在 2025 年 10 月補丁星期二更新之後,許多 Windows 用戶開始報告一個令人沮喪的問題:文件資源管理器預覽窗格突然停止對許多常見文件類型工作。
這看起來像是一個錯誤,但實際上是 Microsoft 故意的安全增強功能,影響了 Windows 11 和 Windows 10。
為了優先考慮安全性而不是便利性,微軟從根本上將文件資源管理器的核心功能更改為 修補嚴重漏洞。
KB5066835(適用於 Windows 11 和
安全修復,而不是錯誤
用戶現在看到的不是文件預覽,而是一條警告消息。作為 微軟官方支持文檔解釋說,該窗格現在將顯示文本:“您嘗試預覽的文件可能會損害您的計算機。如果您信任該文件及其來源,請打開它以查看其內容。”
突然的變化讓許多人措手不及,導致
每天驗證數十個新 PDF 文檔的專業人士依賴於預覽功能。如果沒有它,每個文件都必須單獨解鎖或打開,從而給他們的任務增加大量時間和摩擦。
問題的核心在於稱為“Web 標記”(MotW) 的安全標識符。 Windows 會自動將此標記應用於從互聯網下載、從 OneDrive 等雲服務同步或從網絡共享訪問的任何文件。
根據 Microsoft 的說法,“默認情況下,對於標記有 Web 標記 (MotW) 的文件,預覽功能處於禁用狀態,這表明它們源自互聯網安全區域。”此主動步驟現在是所有此類文件的默認設置。
NTLM 漏洞如何工作
此更改的核心在於涉及 NTLM 憑據哈希的嚴重漏洞。要了解嚴重性,重要的是要了解如何利用這些哈希值。 NTLM (NT LAN Manager) 是一套 Microsoft 安全性 協議。
當用戶訪問網絡資源時,他們的系統可以發送其密碼的 NTLM 哈希來證明其身份。
在“pass-the-hash”攻擊中,攻擊者不需要實際密碼;他們只需要捕獲此哈希值。
一旦獲得該哈希值,他們就可以重複使用它來模擬用戶並獲取對網絡上其他系統和數據的訪問權限。
微軟正在修補的漏洞允許惡意文件欺騙文件資源管理器,只需通過預覽即可將該哈希值發送到攻擊者控制的服務器。
該公司的支持文章闡明了該風險,並指出, “此更改緩解瞭如果用戶預覽包含引用外部路徑的 HTML 標記(例如 、
這種類型的利用類似於 CVE-2025-24054 中詳細介紹的內容特別危險,因為它需要最少的用戶交互。
通過禁用互聯網來源文件的預覽,Microsoft 可以防止這種無聲的憑據盜竊行為
恢復預覽:解決方法和風險
對於那些了解風險並需要恢復預覽功能的人,Microsoft 提供了官方解決方法。最直接的方法是手動刪除每個文件的 Web 標記。
為此,用戶可以右鍵單擊下載的文件,選擇屬性,然後在常規選項卡上,選中底部的取消阻止框。
應用此更改後,預覽窗格將像之前一樣運行。 特定文件。
對於位於網絡共享上的文件,可以使用更廣泛但潛在風險更高的解決方案。用戶可以通過經典的 Internet 選項控制面板將文件共享的地址添加到本地 Intranet 或受信任的站點安全區域。
這告訴 Windows 信任來自該來源的所有內容,但這是一個重大的安全權衡。微軟警告稱,這將放鬆該共享上每個文件的安全狀況,從而有效地完全繞過該位置的 MotW 保護。
新常態:默認安全
微軟的這一舉措是更廣泛的行業趨勢的一部分,即“默認安全”態勢。操作系統開發人員越來越願意引入用戶摩擦來消除潛在的攻擊媒介。
我們在 Apple 的 macOS Gatekeeper 中看到了類似的理念,它會審查來自身份不明的開發人員的應用程序,而在現代網絡瀏覽器中, 顯示針對不安全下載的顯著警告。
對於 IT 管理員來說,這種轉變在平衡集中管理的安全策略與員工工作效率方面提出了新的挑戰。
雖然禁用的預覽窗格可能會帶來不便,但它標誌著一個新時代,用戶和組織必須更加謹慎地信任數字內容,將來自互聯網的每個文件都視為潛在可疑文件,除非事實證明並非如此。
如何在 Windows 11 中取消阻止下載
當您下載文件時,Windows 通常會阻止該文件或顯示警告,以防止您損害您的電腦。然而,用於此保護的附件管理器通常會阻止完全安全的文件,因此可能有必要了解如何在 Windows 11 上取消阻止文件,以便您可以不間斷地運行它。
