Novità di Windows Server 2025

• Si applica a:

  ✅ Windows Server 2025

In questo articolo vengono descritti alcuni degli sviluppi più recenti di Windows Server 2025, che vanta funzionalità avanzate che migliorano la sicurezza, le prestazioni e la flessibilità. Grazie alle opzioni di archiviazione più veloci e alla possibilità di integrazione con ambienti cloud ibridi, la gestione dell'infrastruttura è ora più semplice. Windows Server 2025 è stato sviluppato sulla solida base del suo predecessore, introducendo al contempo una serie di miglioramenti innovativi su misura delle proprie esigenze.

Se si è interessati a provare le funzionalità più recenti di Windows Server 2025 prima del rilascio ufficiale, vedere Introduzione a Windows Server Insiders Preview.

Esperienza desktop e aggiornamento

Eseguire l'aggiornamento con Windows Update

È possibile eseguire un aggiornamento sul posto in uno dei due modi seguenti: dal supporto di origine o da Windows Update. Microsoft offre una funzionalità di aggiornamento sul posto facoltativa tramite Windows Update, nota come aggiornamento delle funzionalità. L'aggiornamento delle funzionalità è disponibile per i dispositivi Windows Server 2019 e Windows Server 2022.

Quando si esegue l'aggiornamento tramite Windows Update dalla finestra di dialogo Impostazioni, è possibile eseguire l'installazione direttamente da Windows Update nel desktop o usando SConfig per Server Core. L'organizzazione potrebbe preferire implementare gli aggiornamenti in modo incrementale e controllare la disponibilità di questo aggiornamento facoltativo usando Criteri di gruppo.

Per altre informazioni su come gestire l'offerta di aggiornamenti delle funzionalità, vedere Gestire gli aggiornamenti delle funzionalità con Criteri di gruppo in Windows Server.

Aggiornamento sul posto da Windows Server 2012 R2

Con Windows Server 2025, è possibile aggiornare fino a quattro versioni alla volta. È possibile eseguire l'aggiornamento direttamente a Windows Server 2025 da Windows Server 2012 R2 e versioni successive.

Shell desktop

Quando accedi per la prima volta, l'esperienza della shell desktop è conforme allo stile e all'aspetto di Windows 11.

Bluetooth

È ora possibile connettere mouse, tastiere, cuffie, dispositivi audio e altro tramite bluetooth in Windows Server 2025.

DTrace

Windows Server 2025 include dtrace come strumento nativo. DTrace è un'utilità della riga di comando che consente agli utenti di monitorare le prestazioni del sistema in tempo reale e di risolvere i problemi ad esse associati. DTrace consente agli utenti di instrumentare dinamicamente il kernel e il codice dello spazio utente senza dover modificare il codice stesso. Questo strumento versatile supporta un'ampia gamma di tecniche di raccolta e analisi dei dati, tra cui aggregazioni, istogrammi e traccia degli eventi a livello di utente. Per altre informazioni, vedere DTrace per la guida della riga di comando e DTrace in Windows per le altre funzionalità.

Posta elettronica e account

È ora possibile aggiungere i tipi di account seguenti in Impostazioni di Windows in Account > e-mail e account per Windows Server 2025:

• Microsoft Entra ID
• Account Microsoft
• Account aziendale o dell'istituto di istruzione

È importante tenere presente che l'aggiunta a un dominio è ancora necessaria per la maggior parte delle situazioni.

Hub di Feedback

È ora possibile inviare feedback o segnalare problemi riscontrati durante l'uso di Windows Server 2025 usando l'Hub di Windows Feedback. Puoi includere screenshot o registrazioni del processo che ha causato il problema per aiutarci a comprendere la situazione e condividere suggerimenti per migliorare l'esperienza di Windows. Per altre informazioni, vedere Esplorare l'Hub di Feedback.

Compressione dei file

Windows Server 2025 include una nuova funzionalità di compressione quando si comprime un elemento eseguendo un clic con il pulsante destro del mouse denominato Comprimi su. Questa funzionalità supporta i formati di compressione ZIP, 7z e TAR con metodi di compressione specifici per ognuno di essi.

App aggiunte

L'aggiunta delle app più usate è ora disponibile tramite il menu Start ed è personalizzabile in base alle proprie esigenze. Le app aggiunte predefinite sono attualmente:

• Programma di installazione di Azure Arc
• Hub di Feedback
• Esplora file
• Microsoft Edge
• Server Manager
• Impostazione
• Terminale
• Windows PowerShell

Gestione attività

Windows Server 2025 usa l'app di Gestione attività moderna con materiale Mica conforme allo stile di Windows 11.

Wi-Fi

Ora è più facile abilitare le funzionalità wireless perché la funzionalità Servizio LAN wireless è ora installata per impostazione predefinita. Il servizio di avvio wireless è impostato su manuale e può essere abilitato eseguendo net start wlansvc al prompt dei comandi, Terminale Windows o PowerShell.

Terminale Windows

La Terminale Windows, un'applicazione multishell potente ed efficiente per gli utenti della riga di comando, è disponibile in Windows Server 2025. Cercare Terminale nella barra di ricerca.

WinGet

Winget viene installato per impostazione predefinita, ovvero uno strumento da riga di comando Gestione pacchetti Windows che fornisce soluzioni di gestione pacchetti complete per l'installazione di applicazioni nei dispositivi Windows. Per altre informazioni, vedi Usare lo strumento winget per installare e gestire le applicazioni.

Sicurezza multilivello avanzata

Hotpatch (anteprima)

Hotpatch è ora disponibile per i computer Windows Server 2025 connessi ad Azure Arc quando è abilitato nel portale di Azure Arc. Hotpatch consente di applicare gli aggiornamenti della sicurezza del sistema operativo senza dover riavviare il computer. Per altre informazioni, vedere Hotpatch.

Importante

Hotpatch abilitato per Azure Arc è attualmente disponibile in ANTEPRIMA. Vedere le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.

Credential Guard

A partire da Windows Server 2025, Credential Guard è abilitato per impostazione predefinita nei dispositivi che soddisfano i requisiti. Per altre informazioni su Credential Guard, consultare Configurare Credential Guard.

Active Directory Domain Services

I miglioramenti più recenti per Dominio di Active Directory Services (AD DS) e Active Directory Lightweight Domain Services (AD LDS) introducono una gamma di nuove funzionalità e funzionalità volte a ottimizzare l'esperienza di gestione del dominio:

• Funzionalità facoltativa per le dimensioni delle pagine del database 32k - AD utilizza un database Extensible Storage Engine (ESE) sin dalla sua introduzione in Windows 2000 che utilizza una dimensione di pagina del database di 8k. La decisione di progettazione dell'architettura 8k ha comportato limitazioni in Active Directory documentate in Scalabilità dei limiti massimi di Active Directory. Un esempio di questa limitazione è un singolo oggetto AD di record, che non può superare le dimensioni di 8.000 byte. Il passaggio a un formato di pagina di database a 32k offre un notevole miglioramento nelle aree interessate dalle restrizioni legacy, inclusi gli attributi multivalore ora possono contenere fino a ~3.200 valori, che è un aumento di un fattore pari a 2,6.

  È possibile installare nuovi controller di dominio con un database da 32.000 pagine che utilizza ID valori lunghi (LID) a 64 bit e viene eseguito in "modalità pagina 8.000" per compatibilità con le versioni precedenti. Un controller di dominio aggiornato continua a utilizzare il formato di database corrente e le pagine da 8.000. Il passaggio alle pagine di database da 32.000 viene eseguito a livello di foresta e richiede che tutti i controller di dominio nella foresta dispongano di un database con capacità di pagine da 32.000.

• Aggiornamenti dello schema AD - Vengono introdotti tre nuovi file di database di log (LDF) che estendono lo schema AD, sch89.ldf, sch90.ldf, e sch91.ldf. Gli aggiornamenti dello schema equivalenti di AD LDS si trovano in MS-ADAM-Upgrade3.ldf. Per altre informazioni sugli aggiornamenti dello schema precedente, vedere Aggiornamenti dello schema di Windows Server AD

• Ripristino di oggetti AD - AD consente ora agli amministratori dell'organizzazione di ripristinare gli oggetti con attributi principali mancanti SamAccountType e ObjectCategory. Gli amministratori dell'organizzazione possono reimpostare l'attributo LastLogonTimeStamp in un oggetto all'ora corrente. Queste operazioni vengono eseguite tramite una nuova funzionalità operativa di modifica RootDSE sull'oggetto interessato denominato fixupObjectState.

• Supporto del controllo dell'associazione di canale - gli eventi 3074 e 3075 possono ora essere abilitati per l'associazione di canale LDAP (Lightweight Directory Access Protocol). Quando i criteri di associazione del canale vengono modificati in un'impostazione più sicura, un amministratore può identificare i dispositivi nell'ambiente che non supportano o non soddisfano l'associazione di canali. Questi eventi di controllo sono disponibili anche in Windows Server 2022 e versioni successive tramite KB4520412.

• Miglioramenti dell'algoritmo posizione DC - l'algoritmo di individuazione DC fornisce nuove funzionalità con miglioramenti al mapping di nomi di dominio di tipo NetBIOS brevi ai nomi di dominio in stile DNS. Per altre informazioni, vedere Modifiche del localizzatore di controller di dominio di Active Directory.

  Nota

  Windows non usa mailslot durante le operazioni di individuazione del controller di dominio perché Microsoft ha annunciato la deprecazione di WINS e mailslot per queste tecnologie legacy.

• Livelli funzionali della foresta e del dominio: il nuovo livello funzionale viene usato per supportare in generale ed è necessario per la nuova funzionalità di dimensioni della pagina del database 32K. Il nuovo livello funzionale esegue il mapping al valore di DomainLevel 10 e ForestLevel 10 per le installazioni automatiche. Microsoft non prevede di adattare i livelli funzionali per Windows Server 2019 e Windows Server 2022. Per eseguire un'innalzamento di livello automatico e l'abbassamento di livello di un controller di dominio, vedere sintassi dei file di risposte DCPROMO per promozioni automatiche e abbassamento di livello dei controller di dominio.

  L'Application Programming Interface (API) DsGetDcName supporta anche un nuovo flag DS_DIRECTORY_SERVICE_13_REQUIRED che abilita la posizione dei controller di dominio che eseguono Windows Server 2025. Puoi trovare ulteriori informazioni sui livelli funzionali nei seguenti articoli:

  • Livelli di funzionalità del dominio e della foresta

  • Aumentare il livello di funzionalità del dominio

  • Aumentare il livello di funzionalità della foresta

  Nota

  Per avere un livello funzionale di Windows Server 2016 o superiore, sono necessari nuovi insiemi di configurazione di Active Directory o AD LDS. L'innalzamento di livello di una replica AD o AD LDS richiede che il dominio o il set di configurazione esistente sia già in esecuzione con un livello funzionale di Windows Server 2016 o versione successiva.

  Microsoft consiglia a tutti i clienti di iniziare a pianificare ora di aggiornare i server AD e AD LDS a Windows Server 2022 in preparazione della versione successiva.

• Algoritmi migliorati per le ricerche di Nome e SID - La ricerca con Nome autorità di sicurezza locale (LSA) e la ricerca SID tra account computer non usano più il canale protetto Netlogon legacy. Si utilizzano invece invece l'autenticazione Kerberos e l'algoritmo del localizzatore di controller di dominio. Per mantenere la compatibilità con i sistemi operativi legacy, è comunque possibile usare il canale protetto Netlogon come opzione di fallback.

• Maggiore sicurezza per gli attributi riservati: le istanze DCS e AD LDS consentono solo a LDAP di aggiungere, cercare e modificare operazioni che coinvolgono attributi riservati quando la connessione viene crittografata.

• Sicurezza migliorata per le password predefinite dell'account computer: AD ora utilizza password predefinite per account computer generate casualmente. I controller di dominio di Windows 2025 bloccano l'impostazione delle password dell'account computer sulla password predefinita del nome dell'account computer.

  Questo comportamento può essere controllato abilitando l'impostazione controller di dominio dell'oggetto Criteri di gruppo: Rifiuta l'impostazione predefinita della password dell'account computer disponibile in: Configurazione Computer\Impostazioni Windows\Impostazioni di sicurezza\Criteri Locali\Opzioni di sicurezza

  Utilità come Active Directory Administrative Center (ADAC), Active Directory Users and Computers (ADUC), net computer, e dsmod rispettano questo nuovo comportamento. Sia ADAC che ADUC non consentono più di creare un account Windows pre-2k.

• Supporto PKINIT Kerberos per l'agilità crittografica - l'implementazione del protocollo Kerberos Public Key Cryptography for Initial Authentication in Kerberos (PKINIT) viene aggiornata per consentire l'agilità crittografica supportando più algoritmi e rimuovendo algoritmi hardcoded.

• Impostazione oggetto Criteri di gruppo di LAN Manager​ - Sicurezza di rete impostazioni dell'oggetto Criteri di gruppo : non archiviare il valore hash di LAN Manager alla successiva modifica della password non è più presente né applicabile alle nuove versioni di Windows.

• Crittografia LDAP per impostazione predefinita : tutte le comunicazioni client LDAP dopo un'associazione SASL (Simple Authentication and Security Layer) utilizzano la chiusura LDAP per impostazione predefinita. Per altre informazioni su SASL, vedere: autenticazione SASL.

• Supporto LDAP per TLS 1.3 : LDAP usa l'implementazione SCHANNEL più recente e supporta TLS 1.3 per LDAP su connessioni TLS. L'utilizzo di TLS 1.3 elimina gli algoritmi di crittografia obsoleti, migliora la sicurezza rispetto alle versioni precedenti e mira a crittografare la maggior parte dell'handshake possibile. Per altre informazioni, vedere Protocolli in TLS/SSL (SSP Schannel) e pacchetti di crittografia TLS in Windows Server 2022.

• Comportamento di modifica della password RPC SAM legacy - i protocolli sicuri, ad esempio Kerberos, rappresentano il modo migliore per modificare le password utente del dominio. Nei controller di dominio l'ultimo metodo di modifica della password RPC SAM SamrUnicodeChangePasswordUser4 tramite AES viene accettato per impostazione predefinita quando viene chiamato in remoto. I metodi RPC SAM legacy seguenti vengono bloccati per impostazione predefinita quando viene chiamati in remoto:

  • SamrChangePasswordUser

  • SamrOemChangePasswordUser2

  • SamrUnicodeChangePasswordUser2

  Per gli utenti di dominio membri del gruppo Utenti protetti e per gli account locali nei computer membri del dominio, tutte le modifiche remote delle password tramite l'interfaccia RPC SAM legacy vengono bloccate per impostazione predefinita, incluso SamrUnicodeChangePasswordUser4.

  Questo comportamento può essere controllato usando l'impostazione dell'oggetto Criteri di gruppo seguente:

  Configurazione > computer Amministrazione modelli > > amministrativi System Security Account Manager > Configurare la policy dei metodi RPC per la modifica della password SAM

• Supporto NUMA - Servizi di dominio Active Directory sfrutta ora l'hardware con supporto NUMA (Non-Uniform Memory Access) usando CPU in tutti i gruppi di processori. In precedenza, AD utilizzava solo le CPU del gruppo 0. Active Directory può espandersi oltre 64 core.

• Contatori delle prestazioni - il monitoraggio e la risoluzione dei problemi relativi alle prestazioni dei contatori seguenti sono ora disponibili:

  • Localizzatore DC - contatori specifici del client e del controller di dominio disponibili.

  • Nome - LSA Lookup e lookup SID tramite LsaLookupNames, LsaLookupSids e API equivalenti. Questi contatori sono disponibili sia in SKU client che server.

  • Client LDAP: disponibile in Windows Server 2022 e versioni successive tramite aggiornamento KB 5029250.

• Ordine di priorità di replica - AD consente ora agli amministratori di aumentare la priorità di replica calcolata del sistema con un partner di replica specifico per un particolare contesto di denominazione. Questa funzionalità consente una maggiore flessibilità nella configurazione dell'ordine di replica per gestire scenari specifici.

Account del servizio gestito delegato

Questo nuovo tipo di account consente la migrazione da un account di servizio a un account di servizio gestito delegato (dMSA). Questo tipo di account viene fornito con chiavi gestite e completamente casuali che garantiscono modifiche minime all'applicazione durante la disabilitazione delle password dell'account del servizio originale. Per altre informazioni, vedere Panoramica degli account del servizio gestito delegati.

Soluzione password dell'amministratore locale Windows (LAPS)

Windows LAPS consente alle organizzazioni di gestire le password di amministratore locale nei computer aggiunti a un dominio. Genera automaticamente password univoche per l'account amministratore locale di ogni computer, le archivia in modo sicuro in AD e le aggiorna regolarmente. Le password generate automaticamente consentono di migliorare la sicurezza riducendo il rischio che gli utenti malintenzionati ottengano l'accesso a sistemi sensibili usando password compromesse o facilmente individuabili.

Sono state introdotte diverse funzionalità di Microsoft LAPS che apportano i miglioramenti seguenti:

• Nuova funzionalità di gestione automatica degli account

  L'aggiornamento più recente consente agli amministratori IT di creare facilmente un account locale gestito. Con questa funzionalità, è possibile personalizzare il nome dell'account, abilitare o disabilitare l'account e persino casualizzare il nome dell'account per una sicurezza avanzata. Inoltre, l'aggiornamento include un'integrazione migliorata con i criteri di gestione degli account locali esistenti di Microsoft. Per maggiori informazioni su questa funzionalità, consultare la sezione Modalità di gestione degli account Windows LAPS.

• Nuova funzionalità di rilevamento del rollback delle immagini

  Windows LAPS ora rileva quando si verifica il rollback di un'immagine. Se si verifica un rollback, la password archiviata in ACTIVE Directory potrebbe non corrispondere più alla password archiviata localmente nel dispositivo. I rollback possono comportare uno "stato di interruzione" in cui l'amministratore IT non è in grado di accedere al dispositivo usando la password di Windows LAPS persistente.

  Per risolvere questo problema, è stata aggiunta una nuova funzionalità che include un attributo AD denominato msL piattaforma di strumenti analitici-CurrentPasswordVersion. Questo attributo contiene un GUID casuale scritto da Windows LAPS ogni volta che una nuova password viene salvata in AD e salvata in locale. Durante ogni ciclo di elaborazione, il GUID archiviato in msLAPS-CurrentPasswordVersion viene sottoposto a query e confrontato con la copia persistente locale. Se sono diversi, la password viene ruotata immediatamente.

  Per abilitare questa funzionalità, è necessario eseguire la versione più recente del cmdlet Update-LapsADSchema. Al termine, Windows LAPS riconosce il nuovo attributo e inizia a usarlo. Se non si esegue la versione aggiornata del cmdlet Update-LapsADSchema, Windows LAPS registra un evento di avviso 10108 nel registro eventi, ma continua a funzionare normalmente in tutti gli altri aspetti.

  Nessuna impostazione dei criteri viene usata per abilitare o configurare questa funzionalità. La funzionalità viene sempre abilitata dopo l'aggiunta del nuovo attributo dello schema.

• Nuova funzionalità di passphrase

  Gli amministratori IT possono ora usare una nuova funzionalità in Windows LAPS che consente la generazione di passphrase meno complesse. Un esempio è una passphrase, ad esempio EatYummyCaramelCandy, che è più facile da leggere, ricordare e digitare, rispetto a una password tradizionale come V3r_b4tim#963?.

  Questa nuova funzionalità consente anche di configurare l'impostazione dei criteri PasswordComplexity per selezionare uno dei tre diversi elenchi di parole passphrase, tutti inclusi in Windows senza richiedere un download separato. Una nuova impostazione di criteri denominata PassphraseLength controlla il numero di parole usate nella passphrase.

  Quando si crea una passphrase, il numero specificato di parole viene selezionato in modo casuale dall'elenco di parole scelto e concatenato. La prima lettera di ogni parola viene maiuscola per migliorare la leggibilità. Questa funzionalità supporta anche completamente il backup delle password fino a Windows Server AD o Microsoft Entra ID.

  Gli elenchi di parole passphrase usati nelle tre nuove impostazioni di passphrase PasswordComplexity sono originati dall'articolo di Electronic Frontier Foundation, Deep Dive: EFF's New Wordlists for Random Passphrases. Windows LAPS Passphrase Word Lists è concesso in licenza con la licenza CC-BY-3.0 Attribuzione ed è disponibile per il download.

  Nota

  Windows LAPS non consente la personalizzazione degli elenchi di parole predefiniti né l'uso di elenchi di parole configurati dal cliente.

• Dizionario delle password di leggibilità migliorato

  Windows LAPS introduce una nuova impostazione PasswordComplexity che consente agli amministratori IT di creare password meno complesse. Questa funzionalità consente di personalizzare L piattaforma di strumenti analitici per usare tutte e quattro le categorie di caratteri (lettere maiuscole, lettere minuscole, numeri e caratteri speciali) come l'impostazione di complessità esistente di 4. Tuttavia, con la nuova impostazione di 5, i caratteri più complessi vengono esclusi per migliorare la leggibilità delle password e ridurre al minimo la confusione. Ad esempio, il numero "1" e la lettera "I" non vengono mai usati con la nuova impostazione.

  Quando PasswordComplexity è configurato su 5, vengono apportate le modifiche seguenti al set di caratteri predefinito del dizionario password:

  • Non usare queste lettere: 'I', 'O', 'Q', 'l', 'o'
  • Non usare questi numeri: '0', '1'
  • Non usare questi caratteri "speciali": ',', '.', '&', '{', '}', '[', ']', '(', ')', ';'
  • Iniziare usando questi caratteri "speciali": ':', '=', '?', '*'

  Lo snap-in Utenti e computer di Active Directory (tramite Microsoft Management Console) ora include una scheda L piattaforma di strumenti analitici windows migliorata. La password di Windows L piattaforma di strumenti analitici viene ora visualizzata in un nuovo tipo di carattere che ne migliora la leggibilità quando viene visualizzata in testo normale.

• Supporto postAuthenticationAction per la terminazione di singoli processi

  Viene aggiunta una nuova opzione all'impostazione di Criteri di gruppo PostAuthenticationActions (PAA), "Reimpostare la password, disconnettere l'account gestito e terminare eventuali processi rimanenti" che si trova in Configurazione computer >Modelli amministrativi > Sistema > LAPS > Azioni post-autenticazione.

  Questa nuova opzione è un'estensione dell'opzione precedente "Reimpostare la password e disconnettere l'account gestito". Dopo la configurazione, il PAA invia una notifica e quindi termina le sessioni di accesso interattive. Enumera e termina tutti i processi rimanenti ancora in esecuzione nell'identità dell'account locale gestito da Windows LAPS. È importante notare che nessuna notifica precede questa terminazione.

  Inoltre, l'espansione degli eventi di registrazione durante l'esecuzione post-autenticazione-azione fornisce informazioni più approfondite sull'operazione.

Per maggiori informazioni su Windows LAPS, consultare la sezione Che cos'è Windows LAPS?.

OpenSSH

Nelle versioni precedenti di Windows Server, lo strumento di connettività OpenSSH richiedeva l'installazione manuale prima dell'uso. Il componente lato server OpenSSH viene installato per impostazione predefinita in Windows Server 2025. L'interfaccia utente di Server Manager include anche un'opzione in Modalità remota SSH che abilita o disabilita il sshd.exe servizio. È anche possibile aggiungere utenti al gruppo Utenti OpenSSH per consentire o limitare l'accesso ai dispositivi. Per altre informazioni, vedere Panoramica di OpenSSH per Windows.

Baseline di sicurezza

Implementando una baseline di sicurezza personalizzata, è possibile stabilire misure di sicurezza direttamente dall'inizio per il ruolo del dispositivo o ruolo VM in base al comportamento di sicurezza consigliato. Questa baseline è dotata di oltre 350 impostazioni di sicurezza di Windows preconfigurate che consentono di applicare impostazioni di sicurezza specifiche in linea con le procedure consigliate dagli standard Microsoft e di settore. Per altre informazioni, vedere Panoramica di OSConfig.

Enclave di sicurezza basata su virtualizzazione (VBS)

Un enclave VBS è un ambiente di esecuzione attendibile (TEE) basato su software all'interno dello spazio indirizzi di un'applicazione host. Gli enclave VBS usano la tecnologia VBS sottostante per isolare la parte sensibile di un'applicazione in una partizione sicura di memoria. Le enclave VBS consentono l'isolamento dei carichi di lavoro sensibili sia dall'applicazione host che dal resto del sistema.

Le enclave VBS consentono alle applicazioni di proteggere i segreti rimuovendo la necessità di considerare attendibili gli amministratori e di applicare la protezione avanzata dagli utenti malintenzionati. Per altre informazioni, vedere le informazioni di riferimento Win32 sulle enclave VBS.

Protezione delle chiavi di sicurezza basata su virtualizzazione (VBS)

La protezione delle chiavi VBS consente agli sviluppatori Windows di proteggere le chiavi crittografiche usando la sicurezza basata su virtualizzazione (VBS). VBS usa la funzionalità di estensione di virtualizzazione della CPU per creare un runtime isolato al di fuori del normale sistema operativo. Quando in uso, le chiavi VBS sono isolate in un processo sicuro, consentendo l'esecuzione di operazioni sulle chiavi senza esporre il materiale delle chiavi private all'esterno di questo spazio. Se inattive, il materiale delle chiavi private viene crittografato da una chiave TPM, che associa le chiavi VBS al dispositivo. Le chiavi protette in questo modo non possono essere scaricate dalla memoria del processo o esportate in testo normale dal computer di un utente. La protezione con chiave VBS consente di evitare attacchi di esfiltrazione da parte di qualsiasi utente malintenzionato a livello di amministratore. La sicurezza basata su virtualizzazione deve essere abilitata per l'uso della protezione delle chiavi. Vedere Abilitare l'integrità della memoria per informazioni su come abilitare VBS.

Connettività protetta

Gestione dei certificati Secure

La ricerca o il recupero di certificati in Windows supporta ora hash SHA-256, come descritto nelle funzioni CertFindCertificateInStore e CertGetCertificateContextProperty. L'autenticazione server TLS è più sicura in Windows e ora richiede una lunghezza minima della chiave RSA di 2.048 bit. Per altre informazioni, vedere Autenticazione server TLS: Deprecazione di certificati RSA deboli.

Server Message Block (SMB) su QUIC

La funzionalità server SMB su QUIC, disponibile solo in Windows Server Azure Edition, è ora disponibile nelle versioni windows Server Standard e Windows Server Datacenter. SMB su QUIC aggiunge i vantaggi del QUIC, con connessioni crittografate a bassa latenza tramite Internet.

Criteri di abilitazione SMB su QUIC

Gli amministratori possono disabilitare il client SMB su QUIC tramite Criteri di gruppo e PowerShell. Per disabilitare SMB su QUIC usando Criteri di gruppo, impostare il criterio Abilita SMB su QUIC nei percorsi seguenti su Disabilitato:

• Computer Configuration\Administrative Templates\Network\Lanman Workstation

• Computer Configuration\Administrative Templates\Network\Lanman Server

Per disabilitare SMB su QUIC usando PowerShell, eseguire questo comando in un prompt di PowerShell con privilegi elevati:

Set-SmbClientConfiguration -EnableSMBQUIC $false

Controllo della firma e della crittografia SMB

Gli amministratori possono abilitare il controllo del server e del client SMB al supporto della firma e della crittografia SMB. Se un client o un server non Microsoft non supporta la crittografia SMB o la firma, può essere rilevato. Quando un dispositivo o un software non Microsoft supporta SMB 3.1.1, ma non supporta la firma SMB, viola il requisito del protocollo di integrità preautenticazione SMB 3.1.1.

È possibile configurare le impostazioni di controllo della firma e della crittografia SMB usando Criteri di gruppo o PowerShell. Questi criteri possono essere modificati nei seguenti percorsi di Criteri di gruppo:

• Configurazione Compute\Modelli amministrativi\Rete\Server Lanman\Client Audit non supporta la crittografia

• Configurazione Compute\Modelli amministrativi\Rete\Server Lanman\Client Audit non supporta la firma

• Configurazione Compute\Modelli amministrativi\Rete\Workstation Lanman\Server Audit non supporta la crittografia

• Configurazione Compute\Modelli amministrativi\Rete\Workstation Lanman\Server Audit non supporta la firma

Per eseguire queste modifiche tramite PowerShell, eseguire questi comandi in un prompt con privilegi elevati in cui $true serve ad abilitare e $false a disabilitare queste impostazioni:

Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true

Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true

I registri eventi di queste modifiche vengono archiviati nei percorsi Visualizzatore eventi seguenti con l'ID evento specificato.

Percorso	ID evento
Registri applicazioni e servizi\Microsoft\Windows\SMBClient\Audit	31998 31999
Registri applicazioni e servizi\Microsoft\Windows\SMBServer\Audit	3021 3022

Controllo di SMB su QUIC

Il controllo della connessione client SMB su QUIC acquisisce gli eventi scritti in un registro eventi per includere il trasporto QUIC nel Visualizzatore eventi. Questi registri vengono archiviati nei seguenti percorsi con l'ID evento specificato.

Percorso	ID evento
Registri applicazioni e servizi\Microsoft\Windows\SMBClient\Connettività	30832
Registri applicazioni e servizi\Microsoft\Windows\SMBServer\Connettività	1913

Controllo di accesso client SMB su QUIC

Windows Server 2025 include SMB tramite il controllo di accesso client QUIC. SMB su QUIC è un'alternativa a TCP e RDMA che fornisce connettività sicura ai file server perimetrali su reti non attendibili. Il controllo di accesso client introduce altri controlli per limitare l'accesso ai dati usando i certificati. Per altre informazioni, vedere Funzionamento del controllo di accesso client.

Porte alternative SMB

È possibile usare il client SMB per connettersi alle porte TCP, QUIC e RDMA alternative anziché alle impostazioni predefinite IANA/IETF 445, 5445 e 443. Le porte alternative possono essere configurate tramite Criteri di gruppo o PowerShell. In precedenza, il server SMB in Windows imponeva alle connessioni in ingresso di usare la porta registrata IANA TCP/445 mentre il client TCP SMB consentiva solo connessioni in uscita alla stessa porta TCP. Ora, SMB su QUIC consente porte alternative SMB in cui le porte UDP/443 con QUIC obbligatorio sono disponibili sia per i dispositivi server che per i dispositivi client. Per altre informazioni, vedere Configurare porte SMB alternative.

Protezione avanzata delle regole del firewall SMB

In precedenza, quando è stata creata una condivisione, le regole del firewall SMB venivano configurate automaticamente per abilitare il gruppo Condivisione file e stampanti per i profili firewall pertinenti. La creazione di una condivisione SMB in Windows comporta ora la configurazione automatica del nuovo gruppo Condivisione file e stampanti (restrittivo), che non consente più le porte NetBIOS in ingresso 137-139. Per altre informazioni, vedere Regole del firewall aggiornate.

Crittografia SMB

Applicare la crittografia SMB è abilitata per tutte le connessioni client SMB in uscita. Con questo aggiornamento, gli amministratori possono impostare un mandato affinché tutti i server di destinazione supportino SMB 3.x e la crittografia. Se un server non dispone di queste funzionalità, il client non riesce a stabilire una connessione.

Limite di velocità di autenticazione SMB

Il limite di velocità di autenticazione SMB è progettato per limitare il numero di tentativi di autenticazione che possono essere eseguiti entro un determinato periodo di tempo. Il limite di velocità di autenticazione SMB consente di combattere gli attacchi di autenticazione di forza bruta. Il servizio server SMB usa il limite di velocità di autenticazione per implementare un ritardo tra ogni tentativo di autenticazione basato su NTLM o PKU2U non riuscito ed è abilitato per impostazione predefinita. Per altre informazioni, vedere Funzionamento del limite di velocità di autenticazione SMB.

Disabilitare SMB NTLM

A partire da Windows Server 2025, il client SMB supporta il blocco NTLM per le connessioni in uscita remote. In precedenza, Windows Simple and Protected GSSAPI Negotiate Mechanism (SPNEGO) negoziò Kerberos, NTLM e altri meccanismi con il server di destinazione per determinare un pacchetto di sicurezza supportato. Per altre informazioni, vedere Bloccare le connessioni NTLM in SMB.

Controllo dialetto SMB

È ora possibile gestire i dialetti SMB in Windows. Quando è configurato il server SMB determina quali dialetti SMB 2 e SMB 3 negozia rispetto al comportamento precedente corrispondente solo al dialetto più alto.

Accesso SMB

La firma SMB è ora necessaria per impostazione predefinita per tutte le connessioni in uscita SMB, in cui in precedenza era necessaria solo per la connessione alle condivisioni denominate SYSVOL e NETLOGON nei controller di dominio AD. Per altre informazioni, vedere Funzionamento della firma.

Mailslot remoti

Il protocollo Remote Mailslot è disabilitato per impostazione predefinita per SMB e per l'utilizzo del protocollo del localizzatore di controller di dominio con Active Directory. È possibile rimuovere Mailslot remoto in una versione successiva. Per altre informazioni, vedere Funzionalità di cui è cessato lo sviluppo.

Protezione avanzata dei servizi di routing e accesso remoto (RRAS)

Per impostazione predefinita, le nuove installazioni di Routing e Servizi di accesso remoto (RRAS) non accettano connessioni VPN basate su protocolli PPTP e L2TP. Se necessario, è comunque possibile abilitare questi protocolli. Le connessioni VPN basate su SSTP e IKEv2 vengono comunque accettate senza alcuna modifica.

Le configurazioni esistenti mantengono il proprio comportamento. Ad esempio, se si esegue Windows Server 2019 e si accettano connessioni PPTP e L2TP e si esegue l'aggiornamento a Windows Server 2025 usando un aggiornamento sul posto, le connessioni basate su L2TP e PPTP sono ancora accettate. Questa modifica non influisce sui sistemi operativi client Windows. Per altre informazioni su come riabilitare PPTP e L2TP, vedere Configurare i protocolli VPN.

Hyper-V, intelligenza artificiale e prestazioni

Rete accelerata

La rete accelerata (AccelNet) semplifica la gestione della virtualizzazione di I/O radice singola (SR-IOV) per le macchine virtuali ospitate in cluster Windows Server 2025. Questa funzionalità usa il percorso dati SR-IOV a prestazioni elevate per ridurre la latenza, il jitter e l'utilizzo della CPU. AccelNet include anche un livello di gestione che gestisce il controllo dei prerequisiti, la configurazione host e le impostazioni delle prestazioni della macchina virtuale. Per altre informazioni, vedere Rete accelerata in Edge (anteprima).

Console di gestione di Hyper-V

Quando si crea una nuova macchina virtuale tramite la console di gestione di Hyper-V, la seconda generazione è ora impostata come opzione predefinita nella Creazione guidata macchina virtuale.

Conversione di paging applicata dall'hypervisor

La traduzione di paging applicata dall'hypervisor (HVPT) è un miglioramento della sicurezza per applicare l'integrità delle traduzioni di indirizzi lineari. HVPT protegge i dati critici del sistema dagli attacchi write-what-where in cui l'utente malintenzionato scrive un valore arbitrario in una posizione arbitraria, spesso come risultato di un overflow del buffer. HVPT protegge le tabelle di pagine che configurano strutture di dati di sistema critiche. HVPT include tutti gli elementi già protetti con l'integrità del codice protetto dall'hypervisor (HVCI). HVPT è abilitato per impostazione predefinita in cui è disponibile il supporto hardware. HVPT non è abilitato quando Windows Server viene eseguito come guest in una macchina virtuale.

Partizionamento GPU (GPU-P)

Il partizionamento GPU consente di condividere un dispositivo GPU fisico con più macchine virtuali. Anziché allocare l'intera GPU a una singola macchina virtuale, il partizionamento GPU assegna frazioni dedicate della GPU a ogni macchina virtuale. Con la disponibilità elevata della GPU-P Hyper-V, una macchina virtuale GPU-P viene abilitata automaticamente in un altro nodo del cluster in caso di tempi di inattività non pianificati. Gpu-P Live Migration offre una soluzione per spostare una macchina virtuale (per tempi di inattività pianificati o bilanciamento del carico) con GPU-P in un altro nodo indipendente o in cluster. Per altre informazioni sul partizionamento GPU, vedere Partizionamento GPU.

Compatibilità del processore dinamico

La modalità di compatibilità del processore dinamico viene aggiornata per sfruttare le nuove funzionalità del processore in un ambiente in cluster. La compatibilità del processore dinamico usa il numero massimo di funzionalità del processore disponibili in tutti i server di un cluster. La modalità migliora le prestazioni rispetto alla versione precedente della compatibilità del processore. La compatibilità del processore dinamico consente anche di salvare lo stato tra host di virtualizzazione che usano generazioni diverse di processori. La modalità di compatibilità del processore offre ora funzionalità avanzate e dinamiche sui processori in grado di eseguire la conversione degli indirizzi di secondo livello (SLAT). Per altre informazioni sulla modalità di compatibilità aggiornata, vedere Modalità di compatibilità del processore dinamico.

Cluster di gruppi di lavoro

I cluster del gruppo di lavoro Hyper-V sono un tipo speciale di cluster di failover di Windows Server in cui i nodi del cluster Hyper-V non sono membri di un dominio di Active Directory con la possibilità di eseguire la migrazione in tempo reale delle macchine virtuali in un cluster del gruppo di lavoro.

ATC di rete

Network ATC semplifica la distribuzione e la gestione delle configurazioni di rete per i cluster Windows Server 2025. Network ATC usa un approccio basato sulle finalità, in cui gli utenti specificano le finalità desiderate, ad esempio gestione, calcolo o archiviazione per una scheda di rete e la distribuzione viene automatizzata in base alla configurazione prevista. Questo approccio riduce il tempo, la complessità e gli errori associati alla distribuzione della rete host, garantisce la coerenza della configurazione nel cluster ed elimina la deriva della configurazione. Per altre informazioni, vedere Distribuire la rete host con Network ATC.

Scalabilità

Con Windows Server 2025, Hyper-V supporta ora fino a 4 petabyte di memoria e 2.048 processori logici per host. Questo aumento consente una maggiore scalabilità e prestazioni per i carichi di lavoro virtualizzati.

Windows Server 2025 supporta anche fino a 240 TB di memoria e 2.048 processori virtuali per le macchine virtuali di seconda generazione, offrendo una maggiore flessibilità per l'esecuzione di carichi di lavoro di grandi dimensioni. Per altre informazioni, vedere Pianificare la scalabilità di Hyper-V in Windows Server.

Storage

Supporto della clonazione di blocchi

A partire da Windows 11 24H2 e Windows Server 2025, Dev Drive supporta ora la clonazione di blocchi. Poiché Dev Drive usa il formato del file system ReFS, il supporto per la clonazione dei blocchi offre vantaggi significativi in termini di prestazioni durante la copia dei file. Con la clonazione a blocchi, il file system può copiare un intervallo di byte di file per conto di un'applicazione come operazione di metadati a basso costo, invece di eseguire operazioni di lettura e scrittura costose nei dati fisici sottostanti. Ciò comporta un completamento più rapido della copia dei file, meno I/O nella risorsa di archiviazione sottostante e una migliore capacità di archiviazione grazie all'abilitazione di più file a condividere gli stessi cluster logici. Per altre informazioni, vedere Clonazione di blocchi in ReFS.

Dev Drive

Dev Drive è un volume di archiviazione che punta a migliorare le prestazioni dei carichi di lavoro cruciali degli sviluppatori. Dev Drive usa la tecnologia ReFS e incorpora ottimizzazioni specifiche del file system per offrire un maggiore controllo sulle impostazioni del volume di archiviazione e sulla sicurezza. Ciò include la possibilità di designare l'attendibilità, configurare le impostazioni antivirus ed esercitare il controllo amministrativo sui filtri associati. Per altre informazioni, vedere Configurare Dev Drive in Windows 11.

NVMe

NVMe è un nuovo standard per unità SSD veloci. Le prestazioni di archiviazione NVMe sono state ottimizzate in Windows Server 2025 con prestazioni migliorate, con conseguente aumento delle operazioni di I/O al secondo e riduzione dell'utilizzo della CPU.

Compressione replica di archiviazione

La compressione replica archiviazione riduce la quantità di dati trasferiti in rete durante la replica. Per altre informazioni sulla compressione in Replica archiviazione, vedere Panoramica di Replica archiviazione.

Log avanzato della replica di archiviazione

I log avanzati consentono l'implementazione del log di Archiviazione replica per eliminare i costi di prestazioni associati alle astrazioni del file system, con conseguente miglioramento delle prestazioni di replica dei blocchi. Per altre informazioni, vedere Archiviazione log avanzato della replica.

Deduplicazione e compressione dell'archiviazione nativa ReFS

La deduplicazione e la compressione dell'archiviazione nativa ReFS sono tecniche usate per ottimizzare l'efficienza di archiviazione per carichi di lavoro statici e attivi, ad esempio file server o desktop virtuali. Per altre informazioni sulla deduplicazione e la compressione di ReFS, vedere Ottimizzare l'archiviazione con deduplicazione e compressione ReFS in Azure Stack HCI.

Volumi con thin provisioning

I volumi con thin provisioning con Spazi di archiviazione diretta sono un modo per allocare le risorse di archiviazione in modo più efficiente ed evitare costose sovrassegnazioni allocando dal pool solo quando necessario in un cluster. È anche possibile convertire i dati fissi in volumi con thin provisioning. La conversione da volumi fissi a volumi con thin provisioning restituisce qualsiasi spazio di archiviazione inutilizzato nel pool per consentire l'uso di altri volumi. Per altre informazioni sui volumi con thin provisioning, vedere Thin provisioning dell'archiviazione.

Server Message Block

Server Message Block (SMB) è uno dei protocolli più diffusi nella rete, offrendo un modo affidabile per condividere file e altre risorse tra i dispositivi nella rete. Windows Server 2025 include il supporto della compressione SMB per l'algoritmo di compressione LZ4 standard del settore. LZ4 è in aggiunta al supporto esistente di SDB per XPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1 e PATTERN_V1.

Azure Arc e ibrido

Configurazione semplificata di Azure Arc

Per impostazione predefinita, viene installata la funzionalità di installazione di Azure Arc su richiesta, che offre un'interfaccia della procedura guidata intuitiva e un'icona della barra delle applicazioni nella barra delle applicazioni per facilitare il processo di aggiunta di server ad Azure Arc. Azure Arc estende le funzionalità della piattaforma Azure, consentendo la creazione di applicazioni e servizi che possono operare in ambienti diversi. Questi ambienti includono data center, ambienti perimetrali, multicloud e offrono una maggiore flessibilità. Per altre informazioni, vedere Connessione computer Windows Server in Azure tramite il programma di installazione di Azure Arc.

Licenze con pagamento in base al consumo

L'opzione di licenza con pagamento in base al consumo di Azure Arc è un'alternativa alla licenza perpetua convenzionale per Windows Server 2025. Con pagamento in base al consumo, è possibile distribuire un dispositivo Windows Server, una licenza e pagare solo per quanto si usa. Questa funzionalità viene facilitata tramite Azure Arc e fatturata tramite la sottoscrizione di Azure. Altre informazioni sulle licenze con pagamento in base al consumo di Azure Arc.

Gestione di Windows Server abilitata da Azure Arc

Gestione di Windows Server abilitata da Azure Arc offre nuovi vantaggi ai clienti con licenze di Windows Server con licenze Software Assurance o Windows Server attive che sono licenze di sottoscrizione attive. Windows Server 2025 offre i vantaggi principali seguenti:

• Windows Admin Center in Azure Arc: Windows Admin Center è ora integrato con Azure Arc, consentendo di gestire le istanze di Windows Server dal portale di Azure Arc. Questa integrazione offre un'esperienza di gestione unificata per le istanze di Windows Server, sia che siano in esecuzione in locale, nel cloud o nei dispositivi perimetrali.

• Supporto remoto: offre ai clienti con supporto professionale la possibilità di concedere l'accesso JIT (Just-In-Time) con trascrizioni di esecuzione dettagliate e diritti di revoca.

• Valutazione delle procedure consigliate: raccolta e analisi dei dati del server per generare problemi e indicazioni sulla correzione e miglioramenti delle prestazioni.

• Configurazione di Azure Site Recovery: configurazione di Azure Site Recovery per garantire la continuità aziendale, offre resilienza di replica e dati per carichi di lavoro critici.

Per altre informazioni su Gestione di Windows Server abilitata da Azure Arc e sui vantaggi disponibili, vedere Gestione di Windows Server abilitata da Azure Arc.

SDN (Software Defined Networking)

SDN è un approccio alla rete che consente agli amministratori di rete di gestire i servizi di rete tramite l'astrazione di funzionalità di livello inferiore. SDN consente la separazione del piano di controllo di rete, responsabile della gestione della rete, dal piano dati, che gestisce il traffico effettivo. Questa separazione consente una maggiore flessibilità e programmabilità nella gestione della rete. SDN offre i vantaggi seguenti in Windows Server 2025:

• Il controller di rete, che è il piano di controllo per SDN, è ora ospitato direttamente come servizi del cluster di failover nei computer host fisici. L'uso di un ruolo del cluster elimina la necessità di distribuire le macchine virtuali, semplificando la distribuzione e la gestione mantenendo al tempo stesso le risorse.

• La segmentazione basata su tag consente agli amministratori di usare tag di servizio personalizzati per associare gruppi di sicurezza di rete (NSG) e macchine virtuali per il controllo di accesso. Anziché specificare intervalli IP, gli amministratori possono ora usare etichette semplici e autoesplicative per contrassegnare le macchine virtuali del carico di lavoro e applicare criteri di sicurezza basati su questi tag. I tag semplificano il processo di gestione della sicurezza di rete ed eliminano la necessità di ricordare e riscrizionare gli intervalli IP. Per altre informazioni, vedere Configurare i gruppi di sicurezza di rete con tag in Windows Admin Center.

• I criteri di rete predefiniti in Windows Server 2025 portano le opzioni di protezione simili ad Azure ai gruppi di sicurezza di rete per i carichi di lavoro distribuiti tramite Windows Admin Center. Il criterio predefinito nega tutto l'accesso in ingresso, consentendo l'apertura selettiva di porte in ingresso note consentendo l'accesso in uscita completo dalle macchine virtuali del carico di lavoro. I criteri di rete predefiniti assicurano che le macchine virtuali del carico di lavoro siano protette dal punto di creazione. Per altre informazioni, vedere Usare i criteri di accesso di rete predefiniti nelle macchine virtuali in Azure Stack HCI versione 23H2.

• Il multisito SDN offre connettività nativa di livello 2 e livello 3 tra le applicazioni in due posizioni senza componenti aggiuntivi. Questa funzionalità consente di spostare facilmente le applicazioni senza la necessità di riconfigurare l'applicazione o le reti. Offre anche una gestione unificata dei criteri di rete per i carichi di lavoro, assicurandosi che i criteri non debbano essere aggiornati quando una macchina virtuale del carico di lavoro passa da una posizione a un'altra. Per altre informazioni, vedere Che cos'è SDN multisito?.

• Le prestazioni dei gateway SDN di livello 3 sono migliorate, ottenendo una velocità effettiva più elevata e riducendo i cicli della CPU. Questi miglioramenti sono abilitati per impostazione predefinita. Gli utenti riscontrano automaticamente prestazioni migliori quando viene configurata una connessione gateway SDN livello 3 tramite PowerShell o Windows Admin Center.

Portabilità dei contenitori Windows

La portabilità è un aspetto fondamentale della gestione dei contenitori e ha la capacità di semplificare gli aggiornamenti applicando maggiore flessibilità e compatibilità dei contenitori in Windows. La portabilità è una funzionalità di Windows Server che consente agli utenti di spostare le immagini del contenitore e i dati associati tra host o ambienti diversi senza richiedere alcuna modifica. Gli utenti possono creare un'immagine del contenitore in un host e quindi distribuirla in un altro host senza doversi preoccupare dei problemi di compatibilità. Per altre informazioni, vedere Portabilità per i contenitori.

Programma Windows Server Insider

Il programma Windows Server Insider offre accesso anticipato alle versioni più recenti del sistema operativo Windows per una community di appassionati. In qualità di membro, puoi essere tra i primi a provare nuove idee e concetti che Microsoft sta sviluppando. Dopo la registrazione come membro, puoi acconsentire esplicitamente a partecipare a diversi canali di rilascio passando al Programma Windows Insider da Windows Update.

Vedi anche

• Discussioni della community di Windows Server Insiders