Se você atualizou seu Windows 11 com o Patch Tuesday de outubro/2025, pode ter notado uma mudança sutil, mas significativa, no Explorador de Arquivos. O painel de pré-visualização, que permitia ver o conteúdo de documentos, PDFs e imagens sem abri-los, agora está desabilitado para arquivos baixados da internet. Essa alteração faz parte de uma iniciativa da Microsoft para reforçar a segurança no Windows 11 e proteger os usuários contra ataques silenciosos que exploram vulnerabilidades de credenciais.
Embora pareça um detalhe menor, essa mudança representa um grande avanço na proteção do sistema. O objetivo é impedir que arquivos maliciosos extraiam informações sensíveis, como os hashes NTLM, que são utilizados pelo Windows para armazenar senhas de forma criptografada. Ao bloquear a pré-visualização de arquivos suspeitos, a Microsoft reduz drasticamente o risco de ataques de Pass-the-Hash, que podem comprometer toda a rede de uma empresa ou usuário doméstico.
Neste artigo, explicamos exatamente o que mudou no Explorador de Arquivos, o funcionamento da Marca da Web (MotW), os riscos associados ao roubo de hash NTLM, e como usuários e administradores podem continuar trabalhando com arquivos confiáveis de forma segura.
O que mudou exatamente no explorador de arquivos
Com a atualização de segurança, o Explorador de Arquivos não exibirá mais automaticamente o conteúdo de arquivos baixados da internet no painel de pré-visualização. Ao clicar em um arquivo, você verá a seguinte mensagem:
“O arquivo que você está tentando visualizar pode danificar seu computador. Se você confia no arquivo e na fonte de onde o recebeu, abra-o para visualizar seu conteúdo.”
Essa alteração afeta Windows 11 e Windows Server, impactando tanto usuários domésticos quanto administradores de sistemas. O comportamento visa impedir que arquivos suspeitos se conectem a servidores externos sem interação explícita do usuário, bloqueando um vetor de ataque que estava sendo explorado ativamente por cibercriminosos.
O perigo silencioso: O que é a “Marca da Web” e o roubo de hash NTLM?
Entendendo a ‘Marca da Web’ (MotW)
O Mark of the Web (MotW) é um “carimbo” invisível que o Windows aplica a arquivos baixados da internet, seja de navegadores, e-mails ou outros meios. Esse carimbo permite que o sistema identifique a origem do arquivo e defina níveis de confiança apropriados. Antes da atualização, o Explorador de Arquivos permitia que arquivos com MotW fossem pré-visualizados, abrindo a porta para ataques silenciosos.
O ataque que a Microsoft está bloqueando
Para entender o risco, é importante saber o que é um hash NTLM. Trata-se de uma forma criptografada de armazenar senhas do Windows. Cibercriminosos criavam documentos maliciosos que, ao serem pré-visualizados, tentavam se conectar a um servidor externo controlado pelo invasor. Nesse processo, o hash NTLM do usuário podia ser transmitido, permitindo ataques de Pass-the-Hash, que possibilitam a invasão de outras máquinas na rede sem a necessidade de conhecer a senha original.
O perigo era particularmente silencioso: bastava clicar no arquivo para que a tentativa de conexão fosse realizada, sem que o usuário percebesse qualquer atividade suspeita. Com a mudança, o Windows agora exige uma ação explícita para abrir arquivos, reforçando a segurança do Windows 11.
Meu arquivo é seguro, e agora? Como visualizar ou desbloquear
Para arquivos confiáveis, existem métodos seguros para restaurar o acesso à pré-visualização ou abertura direta.
Método 1: O desbloqueio manual (Recomendado para arquivos únicos)
- Clique com o botão direito no arquivo.
- Selecione Propriedades.
- Na aba Geral, marque a caixa Desbloquear na parte inferior.
- Clique em Aplicar e OK.
Em alguns casos, pode ser necessário realizar logoff/login para que a alteração tenha efeito imediato. Esse método é ideal para documentos baixados esporadicamente e evita expor o sistema a arquivos potencialmente perigosos.
Método 2: Sites confiáveis (Para fontes recorrentes)
Usuários avançados ou administradores podem adicionar fontes seguras à zona de Sites Confiáveis ou à Intranet local nas Opções da Internet do Painel de Controle. Isso permite que arquivos provenientes de fontes confiáveis sejam abertos e pré-visualizados sem alertas, mantendo a segurança do sistema para downloads desconhecidos.
Conclusão: Uma pequena inconveniência por uma grande melhoria na segurança
A decisão da Microsoft de desabilitar a pré-visualização de arquivos com Mark of the Web (MotW) é uma medida preventiva crucial. Apesar de reduzir temporariamente a conveniência de visualizar documentos rapidamente, a mudança reforça a proteção contra ataques que poderiam comprometer hashes NTLM e permitir invasões em redes corporativas ou domésticas.
Para garantir que você está protegido, verifique se todas as atualizações do Windows 11 estão em dia e siga as práticas recomendadas para desbloquear apenas arquivos confiáveis. Esta atualização é mais um passo importante na construção de um ecossistema Windows mais seguro, prevenindo ameaças silenciosas e complexas de forma proativa.
