Microsoft отключает предварительный просмотр файлов, загруженных из интернета
Разработчики отключили в «Проводнике» (File Explorer, ранее Windows Explorer) предварительный просмотр для файлов, скачанных из интернета. Теперь превью автоматически блокируется, чтобы предотвратить кражу учетных данных через вредоносные документы.
Изменение уже вступило в силу для пользователей, установивших октябрьские обновления для Windows 11 и Windows Server.
При попытке просмотреть такой файл панель превью покажет предупреждение: «Файл, который вы пытаетесь просмотреть, может навредить компьютеру. Если вы доверяете файлу и источнику, от которого его получили, откройте его, чтобы увидеть содержимое».
Эта защитная мера призвана блокировать для потенциальных атакующих возможность эксплуатировать уязвимости, позволяющие извлечь NTLM-хеши, когда пользователи просматривают файлы с HTML-тегами (вроде <link>, <src> и других), ссылающимися на внешние пути на серверах злоумышленников.
Такой вектор атаки не требует от пользователя практически никаких действий, кроме выбора файла для предпросмотра, и исключает необходимость обманом вынуждать жертву открывать или запускать файл в системе.
«Начиная с обновлений для Windows, выпущенных 14 октября 2025 года и позже, “Проводник” автоматически отключает функцию превью для файлов, загруженных из интернета, — сообщает Microsoft. — Это изменение призвано повысить безопасность, предотвращая использование уязвимости, которая может привести к утечке NTLM-хешей при предпросмотре потенциально небезопасных файлов».
В случае необходимости можно вручную снять блокировку для отдельного файла. Для этого понадобится кликнуть правой кнопкой мыши по файлу в «Проводнике», выбрать «Свойства» и нажать кнопку «Разблокировать» внизу вкладки «Общие».
Также блокировку можно отключить для всей сетевой папки сразу, добавив ее адрес в доверенные зоны через «Свойства обозревателя» (Internet Options) в панели управления Windows (вкладка «Безопасность»).
- Свойства браузера → Безопасность → Местная интрасеть → Сайты → галочка Автоматически определять принадлежность к интрасети → Дополнительно → \\сервер_или_его-ip Добавить
- Панель управления → Свойства обозревателя → Безопасность → Другой → Запуск программ и небезопасных файлов → Включить.
GPO: все UNC считать Intranet
Если хотите без точечных записей:
User/Computer Configuration → Administrative Templates → Windows Components → Internet Explorer → Internet Control Panel → Security Page → Intranet Sites: Include all network paths (UNCs) = Enabled
Это ослабляет безопасность: любой UNC станет “intranet”.
GPO: назначить шару в зону (точечно)
User Configuration → Policies → Administrative Templates → Windows Components → Internet Explorer → Internet Control Panel → Security Page → Site to Zone Assignment List
- Enabled → Show…
- Добавь запись, например:
- Value name: file://fileserver (или FQDN: file://fileserver.domain.local)
- Value (Zone): 1 (Intranet) или 2 (Trusted Sites)
Примечание: Site to Zone Assignment List поддерживает назначение сайтов/адресов зонам; значения зон: 1=intranet, 2=trusted, 3=internet, 4=restricted.