Windows Server 2025 の新機能
この記事では、セキュリティ、パフォーマンス、柔軟性を向上させる高度な機能を備える Windows Server 2025 の最新の開発について説明します。 より高速なストレージ オプションとハイブリッド クラウド環境と統合する機能により、インフラストラクチャの管理が効率化されました。 Windows Server 2025 は、先行の Windows Server の強力な基盤に基づいて構築され、ニーズに合わせてさまざまな革新的な機能強化が導入されています。
公式リリース前に Windows Server 2025 の最新機能を試したい場合は、 「Windows Server Insiders Preview の概要」を参照してください。
新機能
次の新機能は、デスクトップ エクスペリエンス搭載の Windows Server 固有の機能です。 オペレーティング システムを実行している物理デバイスと、すぐに使用できる適切なドライバーの両方が必要です。
高速ネットワーク
高速ネットワーク (AccelNet) を使用すると、Windows Server 2025 クラスターでホストされている仮想マシン (VM) の単一ルート I/O 仮想化 (SR-IOV) の管理が簡素化されます。 この機能では、高パフォーマンスの SR-IOV データ パスを使用して、待機時間、ジッター、および CPU 使用率を削減します。 AccelNet には、前提条件のチェック、ホスト構成、および VM のパフォーマンス設定を処理する管理レイヤーも含まれています。
[Active Directory ドメイン サービス]
Active Directory Domain Services (AD DS) と Active Directory Lightweight Domain Services (AD LDS) に行われた最新の機能強化では、ドメイン管理エクスペリエンスの最適化を目的とするさまざまな新機能が導入されています。
32k データベース ページ サイズのオプション機能 - AD では、8k データベース ページ サイズを使用する Windows 2000 の導入以降、拡張記憶域エンジン (E Standard Edition) データベースが使用されます。 8k アーキテクチャ設計の決定により、AD 全体に制限が生じ、 AD の最大制限のスケーラビリティに記載されています。 この制限の例としては、サイズが 8K バイトを超えることができない単一レコード AD オブジェクトがあります。 32k データベース ページ形式への移行により、複数値属性が最大 3200 個の値を保持できるようになりました。これは 2.6 倍に増加するなど、従来の制限によって影響を受ける領域が大幅に改善されました。
新しい DC は、64 ビット Long Value ID (LID) を使用し、以前のバージョンとの互換性を保つために「8k ページ モード」で実行される 32k ページ データベースとともにインストールできます。 アップグレードされた DC は、現在のデータベース形式と 8,000 ページを引き続き使用します。 32k データベース ページへの移行はフォレスト全体で行われ、フォレスト内のすべての DC に 32k ページ対応のデータベースが必要となります。
ADスキーマの更新 - AD スキーマを拡張する 3 つの新しいログ データベース ファイル (LDF)
sch89.ldf、sch90.ldf、sch91.ldfが導入されました。 AD LDS と同等のスキーマの更新がMS-ADAM-Upgrade3.ldfに含まれています。 以前のスキーマ更新の詳細については、 Windows Server AD スキーマの更新を参照してください.AD オブジェクトの修復- AD では、エンタープライズ管理者がコア属性 SamAccountType および ObjectCategoryが欠落しているオブジェクトを修復できるようになりました。 エンタープライズ管理者は、オブジェクトの LastLogonTimeStamp 属性を現在の時刻にリセットできます。 これらの操作は、 fixupObjectStateと呼ばれる、影響を受けるオブジェクトに対する新しい RootDSE 変更操作機能を通じて実現されます。
チャネル バインド監査のサポート - Lightweight Directory Access Protocol (LDAP) チャネル バインドに対して、イベント 3074 と 3075 を有効にできるようになりました。 チャネル バインド ポリシーをより安全な設定に変更すると、管理者は、チャネル バインドをサポートしていない、または失敗する環境内のデバイスを識別できます。 これらの監査イベントは、Windows Server 2022 以降でも KB4520412を介して使用できます。
DC 位置アルゴリズムの機能強化 - DC 検出アルゴリズムは、短い NetBIOS 形式のドメイン名から DNS 形式のドメイン名へのマッピングを改善する、新しい機能を提供します。 詳細については、「Active Directory DCロケーターの変更」を参照してください。
Note
Windows は、DC 検出操作中に mailslots を使用しません。マイクロソフトは、これらのレガシ テクノロジの WINS と mailslot の廃止を発表しています。
`フォレストとドメインの機能レベル - 新しい機能レベルは、一般的なサポートのために使用され、新しい 32K データベース ページ サイズ機能に必要です。 新しい機能レベルは、自動実行インストールの値
DomainLevel 10と、自動実行インストールの値ForestLevel 10にマップされます。 Microsoft には、Windows Server 2019 と Windows Server 2022 の機能レベルを新しく入れ替える予定はありません。 ドメイン コントローラー (DC) の自動昇格と降格を実行するには、「ドメイン コントローラーの自動昇格と降格に関する DCPROMO 応答ファイルの構文」を参照してください。DsGetDcName アプリケーション プログラミング インターフェイス (API) では、Windows Server 2025 を実行している DC の場所を有効にする新しいフラグ
DS_DIRECTORY_SERVICE_13_REQUIREDもサポートされています。 機能レベルの詳細については、次の記事を参照してください。Note
AD フォレストまたは AD LDS の新しい構成セットには、Windows Server 2016 以上の機能レベルを与える必要があります。 AD または AD LDS レプリカの昇格には、既存のドメインまたは構成セットが既に Windows Server 2016 以上の機能レベルで実行されていることが必要になります。
Microsoft はすべてのお客様に、次のリリースの準備として、AD サーバーと AD LDS サーバーを Windows Server 2022 にアップグレードする計画を今すぐ開始することを推奨しています。
名前/SID ルックアップのアルゴリズムの改善- マシン アカウント間のローカル セキュリティ機関 (LSA) 名と Sid ルックアップ転送では、従来の Netlogon セキュア チャネルが使用されなくなりました。 代わりに、Kerberos 認証と DC ロケーター アルゴリズムが使用されます。 従来のオペレーティング システムとの互換性を維持するために、フォールバック オプションとして Netlogon セキュア チャネルを使用することも可能です。
機密属性のセキュリティが強化されました - DC と AD LDS インスタンスでは、LDAP が接続の暗号化時にのみ、機密属性に関連する操作を追加、検索、および変更できます。
デフォルトのマシンアカウントパスワードのセキュリティの向上- AD は、ランダムに生成されたデフォルトのコンピューター アカウント パスワードを使用するようになりました。 Windows 2025 DC では、コンピューター アカウントのパスワードをコンピューター アカウント名の既定のパスワードに設定することがブロックされます。
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Optionsにある GPO 設定 ドメイン コントローラ: デフォルトのマシン アカウント パスワードの設定を拒否する を有効にすることで制御できます。
Active Directory 管理センター (ADAC)、Active Directory ユーザーとコンピューター (ADUC) などのユーティリティ
net computer、とdsmod新しい動作も尊重します。 ADAC と ADUC の両方で、2k 以前の Windows アカウントを作成できなくなりました。暗号化の俊敏性のための Kerberos PKINIT のサポート - Kerberos PKINIT (Kerberos Public Key Cryptography for Initial Authentication in Kerberos) プロトコルの実装が更新され、より多くのアルゴリズムをサポートし、ハードコーディングされたアルゴリズムを削除することで、暗号化の俊敏性が実現しました。
LAN Manager GPO設定 - GPO 設定 ネットワーク セキュリティ: [次回のパスワード変更時に LAN Manager ハッシュ値を保存しない] は存在しなくなり、新しいバージョンの Windows にも適用されなくなりました。
デフォルトの LDAP 暗号化 - Simple Authentication and Security Layer (SASL) バインド後のすべての LDAP クライアント通信は、既定で LDAP シーリングを利用します。 SASL の詳細については、 SASL 認証に関するページを参照してください。
TLS 1.3 の LDAP サポート - LDAP は最新の SCHANNEL 実装を使用して、TLS 接続上の LDAP で TLS 1.3 をサポートします。 TLS 1.3 を使用することで、廃止された暗号アルゴリズムが排除され、以前のバージョンよりもセキュリティが強化され、できるだけ多くのハンドシェイクの暗号化が目標とされています。 詳細については、 Windows Server 2022 の TLS/SSL (Schannel SSP) および TLS 暗号スイートのプロトコルに関するページを参照してください。
従来の SAM RPC パスワードの変更動作 - ドメイン ユーザーのパスワードを変更するには、Kerberos などの安全なプロトコルを使用することをお勧めします。 DC では、AES を使用した最新の SAM RPC パスワード変更メソッド SamrUnicodeChangePasswordUser4 がリモートで呼び出されると、既定で受け入れられます。 リモートで呼び出されたとき、次のレガシ SAM RPC がブロックされます。
保護対象ユーザー グループのメンバーであるドメイン ユーザー、およびドメイン メンバー コンピューターのローカル アカウントの場合、従来の SAM RPC インターフェイスを介したすべてのリモート パスワード変更は、
SamrUnicodeChangePasswordUser4を含め、既定でブロックされます。この動作は、次のグループ ポリシー オブジェクト (GPO) 設定を使用して制御できます。
コンピューターの構成 > 管理用テンプレート > システム > セキュリティ アカウント マネージャー > SAM の構成 パスワードの変更RPC メソッド ポリシー
NUMAのサポート - AD DS は、すべてのプロセッサ グループの CPU を利用することで、Non-Uniform Memory Access (NUMA) 対応ハードウェアを利用できるようになりました。 以前は、AD はグループ 0 の CPU のみを使用していました。 Active Directory は 64 コアを超えて拡張できます。
パフォーマンス カウンター - 次のカウンターのパフォーマンスの監視とトラブルシューティングを利用できるようになりました。
DC ロケーター - クライアントおよび DC 固有のカウンターを使用できます。
LSA Lookups - Name および SID は、 LsaLookupNames、 LsaLookupSids、および同等の API を介した検索。 これらのカウンターは、クライアント SKU とサーバー SKU の両方で使用できます。
LDAP クライアント - Windows Server 2022 以降で KB 5029250 更新プログラムを使用して使用できます。
レプリケーションの優先順位 - AD を使用すると、管理者は、特定のネーミング コンテキストの特定のレプリケーション パートナーでシステムが計算したレプリケーションの優先順位を高めることができるようになりました。 この機能により、特定のシナリオに対処するため、レプリケーション順位を今までより柔軟に構成できます。
Azure Arc
既定では、Azure Arc セットアップ オンデマンド機能がインストールされています。これにより、わかりやすいウィザード インターフェイスとシステム トレイ アイコンがタスク バーに用意され、Azure Arc にサーバーを追加するプロセスが容易になります。Azure Arc により Azure プラットフォームの機能が拡張され、多様な環境で動作するアプリケーションとサービスの作成が可能になります。 これには、データ センター、エッジ、マルチクラウド環境が含まれており、柔軟性が向上します。 詳細については、「Azure Arc セットアップを使用して Windows Server マシンを Azure に接続する」を参照してください。
ブロッククローンのサポート
Windows 11 24H2 および Windows Server 2025 以降では、Dev Drive でブロック クローン作成がサポートされるようになりました。 Dev Drive は ReFS ファイル システム形式を使用するため、ブロック クローンのサポートにより、ファイルのコピー時にパフォーマンスが大幅に向上します。 ブロック クローニングを使用すると、ファイル システムは、基盤となる物理データに対してコストのかかる読み取りおよび書き込み操作を実行するのではなく、低コストのメタデータ操作としてアプリケーションに代わってファイル バイトの範囲をコピーできます。 これにより、複数のファイルが同じ論理クラスターを共有できるようになり、ファイルのコピーがより速く完了し、基盤となるストレージへの I/O が削減され、ストレージ容量が向上します。 詳細については、「ReFS でのブロッククローン作成」を参照してください。
Bluetooth
Windows Server 2025 で Bluetooth を使用してマウス、キーボード、ヘッドセット、オーディオ デバイスなどを接続できるようになりました。
Credential Guard
Windows Server 2025 以降、要件を満たすデバイスでは Credential Guard が既定で有効になります。 Credential Guard の詳細については、「Credential Guard の構成」を参照してください。
デスクトップ シェル
初めてサインインすると、デスクトップ シェル エクスペリエンスは Windows 11 のスタイルと外観に準拠します。
委任された管理サービス アカウント
この新しい種類のアカウントにより、サービス アカウントから委任された管理サービス アカウント (dMSA) への移行が可能になります。 このアカウントの種類には、マネージド キーと完全ランダム化キーが付属しており、元のサービス アカウント パスワードを無効にしながら、アプリケーションの変更を最小限に抑えます。 詳細については、 委任された管理サービスアカウントの概要を参照してください。
Dev Drive
Dev Drive は、重要な開発者ワークロードのパフォーマンスを向上させることを目的としたストレージ ボリュームです。 Dev Drive は ReFS テクノロジーを活用し、特定のファイル システム最適化を組み込むことで、ストレージ ボリュームの設定とセキュリティをより細かく制御できます。 これには、信頼を指定し、ウイルス対策設定を構成し、添付されたフィルターに対する管理制御を実行する機能が含まれます。 詳細については、「Windows 11 で Dev Drive をセットアップする」を参照してください。
DTrace
Windows Server 2025 には、ネイティブ ツールとして dtrace が搭載されています。 DTrace は、ユーザーがシステム パフォーマンスをリアルタイムで監視およびトラブルシューティングできるコマンド ライン ユーティリティです。 DTrace を使用すると、ユーザーは、コード自体を変更することなく、カーネル コードとユーザー空間コードの両方を動的にインストルメント化できます。 この汎用性の高いツールは、集計、ヒストグラム、ユーザー レベルのイベントのトレースなど、さまざまなデータ収集と分析の手法をサポートします。 詳細については、「DTrace」でコマンド ライン ヘルプに関する情報を参照してください。その他の機能については、「Windows 上の DTrace」を参照してください。
電子メール & アカウント
Windows Server 2025 の 設定 > アカウント > 電子メール & アカウント で次のアカウントを追加できるようになりました。
- Microsoft Entra ID
- Microsoft アカウント
- 職場または学校アカウント
ほとんどの場合、ドメイン参加が必要であることにご注意ください。
フィードバック Hub
Windows Server 2025 の使用中に発生したフィードバックの送信または問題の報告は、Windows フィードバック Hub を使用して行えるようになりました。 問題が発生したプロセスのスクリーンショットや録画を添付していただくと、お客様の状況を理解し、Windows エクスペリエンスを向上させるための提案を共有することができます。 詳細については、 フィードバック Hubのページを参照してください。
ファイル圧縮
ビルド 26040 には、項目を圧縮するときに右クリックで実行する [圧縮] と呼ばれる新しい圧縮機能があります。 この機能では、 ZIP、 7z、 TAR の圧縮形式とそれぞれに固有の圧縮方法がサポートされています。
Hyper-V マネージャーは
ユーザーが Hyper-V マネージャーを使用して新しい VM を作成すると、 Generation 2 が New 仮想マシン ウィザードの既定のオプションとして設定されるようになりました。
ハイパーバイザーによって適用されるページング変換
ハイパーバイザーによって適用されるページング変換 (HVPT) は、線形アドレス変換の整合性を適用するためのセキュリティ強化です。 HVPT は、攻撃者が任意の値を任意の場所 (多くの場合、バッファー オーバーフローの結果として) 書き込む場所の攻撃から重要なシステム データを保護します。 HVPT は、重要なシステム データ構造を構成するページ テーブルを保護します。 HVPT には、ハイパーバイザーで保護されたコード整合性 (HVCI) で既に保護されているすべてが含まれています。 HVPT は、ハードウェア サポートが利用可能な既定で有効になっています。 WINDOWS Server が VM でゲストとして実行されている場合、HVPT は有効になりません。
Network ATC
ネットワーク ATC は、Windows Server 2025 クラスターのネットワーク構成の展開と管理を効率化します。 これは意図ベースのアプローチを利用します。ユーザーはネットワーク アダプターの管理、コンピューティング、ストレージなど、目的の意図を指定し、展開は目的の構成に基づいて自動化されます。 この方法により、ホスト ネットワークのデプロイに関連する時間、複雑さ、エラーが軽減され、クラスター全体の構成の一貫性が確保され、構成の誤差が排除されます。 詳細については、「 ネットワーク ATC を使用したホスト ネットワークのデプロイを参照してください。
NVMe
NVMe は、高速ソリッドステート ドライブ (SSD) の新しい標準です。 Windows Server 2025 の NVMe 最適化によりパフォーマンスが向上しています。これにより、IOPS を引き上げ、CPU 使用率を抑えることができます。
OpenSSH
以前のバージョンの Windows Server では、OpenSSH 接続ツールを使用する前に手動インストールが必要でした。 ビルド 26080 以降では、Windows Server 2025 に OpenSSH サーバー側コンポーネントが既定でインストールされます。 サーバー マネージャー UI には、 [リモート SSH アクセス] の下に、 sshd.exe サービスを有効または無効にするためのワンクリック オプションも含まれています。 また、 OpenSSH Users グループにユーザーを追加して、デバイスへのアクセスを許可または制限することもできます。 詳細については、「OpenSSH for Windows の概要」を参照してください。
ピン留めされたアプリ
最も使用されているアプリのピン留めは、 スタート メニューから行えるようになり、ニーズに合わせてカスタマイズできるようになりました。 ビルド 26085 の時点で、既定のピン留めされたアプリは次のとおりです。
- Azure Arc のセットアップ
- フィードバック Hub
- エクスプローラー
- Microsoft Edge
- サーバー マネージャー
- 設定
- ターミナル
- Windows PowerShell
リモート アクセス
既定で、新しい RRAS (Routing and Remote Access Services) のセットアップでは、PPTP プロトコルと L2TP プロトコルに基づく VPN 接続が受け入れられません。 その場合でも、必要に応じてこれらのプロトコルを有効にできます。 SSTP および IKEv2 ベースの VPN 接続は、変更なしで引き続き受け入れられます。
既存の構成はそのまま動作します。 たとえば、Windows Server 2019 を実行しており、PPTP 接続と L2TP 接続を受け入れている場合は、インプレース更新を使用して Windows Server 2025 に更新した後も、L2TP および PPTP ベースの接続は引き続き受け入れられます。 この変更は、Windows クライアント オペレーティング システムには影響しません。 PPTP と L2TP を再び有効にする方法の詳細については、「VPN プロトコルを構成する」を参照してください。
セキュリティで保護された証明書管理
Windows での証明書の検索または取得では、関数 CertFindCertificateInStore および CertGetCertificateContextProperty で説明されているように、SHA-256 ハッシュがサポートされるようになりました。 TLS サーバー認証は Windows 全体でより安全になり、求められる最小の RSA キー長が 2048 ビットになりました。 詳細については、TLS サーバー認証における弱い RSA 証明書の廃止に関するブログを参照してください。
セキュリティ ベースライン
カスタマイズされたセキュリティ ベースラインを実装することで、推奨されるセキュリティ態勢に基づいて、デバイスまたは VM ロールのセキュリティ対策を最初から確立できます。 このベースラインには、350 を超える事前構成済みの Windows セキュリティ設定が用意されています。これにより、Microsoft と業界標準で推奨されるベスト プラクティスに合わせて特定のセキュリティ設定を適用できます。 詳細については、「OSConfig の概要」を参照してください。
サーバー メッセージ ブロック
サーバー メッセージ ブロック (SMB) は、ネットワーク上のデバイス間でファイルなどのリソースを共有する信頼性の高い方法を提供することにより、ネットワークで最も広く使用されているプロトコルの 1 つです。 Windows Server 2025 では、次の SMB 機能を利用できます。
ビルド 26090 以降では、QUIC、署名、暗号化を無効にするための S MB (メガバイト) プロトコルの変更の別のセットが導入されました。
SMB over QUIC disablement
管理者は、グループ ポリシーと PowerShell を使用して QUIC クライアント経由で SMB を無効にすることができます。 グループ ポリシーを使用して SMB over QUIC を無効にするには、これらのパスの [SMB over QUIC ポリシーを有効にする] を [無効] に設定します。
Computer Configuration\Administrative Templates\Network\Lanman Workstation
Computer Configuration\Administrative Templates\Network\Lanman Server
PowerShell を使用して SMB over QUIC を無効にするには、管理者特権の PowerShell プロンプトで次のコマンドを実行します。
Set-SmbClientConfiguration -EnableSMBQUIC $falseSMB署名と暗号化の監査
管理者は、SMB サーバーとクライアントの監査を有効にして、SMB 署名と暗号化をサポートできます。 サードパーティ製のクライアントまたはサーバーで SMB暗号化または署名のサポートが不足している場合は、検出できます。 サードパーティ製のデバイスまたはソフトウェアが SMB 3.1.1 をサポートしているが、SMB 署名のサポートに失敗すると、 SMB 3.1.1 認証前整合性 プロトコルの要件に違反します。
グループ ポリシーまたは PowerShell を使用して、SMB 署名と暗号化の監査設定を構成できます。 これらのポリシーは、次のグループ ポリシー パスで変更できます。
Computer Configuration\管理istrative Templates\Network\Lanman Server\Audit クライアントは暗号化をサポートしていません
Computer Configuration\管理istrative Templates\Network\Lanman Server\Audit クライアントは署名をサポートしていません
Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit サーバーは暗号化をサポートしていません
Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit サーバーは署名をサポートしていません
PowerShell を使用してこれらの変更を実行するには、管理者特権のプロンプトで次のコマンドを実行します。ここで、
$trueはこれらの設定を有効$falseまたは無効にします。Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $trueこれらの変更のイベント ログは、指定されたイベント ID を持つ次のイベント視聴者パスに格納されます。
Path イベント ID Applications and Services Logs\Microsoft\Windows\SMBClient\Audit 31998
31999Applications and Services Logs\Microsoft\Windows\SMBServer\Audit 3021
3022SMB over QUIC 監査
SMB over QUIC クライアント接続監査では、QUIC トランスポートをイベント ビューアーに含めるためにイベント ログに書き込まれたイベントがキャプチャされます。 これらのログは、指定されたイベント ID を持つ次のパスに格納されます。
Path イベント ID Applications and Services Logs\Microsoft\Windows\SMBClient\Connectivity 30832 Applications and Services Logs\Microsoft\Windows\SMBServer\Connectivity 1913 SMB over QUIC サーバー機能が、Windows Server Standard バージョンと Windows Server Datacenter バージョンの両方で使用できるようになりました。 SMB over QUIC には、低遅延の暗号化された接続を提供するという QUIC のメリットが追加されています。
これまで、Windows の SMB サーバーでは IANA に登録されているポート TCP/445 を使用することを受信接続に要求し、SMB TCP クライアントでは同じ TCP ポートへの送信接続のみを許可していました。 現在、SMB over QUIC では、QUIC で義務付けられている UDP/443 ポートをサーバー デバイスとクライアント デバイスの両方で使用できる、 SMB 代替ポート を使用できます。 詳細については、 「代替 SMB ポートの構成」を参照してください。
SMB over QUIC に導入されるもう 1 つの機能は、 クライアント アクセスの制御です。これは、信頼されていないネットワーク経由でセキュア接続をエッジ ファイル サーバーに提供する TCP と RDMA の代替手段です。 詳細については、 「クライアント アクセス制御のしくみ」を参照してください。
以前は、共有が作成されると、関連するファイアウォール プロファイルに対して "ファイルとプリンターの共有" グループを有効にする SMB ファイアウォール規則 が自動的に構成されていました。 現在は、Windows で SMB 共有を作成すると、新しい "ファイルとプリンターの共有 (制限付き)" グループが自動的に構成されます。これにより、受信 NetBIOS ポート 137 から 139 が許可されなくなりました。 詳細については、 「更新したファイアウォール規則」を参照してください。
ビルド 25997 以降では、すべての送信 SMB クライアント接続に SMB 暗号化を適用する 更新が行われます。 この更新により、管理者は、すべての接続先サーバーが SMB 3.x と暗号化をサポートすることを義務付けることができます。 サーバーにこれらの機能がない場合、クライアントは接続を確立できません。
またビルド 25997 では、特定の期間内に実行できる認証試行回数を制限する SMB 認証レート制限機能が既定で有効になっています。 詳細については、 「SMB 認証レート制限機能のしくみ」を参照してください。
ビルド 25951 以降では、SMB クライアントはリモート送信接続の NTLM ブロック機能 をサポートしています。 これまで、Windows Simple and Protected GSSAPI Negotiation Mechanism (SPNEGO) では、Kerberos、NTLM、およびその他のメカニズムを接続先サーバーとネゴシエートして、サポートされるセキュリティ パッケージを決定していました。 詳細については、 「SMB で NTLM 接続をブロックする」を参照してください。
ビルド 25951 の新機能は、SMB サーバーが、最上位の言語にのみ一致する以前の動作と比較して、ネゴシエートする SMB 2 と SMB 3 の言語を制御できる Windows の SMB 言語管理機能 です。
ビルド 25931 以降では、すべての SMB 送信接続に対して既定で SMB 署名 が必要になりました。以前は、AD ドメイン コントローラー上で SYSVOL および NETLOGON という名前の共有に接続する場合にのみ必要とされていました。 詳しくは、「署名のしくみ」を参照してください。
Remote Mailslot プロトコルは、ビルド 25314 以降では既定で無効になっており、後のリリースで削除される可能性があります。 詳しくは、「開発の終了した機能」を参照してください。
SMB 圧縮では、XPRESS (LZ77)、XPRESS Huffman (LZ77+Huffman)、LZNT1、PATTERN_V1 に対する既存のサポートに加えて、業界標準の LZ4 圧縮アルゴリズムのサポートが追加されます。
ソフトウェア定義ネットワーク (SDN)
SDN は、ネットワーク管理者が下位レベルの機能を抽象化してネットワーク サービスを管理できるようにするネットワークへのアプローチです。 SDN を使用すると、ネットワークの管理を担当するネットワーク コントロール プレーンを、実際のトラフィックを処理するデータ プレーンから分離できます。 この分離により、ネットワーク管理における柔軟性とプログラミング性が向上します。 SDN には、Windows Server 2025 で次の利点があります。
SDN のコントロール プレーンであるネットワーク コントローラーは、物理ホスト マシン上のフェールオーバー クラスター サービスとして直接ホストされるようになりました。 これにより、VM をデプロイする必要がなくなり、リソースを節約しながらデプロイと管理が簡素化されます。
タグベースのセグメント化を使用すると、管理者はカスタム サービス タグを使用して、アクセス制御のためにネットワーク セキュリティ グループ (NSG) と VM を関連付けることができます。 管理者は、IP 範囲を指定する代わりに、シンプルでわかりやすいラベルを使用してワークロード VM にタグを付け、これらのタグに基づいてセキュリティ ポリシーを適用できるようになりました。 これにより、ネットワーク セキュリティを管理するプロセスが簡略化され、IP 範囲を記憶して再入力する必要がなくなります。 詳細については、「 Windows Admin Center でタグを使用してネットワーク セキュリティ グループを構成するを参照してください。
Windows Server 2025 の既定のネットワーク ポリシーでは、Windows Admin Center を介してデプロイされたワークロードの NSG に Azure に似た保護オプションが提供されます。 既定のポリシーでは、すべての受信アクセスが拒否され、ワークロード VM からの完全な送信アクセスを許可しながら、既知の受信ポートを選択的に開きます。 これにより、作成時点からワークロード VM がセキュリティで保護されます。 詳細については、「 Azure Stack HCI バージョン 23H2 の仮想マシンで既定のネットワーク アクセス ポリシーを使用するを参照してください。
SDN マルチサイトは、追加のコンポーネントを使用せずに、2 つの場所にまたがるアプリケーション間のネイティブレイヤー 2 とレイヤー 3 の接続を提供します。 この機能により、アプリケーションやネットワークを再構成する必要なく、アプリケーションをシームレスに移動できます。 また、ワークロードの統合されたネットワーク ポリシー管理が提供されるため、ワークロード VM がある場所から別の場所に移動したときにポリシーを更新する必要はありません。 詳細については、「SDN マルチサイトとは」を参照してください。
SDN レイヤー 3 ゲートウェイのパフォーマンスが向上し、スループットが向上し、CPU サイクルが減少しました。 これらの機能強化は、既定で有効になっています。 ユーザーは、PowerShell または Windows Admin Center を使用して SDN ゲートウェイレイヤー 3 接続を構成すると、パフォーマンスが自動的に向上します。
記憶域レプリカ拡張ログ
拡張ログは、記憶域レプリカ ログの実装に役立ち、ファイル システムの抽象化に関連するパフォーマンス コストを排除し、ブロック レプリケーションのパフォーマンスを向上させます。 詳細については、「記憶域レプリカ拡張ログ」を参照してください。
タスク マネージャ
ビルド 26040 は、Windows 11 のスタイルに準拠するマイカ素材を使用して、モダン タスク マネージャー アプリをサポートできるようになりました。
仮想化ベースのセキュリティ (VBS) エンクレーブ
VBS エンクレーブは、ホスト アプリケーションのアドレス空間内にあるソフトウェアベースの高信頼実行環境 (TEE) です。 VBS エンクレーブでは、ベースとなる VBS テクノロジ を使用してアプリケーションの機密性の高い部分をメモリのセキュリティで保護されたパーティションに分離します。 VBS エンクレーブを使用すると、機密性の高いワークロードをホスト アプリケーションとシステムの残りの部分の両方から分離できます。
VBS エンクレーブでは、管理者を信頼する必要性を排除し、悪意のある攻撃者に対する防御を強化することで、アプリケーションでシークレットを保護できます。 詳細については、 VBS エンクレーブ Win32 リファレンスを参照してください。
仮想化ベースのセキュリティ (VBS) のキー保護
VBS キー保護を使用すると、Windows 開発者は仮想化ベースのセキュリティ (VBS) を使用して暗号化キーをセキュリティで保護できます。 VBS では、CPU の仮想化拡張機能を使用して、通常の OS の外部に分離されたランタイムを作成します。 使用する場合、VBS キーはセキュリティで保護されたプロセス内に分離されるため、このスペースの外部で秘密キー マテリアルを公開することなくキー操作を実行できます。 保存時には、秘密キー マテリアルは TPM キーによって暗号化され、VBS キーがデバイスにバインドされます。 この方法で保護されたキーをプロセス メモリからダンプしたり、ユーザーのコンピューターからプレーン テキストでエクスポートしたりすることはできません。そのため、管理者レベルの攻撃者によるデータ流出攻撃を防ぐことができます。 キー保護を使用するには、VBS を有効にする必要があります。 VBS を有効にする方法については、「メモリの整合性の有効化」をご覧ください。
Wi-Fi
ワイヤレス LAN サービス機能が既定でインストールされるようになったため、ワイヤレス機能を簡単に有効化できるようになりました。 ワイヤレス スタートアップ サービスは手動に設定されており、コマンド プロンプト、Windows ターミナル、または PowerShell で net start wlansvc を実行することによって有効化できます。
Windows コンテナーの移植性
移植性はコンテナー管理の重要な側面であり、Windows でコンテナーの柔軟性と互換性を強化することでアップグレードを簡略化する機能を備えます。 移植性は、コンテナー ホストの Windows Server 年間チャネルの機能です。これにより、ユーザーは、変更を必要とせずに、異なるホストまたは環境間でコンテナー イメージとそれに関連するデータを移動できます。 ユーザーは、互換性の問題を気にすることなく、1 つのホストにコンテナー イメージを作成し、別のホストにデプロイできます。 詳細については、「コンテナーの移植性」を参照してください。
Windows Insider Program
Windows Insider Program では、参加者のコミュニティ向けに最新の Windows OS リリースへの早期アクセスを提供します。 メンバーとして、マイクロソフトが開発している新しいアイデアや概念をいち早く試すことができます。 メンバーとして登録した後は、 [スタート] > [設定] > [Windows Update] > [Windows Insider Program] に移動して、さまざまなリリース チャネルに参加できます。
Windows ローカル管理者パスワード ソリューション (LAPS)
Windows LAPS は、組織が自分のドメインに参加しているコンピューターでローカル管理者のパスワードを管理するのに役立ちます。 Windows LAPS により、各コンピューターのローカル管理者アカウントに対して一意のパスワードが自動的に生成され、AD に安全に保存され、定期的に更新されます。 これにより、侵害されたパスワードや推測しやすいパスワードを攻撃者が使用して機密性の高いシステムにアクセスするリスクを軽減することで、セキュリティを向上させることができます。
Microsoft LAPS には、次のような改善を実現する機能が導入されています。
新しい自動アカウント管理機能
最新の更新プログラムを使用すると、IT 管理者はマネージド ローカル アカウントを簡単に作成できます。 この機能を使用すると、アカウント名をカスタマイズしたり、アカウントを有効または無効にしたり、アカウント名をランダム化してセキュリティを強化したりできます。 さらに、この更新プログラムでは、Microsoft の既存のローカル アカウント管理ポリシーとの統合が強化されています。 この機能の詳細については、 Windows LAPS アカウント管理モードに関するページを参照してください。
新しい画像ロールバック検出機能
Windows LAPS は、イメージのロールバックが発生したときにそれを検出するようになりました。 ロールバックが行われると、AD に格納されているパスワードが、デバイスにローカルに格納されているパスワードと一致しなくなる場合があります。 ロールバックにより、永続化された Windows LAPS パスワードを使用して IT 管理者がデバイスにサインインできない "破損状態" が発生する可能性があります。
この問題に対処するために、 msLAPS-CurrentPasswordVersionという AD 属性を含む新しい機能が追加されました。 この属性には、新しいパスワードが AD に永続化され、ローカルに保存されるたびに、Windows LAPS によって書き込まれたランダムな GUID が含まれます。 すべての処理サイクル中に、 msLAPS-CurrentPasswordVersion に保存された GUID が照会され、ローカルに永続化されたコピーと比較されます。 それらが異なる場合、パスワードはすぐにローテーションされます。
この機能を有効にするには、最新バージョンの
Update-LapsADSchemaコマンドレットを実行する必要があります。 完了すると、Windows LAPS は新しい属性を認識し、その使用を開始します。 更新されたバージョンのUpdate-LapsADSchemaコマンドレットを実行しない場合、Windows LAPS はイベント ログに 10108 警告イベントを記録しますが、他のすべての点で正常に機能し続けます。この機能を有効化または構成するためにポリシー設定は使用されません。 この機能は、新しいスキーマ属性が追加されると常に有効になります。
新しいパスフレーズ機能
IT 管理者は Windows LAPS の新機能を利用できるようになりました。これにより、複雑でないパスフレーズの生成が可能になります。 例としては EatYummyCaramelCandy などのパスフレーズが挙げられます。これは V3r_b4tim#963? のような従来のパスワードと比較して、読みやすく、覚えやすく、入力しやすいものです。
この新機能では、 PasswordComplexity ポリシー設定を構成して、3 つの異なるパスフレーズ ワード リストのいずれかを選択することもできます。これらのリストはすべて、個別のダウンロードを必要とせずに Windows に含まれています。 PassphraseLength という新しいポリシー設定は、パスフレーズで使用される単語の数を制御します。
パスフレーズを作成すると、選択した単語リストから指定した単語数がランダムに選択され、連結されます。 各単語の最初の文字は、読みやすくするために大文字になります。 この機能では、Windows Server AD または Microsoft Entra ID へのパスワードのバックアップも完全にサポートされています。
3 つの新しい PasswordComplexity パスフレーズ設定で使用されるパスフレーズ ワード リストは、Electronic Frontier Foundation の記事「Deep Dive: EFF'S New Wordlists for Random Passphrases」から引用したものです。 Windows LAPS パスフレーズ Word リスト は CC-BY-3.0 属性ライセンスの下でライセンスされており、ダウンロードできます。
Note
Windows LAPS では、組み込みの単語リストのカスタマイズや、顧客が構成した単語リストの使用はできません。
読みやすさの向上したパスワード ディクショナリ
Windows LAPS では、IT 管理者が複雑でないパスワードを作成できる新しい PasswordComplexity 設定が導入されています。 この機能を使用すると、LAPS をカスタマイズして、既存の複雑さ設定の 4 と同様に、4 つの文字カテゴリ (大文字、小文字、数字、特殊文字) をすべて使用できます。 ただし、新しい設定である 5 を使用した場合、パスワードの読みやすさを高め、混乱を最小限に抑えるために、複雑な文字が除外されます。 たとえば、数字 "1" と文字 "I" は、新しい設定では使用されません。
PasswordComplexity を 5 に構成すると、既定のパスワード ディクショナリ文字セットに次の変更が加えられます。
- 'I'、'O'、'Q'、'l'、'o' の文字は使用しない。
- '0'、'1' の数値を使用しない。
- 特殊文字、 ',', '.', '&', '{', '}', '[', ']', '(', ')', ';'を使用しない。
- ':'、'='、'?'、'*' の "特殊文字" の使用を開始する。
Active Directory ユーザーとコンピューター スナップイン (Microsoft 管理コンソール経由) の Windows LAPS タブが強化されました。Windows LAPS パスワードが新しいフォントで表示され、プレーン テキストで表示される際の読みやすさが向上しました。
個々のプロセスを終了するための PostAuthenticationAction のサポート
新しいオプションが、PostAuthenticationActions (PAA) グループ ポリシー設定に追加されました。"パスワードのリセット、マネージド アカウントのサインアウト、および残存プロセスの終了" で、 コンピューターの構成 > 管理テンプレート > システム > LAPS > 認証後アクションにあります。
この新しいオプションは、以前の "パスワードをリセットしてマネージド アカウントをサインアウトする" オプションの拡張機能です。 構成が完了すると、PAA は対話型サインイン セッションを通知して終了します。 Windows LAPS で管理されているローカル アカウント ID でまだ実行されている、残存プロセスを列挙して終了します。 この終了の前に通知がないことに注意してください。
さらに、認証後のアクションの実行中にイベント記録が拡張され、操作に関するより深い分析情報が得られます。
Windows LAPS の詳細については、「Windows LAPS とは」を参照してください。
Windows ターミナル
このビルドでは、コマンド ライン ユーザー向けの強力かつ効率的なマルチシェル アプリケーションである Windows ターミナル を使用できます。 検索バーで "ターミナル" を検索します。
Winget
Winget は既定でインストールされ、Windows デバイスにアプリケーションをインストールするための包括的なパッケージ マネージャー ソリューションを提供するコマンド ライン Windows パッケージ マネージャー ツールです。 詳細については、「winget ツールを使用したアプリケーションのインストールと管理」を参照してください。
高速ネットワーク
高速ネットワークにより、Windows Server 2025 クラスターでホストされている仮想マシンの単一ルート I/O 仮想化 (SR-IOV) の管理が簡素化されます。 この機能では、高パフォーマンスの SR-IOV データ パスを使用して、待機時間、ジッター、および CPU 使用率を削減します。 高速ネットワークでは、前提条件のチェック、ホスト構成、VM のパフォーマンス設定を処理する管理レイヤーも追加されます。