Neuigkeiten in Windows Server 2025
In diesem Artikel werden einige der neuesten Entwicklungen in Windows Server 2025 beschrieben, die erweiterte Features zur Verbesserung der Sicherheit, Leistung und Flexibilität bieten. Dank schnellerer Speicheroptionen und der Möglichkeit zur Integration in hybride Cloudumgebungen ist die Verwaltung Ihrer Infrastruktur jetzt optimiert. Windows Server 2025 baut auf der starken Grundlage seines Vorgängers auf und führt eine Reihe innovativer Verbesserungen ein, um sich an Ihre Anforderungen anzupassen.
Wenn Sie die neuesten Features von Windows Server 2025 vor der offiziellen Version ausprobieren möchten, lesen Sie Erste Schritte mit Windows Server Insiders Preview.
Neuerungen
Die folgenden neuen Features gelten nur für Windows Server mit Desktopdarstellung. Sowohl die physischen Geräte, auf denen das Betriebssystem ausgeführt wird, als auch die richtigen Treiber sind erforderlich.
Beschleunigter Netzwerkbetrieb
Beschleunigtes Netzwerk (AccelNet) vereinfacht die Verwaltung der einzelnen I/O-Virtualisierung (SR-IOV) für virtuelle Computer (VM), die auf Windows Server 2025-Clustern gehostet werden. Dieses Feature verwendet den hochleistungsorientierten SR-IOV-Datenpfad, um Latenz, Jitter und CPU-Auslastung zu reduzieren. AccelNet enthält auch eine Verwaltungsebene, die die Erforderliche Überprüfung, Hostkonfiguration und VM-Leistungseinstellungen behandelt.
Active Directory Domain Services
Die neuesten Verbesserungen an Active Directory Domain Services (AD DS) und Active Directory Lightweight Domain Services (AD LDS) bieten eine Reihe neuer Funktionen und Möglichkeiten zur Optimierung Ihrer Domänenverwaltungserfahrung:
Optionale Funktion 32k-Datenbankseitengröße – AD verwendet seit seiner Einführung in Windows 2000 eine ESE-Datenbank (Extensible Storage Engine), die eine 8k-Datenbankseitengröße verwendet. Die architektonische Entscheidung für 8k hat zu Einschränkungen in AD geführt, die in Maximale Skalierbarkeit von AD dokumentiert sind. Ein Beispiel für diese Einschränkung ist, dass ein AD-Objekt mit einem einzelnen Datensatz nicht größer als 8k Bytes sein darf. Die Umstellung auf ein 32k-Datenbankseitenformat bietet eine enorme Verbesserung in Bereichen, die von veralteten Beschränkungen betroffen sind. So können mehrwertige Attribute jetzt bis zu ~3200 Werte enthalten, was einer Steigerung um den Faktor 2,6 entspricht.
Neue DCs können mit einer 32k-Datenbankseite installiert werden, die 64-Bit-LIDs (Long Value IDs) verwendet und in einem "8k-Seitenmodus" ausgeführt wird, um die Kompatibilität mit früheren Versionen zu gewährleisten. Ein aktualisierter DC verwendet weiterhin sein aktuelles Datenbankformat und 8k-Seiten. Die Umstellung auf 32k-Datenbankseiten erfolgt für die gesamte Gesamtstruktur und setzt voraus, dass alle DCs in der Gesamtstruktur über eine 32k-Seiten-fähige Datenbank verfügen.
AD-Schema-Updates – Es werden zwei neue LDFs (Log Database Files) eingeführt, die das AD-Schema erweitern,
sch89.ldf
,sch90.ldf
undsch91.ldf
. Die entsprechenden AD LDS-Schemaupdates befinden sich inMS-ADAM-Upgrade3.ldf
. Erfahren Sie unter Windows Server AD-Schema-Updates mehr über frühere Schema-Updates.AD-Objektreparatur – AD ermöglicht Unternehmensadministrator*innen jetzt, Objekte mit fehlenden Kernattributen SamAccountType und ObjectCategory zu reparieren. Unternehmensadministrator*innen können das LastLogonTimeStamp-Attribut für ein Objekt auf die aktuelle Uhrzeit zurücksetzen. Diese Vorgänge werden über ein neues RootDSE-Feature zur Vorgangsänderung vorgenommen, das als fixupObjectState bezeichnet wird.
Support für Kanalbindungs-Audits – Die Ereignisse 3074 und 3075 können jetzt für die LDAP-Kanalbindung (Lightweight Directory Access Protocol) aktiviert werden. Wenn die Kanalbindungsrichtlinie in eine sicherere Einstellung geändert wird, kann ein Administrator Geräte in der Umgebung identifizieren, die keine Kanalbindung unterstützen oder fehlschlagen. Diese Audit-Ereignisse sind auch in Windows Server 2022 und höher über KB4520412 verfügbar.
Verbesserungen am DC-Lokalisierungsalgorithmus – Der DC-Ermittlungsalgorithmus bietet neue Funktionen mit Verbesserungen bei der Zuordnung von kurzen Domänennamen im NetBIOS-Stil zu Domänennamen im DNS-Stil. Erfahren Sie mehr unter Änderungen am Active Directory DC-Locator.
Hinweis
Windows verwendet während der DC-Ermittlungsvorgänge keine Mailslots, da Microsoft die Abschaffung von WINS und Mailslots für diese veralteten Technologien angekündigt hat.
Funktionsebene Gesamtstruktur und Domäne – Der neue Funktionslevel wird für den allgemeinen Support verwendet und ist für die neue Funktion der 32K-Datenbankseitengröße erforderlich. Die neue Funktionsebene wird den Werten
DomainLevel 10
undForestLevel 10
für unbeaufsichtigte Installationen zugeordnet. Microsoft plant keine Nachrüstung der Funktionsebenen für Windows Server 2019 und Windows Server 2022. Um eine unbeaufsichtigte Herauf- und Herabstufung eines Domänencontrollers (DC) durchzuführen, lesen Sie DCPROMO-Antwortdatei-Syntax für die unbeaufsichtigte Herauf- und Herabstufung von Domänencontrollern.Die DsGetDcName-API (Application Programming Interface) unterstützt außerdem ein neues Flag
DS_DIRECTORY_SERVICE_13_REQUIRED
, das die Lokalisierung von DCs ermöglicht, die Windows Server 2025 ausführen. Weitere Informationen zu Funktionsebenen finden Sie in den folgenden Artikeln:Hinweis
Neue AD-Gesamtstrukturen oder AD LDS-Konfigurationssätze müssen über die Funktionsebene von Windows Server 2016 oder höher verfügen. Zum Heraufstufen eines AD- oder AD LDS-Replikats muss die vorhandene Domäne oder der Konfigurationssatz bereits mit einer Funktionsebene von Windows Server 2016 oder höher ausgeführt werden.
Microsoft empfiehlt allen Kunden, jetzt mit der Planung eines Upgrades ihrer AD- und AD LDS-Server auf Windows Server 2022 zu beginnen, um sich auf das nächste Release vorzubereiten.
Verbesserte Algorithmen für Name/SID-Suchvorgänge – Die LSA- (Local Security Authority, lokale Sicherheitsautorität) und SID-Suchweiterleitung zwischen Computerkonten verwendet nicht mehr den älteren sicheren Netlogon-Kanal. Stattdessen werden Kerberos-Authentifizierung und DC-Locator-Algorithmus verwendet. Um die Kompatibilität mit älteren Betriebssystemen zu wahren, kann auch der sichere Netlogon-Kanal weiterhin als Fallbackoption verwendet werden.
Verbesserte Sicherheit für vertrauliche Attribute – DCs und AD LDS-Instanzen ermöglichen nur das Hinzufügen, Suchen und Ändern von Vorgängen mit vertraulichen Attributen, wenn die Verbindung verschlüsselt ist.
Verbesserte Sicherheit für Computerkonto-Standardkennwörter – AD verwendet jetzt zufällig generierte Standardkennwörter für das Computerkonto. Windows 2025-DCs verhindern, dass Computerkontokennwörter auf das Standardkennwort des Computerkontonamens festgelegt werden.
Dieses Verhalten kann mithilfe der folgenden GPO-Einstellung gesteuert werden: Domänencontroller: Festlegen des Computerkonto-Standardkennwort verweigern in: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Hilfsprogramme wie Active Directory Administrative Center (ADAC), Active Directory-Benutzer und -Computer (ADUC),
net computer
unddsmod
berücksichtigen dieses neue Verhalten. Sowohl ADAC als auch ADUC lassen das Erstellen eines Vorabkontos für Windows 2000 nicht mehr zu.Kerberos PKINIT-Unterstützung für kryptografische Agilität – Die Implementierung des PKINIT-Protokolls (Kerberos Public Key Cryptography for Initial Authentication in Kerberos) wurde aktualisiert, um kryptographische Flexibilität zu ermöglichen, indem mehr Algorithmen unterstützt und hartcodierte Algorithmen entfernt wurden.
LAN Manager GPO-Einstellung – Die GPO-Einstellung Netzwerksicherheit: LAN Manager Hash-Wert bei nächster Kennwortänderung nicht speichern ist nicht mehr vorhanden und gilt nicht mehr für neue Versionen von Windows.
LDAP-Standardverschlüsselung – Die gesamte Kommunikation von LDAP-Clients nach einer SASL-Bindung (Simple Authentication and Security Layer) verwendet standardmäßig die LDAP-Versiegelung. Weitere Informationen zu SASL finden Sie unter SASL-Authentifizierung.
LDAP-Unterstützung für TLS 1.3 – LDAP verwendet die neueste SCHANNEL-Implementierung und unterstützt TLS 1.3 für LDAP über TLS-Verbindungen. TLS 1.3 räumt mit veralteten Kryptografiealgorithmen auf, erhöht die Sicherheit gegenüber älteren Versionen und zielt darauf ab, einen möglichst großen Teil des Handshakes zu verschlüsseln. Um mehr zu erfahren, lesen Sie Protokolle in TLS/SSL (Schannel SSP) und TLS Cipher-Suites in Windows Server 2022.
Veraltetes SAM-RPC-Verhalten bei der Änderung von Kennwörtern – Sichere Protokolle wie Kerberos sind der bevorzugte Weg, um die Kennwörter von Domänenbenutzern zu ändern. Auf DCs wird die neueste SAM-RPC-Methode (SamrUnicodeChangePasswordUser4) zur Änderung von Kennwörtern mit AES standardmäßig akzeptiert, wenn sie remote aufgerufen wird. Die folgenden älteren SAM-RPC-Methoden werden bei einem Remoteaufruf standardmäßig blockiert:
Bei Domänenbenutzer*innen, die der Gruppe Geschützte Benutzer angehören, und für lokale Konten auf Domänenmitgliedscomputern werden alle Remotekennwortänderungen über die veraltete SAM-RPC-Schnittstelle standardmäßig blockiert, einschließlich
SamrUnicodeChangePasswordUser4
.Dieses Verhalten kann mit der folgenden Einstellung des Gruppenrichtlinienobjekts (GPO) gesteuert werden:
Computerkonfiguration > Administrative Vorlagen > System > Sicherheitskontenmanager > SAM-Richtlinie für RPC-Methoden zum Ändern des Kennworts konfigurieren
NUMA-Support – AD DS nutzt jetzt die Vorteile von NUMA-fähiger Hardware (Non-uniform Memory Access), indem es CPUs in allen Prozessorgruppen verwendet. Bisher wurden in AD nur CPUs in Gruppe 0 verwendet. Active Directory kann über 64 Kerne hinaus erweitert werden.
Leistungszähler – Die Überwachung und Fehlerbehebung der Leistung der folgenden Zähler ist jetzt verfügbar:
DC Locator – Client- und DC-spezifische Zähler verfügbar.
LSA Lookups - Name und SID über LsaLookupNames, LsaLookupSids und entsprechende APIs. Diese Zähler sind sowohl für Client- als auch für Server-SKUs verfügbar.
LDAP-Client – Verfügbar in Windows Server 2022 und höher über das KB 5029250-Update.
Replikationsprioritätsreihenfolge – AD bietet jetzt Administrator*innen die Möglichkeit, die vom System berechnete Replikationspriorität mit einem bestimmten Replikationspartner für einen bestimmten Namenskontext zu erhöhen. Dieses Feature ermöglicht mehr Flexibilität beim Konfigurieren der Replikationsreihenfolge, um bestimmte Szenarien zu behandeln.
Azure Arc
Standardmäßig ist die Funktion zur Einrichtung von Azure Arc on-demand installiert, die eine einfach Assistentenoberfläche und ein Symbol in der Taskleiste bietet, um das Hinzufügen von Servern zu Azure Arc zu erleichtern. Azure Arc erweitert die Funktionalitäten der Azure-Plattform und lässt die Erstellung von Anwendungen und Diensten zu, die in verschiedenen Umgebungen betrieben werden können. Dazu gehören Rechenzentren, Edge- und Multi-Cloud-Umgebungen sowie mehr Flexibilität. Weitere Informationen finden Sie unter Verbinden von Windows Server-Computern mit Azure Über Azure Arc Setup.
Blockieren der Klonungsunterstützung
Ab Windows 11 24H2 und Windows Server 2025 unterstützt Dev Drive nun das Klonen von Blöcken. Da Dev Drive das ReFS-Dateisystemformat verwendet, bietet die Unterstützung für das Klonen von Blöcken erhebliche Leistungsvorteile beim Kopieren von Dateien. Mit dem Klonen von Blöcken kann das Dateisystem einen Bereich von Dateibytes im Namen einer Anwendung als kostengünstige Metadatenoperation kopieren, anstatt teure Lese- und Schreibvorgänge in die zugrunde liegenden physischen Daten auszuführen. Dies führt dazu, dass das Kopieren von Dateien schneller abgeschlossen, E/A auf den zugrunde liegenden Speicher reduziert und die Speicherkapazität verbessert wird, indem mehrere Dateien dieselben logischen Cluster gemeinsam nutzen können. Weitere Informationen finden Sie unter Klonen von Blöcken in ReFS.
Bluetooth
In Windows Server 2025 haben Sie nun die Möglichkeit, Mäuse, Tastaturen, Headsets, Audiogeräte und vieles mehr über Bluetooth zu verbinden.
Credential Guard
Ab Windows Server 2025 ist Credential Guard jetzt standardmäßig auf allen Geräten aktiviert, die die Anforderungen erfüllen. Weitere Informationen zu Credential Guard finden Sie in Credential Guard konfigurieren.
Desktop-Shell
Wenn Sie sich zum ersten Mal anmelden, entspricht die Desktop-Shell-Umgebung dem Stil und der Darstellung von Windows 11.
Delegiertes verwaltetes Dienstkonto
Dieser neue Kontotyp ermöglicht die Migration von einem Dienstkonto zu einem delegierten verwalteten Dienstkonto (Delegated Managed Service Account, dMSA). Dieser Kontotyp enthält verwaltete und vollständig randomisierte Schlüssel, die minimale Anwendungsänderungen sicherstellen, während die ursprünglichen Kennwörter des Dienstkontos deaktiviert werden. Weitere Informationen finden Sie unter Übersicht über delegierte verwaltete Dienstkonten.
Dev Drive
Dev Drive ist ein Speichervolume, das die Leistung wichtiger Entwicklerworkloads verbessern soll. Dev Drive nutzt die ReFS-Technologie und enthält spezifische Dateisystemoptimierungen, um eine bessere Kontrolle über die Einstellungen des Speichervolumens und die Sicherheit zu bieten. Dies umfasst die Möglichkeit, Vertrauensstellungen festzulegen, Antivireneinstellungen zu konfigurieren und administrative Kontrolle über angefügte Filter auszuüben. Weitere Informationen finden Sie unter Einrichten eines Dev Drive unter Windows 11.
DTrace
Windows Server 2025 enthält dtrace
als systemeigenes Tool. DTrace ist ein Befehlszeilenprogramm, mit dem Benutzer die Systemleistung in Echtzeit überwachen und Probleme beheben können. DTrace ermöglicht es Benutzern, sowohl den Kernel- als auch den Benutzerbereichscode dynamisch zu instrumentieren, ohne den Code selbst ändern zu müssen. Dieses leistungsstarke Tool unterstützt eine Reihe von Datenerfassungs- und Analysetechniken, wie Aggregationen, Histogramme und Ablaufverfolgung von Ereignissen auf Benutzerebene. Weitere Informationen finden Sie unter DTrace für die Befehlszeilenhilfe und DTrace unter Windows für weitere Funktionen.
E-Mail und Konten
Sie können jetzt die folgenden Konten unter Einstellungen > Konten > E-Mail und Konten für Windows Server 2025 hinzufügen:
- Microsoft Entra ID
- Microsoft-Konto
- Geschäfts-, Schul- oder Unikonto
Es ist wichtig zu beachten, dass in den meisten Situationen weiterhin ein Domänenbeitritt erforderlich ist.
Feedback-Hub
Die Übermittlung von Feedback oder die Meldung von Problemen, die bei der Verwendung von Windows Server 2025 aufgetreten sind, kann jetzt über den Windows-Feedback-Hub durchgeführt werden. Sie können Screenshots oder Aufzeichnungen des Vorgangs, der das Problem verursacht hat, anhängen, damit wir Ihre Situation besser verstehen und Vorschläge zur Verbesserung Ihrer Windows-Erfahrung machen können. Um mehr zu erfahren, lesen Sie Erkunden des Feedback-Hubs.
Dateikomprimierung
Build 26040 verfügt über ein neues Feature beim Komprimieren eines Elements, indem mit der rechten Maustaste auf Komprimieren geklickt wird. Dieses Feature unterstützt die Komprimierungsformate ZIP, 7z und TAR mit bestimmten Komprimierungsmethoden für jedes.
Hyper-V-Manager
Wenn Benutzer einen neuen virtuellen Computer über den Hyper-V-Manager erstellen, wird generation 2 jetzt als Standardoption im Assistenten für neue virtuelle Computer festgelegt.
Hypervisor-erzwungene Pagingübersetzung
Hypervisor-erzwungene Pagingübersetzung (HVPT) ist eine Sicherheitsverbesserung, um die Integrität linearer Adressübersetzungen zu erzwingen. HVPT schützt kritische Systemdaten vor Schreib-was-wo-Angriffen, bei denen der Angreifer einen beliebigen Wert an einen beliebigen Ort schreibt, häufig als Ergebnis eines Pufferüberlaufs. HVPT schützt Seitentabellen, die wichtige Systemdatenstrukturen konfigurieren. HVPT enthält alles, was bereits mit hypervisorgeschützter Codeintegrität (HVCI) gesichert ist. HVPT ist standardmäßig aktiviert, wenn Hardwareunterstützung verfügbar ist. HVPT ist nicht aktiviert, wenn Windows Server als Gast in einer VM ausgeführt wird.
Network ATC
Das Netzwerk-ATC optimiert die Bereitstellung und Verwaltung von Netzwerkkonfigurationen für Windows Server 2025-Cluster. Es verwendet einen absichtsbasierten Ansatz, bei dem Benutzer ihre gewünschten Absichten angeben, z. B. Verwaltung, Berechnung oder Speicher für einen Netzwerkadapter, und die Bereitstellung wird basierend auf der beabsichtigten Konfiguration automatisiert. Dieser Ansatz reduziert die Zeit, Komplexität und Fehler im Zusammenhang mit der Hostnetzwerkbereitstellung, stellt die Konfigurationskonsistenz im gesamten Cluster sicher und beseitigt konfigurationsabweichungen. Weitere Informationen finden Sie unter Bereitstellen von Hostnetzwerken mit Network ATC.
NVMe
NVMe ist ein neuer Standard für schnelle SSD-Datenträger (Solid State Drive). Erleben Sie die NVMe-Optimierung in Windows Server 2025 mit verbesserter Leistung und folglich höheren IOPS-Werten und einer reduzierten CPU-Auslastung.
OpenSSH
In früheren Versionen von Windows Server erforderte das Konnektivitätstool OpenSSH vor der Verwendung eine manuelle Installation. Ab Build 26080 wird die serverseitige OpenSSH-Komponente standardmäßig in Windows Server 2025 installiert. Die Server-Manager-Benutzeroberfläche enthält unter SSH-Remotezugriff auch eine 1-Klick-Option, durch die der sshd.exe
-Dienst aktiviert oder deaktiviert wird. Außerdem können Sie der Gruppe OpenSSH-Benutzer Benutzer hinzufügen, um den Zugriff auf Ihre Geräte zuzulassen oder einzuschränken. Weitere Informationen finden Sie unter Übersicht über OpenSSH für Windows.
Angeheftete Apps
Die Funktion zum Anheften der am häufigsten verwendeten Apps ist jetzt über das Startmenü verfügbar und kann individuell angepasst werden.. Ab Build 26085 sind standardmäßig die folgenden Apps angeheftet:
- Azure Arc Setup
- Feedback-Hub
- Datei-Explorer
- Microsoft Edge
- Server-Manager
- Einstellungen
- Terminal
- Windows PowerShell
Remotezugriff
Standardmäßig akzeptieren neue Routing and Remote Access Services (RRAS)-Setups keine VPN-Verbindungen, die auf PPTP- und L2TP-Protokollen basieren. Sie können diese Protokolle weiterhin aktivieren, wenn notwendig. SSTP- und IKEv2-basierte VPN-Verbindungen werden weiterhin ohne Änderung akzeptiert.
Vorhandene Konfigurationen behalten ihr Verhalten bei. Wenn Sie beispielsweise Windows Server 2019 ausführen und PPTP- und L2TP-Verbindungen akzeptieren, werden nach einem direkten Update auf Windows Server 2025 L2TP- und PPTP-basierte Verbindungen weiterhin akzeptiert. Diese Änderung wirkt sich nicht auf die Betriebssysteme für Windows-Clients aus. Weitere Informationen zur Reaktivierung von PPTP und L2TP finden Sie unter VPN-Protokolle konfigurieren.
Sichere Zertifikatverwaltung
Die Suche oder das Abrufen von Zertifikaten unter Windows unterstützt jetzt SHA-256-Hashes, wie in den Funktionen CertFindCertificateInStore und CertGetCertificateContextProperty beschrieben. Die TLS-Serverauthentifizierung ist in Windows sicherer und erfordert jetzt eine RSA-Schlüssellänge von mindestens 2048 Bit. Weitere Informationen finden Sie unter TLS-Serverauthentifizierung: Veraltete schwache RSA-Zertifikate.
Sicherheitsbaseline
Durch die Implementierung einer angepassten Sicherheitsbaseline können Sie von Anfang an Sicherheitsmaßnahmen für Ihr Gerät oder Ihre VM-Rolle festlegen, die auf dem empfohlenen Sicherheitsstatus basieren. Diese Baseline umfasst mehr als 350 vorkonfigurierte Windows-Sicherheitseinstellungen, mit denen Sie bestimmte Sicherheitseinstellungen anwenden und erzwingen können, die den von Microsoft empfohlenen bewährten Methoden und den Branchenstandards entsprechen. Weitere Informationen finden Sie unter Übersicht über OSConfig.
Server Message Block
Server Message Block (SMB) ist eines der am weitesten verbreiteten Protokolle in Netzwerken, da es eine zuverlässige Möglichkeit bietet, Dateien und andere Ressourcen zwischen Geräten in Ihrem Netzwerk auszutauschen. Windows Server 2025 bietet die folgenden SMB-Funktionen.
Ab Build 26090 werden weitere SMB-Protokolländerungen zum Deaktivieren von QUIC, Signatur und Verschlüsselung eingeführt.
Deaktivierung von SMB über QUIC
Administratoren können den Client für SMB über QUIC über die Gruppenrichtlinie und PowerShell deaktivieren. Wenn Sie SMB über QUIC mithilfe der Gruppenrichtlinie deaktivieren möchten, legen Sie die Richtlinie SMB über QUIC aktivieren in diesen Pfaden auf Deaktiviert fest.
Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Workstation
Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Server
Führen Sie zum Deaktivieren von SMB über QUIC mithilfe von PowerShell den folgenden Befehl an einer PowerShell-Eingabeaufforderung mit erhöhten Rechten aus:
Set-SmbClientConfiguration -EnableSMBQUIC $false
Überwachen der SMB-Signatur und -Verschlüsselung
Administratoren können die Überwachung des SMB-Servers und -Clients aktivieren, um die SMB-Signatur und -Verschlüsselung zu unterstützen. Wenn ein Client oder Server eines Drittanbieters keine Unterstützung für die SMB-Verschlüsselung oder -Signatur bietet, kann er ermittelt werden. Wenn das Gerät oder die Software eines Drittanbieters SMB 3.1.1, aber nicht die SMB-Signatur unterstützt, verstößt dies gegen die Protokollanforderung SMB 3.1.1-Vorauthentifizierungsintegrität.
Sie können die Überwachungseinstellungen für SMB-Signatur und -Verschlüsselung mithilfe der Gruppenrichtlinie oder von PowerShell konfigurieren. Diese Richtlinien können in den folgenden Gruppenrichtlinienpfaden geändert werden:
Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Server\Verschlüsselung vom Überwachungsclient nicht unterstützt
Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Server\Signierung vom Überwachungsclient nicht unterstützt
Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Workstation\Verschlüsselung vom Überwachungsserver nicht unterstützt
Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Workstation\Signierung vom Überwachungsserver nicht unterstützt
Um diese Änderungen mithilfe von PowerShell vorzunehmen, führen Sie die folgenden Befehle an einer Eingabeaufforderung mit erhöhten Rechten aus.
$true
dient zum Aktivieren und$false
zum Deaktivieren dieser Einstellungen:Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true
Ereignisprotokolle für diese Änderungen werden mit ihrer jeweiligen Ereignis-ID in den folgenden Pfaden der Ereignisanzeige gespeichert.
Pfad Ereignis-ID Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBClient\Audit 31998
31999Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBServer\Audit 3021
3022Überwachung von SMB über QUIC
Die Verbindungsüberwachung für den Client für SMB über QUIC erfasst Ereignisse, die in ein Ereignisprotokoll geschrieben werden, um den QUIC-Transport in die Ereignisanzeige einzuschließen. Diese Protokolle werden mit ihrer jeweiligen Ereignis-ID in den folgenden Pfaden gespeichert:
Pfad Ereignis-ID Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBClient\Connectivity 30832 Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBServer\Connectivity 1913 Das zuvor nur in Windows Server Azure Edition verfügbare Serverfeature SMB over QUIC ist jetzt in Windows Server Standard- und Windows Server Datacenter-Versionen verfügbar. SMB over QUIC fügt die Vorteile der QUIC hinzu, die niedrige Latenz, verschlüsselte Verbindungen über das Internet bietet.
Zuvor haben SMB-Server in Windows eingehende Verbindungen für die Verwendung des IANA-registrierten Ports TCP/445 vorgeschrieben, während der SMB TCP-Client nur ausgehende Verbindungen mit demselben TCP-Port zugelassen hat. Jetzt ermöglicht SMB over QUIC alternative Ports für SMB, bei denen QUIC-vorgeschriebene UDP/443-Ports sowohl für Server- als auch für Clientgeräte verfügbar sind. Weitere Informationen finden Sie unter Konfigurieren alternativer SMB-Ports.
Ein weiteres Feature, das in SMB über QUIC eingeführt wird, ist die Clientzugriffskontrolle, die eine Alternative zu TCP und RDMA darstellt, die sichere Konnektivität mit Edgedateiservern über nicht vertrauenswürdige Netzwerke bereitstellt. Weitere Informationen finden Sie unter Funktionsweise der Clientzugriffskontrolle.
Bei der Erstellung einer Freigabe wurden die SMB-Firewallregeln automatisch so konfiguriert, dass die Gruppe „Datei- und Druckerfreigabe“ für die relevanten Firewallprofile aktiviert wird. Die Erstellung einer SMB-Freigabe in Windows führt nun zur automatischen Konfiguration der neuen Gruppe „Datei- und Druckerfreigabe (Restriktiv)“, die eingehende NetBIOS-Ports 137-139 nicht mehr zulässt. Weitere Informationen finden Sie unter Aktualisierte Firewallregeln.
Ab Build 25997 wird ein Update vorgenommen, um die SMB-Verschlüsselung für alle ausgehenden SMB-Clientverbindungen zu erzwingen. Mit diesem Update können Administratoren ein Mandat festlegen, das alle Zielserver SMB 3.x und Verschlüsselung unterstützen. Wenn auf einem Server diese Funktionen fehlen, kann der Client keine Verbindung herstellen.
Auch in Build 25997 ist der SMB-Authentifizierungsratengrenzwert, der die Anzahl der Authentifizierungsversuche einschränkt, die innerhalb eines bestimmten Zeitraums vorgenommen werden können, standardmäßig aktiviert. Weitere Informationen finden Sie unter Funktionsweise des SMB-Authentifizierungsratenlimiters
Ab Build 25951 unterstützt der SMB-Client die ntLM-Blockierung für ausgehende Remoteverbindungen. Zuvor würde der Windows Simple and Protected GSSAPI Negotiate Mechanism (SPNEGO) Kerberos, NTLM und andere Mechanismen mit dem Zielserver aushandeln, um ein unterstütztes Sicherheitspaket zu ermitteln. Weitere Informationen finden Sie unter Blockieren von NTLM-Verbindungen auf SMB
Eine neue Funktion in Build 25951 ermöglicht das Verwalten der SMB-Dialekte in Windows. Der SMB-Server kann nun steuern, welche SMB 2- und SMB 3-Dialekte im Vergleich zum vorherigen Verhalten nur mit dem höchsten Dialekt verglichen werden.
Ab Build 25931 ist die SMB-Signierung jetzt standardmäßig für alle ausgehenden SMB-Verbindungen obligatorisch, bei denen sie zuvor nur erforderlich war, wenn eine Verbindung mit Freigaben namens SYSVOL und NETLOGON auf AD-Domänencontrollern hergestellt wird. Weitere Informationen finden Sie unter Funktionsweise der Signierung.
Das Remote Mailslot-Protokoll ist standardmäßig ab Build 25314 deaktiviert und kann in einer späteren Version entfernt werden. Weitere Informationen finden Sie unter Features, die wir nicht mehr entwickeln.
Die SMB-Komprimierung bietet zusätzlich zur bestehenden Unterstützung für XPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1 und PATTERN_V1 Unterstützung für den Industriestandard LZ4-Komprimierungsalgorithmus.
Software-Defined Networking (SDN)
SDN ist ein Ansatz für Netzwerke, mit dem Netzwerkadministratoren Netzwerkdienste über die Abstraktion von Funktionen auf niedrigerer Ebene verwalten können. SDN ermöglicht die Trennung der Netzwerksteuerungsebene, die für die Verwaltung des Netzwerks verantwortlich ist, von der Datenebene, die den tatsächlichen Datenverkehr verarbeitet. Diese Trennung ermöglicht eine höhere Flexibilität und Programmierbarkeit in der Netzwerkverwaltung. SDN bietet die folgenden Vorteile in Windows Server 2025:
Der Netzwerkcontroller, der die Steuerebene für SDN ist, wird jetzt direkt als Failoverclusterdienste auf den physischen Hostcomputern gehostet. Dies beseitigt die Notwendigkeit, virtuelle Computer bereitzustellen, die Bereitstellung und Verwaltung zu vereinfachen und Ressourcen zu sparen.
Mithilfe der tagbasierten Segmentierung können Administratoren benutzerdefinierte Diensttags verwenden, um Netzwerksicherheitsgruppen (Network Security Groups, NSGs) und VMs für die Zugriffssteuerung zuzuordnen. Anstatt IP-Bereiche anzugeben, können Administratoren jetzt einfache, selbsterklärende Bezeichnungen verwenden, um Arbeitsauslastungs-VMs zu markieren und Sicherheitsrichtlinien basierend auf diesen Tags anzuwenden. Dies vereinfacht den Prozess der Verwaltung der Netzwerksicherheit und beseitigt die Notwendigkeit, IP-Bereiche zu speichern und neu einzuschalten. Weitere Informationen finden Sie unter Konfigurieren von Netzwerksicherheitsgruppen mit Tags im Windows Admin Center.
Standardnetzwerkrichtlinien in Windows Server 2025 bieten Azure-ähnliche Schutzoptionen für NSGs für Workloads, die über Windows Admin Center bereitgestellt werden. Die Standardrichtlinie verweigert den gesamten eingehenden Zugriff und ermöglicht das selektive Öffnen bekannter eingehender Ports, während der vollständige ausgehende Zugriff von Workload-VMs zulässig ist. Dadurch wird sichergestellt, dass Arbeitsauslastungs-VMs vom Erstellungspunkt gesichert werden. Weitere Informationen finden Sie unter Verwenden von Standardrichtlinien für den Netzwerkzugriff auf virtuellen Computern auf Azure Stack HCI, Version 23H2.
SDN Multisite bietet native Layer 2- und Layer 3-Konnektivität zwischen Anwendungen an zwei Standorten ohne zusätzliche Komponenten. Dieses Feature ermöglicht eine nahtlose Bewegung von Anwendungen, ohne die Anwendung oder netzwerke neu konfigurieren zu müssen. Außerdem bietet es eine einheitliche Netzwerkrichtlinienverwaltung für Workloads, um sicherzustellen, dass Richtlinien nicht aktualisiert werden müssen, wenn eine Workload-VM von einem Speicherort zu einem anderen wechselt. Weitere Informationen finden Sie unter Was ist SDN Multisite?.
Die Leistung von SDN Layer 3-Gateways wurde verbessert, wodurch ein höherer Durchsatz erzielt und CPU-Zyklen reduziert werden. Diese Verbesserungen sind standardmäßig aktiviert. Benutzer erzielen automatisch eine bessere Leistung, wenn eine SDN-Gatewayschicht 3-Verbindung über PowerShell oder Windows Admin Center konfiguriert ist.
Erweitertes Speicherreplikat-Protokoll
Erweiterte Protokolle sind bei der Implementierung des Speicherreplikatprotokolls hilfreich, um die mit Dateisystemabstraktionen verbundenen Leistungskosten zu eliminieren, was zu einer verbesserten Blockreplikationsleistung führt. Weitere Informationen finden Sie unter Erweitertes Speicherreplikatprotokoll.
Task-Manager
Build 26040 enthält jetzt die moderne Aufgabenverwaltungs-App mit Mica-Material, die dem Stil von Windows 11 entspricht.
Virtualisierungsbasierte Sicherheit (VBS) Enklaven
Eine VBS-Enclave ist eine softwarebasierte Trusted Execution Environment (vertrauenswürdige Ausführungsumgebung, TEE) im Adressraum einer Hostanwendung. VBS-Enclaves verwenden die zugrunde liegende VBS-Technologie , um den sensiblen Teil einer Anwendung in einer sicheren Speicherpartition zu isolieren. VBS-Enclaves ermöglichen die Isolierung sensibler Workloads sowohl von der Hostanwendung als auch vom Rest des Systems.
Mithilfe von VBS-Enclaves lassen sich die Geheimnisse von Anwendungen schützen. Dies gelingt durch den Verzicht auf die Notwendigkeit, auf Administratoren zu vertrauen, und die Absicherung vor böswilligen Angreifern. Weitere Informationen finden Sie in der Win32-Referenz zu VBS-Enclaves.
Virtualisierungsbasierte Sicherheit (VBS) – Schlüsselschutz
Mit dem VBS-Schlüsselschutz können Windows-Entwickler kryptografische Schlüssel mithilfe der virtualisierungsbasierten Sicherheit (VBS) schützen. VBS verwendet die CPU-Funktion für die Virtualisierungserweiterung, um eine isolierte Laufzeit außerhalb des normalen Betriebssystems zu erstellen. VBS-Schlüssel sind während der Verwendung in einem sicheren Prozess isoliert. Auf diese Weise können Schlüsselvorgänge ausgeführt werden, ohne dass privates Schlüsselmaterial außerhalb dieses Raums verfügbar wird. Privates Schlüsselmaterial wird im Ruhezustand durch einen TPM-Schlüssel verschlüsselt, durch den VBS-Schlüssel an das Gerät gebunden werden. Auf diese Weise geschützte Schlüssel können nicht vom Prozessspeicher gesichert werden oder vom Computer eines Benutzers in Nur-Text exportiert werden. Dies verhindert Exfiltrationsangriffe von jeglichen Angreifern auf Administratorebene. VBS muss aktiviert sein, um den Schlüsselschutz verwenden zu können. Informationen zum Aktivieren von VBS finden Sie unter Aktivieren der Speicherintegrität .
WLAN
Es ist nun einfacher, Wireless-Funktionen zu aktivieren, da das Feature „Wireless LAN-Dienst“ jetzt standardmäßig installiert ist. Der drahtlose Startdienst ist auf manuell festgelegt und kann durch Ausführen von net start wlansvc
in der Eingabeaufforderung, dem Windows-Terminal oder der PowerShell aktiviert werden.
Portabilität von Windows-Containern
Portabilität ist ein wichtiger Aspekt der Containerverwaltung. Sie kann Upgrades durch verbesserte Flexibilität und Kompatibilität von Containern in Windows vereinfachen. Portabilität ist ein Feature des jährlichen Windows Server-Kanals für Containerhosts, mit dem Benutzer Containerimages und ihre zugehörigen Daten zwischen verschiedenen Hosts oder Umgebungen verschieben können, ohne dass Änderungen erforderlich sind. Benutzer können ein Containerimage auf einem Host erstellen und es dann auf einem anderen Host bereitstellen, ohne sich Gedanken über Kompatibilitätsprobleme machen zu müssen. Weitere Informationen finden Sie unter Portabilität für Container.
Windows-Insider-Programm
Das Windows Insider Programm bietet einer Community von Enthusiasten frühzeitigen Zugriff auf die neuesten Versionen von Windows-Betriebssystemen. Als Mitglied können Sie zu den ersten gehören, um neue Ideen und Konzepte auszuprobieren, die Microsoft entwickelt. Nach der Registrierung als Mitglied können Sie sich verschiedenen Veröffentlichungskanälen beitreten, indem Sie zu Start > Einstellungen > Windows Update > Windows-Insider-Program wechseln.
Windows Kennwortlösung für lokale Administratoren (LAPS)
Windows LAPS unterstützt Unternehmen bei der Verwaltung lokaler Administratorkennwörter auf ihren domänenverbundenen Computern. Es generiert automatisch eindeutige Kennwörter für das lokale Administratorkonto jedes Computers, speichert sie sicher in AD und aktualisiert sie regelmäßig. Dies trägt zur Verbesserung der Sicherheit bei, indem es das Risiko verringert, dass Angreifer mit kompromittierten oder leicht zu erratenden Passwörtern Zugang zu sensiblen Systemen erlangen.
In Microsoft LAPS wurden mehrere Funktionen eingeführt, die die folgenden Verbesserungen mit sich bringen:
Neue Funktion zur automatischen Kontoverwaltung
Mit dem neuesten Update können IT-Administratoren ganz einfach ein verwaltetes lokales Konto erstellen. Mit dieser Funktion können Sie den Kontonamen anpassen, das Konto aktivieren oder deaktivieren und sogar den Kontonamen nach dem Zufallsprinzip vergeben, um die Sicherheit zu erhöhen. Darüber hinaus beinhaltet das Update eine verbesserte Integration mit den bestehenden lokalen Kontoverwaltungsrichtlinien von Microsoft. Weitere Informationen zu dieser Funktion finden Sie unter Windows LAPS-Kontoverwaltungsmodi.
Neue Funktion zur Erkennung von Bild-Rollbacks
Windows LAPS erkennt jetzt, wenn ein Image-Rollback stattfindet. Bei einem Rollback stimmt das im AD gespeicherte Kennwort möglicherweise nicht mehr mit dem lokal auf dem Gerät gespeicherten Kennwort überein. Rollbacks können zu einem „zerrissenen Zustand“ führen, in dem der IT-Administrator nicht in der Lage ist, sich mit dem gespeicherten Windows LAPS-Kennwort am Gerät anzumelden.
Um dieses Problem zu beheben, wurde eine neue Funktion hinzugefügt, die ein AD-Attribut namens msLAPS-CurrentPasswordVersion enthält. Dieses Attribut enthält eine zufällige GUID, die von Windows LAPS jedes Mal geschrieben wird, wenn ein neues Kennwort im AD beibehalten und lokal gespeichert wird. Bei jedem Verarbeitungszyklus wird die in msLAPS-CurrentPasswordVersion gespeicherte GUID abgefragt und mit der lokal persistierten Kopie verglichen. Wenn sie unterschiedlich sind, wird das Passwort sofort geändert.
Um diese Funktion zu aktivieren, müssen Sie die neueste Version des Cmdlets
Update-LapsADSchema
ausführen. Sobald dies abgeschlossen ist, erkennt Windows LAPS das neue Attribut und beginnt, es zu verwenden. Wenn Sie die aktualisierte Version des CmdletsUpdate-LapsADSchema
nicht ausführen, protokolliert Windows LAPS ein 10108-Warnungsereignis im Ereignisprotokoll, funktioniert aber ansonsten weiterhin normal.Es werden keine Richtlinieneinstellungen zur Aktivierung oder Konfiguration dieser Funktion verwendet. Die Funktion ist immer aktiviert, sobald das neue Schemaattribut hinzugefügt wurde.
Neue Passphrase-Funktion
IT-Administratoren können jetzt eine neue Funktion in Windows LAPS nutzen, die die Generierung von weniger komplexen Passphrasen ermöglicht. Ein Beispiel wäre eine Passphrase wie EatYummyCaramelCandy, die im Vergleich zu einem herkömmlichen Kennwort wie V3r_b4tim#963? leichter zu lesen, zu merken und einzugeben ist.
Mit dieser neuen Funktion kann auch die Richtlinieneinstellung PasswordComplexity so konfiguriert werden, dass eine von drei verschiedenen Passphrase-Wortlisten ausgewählt wird, die alle in Windows enthalten sind, ohne dass ein separater Download erforderlich ist. Eine neue Richtlinieneinstellung namens PassphraseLength steuert die Anzahl der in der Passphrase verwendeten Wörter.
Beim Erstellen einer Passphrase wird die angegebene Anzahl von Wörtern nach dem Zufallsprinzip aus der gewählten Wortliste ausgewählt und aneinandergehängt. Der erste Buchstabe eines jeden Wortes wird groß geschrieben, um die Lesbarkeit zu verbessern. Diese Funktion unterstützt auch das Sichern von Passwörtern in Windows Server AD oder Microsoft Entra ID.
Die Wortlisten der Passphrasen, die in den drei neuen PasswordComplexity-Passphrasen-Einstellungen verwendet werden, stammen aus dem Artikel der Electronic Frontier Foundation Deep Dive: EFF's New Wordlists for Random Passphrases. Die Windows LAPS Passphrase Word Lists ist lizenziert unter der CC-BY-3.0 Attribution Lizenz und steht zum Download zur Verfügung.
Hinweis
Windows LAPS erlaubt weder die Anpassung der eingebauten Wortlisten noch die Verwendung von kundenkonfigurierten Wortlisten.
Verbesserte Lesbarkeit des Passwort-Wörterbuchs
Windows LAPS führt eine neue PasswordComplexity-Einstellung ein, die es IT-Administratoren ermöglicht, weniger komplexe Passwörter zu erstellen. Mit dieser Funktion können Sie LAPS so anpassen, dass alle vier Zeichenkategorien (Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen) wie bei der bestehenden Komplexitätseinstellung von 4 verwendet werden. Mit der neuen Einstellung von 5 werden jedoch die komplexeren Zeichen ausgeschlossen, um die Lesbarkeit des Passworts zu verbessern und Verwirrung zu vermeiden. So werden beispielsweise die Zahl „1“ und der Buchstabe „I“ bei der neuen Einstellung nie verwendet.
Wenn PasswordComplexity auf 5 konfiguriert ist, werden die folgenden Änderungen am Standardzeichensatz des Kennwortwörterbuchs vorgenommen:
- Verwenden Sie diese Buchstaben nicht: „I“, „O“, „Q“, „l“, „o“
- Verwenden Sie diese Zahlen nicht: „0“, „1“
- Verwenden Sie diese „Sonderzeichen“ nicht: „,“, „.“, „&“, „{“, „}“, „[“, „]“, „(“, „)“, „;“
- Verwenden Sie diese „Sonderzeichen“: „:“, „=“, „?“, „*“
Das Snap-In Active Directory-Benutzer und -Computer (über die Microsoft Management Console) verfügt jetzt über eine verbesserte Registerkarte Windows LAPS. Das Windows LAPS-Kennwort wird jetzt in einer neuen Schriftart angezeigt, die die Lesbarkeit des Kennworts verbessert, wenn es im Klartext angezeigt wird.
PostAuthenticationAction-Unterstützung für die Beendigung einzelner Prozesse
Der Gruppenrichtlinieneinstellung „PostAuthenticationActions (PAA)“ wird eine neue Option hinzugefügt: „Reset the password, sign out the managed account, and terminate any remaining processes” zu finden unter Computer Configuration > Administrative Templates > System > LAPS > Post-authentication actions.
Diese neue Option ist eine Erweiterung der bisherigen Option „Reset the password and sign out the managed account“. Nach der Konfiguration benachrichtigt das PAA alle interaktiven Anmeldesitzungen und beendet sie dann. Er listet alle verbleibenden Prozesse auf, die noch unter der von Windows LAPS verwalteten lokalen Kontoidentität laufen, und beendet sie. Es ist wichtig zu wissen, dass dieser Kündigung keine Benachrichtigung vorausgeht.
Darüber hinaus bietet die Erweiterung der Protokollierung von Ereignissen während der Ausführung von Aktionen nach der Authentifizierung tiefere Einblicke in den Vorgang.
Weitere Informationen über Windows LAPS finden Sie unter What is Windows LAPS?.
Windows-Terminal
Windows-Terminal, eine leistungsstarke und effiziente Multishell-Anwendung für Befehlszeilenbenutzer, ist in diesem Build verfügbar. Suchen Sie nach „Terminal“ in der Suchleiste.
Winget
Winget ist standardmäßig installiert. Dies ist ein Windows-Paket-Managertool mit Befehlszeilen, die umfassende Paket-Manager-Lösungen zum Installieren von Anwendungen auf Windows-Geräten bereitstellt. Weitere Informationen finden Sie unter Installieren und Verwalten von Anwendungen mit dem Tool „winget“
Beschleunigter Netzwerkbetrieb
Das beschleunigte Netzwerk vereinfacht die Verwaltung der einzelnen Stamm-E/A-Virtualisierung (SR-IOV) für virtuelle Computer, die auf Windows Server 2025-Clustern gehostet werden. Dieses Feature verwendet den hochleistungsorientierten SR-IOV-Datenpfad, um Latenz, Jitter und CPU-Auslastung zu reduzieren. Das beschleunigte Netzwerk fügt außerdem eine Verwaltungsebene hinzu, die die Erforderliche Überprüfung, Hostkonfiguration und VM-Leistungseinstellungen behandelt.