Windows Shell 预览 – 受限
安装了2025年10月安全更新的Windows用户,如果使用Windows资源管理器的预览窗格,可能会注意到一个意外的变化。预览许多下载的文件时,预览现在被替换为以下文本:
资源管理器PDF预览提示:“您尝试预览的文件可能会损害您的计算机。”
虽然查看远程互联网区域文件共享上的文件时也会出现此问题,但对于本地磁盘上的其他文件、受信任或内网区域中的远程共享文件,或者如果您手动从文件中删除“网络标记”,则不会出现此问题。值得注意的是,资源管理器似乎会缓存此状态,截至2025年10月,存在一个错误:删除MoTW流并不会清除区域缓存条目,因此用户必须重启资源管理器才能看到更改。
发生了什么变化?
Windows中的这个变化很简单:互联网区域中 URLACTION_SHELL_PREVIEW 的值从 启用 更改为 禁用:
注册表路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
键值:180F
旧数据:0x00000000
新数据:0x00000003
在Windows资源管理器请求已注册的预览器显示文件预览之前,它会查询 SHELL_PREVIEW URL操作,以查看文件所在位置是否允许预览。通过此设置更改,现在拒绝显示源自互联网区域文件的预览权限。
为什么做出此更改?
原因很简单,我们之前也讨论过:当通过file:协议使用SMB检索资源时,存在向互联网泄露NTLM凭据哈希的风险。泄露的哈希可能允许攻击者入侵您的账户。
正如我们在关于文件限制的帖子中讨论的那样,浏览器会限制file:协议的使用,仅允许由file:协议打开的文件使用。当您在资源管理器中预览下载的文件时,该下载文件的URL使用file:,因此预览器被允许请求file: URL,从而可能在预览文件时泄露哈希。通过此更改,威胁得以缓解,因为禁用预览后,您必须实际打开下载的文件才会泄露哈希。
不幸的是,这个修复是一个“生硬”的工具:虽然HTML文件可以轻松引用远程子资源,但其他文件类型(如PDF文件)通常不能(我们在资源管理器预览中禁用了PDF脚本),但同样被阻止了。
如何恢复或调整?
如果您愿意,可以通过重置注册表键值(或将您信任的下载共享添加到受信任站点区域)在您自己的PC上恢复此更改。但是,请记住,这样做会重新启用威胁途径,因此您需要确保有其他补偿控制措施:例如,禁用基于SMB的NTLM,和/或配置您的网关/防火墙以阻止SMB流量。
恢复预览的注册表脚本:
您可以创建一个.reg文件并导入以下内容,该操作针对 HKEY_LOCAL_MACHINE 节点。
|
|
导入此脚本并重启计算机后,您的系统将恢复到安全更新之前的状态。
用户反馈与问题
一些用户在应用建议时遇到了问题。例如,禁用SMB上的NTLM可能会阻止访问共享的网络PC。还有用户反馈在指定的注册表路径中找不到“180F”值,但在策略路径(如Lockdown_Zones)下找到。作者澄清了解决方案应针对HKEY_LOCAL_MACHINE节点,并提供了可直接导入的注册表脚本。
重要提示:进行此类注册表修改前,请务必备份您的注册表或创建系统还原点。修改系统安全设置可能会增加风险,请确保您了解潜在后果并已部署其他安全措施。