Microsoft змінює поведінку панелі попереднього перегляду в «Провіднику» Windows, щоб перекрити малопомітний, але ефективний вектор крадіжки облікових даних. Починаючи з оновлень від 14 жовтня 2025 року автоматично вимикається попередній перегляд для файлів, завантажених з Інтернету, а також для контенту з мережевих розташувань, які Windows класифікує як «зону Інтернету».
Що саме змінилося у Windows 11 і Windows Server
Новий механізм зачіпає дві категорії об’єктів: файли з позначкою Mark of the Web (MotW) і елементи на мережевих ресурсах, що належать до зовнішніх зон безпеки. Для таких об’єктів панель попереднього перегляду у File Explorer не відтворює вміст, натомість показує попередження про потенційну небезпеку та пропонує відкрити файл вручну, якщо джерело викликає довіру.
MotW і зони безпеки: як працює механізм
MotW — це службова мітка (Zone.Identifier), яку Windows та браузери додають до файлів, отриманих із зовнішніх джерел. На основі цієї мітки система та додатки застосовують посилені політики: SmartScreen, обмежені режими виконання і тепер — блокування попереднього перегляду. Такий підхід зменшує імовірність тихого завантаження зовнішніх ресурсів і витоку секретів під час рендерингу.
Чому це важливо: ризики NTLM і «нульова взаємодія»
Формати, що рендеряться у панелі перегляду (наприклад, файли з вбудованим HTML або посиланнями), можуть ініціювати неявні мережеві звернення до зовнішніх серверів через атрибути на кшталт link чи src. У відповідь Windows здатна спробувати автентифікацію за NTLM, надіславши хеш-відповідь. Це відкриває шлях до перехоплення або релею облікових даних (NTLM relay), причому користувачу не потрібно відкривати файл — достатньо просто виділити його у «Провіднику».
Типовий сценарій атаки
Зловмисник розміщує файл із посиланням на ресурс SMB/WebDAV під своїм контролем. Коли файл виділяють у File Explorer, панель перегляду намагається підтягнути зовнішній вміст і ініціює NTLM-автентифікацію. У результаті хеші облікових даних можуть бути перехоплені для офлайн‑зламу або використані в атаках релею в локальній мережі.
Доступність і керовані винятки
Функція доступна користувачам Windows 11 і Windows Server, які встановили жовтневі оновлення. Якщо файл справді потрібний у роботі, можна зняти блокування точково: відкрийте «Властивості» файлу та натисніть «Розблокувати» на вкладці «Загальні». Для довірених мережевих шляхів адміністратори можуть додати адресу до Trusted Sites через «Властивості оглядача» (Internet Options) — вкладка «Безпека».
Оцінка впливу: як саме закрито вектор
Вимкнення попереднього перегляду забирає фактор «нульової взаємодії» з користувачем під час рендерингу потенційно небезпечних об’єктів. Це критично для форматів із вбудованими посиланнями на SMB/WebDAV. За публічною документацією Microsoft та галузевими настановами, такі виклики можуть провокувати NTLM‑автентифікацію і спричиняти витоки хешів, що надалі використовуються для компрометації облікових записів.
Що робити підприємствам: багаторівневий захист
Хоча системна зміна суттєво знижує ризик, надійна оборона має бути багатошаровою. Рекомендовано: мінімізувати використання NTLM (де можливо — переходити на Kerberos) та налаштувати політики «Network security: Restrict NTLM»; увімкнути Credential Guard і підпис SMB, а також обмежити вихідні NTLM‑звернення на периметрі.
Додатково варто застосувати правила Attack Surface Reduction у Microsoft Defender і політики SmartScreen; впровадити цифровий підпис для внутрішніх документів та керовані канали обміну файлами, де MotW можна безпечно усунути; проводити регулярне навчання користувачів щодо ризиків роботи з файлами з Інтернету та з мережевих папок.
Нововведення у File Explorer — прагматичний баланс між зручністю й безпекою. Воно відсікає популярний шлях витоку облікових даних із мінімальним впливом на робочі процеси, залишаючи прозорі способи явно довіряти окремим файлам і сховищам. Організаціям варто переглянути процеси, що залежать від попереднього перегляду «інтернет‑файлів», і паралельно посилити контроль NTLM, щоби підвищити загальний рівень кібергігієни та стійкість до атак.
