Опасность в том, что от пользователя не требуется открывать файл: достаточно выделить его в «Проводнике», чтобы сработал предпросмотр.
Как работает Mark of the Web и роль зон безопасности
Отметка MotW — это метаданные (Zone.Identifier), которые Windows и браузеры добавляют к объектам, загруженным из внешних источников. На их основе политики безопасности, SmartScreen и приложения Windows применяют дополнительные ограничения: предупреждают при запуске, включают защищенные режимы и теперь блокируют предпросмотр в «Проводнике». Такой подход понижает вероятность бесшумной загрузки удалимых ресурсов и утечки секретов при рендеринге.
Кому доступна функция и как обойти блокировку при доверенных сценариях
Изменение уже активно для пользователей Windows 11 и Windows Server, установивших октябрьские обновления. В обоснованных случаях можно снять блокировку точечно: откройте «Свойства» файла и нажмите «Разблокировать» на вкладке «Общие». Для доверенных сетевых путей администраторы могут добавить адрес в Trusted Sites через «Свойства обозревателя» (Internet Options) — вкладка «Безопасность».
Экспертная оценка: как мера закрывает вектор атак
Блокирование предпросмотра устраняет «нулевое взаимодействие» при рендеринге потенциально опасных объектов. Это особенно актуально для форматов, в которых встречаются встроенные ссылки на SMB/WebDAV‑ресурсы. По данным публичной документации Microsoft и рекомендаций отраслевых регуляторов, такие вызовы могут инициировать NTLM‑аутентификацию и привести к утечке хешей в руки злоумышленника, которые далее используют для офлайн‑взлома или NTLM‑relay атак.
Рекомендации для предприятий: усиливаем защиту в комплексе
Хотя запрет предпросмотра снижает риск на уровне ОС, грамотная защита должна быть многоуровневой. Рекомендуется:
— включить и настроить политики «Network security: Restrict NTLM» и по возможности минимизировать использование NTLM в пользу Kerberos;
— активировать Credential Guard и SMB‑подпись, ограничить исходящие NTLM‑запросы на периметре;
— применять правила Attack Surface Reduction Microsoft Defender и SmartScreen;
— использовать цифровую подпись для внутренних документов и управляемые каналы обмена файлами, чтобы избавляться от MotW там, где это обосновано и безопасно;
— обучать сотрудников распознавать риски файлов «из интернета» и избегать работы с ними из сетевых папок без необходимости.
Новое поведение File Explorer — практичный компромисс между удобством и безопасностью. Оно закрывает популярный вектор с минимальным влиянием на рабочие процессы, оставляя контролируемые способы явного доверия к конкретным файлам и хранилищам. Организациям стоит пересмотреть процессы, зависящие от предпросмотра «интернет‑файлов», и внедрить дополнительные меры против NTLM‑утечек, чтобы укрепить общий кибергигиенический уровень.
