Novidades no Windows Server 2025
Este artigo descreve alguns dos desenvolvimentos mais recentes no Windows Server 2025, que possui recursos avançados que melhoram a segurança, o desempenho e a flexibilidade. Com opções de armazenamento mais rápidas e a capacidade de integração com ambientes de nuvem híbrida, o gerenciamento de sua infraestrutura agora é mais simplificado. O Windows Server 2025 baseia-se na base sólida de seu antecessor e, ao mesmo tempo, apresenta uma série de aprimoramentos inovadores para se adaptar às suas necessidades.
Se você estiver interessado em experimentar os recursos mais recentes do Windows Server 2025 antes do lançamento oficial, consulte Introdução a Windows Server Insiders Preview.
Novidades
Os novos recursos a seguir são específicos apenas para o Windows Server com Experiência Desktop. É necessário ter os dispositivos físicos que executam o sistema operacional e os drivers corretos prontamente disponíveis.
Rede Acelerada
A Rede Acelerada (AccelNet) simplifica o gerenciamento da virtualização de E/S de raiz única (SR-IOV) para máquinas virtuais (VM) hospedadas em clusters do Windows Server 2025. Esse recurso usa o caminho de dados SR-IOV de alto desempenho para reduzir a latência, o jitter e a utilização da CPU. O AccelNet também inclui uma camada de gerenciamento que lida com a verificação de pré-requisitos, a configuração do host e as configurações de desempenho da VM. Para saber mais, consulte Rede acelerada na borda (versão prévia).
Active Directory Domain Services
Os aprimoramentos mais recentes dos Serviços de Domínio Active Directory (AD DS) e dos Serviços de Domínio Active Directory (AD LDS) introduzem uma série de novas funcionalidades e recursos destinados a otimizar sua experiência de gerenciamento de domínio:
Recurso opcional de tamanho de página de banco de dados de 32k: o AD usa um banco de dados ESE (Mecanismo de Armazenamento Extensível) desde sua introdução no Windows 2000 que usa um tamanho de página de banco de dados de 8k. A decisão de design de arquitetura de 8k resultou em limitações em todo o AD que estão documentadas na Escalabilidade de Limites Máximos do AD. Um exemplo dessa limitação é um único objeto AD de registro, que não pode superar 8k bytes de tamanho. Mover para um formato de página de banco de dados 32k traz uma grande melhoria em áreas afetadas por restrições herdadas, incluindo atributos de vários valores agora são capazes de manter até ~3200 valores, o que é um aumento por um fator de 2,6.
Novos DCs podem ser instalados com um banco de dados de página de 32k que usa LIDs (Long Value IDs) de 64 bits e é executado em "modo de página de 8k" para ter compatibilidade com versões anteriores. Um DC atualizado continua usando seu formato de banco de dados atual e 8k páginas. A migração para páginas de banco de dados de 32k é feita em toda a floresta e exige que todos os DCs na floresta tenham um banco de dados com capacidade para páginas de 32k.
Atualizações de esquema do AD - Três novos Arquivos de Banco de Dados de Log (LDF), que estendem o esquema, são introduzidos
sch89.ldf
,sch90.ldf
esch91.ldf
. As atualizações de esquema equivalentes para o AD LDS estão noMS-ADAM-Upgrade3.ldf
. Para saber mais sobre as atualizações de esquema anteriores, consulte Atualizações de esquema do Windows Server ADReparo de objeto do AD - Agora o AD permite que os administradores corporativos reparem objetos com os atributos essenciais SamAccountType e ObjectCategory ausentes. Os administradores corporativos podem redefinir o atributo LastLogonTimeStamp em um objeto para a hora atual. Essas operações são obtidas por meio de um novo recurso de operação de modificação RootDSE no objeto afetado chamado fixupObjectState.
Suporte para auditoria de vinculação de canais: os eventos 3074 e 3075 agora podem ser habilitados para vinculação de canal do protocolo LDAP. Quando a política de associação de canal é modificada para uma configuração mais segura, um administrador pode identificar dispositivos no ambiente que não dão suporte ou falham na associação de canal. Esses eventos de auditoria também estão disponíveis no Windows Server 2022 e superior via KB4520412.
Melhorias no algoritmo de localização DC: o algoritmo de descoberta de DC fornece nova funcionalidade com melhorias no mapeamento de nomes de domínio curtos no estilo NetBIOS para nomes de domínio no estilo DNS. Para saber mais, consulte Alterações no localizador de DC do Active Directory.
Observação
O Windows não usa mailslots durante operações de descoberta de DC, pois a Microsoft anunciou a substituição de WINS e mailslots para estas tecnologias herdadas.
Níveis funcionais de floresta e domínio: o novo nível funcional é usado para suporte geral e é necessário para o novo recurso de tamanho de página do banco de dados de 32K. O novo nível funcional é mapeado para o valor de
DomainLevel 10
eForestLevel 10
para as instalações autônomas. A Microsoft não tem planos de modernizar os níveis funcionais para o Windows Server 2019 e o Windows Server 2022. Para conduzir uma promoção autônoma e um rebaixamento de um controlador de domínio (DC), consulte Sintaxe do arquivo de resposta DCPROMO para promoção autônoma e rebaixamento de controladores de domínio.A Interface de programação de aplicativo (API) DsGetDcName também oferece suporte a um novo sinalizador
DS_DIRECTORY_SERVICE_13_REQUIRED
que permite a localização de DCs que executam o Windows Server 2025. Para saber mais sobre os níveis funcionais confira os artigos a seguir:Observação
Novos conjuntos de configuração do AD LDS ou de florestas do AD são necessários para ter um nível funcional do Windows Server 2016 ou superior. A promoção de uma réplica do AD ou do AD LDS requer que o conjunto de configurações ou domínios existentes já estejam em execução com um nível funcional do Windows Server 2016 ou superior.
A Microsoft recomenda que todos os clientes comecem a planejar agora o upgrade de seus servidores do AD e AD LDS para o Windows Server 2022 como uma preparação para a próxima versão.
Algoritmos aprimorados para Pesquisas de nome/Sid - Encaminhamento de Pesquisa de Nome da Autoridade de Segurança Local (LSA) e de Sid entre contas de máquina não usa mais o canal seguro Netlogon herdado. A autenticação Kerberos e o algoritmo DC Locator são usados em vez disso. Para manter a compatibilidade com os sistemas operacionais herdados, ainda é possível usar o canal seguro Netlogon como uma opção de fallback.
Segurança aprimorada para atributos confidenciais - DCs e instâncias do AD LDS só permitem que o LDAP adicione, pesquise e modifique operações envolvendo atributos confidenciais quando a conexão é criptografada.
Segurança aprimorada para senhas de conta de computador padrão - Agora o AD usa senhas de conta de computador padrão geradas de forma aleatória. Os controladores de domínio do Windows 2025 bloqueiam a configuração de senhas de conta de computador como a senha padrão do nome da conta de computador.
Esse comportamento pode ser controlado habilitando-se a configuração de GPO Controlador de domínio: Recusar a configuração de senha de conta de computador padrão localizada em: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Utilitários como o ADAC (Active Directory Administrative Center), o ADUC (Active Directory Users and Computers)
net computer
edsmod
também respeitam esse novo comportamento. Tanto o ADAC como o ADUC não permitem mais a criação de uma conta do Windows antes do 2000.Suporte a Kerberos PKINIT para agilidade criptográfica: a implementação do protocolo PKINIT (Criptografia por Chave Pública para Autenticação Inicial no Kerberos) foi atualizada para permitir agilidade criptográfica, dando suporte a mais algoritmos e removendo algoritmos codificados.
Configuração de GPO do LAN Manager: a configuração do GPO Segurança de rede: não armazenar o valor hash do LAN Manager na próxima alteração de senha não está mais presente nem se aplica a novas versões do Windows.
Criptografia LDAP por padrão: toda a comunicação do cliente LDAP após uma vinculação SASL (Simple Authentication and Security Layer) usa a validação LDAP por padrão. Para saber mais sobre SASL, confira AutenticaçãoSASL.
Suporte LDAP para TLS 1.3: o LDAP usa a implementação SCHANNEL mais recente e tem suporte para TLS 1.3 para vinculações LDAP sobre TLS. O uso de TLS 1.3 elimina algoritmos criptográficos obsoletos, aprimora a segurança se comparado a versões mais antigas e tem como objetivo criptografar o máximo possível do handshake. Para saber mais, consulte Protocolos no TLS/SSL (SSP Schannel) e TLS Cipher Suites no Windows Server 2022.
Comportamento de alteração de senha herdada do SAM RPC: protocolos seguros como Kerberos são a forma preferida de trocar senhas de usuários de domínio. Em DCs, o método mais recente de alteração de senha SAM RPC SamrUnicodeChangePasswordUser4 usando AES é aceito por padrão quando chamado remotamente. Os seguintes métodos herdados do SAM RPC são bloqueados por padrão quando chamados remotamente:
Para usuários de domínio que são membros do Grupo de usuários protegidos e para contas locais em computadores membros do domínio, todas as alterações de senha remotas por meio da interface herdada do SAM RPC são bloqueadas por padrão, incluindo
SamrUnicodeChangePasswordUser4
.Esse comportamento pode ser controlado usando a seguinte configuração de GPO (Política de Grupo):
Configuração do Computador > Modelos Administrativos > Sistema > Gerenciador de Contas de Segurança > Configurar a política de métodos RPC de alteração de senha do SAM
Suporte a NUMA: o AD DS agora aproveita o hardware compatível com Acesso de memória não uniforme (NUMA) utilizando CPUs em todos os grupos de processadores. Anteriormente, o AD só usava CPUs no grupo 0. O Active Directory pode se expandir para mais de 64 núcleos.
Contadores de desempenho: o monitoramento e a solução de problemas de performance dos seguintes contadores agora estão disponíveis:
Localizador de Controladores de Domínio: contadores específicos para clientes e DC disponíveis.
Pesquisas LSA - Nome e pesquisas de SID através de LsaLookupNames, LsaLookupSids e APIs equivalentes. Esses contadores estão disponíveis nas SKUs de cliente e servidor.
Cliente LDAP: disponível no Windows Server 2022 e posterior via atualização do KB 5029250.
Ordem de prioridade de replicação: o AD agora permite que os administradores aumentem a prioridade de replicação calculada do sistema com um parceiro de replicação específico para um contexto de nomenclatura específico. Esse recurso permite mais flexibilidade para configurar a ordem de replicação e solucionar situações específicas.
Azure Arc
Por padrão, o Recurso Sob Demanda de configuração do Azure Arc é instalado, oferecendo uma interface de assistente amigável e um ícone da bandeja do sistema na barra de tarefas para facilitar o processo de adição de servidores ao Azure Arc. O Azure Arc estende os recursos da plataforma Azure, permitindo a criação de aplicativos e serviços que podem operar em diversos ambientes. Isso inclui data centers, borda, ambientes multicloud e oferecem maior flexibilidade. Para saber mais, consulte Conectar computadores do Windows Server ao Azure por meio da Instalação do Azure Arc.
Suporte à clonagem de blocos
A partir do Windows 11 24H2 e do Windows Server 2025, o Dev Drive agora oferece suporte à clonagem de blocos. Como o Dev Drive usa o formato de sistema de arquivos ReFS, o suporte à clonagem de blocos oferece benefícios significativos de desempenho ao copiar arquivos. Com a clonagem de blocos, o sistema de arquivos pode copiar um intervalo de bytes de arquivo em nome de um aplicativo como uma operação de metadados de baixo custo, em vez de executar operações caras de leitura e gravação nos dados físicos subjacentes. Isso resulta em conclusão mais rápida da cópia de arquivos, E/S reduzida para o armazenamento subjacente e capacidade de armazenamento aprimorada, permitindo que vários arquivos compartilhem os mesmos clusters lógicos. Para saber mais, consulte Clonagem de blocos no ReFS.
Bluetooth
Agora você pode conectar mouses, teclados, fones de ouvido, dispositivos de áudio e muito mais via bluetooth no Windows Server 2025.
Credential Guard
A partir do Windows Server 2025, o Credential Guard agora está habilitado por padrão nos dispositivos que atendem aos requisitos. Para obter mais informações sobre o Credential Guard, consulte Configurar Credential Guard.
Shell da área de trabalho
Quando você entra pela primeira vez, a experiência do shell da área de trabalho está em conformidade com o estilo e a aparência do Windows 11.
Conta de Serviço Gerenciado Delegado
Esse novo tipo de conta permite a migração de uma conta de serviço para uma conta de serviço gerenciado delegada (dMSA). Esse tipo de conta vem com chaves gerenciadas e totalmente aleatórias, garantindo alterações mínimas no aplicativo enquanto desabilita as senhas originais da conta de serviço. Para saber mais, consulte Visão geral de contas de serviço gerenciado delegado.
Dev Drive
O Dev Drive é um volume de armazenamento que visa melhorar o desempenho de cargas de trabalho cruciais do desenvolvedor. O Dev Drive utiliza a tecnologia ReFS e incorpora otimizações específicas do sistema de arquivos para oferecer maior controle sobre as configurações e a segurança do volume de armazenamento. Isso inclui a capacidade de designar confiança, definir configurações de antivírus e exercer controle administrativo sobre os filtros anexados. Para saber mais, consulte Configurar um Dev Drive no Windows 11.
DTrace
O Windows Server 2025 vem equipado com o dtrace
como uma ferramenta nativa. O DTrace é um utilitário de linha de comando que permite aos usuários monitorar e solucionar problemas de desempenho do sistema em tempo real. O DTrace permite que os usuários instrumentem dinamicamente o código do kernel e do espaço do usuário sem qualquer necessidade de modificar o próprio código. Essa ferramenta versátil oferece suporte a uma variedade de técnicas de coleta e análise de dados, como agregações, histogramas e rastreamento de eventos no nível do usuário. Para saber mais, consulte DTrace para obter ajuda sobre a linha de comando e DTrace no Windows para obter recursos adicionais.
Email e contas
Agora você pode adicionar as seguintes contas em Configurações > Contas > Email e contas para o Windows Server 2025:
- ID do Microsoft Entra
- Conta da Microsoft
- Conta corporativa ou de estudante
É importante ter em mente que a associação de domínio ainda é necessária para a maioria das situações.
Hub de Feedback
O envio de comentários ou o relatório de problemas encontrados durante o uso do Windows Server 2025 agora podem ser feitos usando o Hub de Comentários do Windows. Você pode incluir capturas de tela ou gravações do processo que causou o problema para nos ajudar a entender sua situação e compartilhar sugestões para melhorar sua experiência com o Windows. Para saber mais, consulte Explorar o Hub de Comentários.
Compactação de arquivos
A build 26040 tem um novo recurso de compactação ao compactar um item executando um clique com o botão direito do mouse chamado Compactar para. Esse recurso suporta formatos de compactação ZIP, 7z e TAR com métodos de compactação específicos para cada um.
Gerenciador do Hyper-V
Quando os usuários criam uma nova VM por meio do Gerenciador do Hyper-V, a Geração 2 agora é definida como a opção padrão no Assistente para Nova Máquina Virtual.
Tradução de paginação imposta por hipervisor
A HVPT (conversão de paginação imposta pelo hipervisor) é um aprimoramento de segurança para impor a integridade das traduções de endereços lineares. O HVPT protege os dados críticos do sistema contra ataques de gravação em que o invasor grava um valor arbitrário em um local arbitrário, geralmente como resultado de um estouro de buffer. O HVPT protege tabelas de páginas que configuram estruturas de dados críticas do sistema. O HVPT inclui tudo o que já está protegido com a integridade de código protegida por hipervisor (HVCI). O HVPT é habilitado por padrão onde o suporte de hardware está disponível. O HVPT não é habilitado quando o Windows Server é executado como convidado em uma VM.
Network ATC
A ATC de Rede simplifica a implantação e o gerenciamento de configurações de rede para clusters do Windows Server 2025. Ele utiliza uma abordagem baseada em intenção, em que os usuários especificam suas intenções desejadas, como gerenciamento, computação ou armazenamento para um adaptador de rede, e a implantação é automatizada com base na configuração pretendida. Essa abordagem reduz o tempo, a complexidade e os erros associados à implantação da rede do host, garante a consistência da configuração em todo o cluster e elimina o desvio de configuração. Para saber mais, consulte Implantar a rede de host com a ATC de Rede.
NVMe
NVMe é um novo padrão para SSDs (unidades de estado sólido) rápidas. Experimente a otimização do NVMe no Windows Server 2025 com desempenho aprimorado, resultando em um aumento de IOPS e diminuição da utilização da CPU.
OpenSSH
Em versões anteriores do Windows Server, a ferramenta de conectividade OpenSSH exigia uma instalação manual antes do uso. Começando com a build 26080, o componente do lado do servidor OpenSSH é instalado por padrão no Windows Server 2025. A interface do usuário do Gerenciador do Servidor também inclui uma opção de um clique em Acesso SSH Remoto que habilita ou desabilita o serviço sshd.exe
. Além disso, você pode adicionar usuários ao grupo Usuários do OpenSSH para permitir ou restringir o acesso aos seus dispositivos. Para saber mais, consulte Visão geral do OpenSSH para Windows.
Aplicativos fixados
A fixação das suas aplicações mais utilizadas está agora disponível através do menu Iniciar e pode ser personalizada para atender às suas necessidades. A partir da build 26085, os aplicativos fixos padrão atualmente são:
- Configuração do Azure Arc
- Hub de Feedback
- Explorador de Arquivos
- Microsoft Edge
- Gerenciador do Servidor
- Configurações
- Terminal
- Windows PowerShell
Acesso remoto
Por padrão, as novas configurações dos Serviços de Roteamento e Acesso Remoto (RRAS) não aceitam conexões VPN baseadas nos protocolos PPTP e L2TP. Se necessário, você ainda poderá habilitar esses protocolos. As conexões VPN baseadas em SSTP e IKEv2 ainda são aceitas sem qualquer alteração.
As configurações existentes mantêm seu comportamento. Por exemplo, se você estiver executando o Windows Server 2019 e aceitar conexões PPTP e L2TP, após a atualização para o Windows Server 2025 usando uma atualização in-loco, as conexões baseadas em L2TP e PPTP ainda serão aceitas. Essa alteração não afeta os sistemas operacionais de clientes do Windows. Para saber mais sobre como reabilitar PPTP e L2TP, consulte Configurar protocolos VPN.
Gerenciamento seguro de certificado
A pesquisa ou recuperação de certificados no Windows agora oferece suporte a hashes SHA-256, conforme descrito nas funções CertFindCertificateInStore e CertGetCertificateContextProperty. A autenticação do servidor TLS é mais segura no Windows, e agora exige um comprimento mínimo da chave RSA de 2048 bits. Para obter mais informações, leia Autenticação de servidor TLS: desativação de certificados RSA fracos.
Linha de base de segurança
Ao implementar uma linha de base de segurança personalizada, você pode estabelecer medidas de segurança desde o início para seu dispositivo ou função VM com base na postura de segurança recomendada. Essa linha de base vem equipada com mais de 350 configurações de segurança do Windows pré-configuradas que habilitam aplicar e impor configurações de segurança específicas que se alinham com as práticas recomendadas pelos padrões da Microsoft e do setor. Para saber mais, consulte Visão geral do OSConfig.
Protocolo SMB
O SMB (Server Message Block) é um dos protocolos mais utilizados em rede, que fornece uma maneira confiável de compartilhar arquivos e outros recursos entre dispositivos em sua rede. O Windows Server 2025 traz os seguintes recursos de SMB.
A partir da build 26090, outro conjunto de alterações no protocolo SMB é introduzido para desabilitar o QUIC, a assinatura e a criptografia.
Desativação usando SMB por QUIC
Os administradores podem desabilitar o cliente SMB por QUIC usando Política de Grupo e o PowerShell. Para desabilitar o SMB por QUIC usando a Política de Grupo, defina a política Habilitar SMB por QUIC nesses caminhos como Desabilitada.
Computer Configuration\Administrative Templates\Network\Lanman Workstation
Computer Configuration\Administrative Templates\Network\Lanman Server
Para desabilitar o SMB por QUIC usando o PowerShell, execute este comando em um prompt elevado do PowerShell:
Set-SmbClientConfiguration -EnableSMBQUIC $false
Assinatura SMB e auditoria de criptografia
Os administradores podem habilitar a auditoria do servidor e cliente SMB para oferecer suporte à assinatura e criptografia SMB. Se um cliente ou servidor de terceiros não tiver suporte para criptografia ou assinatura SMB, ele poderá ser detectado. Quando o dispositivo ou software de terceiros afirma que oferece suporte ao SMB 3.1.1, mas não oferece suporte à assinatura SMB, ele viola o requisito do protocolo de integridade de pré-autenticação do SMB 3.1.1.
Você pode definir as configurações de auditoria de assinatura e criptografia SMB usando a Política de Grupo ou o PowerShell. Essas políticas podem ser alteradas nos seguintes caminhos de Política de Grupo:
O cliente Computer Configuration\Administrative Templates\Network\Lanman Server\Audit não oferece suporte à criptografia
O cliente Computer Configuration\Administrative Templates\Network\Lanman Server\Audit não oferece suporte à assinatura
O servidor Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit não oferece suporte à criptografia
O servidor Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit não oferece suporte à assinatura
Para executar essas alterações usando o PowerShell, execute esses comandos em um prompt elevado onde
$true
é para habilitar e$false
para desabilitar essas configurações:Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true
Os logs de eventos para essas alterações são armazenados nos seguintes caminhos do Visualizador de Eventos com sua ID de Evento fornecida.
Caminho ID do evento Logs de serviços e aplicativos\Microsoft\Windows\SMBClient\Audit 31998
31999Logs de serviços e aplicativos\Microsoft\Windows\SMBServer\Audit 3021
3022Auditoria de SMB por QUIC
A auditoria de conexão de cliente SMB por QUIC captura eventos que são gravados em um log de eventos para incluir o transporte QUIC no Visualizador de Eventos. Esses logs são armazenados nos seguintes caminhos com sua ID de evento fornecida.
Caminho ID do evento Logs de serviços e aplicativos\Microsoft\Windows\SMBClient\Connectivity 30832 Logs de serviços e aplicativos\Microsoft\Windows\SMBServer\Connectivity 1913 O recurso de servidor SMB sobre QUIC , que só estava disponível no Windows Server Azure Edition, agora está disponível nas versões Windows Server Standard e Windows Server Datacenter. O SMB sobre QUIC adiciona os benefícios do QUIC, que fornece conexões criptografadas de baixa latência pela internet.
Anteriormente, o servidor SMB no Windows exigia conexões de entrada para usar a porta registrada pela IANA TCP/445, enquanto o cliente TCP SMB só permitia conexões de saída para essa mesma porta TCP. Agora, o SMB sobre QUIC permite portas alternativas SMB onde as portas UDP/443 exigidas pelo QUIC estão disponíveis para dispositivos de servidor e cliente. Para saber mais, consulte Configurar portas SMB alternativas.
Outro recurso introduzido ao SMB sobre QUIC é o controle de acesso do cliente, que é uma alternativa ao TCP e RDMA que fornece conectividade segura a servidores de arquivos de borda em redes não confiáveis. Para saber mais, consulte Como funciona o controle de acesso do cliente.
Anteriormente, quando um compartilhamento era criado, as regras de firewall SMB eram configuradas automaticamente para habilitar o grupo "Compartilhamento de arquivos e impressoras" para os perfis de firewall relevantes. Agora, a criação de um compartilhamento SMB no Windows resulta na configuração automática do novo grupo "Compartilhamento de arquivos e impressoras (restritivo)", que não permite mais as portas NetBIOS de entrada 137-139. Para saber mais, consulte Regras de firewall atualizadas.
A partir da build 25997, uma atualização é feita para impor a criptografia SMB para todas as conexões de cliente SMB de saída. Com essa atualização, os administradores podem definir um mandato para que todos os servidores de destino ofereçam suporte a SMB 3.x e criptografia. Se um servidor não tiver esses recursos, o cliente não poderá estabelecer uma conexão.
Também na build 25997, o limitador de taxa de autenticação SMB, que limita o número de tentativas de autenticação que podem ser feitas dentro de um determinado período de tempo, é habilitado por padrão. Para saber mais, consulte Como funciona o limitador de taxa de autenticação SMB
A partir da build 25951, o cliente SMB oferece suporte ao bloqueio NTLM para conexões de saída remotas. Anteriormente, o SPNEGO (Mecanismo de Negociação GSSAPI Simples e Protegido do Windows) negociava Kerberos, NTLM e outros mecanismos com o servidor de destino para determinar um pacote de segurança com suporte. Para saber mais, consulte Bloquear conexões NTLM no SMB
Um novo recurso na build 25951 permite gerenciar dialetos SMB no Windows, onde o servidor SMB agora controla quais dialetos SMB 2 e SMB 3 ele negocia em comparação com o comportamento anterior que corresponde apenas ao dialeto mais alto.
A partir da build 25931, a assinatura SMB agora é exigida por padrão para todas as conexões de saída SMB, onde anteriormente era necessária apenas ao se conectar a compartilhamentos chamados SYSVOL e NETLOGON em controladores de domínio AD. Para saber mais, consulte Como funciona a assinatura
O protocolo Remote Mailslot é desabilitado por padrão a partir da build 25314 e pode ser removido em uma versão posterior. Para saber mais, consulte Recursos que não estamos mais desenvolvendo.
A compactação SMB acrescenta suporte ao algoritmo de compactação LZ4 padrão da indústria, além do suporte existente para o XPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1 e PATTERN_V1.
Rede definida pelo software (SDN)
SDN é uma abordagem de rede que permite que os administradores de rede gerenciem serviços de rede por meio da abstração de funcionalidades de nível inferior. A SDN permite a separação do plano de controle de rede, que é responsável por gerenciar a rede, do plano de dados, que lida com o tráfego real. Essa separação permite maior flexibilidade e programabilidade no gerenciamento de rede. A SDN fornece os seguintes benefícios no Windows Server 2025:
O Controlador de Rede, que é o painel de controle da SDN, agora está hospedado diretamente como serviços de Cluster de Failover nos computadores host físicos. Isso elimina a necessidade de implantar VMs, simplificando a implantação e o gerenciamento enquanto conserva recursos.
A segmentação baseada em tags permite que os administradores usem marcas de serviço personalizadas para associar NSGs (Grupos de Segurança de Rede) e VMs para controle de acesso. Em vez de especificar intervalos de IP, os administradores agora podem usar rótulos simples e autoexplicativos para marcar VMs de carga de trabalho e aplicar políticas de segurança com base nessas marcas. Isso simplifica o processo de gerenciamento da segurança da rede e elimina a necessidade de lembrar e redigitar intervalos de IP. Para saber mais, consulte Configurar grupos de segurança de rede com marcas no Windows Admin Center.
As políticas de rede padrão no Windows Server 2025 trazem opções de proteção semelhantes às do Azure para NSGs para cargas de trabalho implantadas por meio do Windows Admin Center. A política padrão nega todo o acesso de entrada, permitindo a abertura seletiva de portas de entrada conhecidas e permitindo o acesso de saída completo de VMs de carga de trabalho. Isso garante que as VMs de carga de trabalho sejam protegidas desde o ponto de criação. Para saber mais, confira Usar políticas de acesso à rede padrão em máquinas virtuais no Azure Stack HCI, versão 23H2.
O SDN Multisite fornece conectividade nativa de Camada 2 e Camada 3 entre aplicativos em dois locais sem nenhum componente extra. Esse recurso permite a movimentação contínua de aplicativos sem a necessidade de reconfigurar o aplicativo ou as redes. Ele também oferece gerenciamento unificado de políticas de rede para cargas de trabalho, garantindo que as políticas não precisem ser atualizadas quando uma VM de carga de trabalho for movida de um local para outro. Para saber mais, consulte O que é SDN Multisite?.
O desempenho dos gateways SDN de Camada 3 foi aprimorado, alcançando maior taxa de transferência e ciclos de CPU reduzidos. Essas melhorias são ativadas por padrão. Os usuários experimentarão automaticamente um melhor desempenho quando uma conexão de Camada 3 do gateway SDN for configurada por meio do PowerShell ou do Windows Admin Center.
Log Avançado da Réplica de Armazenamento
Os logs aprimorados ajudam a implementação do log da réplica de armazenamento a eliminar os custos de desempenho associados às abstrações do sistema de arquivos, levando a um melhor desempenho da replicação de blocos. Para saber mais, consulte Log avançado de réplica de armazenamento.
Gerenciador de Tarefas
A build 26040 agora ostenta o aplicativo Gerenciador de tarefas moderno com material mica em conformidade com o estilo do Windows 11.
Enclaves de Segurança Baseada em Virtualização (VBS)
Um enclave VBS é um ambiente de execução confiável (TEE) baseado em software dentro do espaço de endereço de um aplicativo host. Os enclaves VBS usam a tecnologia VBS subjacente para isolar a parte confidencial de um aplicativo em uma partição segura de memória. Enclaves SBV habilitam o isolamento de cargas de trabalho confidenciais do aplicativo host e do restante do sistema.
As enclaves SBV permitem que os aplicativos protejam seus segredos, eliminando a necessidade de confiar nos administradores e protegendo contra invasores mal-intencionados. Para obter mais informações, leia a referência Win32 dos enclaves SBV.
Proteção de chaves de segurança baseada em virtualização (SBV)
A proteção de chave SBV permite que os desenvolvedores do Windows protejam chaves criptográficas usando segurança baseada em virtualização (SBV). A SBV usa o recurso de extensão de virtualização da CPU para criar um runtime isolado fora do sistema operacional normal. Quando estão em uso, as chaves SBV são isoladas em um processo seguro, permitindo que as operações de chave ocorram sem nunca expor o material da chave privada fora desse espaço. Em repouso, o material da chave privada é criptografado por uma chave TPM, que associa chaves SBV ao dispositivo. As chaves protegidas dessa forma não podem ser despejadas da memória do processo ou exportadas em texto simples do computador de um usuário, evitando ataque de ex filtração por qualquer invasor de nível administrativo. O VBS deve ser habilitado para usar a proteção de chave. Consulte Habilitar integridade de memória para obter informações sobre como habilitar o VBS.
Wi-Fi
Agora é mais fácil habilitar os recursos sem fio, pois o recurso Serviço de LAN sem fio agora está instalado por padrão. O serviço de inicialização sem fio é definido como manual e pode ser habilitado executando net start wlansvc
no Prompt de Comando, no Terminal do Windows ou no PowerShell.
Portabilidade de contêineres do Windows
A portabilidade é um aspecto crucial do gerenciamento de contêineres e tem a capacidade de simplificar as atualizações aplicando maior flexibilidade e compatibilidade de contêineres no Windows. A portabilidade é um recurso do Canal Anual do Windows Server para hosts de contêiner que permite que os usuários movam imagens de contêiner e seus dados associados entre hosts ou ambientes diferentes sem exigir modificações. Os usuários podem criar uma imagem de contêiner em um host e, em seguida, implantá-la em outro host sem ter que se preocupar com problemas de compatibilidade. Para saber mais, consulte Portabilidade para contêineres.
Programa Windows Insider
O Programa Windows Insider fornece acesso antecipado às versões mais recentes do sistema operacional Windows para uma comunidade de entusiastas. Como membro, você pode estar entre os primeiros a experimentar novas ideias e conceitos que a Microsoft está desenvolvendo. Depois de se registrar como membro, você pode optar por participar de diferentes canais de lançamento acessando Iniciar > Configurações > Windows Update > Windows Insider Program.
LAPS (Solução de Senha de Administrador Local) do Windows
Com o Windows LAPS, as organizações gerenciam senhas de administrador local em seus computadores ingressados no domínio. Ele gera automaticamente senhas exclusivas para a conta de administrador local de cada computador, depois as armazena com segurança no AD e as atualiza com frequência. Isso ajuda a melhorar a segurança, pois reduz o risco de invasores obterem acesso a sistemas confidenciais ao usarem senhas comprometidas ou fáceis de adivinhar.
Foram introduzidos diversos recursos no Microsoft LAPS, que trazem as seguintes melhorias:
Novo recurso de gerenciamento automático de contas
Com a atualização mais recente, os administradores de TI criam uma conta local, que é gerenciada com facilidade. Com esse recurso, você pode personalizar o nome da conta, habilitar ou desabilitar a conta e, até mesmo, randomizar o nome da conta para aumentar a segurança. Além disso, a atualização inclui integração aprimorada com as políticas de gerenciamento existentes de contas locais da Microsoft. Para saber mais sobre esse recurso, consulte Modos de gerenciamento de contas do Windows LAPS.
Novo recurso de detecção de reversão de imagens
O Windows LAPS agora consegue detectar quando ocorre uma reversão de imagem. No caso de uma reversão, a senha armazenada no AD pode não corresponder mais à senha armazenada localmente no dispositivo. As reversões podem produzir um "estado de rompimento", em que o administrador de TI não consegue acessar o dispositivo usando a senha persistente do Windows LAPS.
Para resolver esse problema, foi adicionado um novo recurso que inclui um atributo do AD chamado msLAPS-CurrentPasswordVersion. Esse atributo contém um GUID aleatório gravado pelo Windows LAPS sempre que uma nova senha persiste no AD e é salva localmente. Durante cada ciclo de processamento, o GUID armazenado em msLAPS-CurrentPasswordVersion é consultado e comparado com a cópia local persistente. Se eles forem diferentes, a senha será imediatamente alternada.
Para habilitar esse recurso, execute a versão mais recente do cmdlet
Update-LapsADSchema
. Depois que você fizer isso, o Windows LAPS reconhecerá o novo atributo e passará a usá-lo. Se você não executar a versão atualizada do cmdletUpdate-LapsADSchema
, o Windows LAPS registrará um evento de aviso 10108 no log de eventos, mas continuará funcionando normalmente em todos os outros aspectos.Nenhuma configuração de política é utilizada para habilitar ou configurar esse recurso. O recurso é habilitado sempre que o novo atributo de esquema é adicionado.
Novo recurso para senhas
Agora, os administradores de TI podem utilizar um novo recurso no Windows LAPS para possibilitar a geração de senhas menos complexas. Um exemplo seria uma frase secreta, como EatYummyCaramelCandy, que é mais fácil de ler, lembrar e digitar, em comparação com uma senha tradicional como V3r_b4tim#963?.
Com esse novo recurso, a configuração de política PasswordComplexity é configurada para selecionar uma das três listas de palavras de senhas diferentes, todas incluídas no Windows sem que você precise fazer um download separado. Uma nova configuração de política, chamada PassphraseLength, controla a quantidade de palavras usadas na senha.
Quando você cria uma senha, a quantidade especificada de palavras é selecionada aleatoriamente na lista de palavras escolhida e, depois, é concatenada. Para melhorar a legibilidade, a primeira letra de cada palavra é maiúscula. Esse recurso também possibilita o backup total de senhas para o Windows Server AD ou o Microsoft Entra ID.
As listas de senhas usadas nas três novas configurações de senha PasswordComplexity são provenientes do artigo da Electronic Frontier Foundation, "Deep Dive: EFF's New Wordlists for Random Passphrases. O arquivo Windows LAPS Passphrase Word Lists é usado sob a licença do CC-BY-3.0 Attribution e está disponível para download.
Observação
O Windows LAPS não permite personalizar as listas de palavras integradas nem usar listas de palavras configuradas pelo cliente.
Dicionário de senhas para melhorar a legibilidade
O Windows LAPS apresenta uma nova configuração PasswordComplexity para que os administradores de TI criem senhas menos complexas. Esse recurso possibilita personalizar o LAPS para usar as quatro categorias de caracteres (letras maiúsculas, letras minúsculas, números e caracteres especiais) como a configuração de complexidade 4 existente. Entretanto, com a nova configuração de 5, os caracteres mais complexos são excluídos, o que melhora a legibilidade da senha e minimiza possíveis confusões. Por exemplo, o número "1" e a letra "I" nunca são usados com essa nova configuração.
Quando PasswordComplexity é configurado como 5, o conjunto de caracteres do dicionário de senha padrão sofre as seguintes alterações:
- Não use estas letras: 'I', 'O', 'Q', 'l', 'o'
- Não use estes números: '0', '1'
- Não use estes caracteres "especiais": ',', '.', '&', '{', '}', '[', ']', '(', ')', ';'
- Comece a usar estes caracteres "especiais": ':', '=', '?', '*'
O snap-in Usuários e Computadores do Active Directory (pelo Console de Gerenciamento da Microsoft) agora apresenta uma guia aprimorada do Windows LAPS. A senha do Windows LAPS agora aparece em uma nova fonte, que deixa o texto mais legível quando mostrada em texto sem formatação.
Suporte de PostAuthenticationAction para encerrar processos individuais
Uma nova opção foi adicionada à configuração da Política de Grupo PostAuthenticationActions (PAA), "Redefina a senha, saia da conta gerenciada e encerre todos os processos restantes”, localizada em Configuração do Computador > Modelos Administrativos > Sistema > LAPS > Ações de Pós-autenticação.
Essa nova opção é uma extensão da opção anterior, "Redefina a senha e saia da conta gerenciada". Depois de configurado, o PAA notifica e encerra todas as sessões de acesso interativas. Ele enumera e encerra todos os processos restantes que ainda estão em execução sob a identidade de conta local gerenciada pelo Windows LAPS. É importante observar que não há qualquer notificação antes desse encerramento.
Além disso, a expansão do registro de eventos durante a execução da ação pós-autenticação contém insights mais detalhados sobre a operação.
Para saber mais sobre o Windows LAPS, consulte O que é o Windows LAPS?.
Terminal do Windows
O Terminal do Windows, um aplicativo multishell poderoso e eficiente para usuários de linha de comando, está disponível nesta build. Procure por "Terminal" na barra de pesquisa.
Winget
O Winget é instalado por padrão, que é uma ferramenta de linha de comando do Gerenciador de Pacotes do Windows que fornece soluções abrangentes de gerenciador de pacotes para instalar aplicativos em dispositivos Windows. Para obter mais informações, confira Usar a ferramenta winget para instalar e gerenciar aplicativos.