微软加强Windows安全防护：默认禁用下载文件的预览功能

微软已向Windows文件资源管理器推出了一项重要的安全增强功能，作为2025年10月14日及之后发布的安全更新的一部分，自动禁用从互联网下载文件的预览窗格。

这项主动措施针对的是一个长期存在的漏洞，攻击者曾利用此漏洞收集用于网络认证的NTLM哈希和敏感凭证，可能导致横向移动或完全账户接管。

更新背后的漏洞

根据CSN报告，该漏洞源于Windows预览包含指向外部资源的HTML元素（如<link>或<src>标签）的文件时的处理方式。

当用户在文件资源管理器中预览此类恶意文件时，这些嵌入元素可能触发未经授权的网络请求，将用户的NTLM哈希暴露给攻击者。

这种技术已成为针对Windows环境的网络钓鱼和恶意软件活动中的首选攻击向量，特别是在NTLMv2弱点持续存在的情况下，尽管业界正在推动采用Kerberos等现代认证方法。

通过默认采用谨慎的方法，微软正在优先考虑安全性，而无需用户手动干预——在由复杂的凭证盗窃活动主导的日益恶劣的威胁环境中，这是一个受欢迎的转变。

技术实现细节

新行为依赖于"网络标记"（Mark of the Web，MotW）属性，Windows会自动将此属性应用于来自不受信任来源（如互联网或互联网区域文件共享）的文件。

一旦被标记，这些文件将不会在文件资源管理器中显示预览。相反，用户会遇到明确的警告消息：“您尝试预览的文件可能会损害您的计算机。如果您信任该文件及其来源，可以打开它以查看其内容。”

对大多数用户而言，这只是一个轻微的工作流程调整。预览仅对潜在风险文件保持禁用状态，而本地文档和受信任的共享文件功能正常。

保护功能在更新后自动激活，无需额外配置。IT管理员和高级用户受益于企业范围内攻击面的减少，特别是在仍使用传统认证协议的环境中。

特殊情况处理

如果您需要预览受信任的下载文件，过程仍然简单但需要刻意操作：

在文件资源管理器中右键单击文件，选择"属性"，然后勾选"解除阻止"框——更改可能在下次登录后才生效。

对于互联网区域中的整个文件共享，请导航到控制面板中的"Internet选项"，访问"安全"选项卡，并将共享地址添加到"本地Intranet"或"受信任的站点"区域。

使用此方法时应谨慎，因为它会降低来自该来源的所有文件的防御级别。

微软的官方指南强调仅信任来自已知来源的文件，将此更新定位为缓解措施而非完全消除风险。

随着网络威胁的不断演变，此类渐进式安全改进有助于保持Windows的弹性，同时不会使日常工​​作流程过于复杂，展示了微软在安全性与用户体验之间取得平衡的承诺。