Новые возможности Windows Server 2025

• Применяется к:

  ✅ Windows Server 2025

В этой статье описываются некоторые новейшие разработки в Windows Server 2025, которые могут похвастаться расширенными функциями, которые повышают безопасность, производительность и гибкость. Благодаря более быстрым возможностям хранения и возможности интеграции с гибридными облачными средами управление инфраструктурой теперь упрощается. Windows Server 2025 основывается на сильном фундаменте своего предшественника при внедрении ряда инновационных улучшений для адаптации к вашим потребностям.

Если вы хотите попробовать последние возможности Windows Server 2025 до официального выпуска, см. статью "Начало работы с предварительной версией программы предварительной оценки Windows Server".

Возможности рабочего стола и обновление

Обновление с помощью Обновл. Windows

Вы можете выполнить обновление на месте одним из двух способов: из исходного носителя или Обновл. Windows. Корпорация Майкрософт предлагает дополнительную возможность обновления на месте с помощью Обновл. Windows, известной как обновление компонентов. Обновление компонентов доступно для устройств Windows Server 2019 и Windows Server 2022.

При обновлении с помощью Обновл. Windows из диалогового окна "Параметры" можно выполнить установку непосредственно из Обновл. Windows на рабочем столе или с помощью SConfig для основных серверных компонентов. Ваша организация может предпочесть постепенно реализовать обновления и управлять доступностью этого необязательного обновления с помощью групповой политики.

Дополнительные сведения об управлении предложением обновлений компонентов см. в статье "Управление обновлениями компонентов" с помощью групповой политики в Windows Server.

Обновление на месте с Windows Server 2012 R2

Windows Server 2025 позволяет обновлять до четырех версий одновременно. Вы можете выполнить обновление непосредственно до Windows Server 2025 с Windows Server 2012 R2 и более поздних версий.

Оболочка рабочего стола

При первом входе оболочка рабочего стола соответствует стилю и внешнему виду Windows 11.

Bluetooth

Теперь вы можете подключать мыши, клавиатуры, гарнитуры, звуковые устройства и многое другое через Bluetooth в Windows Server 2025.

DTrace

Windows Server 2025 поставляется в dtrace качестве собственного средства. DTrace — это программа командной строки, которая позволяет пользователям отслеживать и устранять неполадки производительности системы в режиме реального времени. DTrace позволяет пользователям динамически инструментировать код ядра и пространства пользователя без необходимости изменять сам код. Это универсальное средство поддерживает ряд методов сбора и анализа данных, таких как агрегаты, гистограммы и трассировка событий на уровне пользователя. Дополнительные сведения см. в справке по командной строке DTrace и DTrace в Windows для других возможностей.

Электронная почта и учетные записи

Теперь можно добавить следующие типы учетных записей в параметрах Windows в учетных записях > электронной почты и учетных записей windows Server 2025:

• Microsoft Entra ID
• Учетная запись Майкрософт
• Рабочая или учебная учетная запись

Важно помнить, что присоединение к домену по-прежнему требуется для большинства ситуаций.

Центр отзывов

Отправка отзывов или отчетов, возникших при использовании Windows Server 2025, теперь можно выполнить с помощью Центр отзывов о Windows. Вы можете включить снимки экрана или записи процесса, вызвавшего проблему, чтобы помочь нам понять вашу ситуацию и поделиться предложениями по улучшению возможностей Windows. Дополнительные сведения см. в статье "Обзор Центра отзывов".

Сжатие файлов

Windows Server 2025 имеет новую функцию сжатия при сжатии элемента, выполнив правой кнопкой мыши команду "Сжатие". Эта функция поддерживает форматы сжатия ZIP, 7z и TAR с определенными методами сжатия для каждого.

Закрепленные приложения

Закрепление наиболее используемых приложений теперь доступно через меню и настраивается в соответствии с вашими потребностями. В настоящее время закрепленные по умолчанию приложения:

• Настройка Azure Arc
• Центр отзывов
• Проводник
• Microsoft Edge
• Диспетчер серверов
• Настройки
• Терминал
• Windows PowerShell

Диспетчер задач

Windows Server 2025 использует современное приложение диспетчера задач с материалом Mica, соответствующим стилю Windows 11.

Wi-Fi

Теперь проще включить беспроводные возможности, так как функция беспроводной локальной сети теперь устанавливается по умолчанию. Служба беспроводного запуска настроена вручную и может быть включена с помощью net start wlansvc командной строки, Терминал Windows или PowerShell.

Терминал Windows

Терминал Windows В Windows Server 2025 доступна мощная и эффективная мультиshell-приложение для пользователей командной строки. Найдите терминал в строке поиска.

WinGet

Winget устанавливается по умолчанию, который является средством командной строки Диспетчер пакетов Windows, предоставляющим комплексные решения диспетчера пакетов для установки приложений на устройствах Windows. Дополнительные сведения см. в статье "Использование средства winget для установки приложений и управления ими".

Расширенная многоуровневая безопасность

Hotpatch (предварительная версия)

Hotpatch теперь доступен для подключенных к Azure Arc компьютеров Windows Server 2025 при включении на портале Azure Arc. Hotpatch позволяет применять обновления безопасности ОС без необходимости перезапускать компьютер. Дополнительные сведения об этом см. здесь.

Внимание

Hotpatch с поддержкой Azure Arc в настоящее время находится в предварительной версии. Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

Credential Guard

Начиная с Windows Server 2025, Credential Guard теперь включен по умолчанию на устройствах, отвечающих требованиям. Дополнительные сведения о Credential Guard см. в разделе "Настройка Credential Guard".

Доменные службы Active Directory

Последние усовершенствования служб домен Active Directory (AD DS) и упрощенных доменных служб Active Directory (AD LDS) представляют ряд новых функций и возможностей, направленных на оптимизацию возможностей управления доменами:

• Необязательный размер страницы базы данных 32k— AD использует базу данных расширяемого ядра хранилища (ESE) с момента его внедрения в Windows 2000, использующего размер страницы базы данных 8k. Решение по архитектуре 8k привело к ограничениям по всему AD, которые описаны в максимальной масштабируемости AD. Примером этого ограничения является один объект AD записи, размер которого не может превышать 8 кб. Переход к формату страницы базы данных 32k обеспечивает огромное улучшение областей, затронутых устаревшими ограничениями, в том числе многозначные атрибуты теперь могут содержать до 3200 значений, что увеличивается на коэффициент 2,6.

  Новые контроллеры данных можно установить с 32-разрядной базой данных страниц, использующей 64-разрядные идентификаторы значений (LID) и запускаться в режиме страницы 8k для совместимости с предыдущими версиями. Обновленный контроллер домена продолжает использовать текущий формат базы данных и 8 кб страниц. Переход на 32 кб страниц базы данных выполняется на уровне леса и требует, чтобы все контроллеры домена в лесу имели базу данных с поддержкой 32 кб.

• Обновления схемы AD — вводятся три новых файла базы данных журнала (LDF), расширяющие схему AD, sch89.ldfsch90.ldfи т. дsch91.ldf. Обновления эквивалентной схемы AD LDS находятся в MS-ADAM-Upgrade3.ldf. Дополнительные сведения о предыдущих обновлениях схемы см. в разделе "Обновления схемы Windows Server AD"

• Восстановление объектов AD — AD теперь позволяет корпоративным администраторам восстанавливать объекты с отсутствующими основными атрибутами SamAccountType и ObjectCategory. Администраторы предприятия могут сбросить атрибут LastLogonTimeStamp для объекта до текущего времени. Эти операции выполняются с помощью новой функции изменения RootDSE в затронутом объекте с именем fixupObjectState.

• Поддержка аудита привязки канала. Теперь для привязки протокола LDAP можно включить события 3074 и 3075. Если политика привязки канала изменяется на более безопасный параметр, администратор может определить устройства в среде, которые не поддерживают или не поддерживают привязку канала. Эти события аудита также доступны в Windows Server 2022 и более поздних версиях через KB4520412.

• Усовершенствования алгоритма расположения контроллера домена . Алгоритм обнаружения контроллеров домена предоставляет новые функциональные возможности для сопоставления коротких доменных имен в стиле NetBIOS с доменными именами в стиле DNS. Дополнительные сведения см. в статье об изменениях указателя контроллера домена Active Directory.

  Примечание.

  Windows не использует почтовые слоги во время операций обнаружения контроллеров домена, так как корпорация Майкрософт объявила об отмене winS и почтовых слоток для этих устаревших технологий.

• Уровни функциональности леса и домена. Новый функциональный уровень используется для общей поддержки и требуется для новой функции размера страницы базы данных 32K. Новый функциональный уровень сопоставляется со значением DomainLevel 10 и ForestLevel 10 автоматическими установками. Корпорация Майкрософт не планирует модернизировать функциональные уровни для Windows Server 2019 и Windows Server 2022. Чтобы выполнить автоматическое повышение и понижение контроллера домена (DC), ознакомьтесь с синтаксисом файла ответов DCPROMO для автоматического повышения и понижения контроллеров домена.

  Интерфейс программирования приложений DsGetDcName (API) также поддерживает новый флаг DS_DIRECTORY_SERVICE_13_REQUIRED , который включает расположение контроллеров домена под управлением Windows Server 2025. Дополнительные сведения о функциональных уровнях см. в следующих статьях:

  • Уровни функциональности леса и домена

  • Raise the Domain Functional Level (Повышение режима работы домена)

  • Raise the Forest Functional Level (Повышение режима работы леса)

  Примечание.

  Новые леса AD или наборы конфигураций AD LDS должны иметь функциональный уровень Windows Server 2016 или более поздней версии. Для повышения уровня реплики AD или AD LDS требуется, чтобы существующий домен или набор конфигурации уже работал с функциональным уровнем Windows Server 2016 или более поздней версии.

  Корпорация Майкрософт рекомендует всем клиентам начать планировать обновление серверов AD и AD LDS до Windows Server 2022 при подготовке следующего выпуска.

• Улучшенные алгоритмы поиска имен и идентификаторов — имя локального центра безопасности (LSA) и перенаправка безопасности между учетными записями компьютера больше не использует устаревший безопасный канал Netlogon. Вместо этого используются алгоритм проверки подлинности Kerberos и алгоритм указателя контроллера домена. Для обеспечения совместимости с устаревшими операционными системами можно использовать безопасный канал Netlogon в качестве резервного варианта.

• Улучшенная безопасность конфиденциальных атрибутов — экземпляры DCs и AD LDS позволяют добавлять, выполнять поиск и изменять операции, связанные с конфиденциальными атрибутами при шифровании подключения.

• Улучшена безопасность паролей учетной записи компьютера по умолчанию. AD теперь использует случайные созданные пароли учетных записей компьютера по умолчанию. Контроллеры домена Windows 2025 блокируют пароли учетных записей компьютера по умолчанию для имени учетной записи компьютера.

  Это поведение можно контролировать, включив контроллер домена параметра групповой политики: отклонить пароль учетной записи компьютера по умолчанию, расположенный в: Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

  Служебные программы, такие как Центр администрирования Active Directory (ADAC), Пользователи и компьютеры Active Directory (ADUC), net computerа dsmod также учитывают это новое поведение. AdAC и ADUC больше не позволяют создавать учетную запись Windows до 2k.

• Поддержка протокола Kerberos PKINIT для криптографической гибкости. Шифрование открытого ключа Kerberos для начальной проверки подлинности в протоколе Kerberos (PKINIT) обновляется, чтобы обеспечить криптографическую гибкость, поддерживая дополнительные алгоритмы и удаляя жестко закодированные алгоритмы.

• Параметр групповой политики диспетчера локальной сети . Не сохраняйте хэш-значение LAN Manager при следующем изменении пароля больше не применяется к новым версиям Windows.

• Шифрование LDAP по умолчанию — все клиентские подключения LDAP после привязки простой проверки подлинности и уровня безопасности (SASL) используют печать LDAP по умолчанию . Дополнительные сведения о SASL см. в статье "Проверка подлинности SASL".

• Поддержка LDAP для TLS 1.3 — LDAP использует последнюю реализацию SCHANNEL и поддерживает TLS 1.3 для подключений TLS. Использование TLS 1.3 устраняет устаревшие алгоритмы шифрования, повышает безопасность более старых версий и стремится зашифровать как можно больше подтверждения. Дополнительные сведения см. в статьях "Протоколы" в протоколах TLS/SSL (Schannel SSP) и наборах шифров TLS в Windows Server 2022.

• Устаревшее поведение изменения пароля SAM RPC — безопасные протоколы, такие как Kerberos, являются предпочтительным способом изменения паролей пользователей домена. На контроллерах домена последний метод изменения пароля SAM RPC SamrUnicodeChangePasswordUser4 с помощью AES принимается по умолчанию при удаленном вызове. Следующие устаревшие методы SAM RPC блокируются по умолчанию при удаленном вызове:

  • SamrChangePasswordUser

  • SamrOemChangePasswordUser2

  • SamrUnicodeChangePasswordUser2

  Для пользователей домена, являющихся членами группы защищенных пользователей и локальных учетных записей на компьютерах-членах домена, все изменения удаленного пароля через устаревший интерфейс SAM RPC по умолчанию блокируются, включаяSamrUnicodeChangePasswordUser4.

  Это поведение можно контролировать с помощью следующего параметра объекта групповой политики (GPO):

  Настройка > политики методов RPC для системных административных шаблонов конфигурации > компьютера с помощью диспетчера > безопасности учетных > записей безопасности SAM

• Поддержка NUMA— AD DS теперь использует аппаратное оборудование, отличное от единообразного доступа к памяти (NUMA), используя ЦП во всех группах процессоров. Ранее AD использовал только ЦП в группе 0. Active Directory может расшириться за пределами 64 ядер.

• Счетчики производительности. Теперь доступны мониторинг и устранение неполадок производительности следующих счетчиков:

  • Указатель контроллера домена — доступные счетчики клиента и контроллера домена.

  • Поиски и идентификаторы - безопасности LSA с помощью LsaLookupNames, LsaLookupSids и эквивалентных API. Эти счетчики доступны как на клиентских, так и на серверах SKU.

  • Клиент LDAP — доступен в Windows Server 2022 и более поздних версиях с помощью обновления 5029250 базы знаний.

• Порядок приоритета репликации — AD теперь позволяет администраторам увеличить приоритет вычисляемой репликации с определенным партнером репликации для определенного контекста именования. Эта функция обеспечивает большую гибкость при настройке порядка репликации для решения конкретных сценариев.

Делегированная управляемая учетная запись службы

Этот новый тип учетной записи позволяет перенести учетную запись службы с делегированной управляемой учетной записью службы (dMSA). Этот тип учетной записи поставляется с управляемыми и полностью случайными ключами, обеспечивая минимальные изменения приложения при отключении исходных паролей учетной записи службы. Дополнительные сведения см. в обзоре делегированных управляемых учетных записей служб.

Диспетчер паролей локальных администраторов Windows (LAPS)

Windows LAPS помогает организациям управлять паролями локального администратора на компьютерах, присоединенных к домену. Он автоматически создает уникальные пароли для учетной записи локального администратора каждого компьютера, сохраняет их безопасно в AD и регулярно обновляет их. Автоматически созданные пароли помогают повысить безопасность, уменьшая риск получения злоумышленниками доступа к конфиденциальным системам с помощью скомпрометированных или легко угадываемых паролей.

В Microsoft LAPS представлены некоторые функции, которые приводят к следующим улучшениям:

• Новая функция автоматического управления учетными записями

  Последнее обновление позволяет ИТ-администраторам легко создавать управляемую локальную учетную запись. С помощью этой функции можно настроить имя учетной записи, включить или отключить учетную запись, а также даже случайным образом использовать имя учетной записи для повышения безопасности. Кроме того, обновление включает улучшенную интеграцию с существующими политиками управления локальными учетными записями Майкрософт. Дополнительные сведения об этой функции см. в режимах управления учетными записями Windows LAPS.

• Новая функция обнаружения отката изображений

  Windows LAPS теперь обнаруживает, когда происходит откат образа. Если откат происходит, пароль, хранящийся в AD, может больше не совпадать с паролем, хранящимся локально на устройстве. Откаты могут привести к "разорванной состоянии", когда ИТ-администратор не может войти на устройство с помощью сохраненного пароля Windows LAPS.

  Для решения этой проблемы добавлена новая функция, которая включает атрибут AD с именем msLAPS-CurrentPasswordVersion. Этот атрибут содержит случайный GUID, написанный Windows LAPS каждый раз, когда новый пароль сохраняется в AD и сохраняется локально. Во время каждого цикла обработки идентификатор GUID, хранящийся в msLAPS-CurrentPasswordVersion , запрашивается и сравнивается с локально сохраняемой копией. Если они отличаются, пароль немедленно поворачивается.

  Чтобы включить эту функцию, необходимо запустить последнюю версию командлета Update-LapsADSchema . После завершения Windows LAPS распознает новый атрибут и начинает использовать его. Если вы не запускаете обновленную версию командлета Update-LapsADSchema , Windows LAPS регистрирует событие предупреждения 10108 в журнале событий, но продолжает работать нормально во всех остальных отношениях.

  Параметры политики не используются для включения или настройки этой функции. Функция всегда включена после добавления нового атрибута схемы.

• Новая функция парольной фразы

  ИТ-администраторы теперь могут использовать новую функцию в Windows LAPS, которая позволяет создавать менее сложные парольные фразы. Примером будет парольная фраза, например EatYummyCaramelCandy, которая проще читать, запоминать и вводить, по сравнению с традиционным паролем, например V3r_b4tim#963?.

  Эта новая функция также позволяет настроить параметр политики PasswordComplexity для выбора одного из трех различных списков слов парольной фразы, все из которых включены в Windows, не требуя отдельной загрузки. Новый параметр политики с именем PassphraseLength определяет количество слов, используемых в парольной фразе.

  При создании парольной фразы указанное число слов выбирается случайным образом из выбранного списка слов и сцеплено. Первая буква каждого слова заглавная, чтобы повысить удобочитаемость. Эта функция также полностью поддерживает резервное копирование паролей до идентификатора Windows Server AD или Microsoft Entra ID.

  Списки слов парольной фразы, используемые в трех новых параметрах парольной фразы PasswordComplexity , создаются из статьи e Electronic Frontier Foundation. Глубокое погружение: новые списки wordlists EFF для случайных парольных фраз. Списки word для Windows LAPS лицензированы в соответствии с лицензией CC-BY-3.0 Attribution и доступны для скачивания.

  Примечание.

  Windows LAPS не позволяет настраивать встроенные списки слов или использовать настроенные клиентом списки слов.

• Улучшенный словарь паролей для чтения

  В Windows LAPS представлен новый параметр PasswordComplexity , позволяющий ИТ-администраторам создавать менее сложные пароли. Эта функция позволяет настроить LAPS для использования всех четырех категорий символов (букв верхнего регистра, строчные буквы, цифры и специальные символы), таких как существующий параметр сложности 4. Однако при использовании нового параметра 5 более сложные символы исключаются для повышения удобочитаемости паролей и минимизации путаницы. Например, число "1" и буква "I" никогда не используются с новым параметром.

  Если параметр PasswordComplexity настроен на 5, в набор символов словаря паролей по умолчанию внесены следующие изменения:

  • Не используйте эти буквы: "I", "O", "Q", "l", "o"
  • Не используйте эти числа: "0", "1"
  • Не используйте эти "специальные" символы: ",", ".", "&", "{", "}", "[", "]", "(", ")", ";"
  • Начните использовать следующие "специальные" символы: ":", "=", "?", "*"

  Оснастка Пользователи и компьютеры Active Directory (через консоль управления Майкрософт) теперь включает улучшенную вкладку Windows LAPS. Пароль Windows LAPS теперь отображается в новом шрифте, который повышает его удобочитаемость при отображении в виде обычного текста.

• Поддержка PostAuthenticationAction для прекращения отдельных процессов

  Новый параметр добавляется в параметр групповой политики PostAuthenticationActions (PAA), "Сброс пароля, выход из управляемой учетной записи и завершение всех оставшихся процессов", расположенных в системе laPS > после проверки подлинности системы > административных шаблонов > конфигурации > компьютера.

  Этот новый параметр является расширением предыдущего параметра "Сброс пароля и выход из управляемой учетной записи". После настройки PAA уведомляет, а затем завершает любые интерактивные сеансы входа. Он перечисляет и завершает все остальные процессы, которые по-прежнему выполняются под удостоверением локальной учетной записи, управляемой Windows LAPS. Важно отметить, что уведомление перед этим завершением не предшествует.

  Кроме того, расширение событий ведения журнала во время выполнения действия после проверки подлинности обеспечивает более подробную информацию об операции.

Дополнительные сведения о Windows LAPS см. в статье "Что такое Windows LAPS?".

OpenSSH

В более ранних версиях Windows Server средство подключения OpenSSH требуется вручную перед использованием. Компонент на стороне сервера OpenSSH устанавливается по умолчанию в Windows Server 2025. Пользовательский интерфейс диспетчер сервера также включает одношаговый параметр в разделе "Удаленный SSH-доступ", который включает или отключает sshd.exe службу. Кроме того, вы можете добавить пользователей в группу пользователей OpenSSH , чтобы разрешить или ограничить доступ к устройствам. Дополнительные сведения см. в обзоре OpenSSH для Windows.

Базовые показатели системы безопасности

Реализуя настраиваемые базовые показатели безопасности, можно установить меры безопасности прямо с самого начала для роли устройства или виртуальной машины на основе рекомендуемой системы безопасности. Этот базовый план оснащен более чем 350 предварительно настроенными параметрами безопасности Windows, которые позволяют применять и применять определенные параметры безопасности, соответствующие рекомендациям, рекомендуемым корпорацией Майкрософт и отраслевыми стандартами. Дополнительные сведения см. в обзоре OSConfig.

Анклавы безопасности на основе виртуализации (VBS)

Анклав VBS — это программное обеспечение доверенной среды выполнения (TEE) в адресном пространстве ведущего приложения. Анклавы VBS используют базовую технологию VBS для изоляции конфиденциальной части приложения в безопасной секции памяти. Анклава VBS обеспечивают изоляцию конфиденциальных рабочих нагрузок как от ведущего приложения, так и остальной части системы.

Анклавы VBS позволяют приложениям защищать свои секреты, удаляя необходимость доверять администраторам и защиты от вредоносных злоумышленников. Дополнительные сведения см. в справочнике по анклавам VBS Win32.

Защита ключей на основе виртуализации (VBS)

Защита ключей VBS позволяет разработчикам Windows защитить криптографические ключи с помощью безопасности на основе виртуализации (VBS). VBS использует возможность расширения виртуализации ЦП для создания изолированной среды выполнения за пределами обычной ОС. При использовании ключи VBS изолированы в безопасном процессе, позволяя выполнять операции ключей без предоставления материала закрытого ключа за пределами этого пространства. Неактивный материал закрытого ключа шифруется ключом доверенного платформенного модуля, который привязывает ключи VBS к устройству. Ключи, защищенные таким образом, нельзя сбрасывать из памяти процесса или экспортировать в обычный текст с компьютера пользователя. Защита ключей VBS помогает предотвратить атаки на кражу злоумышленниками на уровне администратора. Для использования защиты ключей необходимо включить VBS. Сведения о включении VBS см. в статье "Включение целостности памяти".

Защищенное подключение

Безопасное управление сертификатами

Поиск или получение сертификатов в Windows теперь поддерживает хэши SHA-256, как описано в функциях CertFindCertificateInStore и CertGetCertificateContextProperty. Проверка подлинности сервера TLS более безопасна в Windows, и теперь требуется минимальная длина ключа RSA 2048 бит. Дополнительные сведения см. в статье проверки подлинности сервера TLS: нерекомендуция слабых сертификатов RSA.

SMB по QUIC

Функция SMB на сервере QUIC , которая доступна только в Windows Server Azure Edition, теперь доступна как в windows Server Standard, так и в версиях Центра обработки данных Windows Server. SMB через QUIC добавляет преимущества QUIC, что обеспечивает низкую задержку, зашифрованные подключения через Интернет.

Политика включения SMB через QUIC

Администраторы могут отключить SMB через клиент QUIC через групповую политику и PowerShell. Чтобы отключить SMB через QUIC с помощью групповой политики, задайте для политики Enable SMB over QUIC в следующих путях значение Disabled:

• Computer Configuration\Administrative Templates\Network\Lanman Workstation

• Computer Configuration\Administrative Templates\Network\Lanman Server

Чтобы отключить SMB через QUIC с помощью PowerShell, выполните следующую команду в командной строке PowerShell с повышенными привилегиями:

Set-SmbClientConfiguration -EnableSMBQUIC $false

Аудит подписывания и шифрования SMB

Администраторы могут включить аудит сервера SMB и клиента для поддержки подписывания и шифрования SMB. Если клиент или сервер, отличный от Майкрософт, не поддерживает шифрование SMB или подпись, его можно обнаружить. Если устройство или программное обеспечение, отличное от Майкрософт, поддерживает SMB 3.1.1, но не поддерживает подписывание SMB, оно нарушает требование протокола целостности проверки подлинности SMB 3.1.1.

Параметры аудита подписи и шифрования SMB можно настроить с помощью групповой политики или PowerShell. Эти политики можно изменить в следующих путях групповой политики:

• Конфигурация компьютера\Административные шаблоны\Network\Lanman Server\Audit client не поддерживает шифрование

• Конфигурация компьютера\Административные шаблоны\Network\Lanman Server\Audit client не поддерживает подпись

• Конфигурация компьютера\Административные шаблоны\Network\Lanman Workstation\Audit Server не поддерживает шифрование

• Конфигурация компьютера\Административные шаблоны\Network\Lanman Workstation\Audit Server не поддерживает подпись

Чтобы выполнить эти изменения с помощью PowerShell, выполните следующие команды в командной строке с повышенными привилегиями, где $true необходимо включить и $false отключить следующие параметры:

Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true

Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true

Журналы событий для этих изменений хранятся в следующих Просмотр событий пути с заданным идентификатором события.

Путь	ИД события
Журналы приложений и служб\Microsoft\Windows\SMBClient\Audit	31998 31999
Журналы приложений и служб\Microsoft\Windows\SMBServer\Audit	3021 3022

SMB через аудит QUIC

SMB через аудит подключения клиента QUIC записывает события, записанные в журнал событий, чтобы включить транспорт QUIC в Просмотр событий. Эти журналы хранятся в следующих путях с заданным идентификатором события.

Путь	ИД события
Журналы приложений и служб\Microsoft\Windows\SMBClient\Connectivity	30832
Журналы приложений и служб\Microsoft\Windows\SMBServer\Connectivity	1913

Управление доступом клиента SMB через QUIC

Windows Server 2025 включает SMB через управление доступом клиента QUIC. SMB через QUIC — это альтернатива TCP и RDMA, которая обеспечивает безопасное подключение к пограничным файловым серверам через ненадежные сети. Управление доступом клиента содержит дополнительные элементы управления, чтобы ограничить доступ к данным с помощью сертификатов. Дополнительные сведения см. в статье о работе управления доступом клиентов.

Альтернативные порты SMB

Клиент SMB можно использовать для подключения к альтернативным портам TCP, QUIC и RDMA, а не по умолчанию IANA/IETF 445, 5445 и 443. Альтернативные порты можно настроить с помощью групповой политики или PowerShell. Ранее сервер SMB в Windows поручил исходящим подключениям использовать tcp/445 зарегистрированного IANA порта TCP/445, в то время как TCP-клиент SMB разрешал только исходящие подключения к тому же TCP-порту. Теперь SMB через QUIC позволяет использовать альтернативные порты SMB, в которых порты UDP/443, на которых UDP/443 доступны как для серверов, так и для клиентских устройств. Дополнительные сведения см. в разделе "Настройка альтернативных портов SMB".

Усиление защиты правил брандмауэра SMB

Ранее при создании общей папки правила брандмауэра SMB автоматически настраиваются для включения группы общего доступа к файлам и принтерам для соответствующих профилей брандмауэра. Теперь создание общей папки SMB в Windows приводит к автоматической настройке новой группы общего доступа к файлам и принтерам (ограничивающий), которая больше не разрешает входящий порты NetBIOS 137-139. Дополнительные сведения см. в разделе "Обновленные правила брандмауэра".

Шифрование SMB

Принудительное шифрование SMB включено для всех исходящих клиентских подключений SMB. С помощью этого обновления администраторы могут задать мандат, который все конечные серверы поддерживают SMB 3.x и шифрование. Если сервер не имеет этих возможностей, клиент не может установить подключение.

Ограничение скорости проверки подлинности SMB

Ограничение скорости проверки подлинности SMB предназначено для ограничения количества попыток проверки подлинности, которые могут выполняться в течение определенного периода времени. Ограничение скорости проверки подлинности SMB помогает бороться с атаками проверки подлинности методом подбора. Служба сервера SMB использует ограничение скорости проверки подлинности для реализации задержки между каждой неудачной попыткой проверки подлинности NTLM или PKU2U и включена по умолчанию. Дополнительные сведения см. в статье о том, как работает ограничение скорости проверки подлинности SMB.

Отключение SMB NTLM

Начиная с Windows Server 2025 клиент SMB поддерживает блокировку NTLM для удаленных исходящих подключений. Ранее механизм ведения переговоров GSSAPI (SPNEGO) с Windows Simple and Protected GSSAPI согласовывал Kerberos, NTLM и другие механизмы с целевым сервером для определения поддерживаемого пакета безопасности. Дополнительные сведения см. в разделе "Блокировать подключения NTLM" в SMB.

Элемент управления диалектом SMB

Теперь вы можете управлять диалектами SMB в Windows. При настройке сервера SMB определяет, какие диалекты SMB 2 и SMB 3 согласовываются по сравнению с предыдущим поведением, соответствующим только самому высокому диалекту.

Подписывание SMB

Подписывание SMB теперь требуется по умолчанию для всех исходящих подключений SMB, где ранее это было необходимо только при подключении к общим папкам с именем SYSVOL и NETLOGON на контроллерах домена AD. Дополнительные сведения см. в статье о том, как работает подписывание.

Удаленные почтовые ящики

Протокол Remote Mailslot отключен по умолчанию для SMB и для использования протокола контроллера домена с Active Directory. Remote Mailslot может быть удален в более позднем выпуске. Дополнительные сведения см. в разделе "Функции", которые мы больше не разрабатываем.

Усиление маршрутизации и удаленного службы Access (RRAS)

По умолчанию новые установки маршрутизации и удаленного службы Access (RRAS) не принимают VPN-подключения на основе протоколов PPTP и L2TP. При необходимости эти протоколы можно включить. VPN-подключения на основе SSTP и IKEv2 по-прежнему принимаются без каких-либо изменений.

Существующие конфигурации сохраняют их поведение. Например, если вы используете Windows Server 2019 и принимаете подключения PPTP и L2TP, а также выполняете обновление до Windows Server 2025 с помощью обновления на месте, подключения на основе L2TP и PPTP по-прежнему принимаются. Это изменение не влияет на операционные системы клиентов Windows. Дополнительные сведения о повторном включении PPTP и L2TP см. в статье "Настройка ПРОТОКОЛов VPN".

Hyper-V, AI и производительность

Ускорение работы в сети

Ускорение сети (AccelNet) упрощает управление виртуализацией одно корневых операций ввода-вывода (SR-IOV) для виртуальных машин, размещенных в кластерах Windows Server 2025. Эта функция использует высокопроизводительный путь к данным SR-IOV для уменьшения задержки, jitter и использования ЦП. AccelNet также включает уровень управления, который обрабатывает проверку готовности, конфигурацию узла и параметры производительности виртуальной машины. Дополнительные сведения см. в статье "Ускорение сети" на пограничном сервере (предварительная версия).

Диспетчер Hyper-V

При создании виртуальной машины с помощью диспетчера Hyper-V поколение 2 теперь устанавливается в качестве параметра по умолчанию в мастере создания виртуальной машины.

Перевод с помощью гипервизора на разбиение по страницам

Принудительное преобразование по страницам с гипервизором (HVPT) — это улучшение безопасности для обеспечения целостности линейных преобразований адресов. HVPT защищает критически важные системные данные от атак write-what-where, где злоумышленник записывает произвольное значение в произвольное расположение, часто в результате переполнения буфера. Таблицы страницы защиты HVPT, которые настраивают критически важные системные структуры данных. HVPT включает все, что уже защищенно с помощью защищенного гипервизора целостности кода (HVCI). HVPT включен по умолчанию, где доступна поддержка оборудования. HVPT не включен, если Windows Server работает в качестве гостя на виртуальной машине.

Секционирование GPU (GPU-P)

Секционирование GPU позволяет совместно использовать физическое устройство GPU с несколькими виртуальными машинами (виртуальными машинами). Вместо выделения всего GPU на одну виртуальную машину секционирование GPU назначает выделенные доли GPU каждой виртуальной машине. При высокой доступности GPU-P Hyper-V виртуальная машина GPU-P автоматически включена на другом узле кластера в случае незапланированного простоя. Динамическая миграция GPU-P предоставляет решение для перемещения виртуальной машины (для запланированного простоя или балансировки нагрузки) с GPU-P на другой узел независимо от того, является ли он автономным или кластеризованным. Дополнительные сведения о секционирования GPU см. в разделе "Секционирование GPU".

Совместимость динамического процессора

Режим совместимости динамических процессоров обновляется, чтобы воспользоваться новыми возможностями процессора в кластеризованной среде. Совместимость динамических процессоров использует максимальное количество функций процессора, доступных на всех серверах в кластере. Режим повышает производительность по сравнению с предыдущей версией совместимости процессора. Совместимость динамических процессоров также позволяет сохранять состояние между узлами виртуализации, которые используют разные поколения процессоров. Теперь режим совместимости процессора предоставляет расширенные динамические возможности на процессорах, способных перевод адресов второго уровня (SLAT). Дополнительные сведения об обновленном режиме совместимости см. в разделе "Режим совместимости динамического процессора".

Кластеры рабочей группы

Кластеры рабочей группы Hyper-V — это особый тип отказоустойчивого кластера Windows Server, где узлы кластера Hyper-V не являются членами домена Active Directory с возможностью динамической миграции виртуальных машин в кластере рабочей группы.

Network ATC

Сетевой ATC упрощает развертывание и управление конфигурациями сети для кластеров Windows Server 2025. Сетевой ATC использует подход на основе намерений, где пользователи указывают свои желаемые намерения, такие как управление, вычисления или хранилище для сетевого адаптера, а развертывание автоматизировано на основе предполагаемой конфигурации. Этот подход сокращает время, сложность и ошибки, связанные с развертыванием сетей узлов, обеспечивает согласованность конфигурации в кластере и устраняет смещение конфигурации. Дополнительные сведения см. в статье "Развертывание сети узла с помощью Сетевого ATC".

Масштабируемость

В Windows Server 2025 Hyper-V теперь поддерживает до 4 петабайт памяти и 2048 логических процессоров на узел. Это увеличение позволяет повысить масштабируемость и производительность виртуализированных рабочих нагрузок.

Windows Server 2025 также поддерживает до 240 ТБ памяти и 2048 виртуальных процессоров для виртуальных машин поколения 2, обеспечивая повышенную гибкость для выполнения больших рабочих нагрузок. Дополнительные сведения см. в разделе "Планирование масштабируемости Hyper-V" в Windows Server.

Хранилище

Поддержка клонирования блоков

Начиная с Windows 11 24H2 и Windows Server 2025, диск разработки теперь поддерживает клонирование блоков. Так как диск разработки использует формат файловой системы ReFS, поддержка клонирования блоков обеспечивает значительные преимущества производительности при копировании файлов. При клонирование блоков файловая система может скопировать диапазон байтов файлов от имени приложения в виде низкой стоимости операции метаданных, а не выполнять дорогостоящие операции чтения и записи в базовые физические данные. Это приводит к более быстрому завершению копирования файлов, сокращению операций ввода-вывода в базовое хранилище и повышению емкости хранилища, позволяя нескольким файлам совместно использовать одни и те же логические кластеры. Дополнительные сведения см. в разделе "Блокировка клонирования" в ReFS.

Диск разработки

Диск разработки — это том хранилища, который направлен на повышение производительности важных рабочих нагрузок разработчика. Диск разработки использует технологию ReFS и включает определенные оптимизации файловой системы, чтобы обеспечить более широкий контроль над параметрами тома хранилища и безопасностью. Это включает возможность назначать доверие, настраивать параметры антивирусной программы и осуществлять административный контроль над подключенными фильтрами. Дополнительные сведения см. в статье "Настройка диска разработки" в Windows 11.

NVMe

NVMe — это новый стандарт для быстрых твердотельных дисков (SSD). Производительность хранилища NVMe оптимизирована в Windows Server 2025 с улучшенной производительностью, что приводит к увеличению операций ввода-вывода в секунду и снижению использования ЦП.

Сжатие реплики хранилища

Сжатие реплики хранилища уменьшает объем данных, передаваемых по сети во время репликации. Дополнительные сведения о сжатие в реплике хранилища см. в разделе "Обзор реплики хранилища".

Расширенный журнал реплики хранилища

Расширенные журналы помогают реализации журнала реплики хранилища устранять затраты на производительность, связанные с абстракциями файловой системы, что приводит к повышению производительности репликации блоков. Дополнительные сведения см. в статье "Расширенный журнал реплики хранилища".

Дедупликация и сжатие в собственном хранилище ReFS

Дедупликация и сжатие в собственном хранилище ReFS используются для оптимизации эффективности хранения как для статических, так и для активных рабочих нагрузок, таких как файловые серверы или виртуальные рабочие столы. Дополнительные сведения о дедупликации и сжатия ReFS см. в статье "Оптимизация хранилища с помощью дедупликации и сжатия ReFS" в Azure Stack HCI.

Тонкие подготовленные тома

Тонкие подготовленные тома с Локальные дисковые пространства — это способ эффективного выделения ресурсов хранилища и предотвращения дорогостоящего перемещения путем выделения из пула только при необходимости в кластере. Вы также можете преобразовать фиксированные в тонкие подготовленные тома. Преобразование из фиксированных в тонкие подготовленные тома возвращает любое неиспользуемое хранилище обратно в пул для использования других томов. Дополнительные сведения о тонких подготовленных томах см. в статье о тонкой подготовке хранилища.

Server Message Block Overview (Общие сведения об SMB)

Блок сообщений сервера (SMB) является одним из наиболее широко используемых протоколов в сети, предоставляя надежный способ совместного использования файлов и других ресурсов между устройствами в сети. Windows Server 2025 включает поддержку сжатия SMB для стандартного алгоритма сжатия LZ4 в отрасли. LZ4 в дополнение к существующей поддержке SPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1 и PATTERN_V1.

Azure Arc и гибридная среда

Упрощенная настройка Azure Arc

По умолчанию устанавливается компонент установки Azure Arc по запросу, который предлагает удобный пользовательский интерфейс мастера и значок области задач для упрощения процесса добавления серверов в Azure Arc. Azure Arc расширяет возможности платформы Azure, позволяя создавать приложения и службы, которые могут работать в различных средах. Эти среды включают центры обработки данных, пограничные, многооблачные среды и обеспечивают повышенную гибкость. Дополнительные сведения см. в статье "Подключение компьютеров Windows Server к Azure с помощью программы установки Azure Arc".

Лицензирование по мере использования

Вариант лицензирования подписки Azure Arc с оплатой по мере использования является альтернативой обычному постоянному лицензированию для Windows Server 2025. С оплатой по мере использования вы можете развернуть устройство Windows Server, лицензировать его и платить только столько, сколько вы используете. Эта функция упрощается с помощью Azure Arc и оплачивается через подписку Azure. Узнайте больше о лицензировании Azure Arc по мере использования.

Управление Windows Server, включенная Azure Arc

Управление Windows Server, включенное Azure Arc, предоставляет новые преимущества для клиентов с лицензиями Windows Server с активными лицензиями Software Assurances или Windows Server, которые являются активными лицензиями на подписку. Windows Server 2025 имеет следующие ключевые преимущества:

• Центр администрирования Windows в Azure Arc: Windows Admin Center теперь интегрирован с Azure Arc, что позволяет управлять экземплярами Windows Server на портале Azure Arc. Эта интеграция обеспечивает единый интерфейс управления для экземпляров Windows Server, будь то локальный, в облаке или на пограничном сервере.

• Удаленная поддержка: предлагает клиентам с профессиональной поддержкой возможность предоставлять JIT-доступ с подробными расшифровками выполнения и правами отзыва.

• Оценка рекомендаций: сбор и анализ данных сервера для создания проблем и улучшения производительности.

• Конфигурация Azure Site Recovery. Настройка Azure Site Recovery для обеспечения непрерывности бизнес-процессов обеспечивает репликацию и устойчивость данных для критически важных рабочих нагрузок.

Дополнительные сведения об управлении Windows Server, включенном Azure Arc и доступных преимуществах, см. в статье "Управление Windows Server" с поддержкой Azure Arc.

Программно-конфигурируемая сеть (SDN)

SDN — это подход к сети, позволяющий администраторам сети управлять сетевыми службами с помощью абстракции функциональных возможностей более низкого уровня. SDN позволяет разделить плоскость управления сетью, которая отвечает за управление сетью с плоскости данных, которая обрабатывает фактический трафик. Это разделение позволяет повысить гибкость и программируемость в управлении сетями. SDN предоставляет следующие преимущества в Windows Server 2025:

• Сетевой контроллер, который является плоскостем управления для SDN, теперь размещается непосредственно в качестве служб отказоустойчивого кластера на физических компьютерах узлов. Использование роли кластера устраняет необходимость развертывания виртуальных машин, упрощая развертывание и управление при сохранении ресурсов.

• Сегментация на основе тегов позволяет администраторам использовать настраиваемые теги служб для связывания групп безопасности сети (NSG) и виртуальных машин для управления доступом. Вместо указания диапазонов IP-адресов администраторы теперь могут использовать простые, самообязательные метки для тегов рабочей нагрузки и применения политик безопасности на основе этих тегов. Теги упрощают процесс управления безопасностью сети и устраняют необходимость запоминать и перетипировать диапазоны IP-адресов. Дополнительные сведения см. в статье "Настройка групп безопасности сети с тегами в Windows Admin Center".

• Политики сети по умолчанию в Windows Server 2025 позволяют использовать параметры защиты, такие как Azure, для групп безопасности для рабочих нагрузок, развернутых через Центр администрирования Windows. Политика по умолчанию запрещает весь входящий доступ, позволяя выборочно открывать известные входящие порты, разрешая полный исходящий доступ с виртуальных машин рабочей нагрузки. Политики сети по умолчанию обеспечивают защиту виртуальных машин рабочей нагрузки с точки создания. Дополнительные сведения см. в статье Об использовании политик доступа к сети по умолчанию на виртуальных машинах в Azure Stack HCI версии 23H2.

• SdN Multisite обеспечивает собственное подключение уровня 2 и уровня 3 между приложениями в двух расположениях без дополнительных компонентов. Эта функция обеспечивает простое перемещение приложений без необходимости перенастройки приложения или сетей. Он также предлагает унифицированное управление сетевыми политиками для рабочих нагрузок, обеспечивая, чтобы политики не обновлялись при переходе виртуальной машины рабочей нагрузки из одного расположения в другое. Дополнительные сведения см. в статье "Что такое SDN Multisite?".

• Производительность шлюзов уровня 3 SDN улучшается, достигается более высокая пропускная способность и снижается циклы ЦП. Эти улучшения включены по умолчанию. Пользователи автоматически испытывают более высокую производительность при настройке подключения уровня 3 шлюза SDN с помощью PowerShell или Windows Admin Center.

Переносимость контейнеров Windows

Переносимость является важным аспектом управления контейнерами и имеет возможность упростить обновления, применяя повышенную гибкость и совместимость контейнеров в Windows. Переносимость — это функция Windows Server, которая позволяет пользователям перемещать образы контейнеров и связанные с ними данные между разными узлами или средами без каких-либо изменений. Пользователи могут создать образ контейнера на одном узле, а затем развернуть его на другом узле, не беспокоясь о проблемах совместимости. Дополнительные сведения см. в статье "Переносимость для контейнеров".

Программа предварительной оценки Windows Server

Программа предварительной оценки Windows Server предоставляет ранний доступ к последним выпускам ОС Windows для сообщества энтузиастов. В качестве члена вы можете быть одним из первых, чтобы попробовать новые идеи и концепции, которые корпорация Майкрософт разрабатывает. После регистрации в качестве участника вы можете принять участие в различных каналах выпуска, перейдя в программу предварительной оценки Windows из Обновл. Windows.

См. также

• Обсуждения сообщества участников программы предварительной оценки Windows Server