出于系统底层安全考量,微软从 2025 年 10 月 14 日发布的「Windows 更新」起,对 Windows 11(KB5066835)和 Windows 10(KB5066791),在「文件资源管理器」中默认禁用了「网络下载文件」的预览功能。
如果你已经习惯了使用「文件资源管理器」的双窗格模式,在预览.docx、.py或.pdf等格式文件时,大概率会在右侧面板遇到这样的警告:
你尝试预览的文件可能对你的计算机有害。如果你信任此文件以及其来源,请打开此文件以查看其内容。
遇到事情不要慌,先拍照发个朋友圈…… 咳咳咳😂…… 这个情况其实并不是你的系统出了故障,而是微软在安全策略上的一次「壮士断腕」。
为什么要对「文件预览」痛下杀手?
微软之所以牺牲掉「网络下载文件」的预览功能,其实是为了彻底切断一条隐蔽的「NTLM 凭据」泄露链路。
- 当你在浏览器(比如 Edge 或 Chrome)、电子邮件附件或 SharePoint 中下载文件时,Windows 会默默给这些「网络下载文件」打上一个「Mark of the Web」标记(简称 MotW)。
- 在「文件资源管理器」中直接预览带有 MotW 标记的文件时,系统底层的「预览处理程序」,可能会尝试加载文件内部引用的外部资源,比如图片或字体。
- 一旦有「黑阔」对文件进行精心构造,将文件内引用的外部资源指向恶意「UNC 路径」或
file:链接,Windows 在后台通过 SMB 协议发起网络请求的过程中,系统会悄无声息地将你的「NTLM 凭据」发送给远端服务器,造成严重的凭据泄露。
NTLM 凭据:基于你的 Windows 密码生成的身份验证哈希值。
为了填补这个安全漏洞,微软选择了一刀切的策略:从 2025 年 10 月 14 日的「Windows 更新」起,只要文件带有 MotW 标记,就一律禁止预览。
微软这种操作实在太过粗暴,安全改造「预览处理程序」其实要温和得多。
如何解决 Windows 11 预览窗格失效
方法 1:手动解除锁定
1右键单击目标文件,选择「属性」。
2在「常规」选项卡的「安全」区域,勾选「解除锁定」并点击「应用」。
这个解决方案相当基础,效率甚至还不如直接双击打开文件查看。但你可以精准判断哪些文件在安全范畴。
方法 2:使用 PowerShell 批量解锁
如果你下载了大量文件,一个个去手动解锁显然不太现实,人肯定要被逼疯🤪。这时,你可以把这些文件统一整理到同一个文件夹中,再通过 PowerShell 来快速清理整个目录的 MotW 标记:
1右键点击「开始」菜单,选择「终端管理员」,以管理员权限打开 Windows 终端。
2按Ctrl + Shift + 1快捷键,切换到 PowerShell 窗口。
3执行以下命令,清除特定文件类型(比如 PDF)的 MotW 标记:
Unblock-File -Path "$HOME\Downloads\*.pdf"
$HOME变量指代当前用户的配置文件目录,文件类型和目录路径请按需修改。
方法 3:修改注册表一劳永逸(不推荐)
如果你想彻底屏蔽微软的这项「安全新规」,可以通过修改注册表,让 Windows 停止在下载文件时自动打上 MotW 标记:
此操作会重新敞开系统的安全大门,将你的设备重新暴露在 NTLM 凭据泄露的风险之中。
1按Windows + R打开「运行」对话框,输入regedit并回车,打开注册表编辑器。
2导航到以下位置:
- 仅当前用户:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Attachments
- 全局设置(所有用户):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Attachments
3新建一个名为SaveZoneInformation的 DWORD (32 位) 值,并将其值设置为:
1:告知 Windows 不保留「区域信息」,下载的文件自然也就不会被打上 MotW 标记。2:恢复系统默认的安全状态。
4重启电脑,让配置生效。
在享受系统更严密安全防护的同时,我们也不得不承受这次策略调整带来的使用阵痛。你可按需选择适合自己的解决办法,操作前务必要留意相关安全风险,在使用便利与系统安全之间做好权衡。
最新评论
过一段时间后又自动开启实时防护了,方法不行
通过组策略禁用 Windows Defende有效,windows11家庭版,需要先关闭篡改防护且关闭实时防护,再在编辑表中做对应操作,随后重启
终于找到了,很实用,感谢作者
怎么没有最新发布的