Новые возможности Windows Server 2025

• Применяется к:

  ✅ Windows Server 2025

В этой статье описываются некоторые новейшие разработки в Windows Server 2025, которые могут похвастаться расширенными функциями, которые повышают безопасность, производительность и гибкость. Благодаря более быстрым возможностям хранения и возможности интеграции с гибридными облачными средами управление инфраструктурой теперь упрощается. Windows Server 2025 основывается на сильном фундаменте своего предшественника и представляет ряд инновационных улучшений для адаптации к вашим потребностям.

Возможности рабочего стола и обновление

Ознакомьтесь с параметрами обновления и возможностями рабочего стола.

Обновление с помощью Центра обновления Windows

Вы можете выполнить обновление на месте с установочного носителя или службы Windows Update. Корпорация Майкрософт предлагает необязательную возможность обновления непосредственно через Центр обновления Windows, которая известна как обновление функций. Обновление компонентов доступно для устройств Windows Server 2019 и Windows Server 2022.

При обновлении с помощью Центра обновления Windows из диалогового окна "Параметры " можно выполнить установку непосредственно из Центра обновления Windows на рабочем столе или с помощью SConfig для основных серверных компонентов. Ваша организация может предпочесть постепенно реализовать обновления и управлять доступностью этого необязательного обновления с помощью групповой политики.

Дополнительные сведения об управлении предложением обновлений компонентов см. в статье Управление обновлениями компонентов с помощью групповой политики в Windows Server.

Обновление на месте с Windows Server 2012 R2

Windows Server 2025 позволяет обновлять до четырех версий одновременно. Вы можете выполнить обновление непосредственно до Windows Server 2025 с Windows Server 2012 R2 и более поздних версий.

Оболочка рабочего стола

При первом входе оболочка рабочего стола соответствует стилю и внешнему виду Windows 11.

Bluetooth

Теперь вы можете подключать мыши, клавиатуры, гарнитуры, звуковые устройства и многое другое через Bluetooth в Windows Server 2025.

DTrace

Windows Server 2025 поставляется в dtrace качестве собственного средства. DTrace — это программа командной строки, которая позволяет пользователям отслеживать и устранять неполадки производительности системы в режиме реального времени. С помощью DTrace можно динамически инструментировать код ядра и пространства пользователя без необходимости изменять сам код. Это универсальное средство поддерживает ряд методов сбора и анализа данных, таких как агрегаты, гистограммы и трассировка событий на уровне пользователя. Дополнительные сведения см. в статье DTrace справка по использованию командной строки и DTrace в Windows для получения информации о других возможностях.

Электронная почта и учетные записи

Теперь можно добавить следующие типы учетных записей в параметры Windows в разделе "Учетные записи ">учетные записи электронной почты & для Windows Server 2025:

• Microsoft Entra ID
• Учетная запись Майкрософт
• Рабочая или учебная учетная запись

Присоединение к домену по-прежнему требуется для большинства ситуаций.

Центр отзывов

Чтобы отправить отзыв или сообщить о проблемах, возникающих при использовании Windows Server 2025, используйте Центр отзывов Windows. Включите снимки экрана или записи процесса, вызвавшего проблему, чтобы помочь нам понять вашу ситуацию и поделиться предложениями по улучшению возможностей Windows. Дополнительные сведения см. в статье "Обзор Центра отзывов".

Сжатие файлов

Windows Server 2025 имеет новую функцию сжатия. Чтобы сжать элемент, щелкните правой кнопкой мыши и выберите Сжатие до. Эта функция поддерживает ZIP-, 7zи форматы сжатия TAR с определенными методами сжатия для каждого из них.

Закрепленные приложения

Закрепление наиболее часто используемых приложений теперь доступно в меню "Пуск" и может быть настроено в соответствии с вашими потребностями. В настоящее время закрепленные по умолчанию приложения:

• Настройка Azure Arc
• Центр отзывов
• Проводник
• Microsoft Edge
• Диспетчер серверов
• Настройки
• Терминал
• Windows PowerShell

Диспетчер задач

Windows Server 2025 использует современное приложение диспетчера задач с материал Mica, соответствующий стилю Windows 11.

Wi-Fi

Теперь проще включить беспроводные возможности, так как функция беспроводной локальной сети теперь устанавливается по умолчанию. Служба беспроводной связи настроена на ручной запуск. Чтобы включить его, запустите net start wlansvc в командной строке, терминале Windows или PowerShell.

Терминал Windows

Терминал Windows В Windows Server 2025 доступна мощная и эффективная мультиshell-приложение для пользователей командной строки. Найдите Терминал в строке поиска.

WinGet

WinGet устанавливается по умолчанию, который является средством диспетчера пакетов Windows командной строки, предоставляющим комплексные решения диспетчера пакетов для установки приложений на устройствах Windows. Дополнительные сведения см. в статье Использование средства WinGet для установкиприложений и управления ими.

Расширенная многоуровневая безопасность

Сведения о безопасности в Windows 2025.

Hotpatch (предварительная версия)

Hotpatch теперь доступен для компьютеров Windows Server 2025, подключенных к Azure Arc после включения Hotpatch на портале Azure Arc. Вы можете использовать Hotpatch для применения обновлений безопасности ОС без перезапуска компьютера. Дополнительные сведения об этом см. здесь.

Внимание

Hotpatch с поддержкой Azure Arc в настоящее время находится в предварительной версии. Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

Credential Guard

Начиная с Windows Server 2025, Credential Guard теперь включен по умолчанию на устройствах, отвечающих требованиям. Дополнительные сведения о Credential Guard см. в разделе "Настройка Credential Guard".

Доменные службы Active Directory

Последние усовершенствования служб домен Active Directory (AD DS) и упрощенных доменных служб Active Directory (AD LDS) представляют ряд новых функций и возможностей, направленных на оптимизацию возможностей управления доменами:

• 32k размер страницы базы данных необязательный: Active Directory использует базу данных расширяемого ядра хранилища (ESE) с момента его внедрения в Windows 2000, которая использует размер страницы базы данных 8k. Решение архитектуры 8k привело к ограничениям в Active Directory, которые описаны в максимальных ограничениях Active Directory: масштабируемость. Примером этого ограничения является один объект Active Directory записи, который не может превышать 8k-байт. Переход к формату страницы базы данных 32k обеспечивает огромное улучшение областей, затронутых устаревшими ограничениями. Многозначные атрибуты теперь могут содержать около 3200 значений, что увеличивается на 2,6.

  Вы можете установить новые контроллеры домена (DCs) с базой данных на 32 тысячи страниц, использующей 64-разрядные идентификаторы длинных значений (LIDs), и работать в 8k-страничном режиме для совместимости с предыдущими версиями. Обновленный контроллер домена продолжает использовать текущий формат базы данных и 8 кб страниц. Переход к 32k-страничной базе данных производится для всего леса и требует, чтобы все контроллеры домена в лесу имели базу данных с поддержкой 32k-страниц.

• обновления схемы Active Directory: вводятся три новых файла базы данных журнала, расширяющие схему Active Directory: sch89.ldf, sch90.ldfи sch91.ldf. Обновления эквивалентной схемы AD LDS находятся в MS-ADAM-Upgrade3.ldf. Дополнительные сведения о предыдущих обновлениях схемы см. в обновлениях схемы Windows Server Active Directory.

• восстановление объектов Active Directory: администраторы предприятия теперь могут восстановить объекты с отсутствующими основными атрибутами SamAccountType и ObjectCategory. Администраторы предприятия могут обнулить атрибут LastLogonTimeStamp у объекта, установив его на текущее время. Эти операции выполняются с помощью новой функции модификации операции RootDSE, применяемой к объекту с именем fixupObjectState.

• Поддержка аудита привязки канала: Теперь вы можете включить события 3074 и 3075 для привязки канала протокола LDAP. Если политика привязки канала изменяется на более безопасный параметр, администратор может определить устройства в среде, которые не поддерживают или не поддерживают привязку канала. Эти события аудита также доступны в Windows Server 2022 и более поздних версиях через KB4520412.

• улучшения алгоритма поиска контроллера домена. Алгоритм обнаружения контроллера домена предоставляет новые возможности для улучшенного сопоставления коротких доменных имен в стиле NetBIOS с доменными именами в стиле DNS. Дополнительные сведения см. в статье Поиск контроллеров домена в Windows и Windows Server.

  Примечание.

  Windows не использует почтовые ящики во время операций обнаружения контроллеров домена, так как корпорация Майкрософт объявила о том, что не рекомендуется использовать WINS и почтовые слости для этих устаревших технологий.

• Функциональные уровни леса и домена: новый функциональный уровень используется для общей поддержки и совместимости и требуется для новой функции размера страницы базы данных, равного 32k. Новый функциональный уровень сопоставляется со значением DomainLevel 10 и ForestLevel 10 для установок без присмотра. Корпорация Майкрософт не планирует модернизировать функциональные уровни для Windows Server 2019 и Windows Server 2022. Чтобы выполнить автоматическое повышение и понижение контроллера домена, см. синтаксис файла ответов DCPROMO для автоматического повышения и понижения уровня контроллеров домена.

  API DsGetDcName также поддерживает новый флаг DS_DIRECTORY_SERVICE_13_REQUIRED, который позволяет находить контроллеры домена под управлением Windows Server 2025. Дополнительные сведения о функциональных уровнях см. в следующих статьях:

  • уровни функциональности AD DS
  • повышение уровня функциональности домена
  • Повышение функционального уровня леса

  Примечание.

  Новые леса Active Directory и наборы конфигураций AD LDS должны иметь функциональный уровень Windows Server 2016 или более поздней версии. Для продвижения реплики Active Directory или AD LDS требуется, чтобы существующий домен или набор конфигурации уже работал с функциональным уровнем Windows Server 2016 или более поздней версии.

  Корпорация Майкрософт рекомендует всем клиентам начать планирование обновления серверов Active Directory и AD LDS до Windows Server 2022 в рамках подготовки к следующему выпуску.

• Улучшенные алгоритмы поиска имен/SID: Локальный орган безопасности (LSA) и переадресация запросов на разрешение имен и идентификаторов безопасности (SID) между учётными записями компьютеров больше не используют устаревший безопасный канал Netlogon. Вместо этого используются аутентификация Kerberos и алгоритм определения контроллера домена. Для обеспечения совместимости с устаревшими операционными системами можно использовать безопасный канал Netlogon в качестве резервного варианта.

• Улучшенная безопасность конфиденциальных атрибутов: Контроллеры домена и экземпляры AD LDS разрешают только добавление, поиск и изменение операций, связанных с конфиденциальными атрибутами, когда соединение зашифровано.

• улучшенная безопасность паролей учетных записей компьютера по умолчанию: Active Directory теперь использует пароли учетных записей компьютера по умолчанию, которые создаются случайным образом. Контроллеры домена Windows 2025 блокируют пароли учетных записей компьютера по умолчанию для имени учетной записи компьютера.

  Чтобы управлять этим поведением, включите параметр объекта групповой политики (GPO) Контроллер домена: отказать в установке пароля учетной записи компьютера по умолчанию, расположенный в Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности.

  Служебные программы, такие как Центр администрирования Active Directory (ADAC), пользователи и компьютеры Active Directory (ADUC), net computerи dsmod также учитывают это новое поведение. AdAC и ADUC больше не позволяют создавать учетную запись до Windows 2000.

• поддержка протокола Kerberos PKINIT для криптографической гибкости: криптография открытого ключа Kerberos для начальной проверки подлинности в Kerberos (PKINIT) обновляется, чтобы обеспечить криптографическую гибкость, поддерживая дополнительные алгоритмы и удаляя жестко закодированные алгоритмы.

• параметр групповой политики диспетчера локальной сети: параметр групповой политики сетевой безопасности. Не сохраняйте хэш-значение LAN Manager при следующем изменении пароля больше не присутствует и не применяется к новым версиям Windows.

• шифрование LDAP по умолчанию: всё клиентское взаимодействие LDAP после привязки по протоколу SASL использует шифрование LDAP по умолчанию. Дополнительные сведения о SASL см. в статье "Проверка подлинности SASL".

• поддержка LDAP для Transport Layer Security (TLS) 1.3: LDAP использует последнюю реализацию SCHANNEL и поддерживает протокол TLS 1.3 для подключений LDAP по TLS. Использование TLS 1.3 устраняет устаревшие алгоритмы шифрования и повышает безопасность более ранних версий. TLS 1.3 стремится зашифровать как можно большую часть рукопожатия. Дополнительные сведения см. в статьях "Протоколы" в протоколах TLS/SSL (Schannel SSP) и наборах шифров TLS в Windows Server 2022.

• Поведение изменения пароля в удаленном вызове процедур (RPC) Диспетчера устаревших учетных записей безопасности (SAM): безопасные протоколы, такие как Kerberos, являются предпочтительным способом изменения паролей пользователей домена. На контроллерах домена последний метод изменения пароля SAM RPC SamrUnicodeChangePasswordUser4 с помощью расширенного стандарта шифрования (AES) по умолчанию принимается при удаленном вызове. Следующие устаревшие методы SAM RPC блокируются по умолчанию при удаленном вызове:

  • SamrChangePasswordUser
  • SamrOemChangePasswordUser2
  • SamrUnicodeChangePasswordUser2

  Для пользователей домена, являющихся членами группы защищенных пользователей и локальных учетных записей на компьютерах-членах домена, все изменения удаленного пароля через устаревший интерфейс SAM RPC блокируются по умолчанию, включая .

  Чтобы управлять этим поведением, используйте следующий параметр групповой политики:

  Конфигурация компьютера>Административные шаблоны>Система>Security Account Manager>Настройка политики методов RPC для изменения пароля SAM

• поддержканеоднородного доступа к памяти (NUMA): AD DS теперь использует аппаратное обеспечение с поддержкой NUMA с помощью ЦП во всех группах процессоров. Ранее Active Directory использовал только ЦП в группе 0. Active Directory может расшириться за пределами 64 ядер.

• счетчики производительности: теперь доступны мониторинг и устранение неполадок производительности следующих счетчиков:

  • Для указателя контроллера домена : доступны счетчики, относящиеся к клиентам и контроллерам домена.
  • поиски LSA: запросы имен и SID через LsaLookupNames, LsaLookupSidsи эквивалентные API. Эти счетчики доступны как на клиентских, так и на серверных версиях.
  • клиент LDAP: доступен в Windows Server 2022 и более поздних через обновление базы знаний KB 5029250.

• порядок приоритета репликации: Теперь администраторы могут увеличить системно вычисляемый приоритет репликации с определенным партнером репликации для определенного контекста именования. Эта функция обеспечивает большую гибкость при настройке порядка репликации для решения конкретных сценариев.

Делегированная управляемая учетная запись службы

Этот новый тип учетной записи позволяет перенести учетную запись службы с делегированной управляемой учетной записью службы (dMSA). Этот тип учетной записи поставляется с управляемыми и полностью случайными ключами, чтобы обеспечить минимальные изменения приложения при отключении паролей исходной учетной записи службы. Дополнительные сведения см. в обзоре делегированных управляемых учетных записей служб.

Решение для паролей локальных администраторов Windows

Решение для локального администратора Windows (LAPS) помогает организациям управлять паролями локального администратора на компьютерах, присоединенных к домену. Он автоматически создает уникальные пароли для учетной записи локального администратора каждого компьютера. Затем он хранит их безопасно в Active Directory и регулярно обновляет их. Автоматически созданные пароли помогают повысить безопасность. Они снижают риск доступа злоумышленников к конфиденциальным системам с помощью скомпрометированных или легко угадываемых паролей.

Некоторые функции, новые для Microsoft LAPS, представляют следующие улучшения:

• Новое автоматическое управление учетными записями: IT-администраторы теперь могут с легкостью создавать локальную управляемую учетную запись. С помощью этой функции можно настроить имя учетной записи и включить или отключить учетную запись. Вы даже можете случайно использовать имя учетной записи для повышения безопасности. Обновление также включает улучшенную интеграцию с существующими политиками управления локальными учетными записями от Корпорации Майкрософт. Дополнительные сведения об этой функции см. в режимах управления учетными записями Windows LAPS.

• Обнаружение отката образа: Windows LAPS теперь определяет, когда происходит откат образа. Если откат происходит, пароль, хранящийся в Active Directory, может больше не совпадать с паролем, хранящимся локально на устройстве. Откаты могут привести к повреждённому состоянию. В этом случае ИТ-администратор не может войти на устройство с помощью сохраненного пароля Windows LAPS.

  Для решения этой проблемы добавлена новая функция, которая включает атрибут Active Directory с именем msLAPS-CurrentPasswordVersion. Этот атрибут содержит случайный глобальный уникальный идентификатор (GUID), написанный Windows LAPS каждый раз, когда новый пароль сохраняется в Active Directory и сохраняется локально. Во время каждого цикла обработки идентификатор GUID, хранящийся в msLAPS-CurrentPasswordVersion, запрашивается и сравнивается с локально сохраняемой копией. Если они отличаются, пароль немедленно поворачивается.

  Чтобы включить эту функцию, запустите последнюю версию командлета Update-LapsADSchema. Windows LAPS распознает новый атрибут и начинает использовать его. Если вы не запускаете обновленную версию командлета Update-LapsADSchema, Windows LAPS регистрирует событие предупреждения 10108 в журнале событий, но продолжает работать нормально во всех остальных отношениях.

  Параметры политики не используются для включения или настройки этой функции. Функция всегда включена после добавления нового атрибута схемы.

• новые пароли: ИТ-администраторы теперь могут использовать новую функцию в Windows LAPS, которая позволяет создавать менее сложные пароли. Примером является парольная фраза, например EatYummyCaramelCandy. Эта фраза проще читать, запоминать и вводить по сравнению с традиционным паролем, например V3r_b4tim#963?.

  С помощью этой новой функции можно настроить параметр политики PasswordComplexity, чтобы выбрать один из трех различных списков слов для парольной фразы. Все списки включены в Windows и не требуют отдельной загрузки. Новый параметр политики с именем PassphraseLength определяет количество слов, используемых в парольной фразе.

  При создании парольной фразы указанное число слов выбирается случайным образом из выбранного списка слов и объединяется. Первая буква каждого слова заглавная, чтобы повысить удобочитаемость. Эта функция также полностью поддерживает резервное копирование паролей в Active Directory или Идентификатор Microsoft Entra.

  Списки слов, используемые в трех новых параметрах парольной фразы PasswordComplexity, создаются из статьи "Электронный пограничный фонд" глубокое погружение: новые списки wordlists EFF для случайных парольных фраз. списков word списков Windows LAPS лицензирована в соответствии с лицензией CC-BY-3.0 и доступна для скачивания.

  Примечание.

  Windows LAPS не позволяет настраивать встроенные списки слов или использовать настроенные клиентом списки слов.

• словарь паролей с улучшенной читаемостью: Windows LAPS вводит новый параметр PasswordComplexity, который позволяет ИТ-администраторам создавать менее сложные пароли. Эту функцию можно использовать для настройки LAPS для использования всех четырех категорий символов (прописных букв, строчных букв, чисел и специальных символов), таких как существующий параметр сложности 4. При новом параметре 5более сложные символы исключаются для повышения удобочитаемости паролей и минимизации путаницы. Например, числовые 1 и буква I никогда не используются с новой настройкой.

  Если PasswordComplexity настроено на 5, в набор символов словаря паролей по умолчанию вносятся следующие изменения:

  • не используйте: буквы I, O, Q, l, o
  • не используйте: числа 0, 1
  • не используйте: специальные символы ,, ., &, {, }, [, ], (, ), ;
  • Использовать: специальные символы :, =, ?, *

  Оснастка ADUC (через консоль управления Майкрософт) теперь включает улучшенную вкладку Windows LAPS. Пароль Windows LAPS теперь отображается в новом шрифте, который повышает его удобочитаемость при отображении в виде обычного текста.

• Поддержка действий после аутентификации для завершения отдельных процессов: новый параметр добавлен в параметр действий после аутентификации (PAA) в настройках групповой политики Reset the password, sign out the managed account, and terminate any remaining processes, который расположен в Конфигурация компьютера>Административные шаблоны>Система>LAPS>Действия после аутентификации.

  Этот новый параметр является расширением предыдущего параметра Reset the password and log off the managed account. После настройки PAA уведомляет, а затем завершает любые интерактивные сеансы входа. Он перечисляет и завершает все остальные процессы, которые по-прежнему выполняются под локальным удостоверением учетной записи, управляемым Windows LAPS. Уведомление не предшествует этому завершению.

  Расширение регистрации событий во время выполнения PAA предоставляет более глубокое понимание работы.

Дополнительные сведения о Windows LAPS см. в статье "Что такое Windows LAPS?".

OpenSSH

В более ранних версиях Windows Server средство подключения OpenSSH требуется вручную перед использованием. Компонент на стороне сервера OpenSSH устанавливается по умолчанию в Windows Server 2025. Пользовательский интерфейс диспетчер сервера также включает одношаговый параметр в разделе "Удаленный SSH-доступ", который включает или отключает sshd.exe службу. Кроме того, вы можете добавить пользователей в группу пользователей OpenSSH , чтобы разрешить или ограничить доступ к устройствам. Дополнительные сведения см. в обзоре OpenSSH для Windows.

Базовые показатели безопасности

Реализуя настраиваемые базовые показатели безопасности, можно установить меры безопасности прямо с самого начала для роли устройства или виртуальной машины на основе рекомендуемой системы безопасности. Этот базовый план оснащен более чем 350 предварительно настроенными параметрами безопасности Windows. Параметры можно использовать для применения и обеспечения соблюдения определенных параметров безопасности, которые соответствуют рекомендациям, рекомендуемыми корпорацией Майкрософт и отраслевыми стандартами. Дополнительные сведения см. в обзоре OSConfig.

Анклавы безопасности на основе виртуализации

Анклав безопасности на основе виртуализации (VBS) — это доверенная среда выполнения на основе программного обеспечения в адресном пространстве ведущего приложения. Анклавы VBS используют базовую технологию VBS для изоляции конфиденциальной части приложения в безопасной секции памяти. Анклава VBS обеспечивают изоляцию конфиденциальных рабочих нагрузок как от ведущего приложения, так и остальной части системы.

Анклавы VBS позволяют приложениям защищать свои секреты, удаляя необходимость доверять администраторам и защиты от вредоносных злоумышленников. Дополнительные сведения см. в справочнике по анклавам VBS Win32.

Защита ключей безопасности на основе виртуализации

Защита ключей VBS позволяет разработчикам Windows защитить криптографические ключи с помощью VBS. VBS использует возможность расширения виртуализации ЦП для создания изолированной среды выполнения за пределами обычной ОС.

При использовании ключи VBS изолированы в безопасном процессе. Операции с ключами могут выполняться без раскрытия материала закрытого ключа за пределами этой среды. В состоянии покоя ключ TPM шифрует материал закрытого ключа, связывающий ключи VBS с устройством. Ключи, защищенные таким образом, нельзя сбрасывать из памяти процесса или экспортировать в обычный текст с компьютера пользователя.

Защита ключей VBS помогает предотвратить атаки на кражу злоумышленниками на уровне администратора. Для использования защиты ключей необходимо включить VBS. Сведения о том, как включить VBS, см. в разделе Включение целостности памяти.

Защищенное подключение

В следующих разделах рассматривается безопасность подключений.

Безопасное управление сертификатами

Поиск или получение сертификатов в Windows теперь поддерживает хэши SHA-256, как описано в функциях CertFindCertificateInStore и CertGetCertificateContextProperty. Проверка подлинности сервера TLS более безопасна в Windows и теперь требует минимальной длины ключа RSA 2048 бит. Дополнительные сведения см. в статье проверки подлинности сервера TLS: нерекомендуция слабых сертификатов RSA.

SMB по QUIC

Функция SMB на сервере QUIC , которая доступна только в Windows Server Azure Edition, теперь доступна как в windows Server Standard, так и в версиях Центра обработки данных Windows Server. SMB через QUIC добавляет преимущества QUIC, что обеспечивает низкую задержку, зашифрованные подключения через Интернет.

Политика включения SMB через QUIC

Администраторы могут отключить клиент SMB по протоколу QUIC с помощью групповой политики и PowerShell. Чтобы отключить SMB через QUIC с помощью групповой политики, задайте политику Включить SMB через QUIC в следующих путях, чтобы Отключено:

• конфигурация компьютера\Административные шаблоны\Network\Lanman Workstation
• конфигурация компьютера\Административные шаблоны\Network\Lanman Server

Чтобы отключить SMB через QUIC с помощью PowerShell, выполните следующую команду в командной строке PowerShell с повышенными привилегиями:

Set-SmbClientConfiguration -EnableSMBQUIC $false

Аудит подписывания и шифрования SMB

Администраторы могут включить аудит сервера SMB и клиента для поддержки подписывания и шифрования SMB. Если клиент или сервер, отличный от Майкрософт, не поддерживает шифрование SMB или подпись, его можно обнаружить. Если устройство или программное обеспечение, отличное от Майкрософт, поддерживает SMB 3.1.1, но не поддерживает подписывание SMB, оно нарушает требование протокола целостности проверки подлинности SMB 3.1.1.

Параметры аудита подписи и шифрования SMB можно настроить с помощью групповой политики или PowerShell. Эти политики можно изменить в следующих путях групповой политики:

• Конфигурация компьютера\Административные шаблоны\Network\Lanman Server\Audit client не поддерживает шифрование
• Конфигурация компьютера\Административные шаблоны\Network\Lanman Server\Audit client не поддерживает подпись
• Конфигурация компьютера\Административные шаблоны\Network\Lanman Workstation\Audit Server не поддерживает шифрование
• Конфигурация компьютера\Административные шаблоны\Network\Lanman Workstation\Audit Server не поддерживает подпись

Чтобы выполнить эти изменения с помощью PowerShell, выполните следующие команды в командной строке с повышенными привилегиями, где $true включает и $false отключает следующие параметры:

Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true

Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true

Журналы событий для этих изменений хранятся в средствах просмотра событий по следующим путям с указанным идентификатором события.

Путь	ИД события
Журналы приложений и служб\Microsoft\Windows\SMBClient\Audit	31998 31999
Журналы приложений и служб\Microsoft\Windows\SMBServer\Audit	3021 3022

SMB через аудит QUIC

SMB через аудит подключения клиента QUIC записывает события, записанные в журнал событий, чтобы включить транспорт QUIC в Просмотр событий. Эти журналы хранятся в следующих путях с определенным идентификатором события.

Путь	ИД события
Журналы приложений и служб\Microsoft\Windows\SMBClient\Connectivity	30832
Журналы приложений и служб\Microsoft\Windows\SMBServer\Connectivity	1913

Управление доступом клиента SMB через QUIC

Windows Server 2025 включает управление доступом клиентов для SMB через QUIC. SMB через QUIC — это альтернатива TCP и RDMA, которая обеспечивает безопасное подключение к пограничным файловым серверам через ненадежные сети. Управление доступом к клиенту вводит дополнительные элементы управления, чтобы ограничить доступ к данным с помощью сертификатов. Дополнительные сведения см. в статье о работе управления доступом клиентов.

Альтернативные порты SMB

Клиент SMB можно использовать для подключения к альтернативным портам TCP, QUIC и RDMA, а не по умолчанию IANA/IETF 445, 5445 и 443. Можно настроить альтернативные порты с помощью групповой политики или PowerShell. Ранее сервер SMB в Windows назначил входящий трафик для использования зарегистрированного через IANA порта TCP/445, а tcp-клиент SMB допускает только исходящие подключения к тому же TCP-порту. Теперь SMB через QUIC позволяет использовать альтернативные порты SMB, в которых порты UDP/443, на которых UDP/443 доступны как для серверов, так и для клиентских устройств. Дополнительные сведения см. в разделе "Настройка альтернативных портов SMB".

Усиление защиты правил брандмауэра SMB

Ранее при создании общей папки правила брандмауэра SMB были автоматически настроены для включения группы общего доступа к файлам и принтерам для соответствующих профилей брандмауэра. Теперь создание общей папки SMB в Windows приводит к автоматической настройке новой группы общего доступа к файлам и принтерам (ограничительной), которая больше не разрешает входящий порты NetBIOS 137-139. Дополнительные сведения см. в разделе "Обновленные правила брандмауэра".

Шифрование SMB

Принудительное шифрование SMB включено для всех исходящих клиентских подключений SMB. С помощью этого обновления администраторы могут задать мандат, который все конечные серверы поддерживают SMB 3.x и шифрование. Если сервер не имеет этих возможностей, клиент не может установить подключение.

Ограничение скорости проверки подлинности SMB

Ограничение скорости проверки подлинности SMB ограничивает количество попыток проверки подлинности в течение определенного периода времени. Ограничитель скорости аутентификации SMB помогает бороться с атаками грубой силы. Служба для сервера SMB использует ограничитель скорости проверки для осуществления задержки между каждой неудачной попыткой проверки подлинности NTLM или PKU2U. Служба включена по умолчанию. Дополнительные сведения см. в статье о том, как работает ограничение скорости проверки подлинности SMB.

Отключение SMB NTLM

Начиная с Windows Server 2025 клиент SMB поддерживает блокировку NTLM для удаленных исходящих подключений. Ранее механизм ведения переговоров GSSAPI (SPNEGO) с Windows Simple and Protected GSSAPI согласовывал Kerberos, NTLM и другие механизмы с целевым сервером для определения поддерживаемого пакета безопасности. Дополнительные сведения см. в разделе "Блокировать подключения NTLM" в SMB.

Управление диалектом SMB

Теперь вы можете управлять диалектами SMB в Windows. При конфигурировании сервер SMB определяет, какие диалекты SMB 2 и SMB 3 он согласовывает по сравнению с прежним поведением, и выбирает только самый высокий диалект.

Подписывание SMB

Подписывание SMB теперь требуется по умолчанию для всех исходящих подключений SMB. Ранее это было необходимо только при подключении к общим папкам с именем SYSVOL и NETLOGON на контроллерах домена Active Directory. Дополнительные сведения см. в статье о том, как работает подписывание.

Удалённый почтовый слот

Протокол Remote Mailslot отключен по умолчанию для SMB и для использования протокола DC Locator в сочетании с Active Directory. Remote Mailslot может быть удален в более позднем выпуске. Дополнительные сведения см. в разделе "Функции", которые мы больше не разрабатываем.

Усиление защиты служб маршрутизации и удаленного доступа

По умолчанию новые установки служб маршрутизации и удаленного доступа (RRAS) не принимают VPN-подключения на основе PPTP и L2TP. При необходимости эти протоколы можно включить. VPN-подключения на основе SSTP и IKEv2 по-прежнему принимаются без каких-либо изменений.

Существующие конфигурации сохраняют их поведение. Например, если вы запускаете Windows Server 2019 и принимаете подключения PPTP и L2TP, а также выполняете обновление до Windows Server 2025 с помощью обновления на месте, подключения на основе L2TP и PPTP по-прежнему принимаются. Это изменение не влияет на клиентские операционные системы Windows. Дополнительные сведения о повторной активации PPTP и L2TP см. в статье Настройка протоколов VPN.

Hyper-V, AI и производительность

В следующих разделах рассматриваются Hyper-V, ИИ и производительность.

Ускорение работы в сети

Ускоренная сеть (AccelNet) упрощает управление одно корневой виртуализацией ввода-вывода (SR-IOV) для виртуальных машин, размещенных на кластерах Windows Server 2025. Эта функция использует высокопроизводительный путь к данным SR-IOV для уменьшения задержки, jitter и использования ЦП. AccelNet также включает уровень управления, который обрабатывает проверку готовности, конфигурацию узла и параметры производительности виртуальной машины. Дополнительные сведения см. в статье "Ускорение сети" на пограничном сервере (предварительная версия).

Диспетчер Hyper-V

При создании новой виртуальной машины с помощью диспетчера Hyper-V поколения 2 теперь устанавливается в качестве параметра по умолчанию в мастере создания виртуальных машин.

Перевод с помощью гипервизора на разбиение по страницам

Принудительное преобразование по страницам с гипервизором (HVPT) — это улучшение безопасности для обеспечения целостности линейных преобразований адресов. HVPT защищает критически важные системные данные от атак write-what-where, где злоумышленник записывает произвольное значение в произвольное расположение, часто в результате переполнения буфера. Таблицы страницы защиты HVPT, которые настраивают критически важные системные структуры данных. HVPT включает все, что уже защищенно с помощью защищенного гипервизора целостности кода (HVCI). HVPT включен по умолчанию, где доступна поддержка оборудования. HVPT не включен, если Windows Server работает в качестве гостя на виртуальной машине.

Секционирование GPU

Физическое устройство GPU можно совместно использовать с несколькими виртуальными машинами с помощью секционирования GPU. Вместо выделения всего GPU на одну виртуальную машину секционирование GPU (GPU-P) назначает выделенные доли GPU каждой виртуальной машине. При Hyper-V GPU-P высокой доступности виртуальная машина GPU-P автоматически включается на другом узле кластера при незапланированном простое.

Динамическая миграция GPU-P предоставляет решение для перемещения виртуальной машины (для запланированного простоя или балансировки нагрузки) с GPU-P на другой узел независимо от того, является ли он автономным или кластеризованным. Дополнительные сведения о секционирования GPU см. в разделе "Секционирование GPU".

Совместимость динамического процессора

Режим совместимости динамического процессора обновляется, чтобы воспользоваться преимуществами новых возможностей процессора в кластеризованной среде. Совместимость динамического процессора использует максимальное количество функций процессора, доступных на всех серверах в кластере. Режим повышает производительность по сравнению с предыдущей версией совместимости процессора.

Вы также можете использовать динамическую совместимость процессора для сохранения состояния между узлами виртуализации, использующих разные поколения процессоров. Теперь режим совместимости процессора предоставляет расширенные динамические возможности на процессорах, способных переводить адреса второго уровня. Дополнительные сведения об обновленном режиме совместимости см. в разделе "Режим совместимости динамического процессора".

Кластеры рабочей группы

Hyper-V кластеры рабочей группы — это особый тип отказоустойчивого кластера Windows Server, где узлы кластера Hyper-V не являются членами домена Active Directory с возможностью динамической миграции виртуальных машин в кластере рабочей группы.

Network ATC

Сетевой ATC упрощает развертывание и управление конфигурациями сети для кластеров Windows Server 2025. Сетевой ATC использует подход на основе намерений, где пользователи указывают свои желаемые намерения, такие как управление, вычисления или хранилище для сетевого адаптера. Развертывание автоматизировано на основе предполагаемой конфигурации.

Этот подход сокращает время, сложность и ошибки, связанные с развертыванием сетей узлов. Это обеспечивает согласованность конфигурации в кластере, а также устраняет смещение конфигурации. Дополнительные сведения см. в статье "Развертывание сети узла с помощью Сетевого ATC".

Масштабируемость

В Windows Server 2025 Hyper-V теперь поддерживает до 4 петабайт памяти и 2048 логических процессоров на узел. Это увеличение позволяет повысить масштабируемость и производительность виртуализированных рабочих нагрузок.

Windows Server 2025 также поддерживает до 240 ТБ памяти и 2048 виртуальных процессоров для виртуальных машин поколения 2, обеспечивая повышенную гибкость для выполнения больших рабочих нагрузок. Дополнительные сведения см. в разделе "Планирование масштабируемости Hyper-V" в Windows Server.

Хранилище

В следующих разделах описываются обновления хранилища.

Поддержка клонирования блоков

Теперь Dev Drive поддерживает клонирование блоков, начиная с Windows 11 24H2 и Windows Server 2025. Поскольку Dev Drive использует формат устойчивой файловой системы (ReFS), поддержка клонирования блоков обеспечивает значительные преимущества в производительности при копировании файлов. С помощью клонирования блоков файловая система может скопировать диапазон байтов файлов для приложения как операцию с метаданными с низкой стоимостью, вместо выполнения дорогостоящих операций чтения и записи в базовые физические данные.

Результатом является быстрое завершение копирования файлов, сокращение операций ввода-вывода в базовое хранилище и повышение емкости хранилища, позволяя нескольким файлам совместно использовать одни и те же логические кластеры. Дополнительные сведения см. в разделе "Блокировка клонирования" в ReFS.

Диск разработки

Диск разработки — это том хранилища, который направлен на повышение производительности важных рабочих нагрузок разработчика. Dev Drive использует технологию ReFS и включает определенные оптимизации файловой системы, чтобы обеспечить более широкий контроль над параметрами тома хранилища и безопасностью. Теперь администраторы могут назначать доверие, настраивать параметры антивирусной программы и осуществлять административный контроль над подключенными фильтрами. Дополнительные сведения см. в статье "Настройка диска разработки" в Windows 11.

NVMe

NVMe — это новый стандарт для быстрых твердотельных дисков. Производительность хранилища NVMe оптимизирована в Windows Server 2025. Результатом является повышение производительности с увеличением операций ввода-вывода в секунду и снижением использования ЦП.

Сжатие реплики хранилища

Сжатие реплики хранилища уменьшает объем данных, передаваемых по сети во время репликации. Дополнительные сведения о сжатии в Storage Replica см. в разделе ОбзорStorage Replica.

Расширенный журнал реплики хранилища

Улучшенный журнал реплики хранилища помогает в реализации журнала для устранения затрат на производительность, связанных с абстракциями файловой системы. Улучшена производительность блочной репликации. Дополнительные сведения см. в статье "Расширенный журнал реплики хранилища".

Дедупликация и сжатие в собственном хранилище ReFS

Дедупликация и сжатие в собственном хранилище ReFS — это методы оптимизации эффективности хранения для статических и активных рабочих нагрузок, таких как файловые серверы или виртуальные рабочие столы. Дополнительные сведения о дедупликации и сжатии ReFS см. в статье Оптимизация хранилища с помощью дедупликации и сжатия ReFS в локальной Azure.

Тонкие подготовленные тома

Тонкие подготовленные тома с Локальные дисковые пространства — это способ эффективного выделения ресурсов хранилища и предотвращения дорогостоящего перемещения путем выделения из пула только при необходимости в кластере. Вы также можете преобразовать фиксированные в тонкие подготовленные тома. Преобразование из фиксированных в тонкие подготовленные тома возвращает любое неиспользуемое хранилище обратно в пул для использования других томов. Дополнительные сведения о тонких подготовленных томах см. в статье о тонкой подготовке хранилища.

Server Message Block Overview (Общие сведения об SMB)

Блок сообщений сервера (SMB) является одним из наиболее широко используемых протоколов в сети. SMB предоставляет надежный способ совместного использования файлов и других ресурсов между устройствами в сети. Windows Server 2025 включает поддержку сжатия SMB для стандартного алгоритма сжатия LZ4 в отрасли. LZ4 в дополнение к уже существующей поддержки SMB для XPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1 и PATTERN_V1.

Azure Arc и гибридная среда

В следующих разделах рассматриваются конфигурации Azure Arc и гибридные конфигурации.

Упрощенная настройка Azure Arc

Настройка Azure Arc — это функция по запросу, поэтому она устанавливается по умолчанию. Удобный интерфейс мастера и значок области задач помогают упростить процесс добавления серверов в Azure Arc. Azure Arc расширяет возможности платформы Azure, чтобы создавать приложения и службы, которые могут работать в различных средах. Эти среды включают центры обработки данных, пограничные и многооблачные среды и обеспечивают повышенную гибкость. Дополнительные сведения см. в статье "Подключение компьютеров Windows Server к Azure с помощью программы установки Azure Arc".

Лицензирование по мере использования

Вариант лицензирования подписки с оплатой по мере использования Azure Arc является альтернативой обычному постоянному лицензированию для Windows Server 2025. С помощью варианта оплаты по мере использования можно развернуть устройство Windows Server, лицензировать его и оплатить только столько, сколько вы используете. Эта функция упрощается с помощью Azure Arc и оплачивается через подписку Azure. Дополнительные сведения см. в статье лицензирование Azure Arc по мере использования.

Управление Windows Server, включенная Azure Arc

Включенное Azure Arc управление Windows Server предоставляет новые преимущества для клиентов с лицензиями Windows Server, которые имеют активное Software Assurance или активные подписки на Windows Server. Windows Server 2025 имеет следующие ключевые преимущества:

• Windows Admin Center в Azure Arc: интегрирует Azure Arc с Windows Admin Center, что позволяет управлять экземплярами Windows Server через портал Azure Arc. Эта интеграция обеспечивает единый интерфейс управления для экземпляров Windows Server, будь то локальный, в облаке или на пограничном сервере.
• Удаленная техническая поддержка. Предоставляет клиентам возможность предоставлять доступ по принципу "точно в срок" (JIT-доступ) с подробными расшифровками выполнения и правами на отзыв.
• Оценка лучших практик: Сбор и анализ данных сервера выявляют проблемы и предоставляют рекомендации по их устранению, а также способствуют улучшению производительности.
• конфигурации Azure Site Recovery. Конфигурация Azure Site Recovery обеспечивает бесперебойность бизнес-процессов и обеспечивает репликацию и устойчивость данных для критически важных рабочих нагрузок.

Дополнительные сведения об управлении Windows Server, включенном Azure Arc и доступных преимуществах, см. в статье "Управление Windows Server" с поддержкой Azure Arc.

сеть Software-Defined

Software-Defined Сети SDN — это подход к сетям, который сетевые администраторы могут использовать для управления сетевыми службами через абстрагирование низкоуровневой функциональности. SDN позволяет разделить плоскость управления сетью, которая управляет сетью с плоскости данных, которая обрабатывает трафик. Это разделение позволяет повысить гибкость и программируемость в управлении сетями. SDN предоставляет следующие преимущества в Windows Server 2025:

• сетевого контроллера: этот уровень управления для SDN теперь размещается непосредственно в качестве служб отказоустойчивого кластера на физических компьютерах узлов. Использование роли кластера устраняет необходимость развертывания виртуальных машин, что упрощает развертывание и управление и экономит ресурсы.
• Сегментация на основе тегов. Администраторы могут использовать пользовательские теги служб для ассоциации групп безопасности сети и виртуальных машин для управления доступом. Вместо указания диапазонов IP-адресов администраторы теперь могут использовать простые самообъясняющиеся метки, чтобы обозначать виртуальные машины рабочей нагрузки и применять политики безопасности на основе этих меток. Теги упрощают процесс управления безопасностью сети и устраняют необходимость запоминать и перетипировать диапазоны IP-адресов. Дополнительные сведения см. в статье "Настройка групп безопасности сети с тегами в Windows Admin Center".
• Политики сети по умолчанию в Windows Server 2025: эти политики обеспечивают варианты защиты, аналогичные тем, что в Azure, для сетевых групп безопасности (NSG) рабочих нагрузок, развернутых через Центр администрирования Windows. Политика по умолчанию запрещает весь входящий доступ, позволяя выборочно открывать известные входящие порты, разрешая полный исходящий доступ с виртуальных машин рабочей нагрузки. Политики сети по умолчанию гарантируют, что виртуальные машины рабочей нагрузки защищены с точки создания. Дополнительные сведения см. в статье Использование политик доступа к сети по умолчанию на виртуальных машинах в локальной среде Azure версии 23H2.
• SDN Multisite: эта функция обеспечивает естественное соединение уровня 2 и уровня 3 между приложениями в двух локациях без дополнительных компонентов. С помощью multisite SDN приложения могут легко перемещаться без необходимости перенастройки приложения или сетей. Она также предлагает унифицированное управление политиками сети для рабочих нагрузок, чтобы не нужно обновлять политики при переходе виртуальной машины рабочей нагрузки из одного расположения в другое. Дополнительные сведения см. в статье "Что такое SDN Multisite?".
• улучшенная производительность шлюзов уровня 3 SDN: шлюзы уровня 3 обеспечивают более высокую пропускную способность и сокращают циклы ЦП. Эти улучшения включены по умолчанию. Пользователи автоматически испытывают более высокую производительность при настройке подключения уровня 3 шлюза SDN с помощью PowerShell или Windows Admin Center.

Переносимость контейнеров Windows

Переносимость является важным аспектом управления контейнерами и имеет возможность упростить обновления, применяя повышенную гибкость и совместимость контейнеров в Windows.

Переносимость — это функция Windows Server, которую пользователи могут использовать для перемещения образов контейнеров и связанных с ними данных между разными узлами или средами без каких-либо изменений. Пользователи могут создать образ контейнера на одном узле, а затем развернуть его на другом узле, не беспокоясь о проблемах совместимости. Дополнительные сведения см. в статье "Переносимость для контейнеров".

Программа предварительной оценки Windows Server

Программа предварительной оценки Windows Server предоставляет ранний доступ к последним выпускам ОС Windows для сообщества энтузиастов. В качестве члена вы являетесь одним из первых, чтобы попробовать новые идеи и концепции, которые корпорация Майкрософт разрабатывает. После регистрации в качестве участника вы можете участвовать в различных каналах выпуска. Перейдите к разделу Пуск>Параметры>Центр обновления Windows>Программа Windows Insider.

Связанное содержимое

обсуждения Инсайдерского сообщества Windows Server