Windows Server 2025 中的新增功能
本文介绍 Windows Server 2025 中的一些最新发展,它拥有一些可提高安全性、性能和灵活性的高级功能。 借助更快的存储选项和与混合云环境集成的能力,现在管理基础结构变得更加简单。 Windows Server 2025 建立在前代产品的坚实基础上,同时引入了一系列创新增强功能,以适应各种需求。
如果有兴趣在正式发布前试用 Windows Server 2025 的最新功能,请参阅 Windows Server Insiders Preview 入门。
桌面体验和升级
使用 Windows 更新 进行升级
可以通过以下两种方式之一执行就地升级:从源媒体或Windows 更新。 Microsoft通过Windows 更新(称为功能更新)提供可选的就地升级功能。 此功能更新适用于 Windows Server 2019 和 Windows Server 2022 设备。
使用“设置”对话框中的Windows 更新进行升级时,可以直接从桌面内的Windows 更新或使用 SConfig for Server Core 执行安装。 组织可能希望以增量方式实现升级,并希望使用组策略控制此可选升级的可用性。
若要详细了解如何管理功能更新的产品/服务,请参阅 Windows Server 上的组策略管理功能更新。
从 Windows Server 2012 R2 就地升级
使用 Windows Server 2025,一次最多可以升级四个版本。 可以直接从 Windows Server 2012 R2 及更高版本升级到 Windows Server 2025。
桌面 shell
首次登录时,桌面 shell 体验符合 Windows 11 的样式和外观。
蓝牙
现在,可以在 Windows Server 2025 中通过蓝牙连接鼠标、键盘、耳机、音频设备等。
DTrace
Windows Server 2025 配备了 dtrace 作为本机工具。 DTrace 是一款命令行实用工具,可让用户实时监控系统性能并排除故障。 DTrace 允许用户动态检测内核和用户空间代码,而无需修改代码本身。 此多功能工具支持一系列数据收集和分析技术,如聚合、直方图和用户级事件跟踪。 若要了解详细信息,请参阅 DTrace 获取命令行帮助,参阅 Windows 上的 DTrace 了解其他功能。
电子邮件和帐户
现在可以在 Windows Server 2025 的帐户>电子邮件和帐户的 Windows 设置中添加以下类型的帐户:
- Microsoft Entra ID
- Microsoft 帐户
- 工作或学校帐户
请务必记住,大多数情况下仍需要域加入。
反馈中心
现在可以使用 Windows 反馈中心提交反馈或者报告使用 Windows Server 2025 时遇到的问题。 你可以包括导致问题的过程的屏幕截图或记录,以帮助我们了解你的情况并分享建议来增强你的 Windows 体验。 若要了解详细信息,请参阅浏览反馈中心。
文件压缩
Windows Server 2025 通过执行名为 “压缩到”的右键单击来压缩项时具有新的压缩功能。 此功能支持 ZIP、7z 和 TAR 压缩格式,每个格式都有特定的压缩方法。
已固定应用
现在可通过开始菜单固定最常用的应用,并且可根据需要进行自定义。 默认固定的应用当前为:
- Azure Arc 安装程序
- 反馈中心
- 文件资源管理器
- Microsoft Edge
- 服务器管理器
- 设置
- 终端
- Windows PowerShell
任务管理器
Windows Server 2025 使用符合 Windows 11 样式的 Mica 材料的新式任务管理器应用。
WLAN
现在,启用无线功能更容易,因为无线 LAN 服务功能现在默认情况下已安装。 无线启动服务设置为手动,可通过在命令提示符、Windows 终端或 PowerShell 中运行net start wlansvc来启用。
Windows 终端
Windows Server 2025 中提供了Windows 终端,这是一个功能强大的高效多shell 应用程序,适用于命令行用户。 在搜索栏中搜索 终端 。
WinGet
Winget 默认情况下已安装,这是一个命令行 Windows 程序包管理器工具,可提供用于在 Windows 设备上安装应用程序的全面程序包管理器解决方案。 若要了解详细信息,请参阅使用 winget 工具安装和管理应用程序。
高级多层安全性
热补丁 (预览版)
在 Azure Arc 门户中启用时,热修补现在可用于 Azure Arc 连接的 Windows Server 2025 计算机。 热修补允许应用 OS 安全更新,而无需重启计算机。 要了解详细信息,请参阅热补丁。
重要
已启用 Azure Arc 的 Hotpatch 目前以预览版提供。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Microsoft Azure 预览版的补充使用条款。
Credential Guard
从 Windows Server 2025 开始,在符合要求的设备上将默认启用 Credential Guard。 有关 Credential Guard 的详细信息,请参阅配置 Credential Guard。
Active Directory 域服务
Active Directory 域服务 (AD DS) 和 Active Directory 轻型域服务 (AD LDS) 的最新增强功能引入了一系列新功能和增强功能,旨在优化你的域管理体验:
32k 数据库页面大小可选功能 - 自从在使用 8k 数据库页面大小的 Windows 2000 中引入可扩展存储引擎 (ESE) 数据库后,AD 便使用此数据库。 8k 架构设计决策导致整个 AD 存在某些限制,而这些限制已记录在 AD 最大限制可伸缩性中。 此限制的其中一个示例为单个记录 AD 对象,而其大小不能超过 8k 字节。 迁移到 32k 数据库页面格式对受过往限制影响的领域实现了巨大改进,其中就包括多值属性现在可存储高达 3,200 个值(以 2.6 为系数的一个增幅)。
新的 DC 可与 32k 页面数据库一起安装,而该数据库会使用 64 位长整型值 ID (LID) 并在“8k 页面模式”下运行,以便与以前的版本保持兼容。 升级后的 DC 会继续使用其当前的数据库格式和 8k 页面。 迁移到 32k 数据库页面操作会在林范围内完成,且要求林中的所有 DC 均具有支持 32k 页面的数据库。
AD 架构更新 - 引入三个新的日志数据库文件 (LDF),以用于扩展 AD 架构、
sch89.ldf、sch90.ldf和sch91.ldf。MS-ADAM-Upgrade3.ldf中进行了 AD LDS 等效架构更新。 有关先前架构更新的详细信息,请参阅 Windows Server AD 架构更新AD 对象修复 - AD 现在允许企业管理员修复缺少核心属性 SamAccountType 和 ObjectCategory 的对象。 企业管理员可将对象的 LastLogonTimeStamp 属性重置为当前时间。 这些操作会通过新的 RootDSE 来修改名为 fixupObjectState 的受影响对象的操作功能来实现。
通道绑定审核支持 - 现在可为轻型目录访问协议 (LDAP) 通道绑定启用事件 3074 和 3075。 当通道绑定策略修改为更安全的设置时,管理员可以识别环境中不支持或失败的通道绑定的设备。 这些审核事件也可在 Windows Server 2022 及更高版本中通过 KB4520412 来查询。
DC 位置算法改进 - DC 发现算法提供了新功能,同时改进了将 NetBIOS 式短域名映射到 DNS 式域名的新功能。 若要了解详细信息,请参阅 Active Directory DC 定位器更改。
注意
Windows 不会在 DC 发现操作期间使用邮件槽,因为 Microsoft 已宣布为这些旧技术弃用 WINS 和邮件槽。
林和域功能级别 - 新的功能级别可用于实现一般可支持性,而新的 32K 数据库页面大小功能必须使用该级别。 新的功能级别将映射到针对无人参与安装的
DomainLevel 10和ForestLevel 10值。 Microsoft 没有改造 Windows Server 2019 和 Windows Server 2022 的功能级别的计划。 若要执行域控制器 (DC) 的无人参与升级和降级,请参阅域控制器无人参与升级和降级的 DCPROMO 应答文件语法。DsGetDcName 应用程序编程接口 (API) 还支持新标志
DS_DIRECTORY_SERVICE_13_REQUIRED,它可用于启用运行 Windows Server 2025 的 DC 的位置。 可以在以下文章中了解有关功能级别的详细信息:注意
需要新的 AD 林或 AD LDS 配置集才能具有 Windows Server 2016 或更高的功能级别。 要升级 AD 或 AD LDS 副本,要求现有域或配置集已在运行,且其功能级别为 Windows Server 2016 或更高。
Microsoft 建议所有客户现在开始规划将其 AD 和 AD LDS 服务器升级到 Windows Server 2022,以便为下一个版本做好准备。
改进针对名称/Sid 查找的算法 - 不同计算机帐户之间的本地安全机构 (LSA) 名称和 Sid 查找转发功能不再使用旧版 Netlogon 安全通道。 改用 Kerberos 身份验证和 DC 定位器算法。 为保持与旧操作系统的兼容性,仍可使用 Netlogon 安全通道作为回退选项。
改进了机密属性 的安全性 - DC 和 AD LDS 实例仅允许 LDAP 在加密连接时添加、搜索和修改涉及机密属性的操作。
改进默认计算机帐户密码的安全性 - AD 现在使用随机生成的默认计算机帐户密码。 Windows 2025 DC 会阻止将计算机帐户密码设为计算机帐户名称的默认密码。
可通过启用 GPO 设置域控制器:拒绝设置默认计算机帐户密码来控制此行为,而该设置位于:计算机配置\Windows 设置\安全设置\本地策略\安全选项
Active Directory 管理中心 (ADAC)、Active Directory 用户和计算机 (ADUC)、
net computer和dsmod等实用工具也遵循此新行为。 ADAC 和 ADUC 均不再允许创建 2k 之前的 Windows 帐户。用于实现加密敏捷性的 Kerberos PKINIT 支持 - 现已更新 Kerberos 中用于初始身份验证的 Kerberos 公钥加密 (PKINIT) 协议实现,从而通过支持更多算法并删除硬编码算法来实现加密敏捷性。
LAN Manager GPO 设置 - GPO 设置“网络安全性:下次更改密码时不存储 LAN Manager 哈希值”不再显示,同时也不适用于新版本的 Windows。
默认进行 LDAP 加密 - 默认情况下,执行简单身份验证和安全层 (SASL) 绑定后,所有 LDAP 客户端通信均会使用 LDAP 密封。 要了解有关 SASL 的详细信息,请参阅 SASL 身份验证。
针对 TLS 1.3 的 LDAP 支持 - LDAP 使用最新的 SCHANNEL 实现,并支持为基于 TLS 连接的 LDAP 使用 TLS 1.3。 使用 TLS 1.3 可以消除过时的加密算法,提供比旧版本更高的安全性,旨在实现尽可能多的握手加密。 若要了解详细信息,请参阅 TLS/SSL (Schannel SSP) 中的协议和 Windows Server 2022 中的 TLS 密码套件。
旧版 SAM RPC 密码更改行为 - 安全协议(如 Kerberos)是更改域用户密码的首选方法。 在 DC 上进行远程调用时,默认接受使用 AES 的最新 SAM RPC 密码更改方法 SamrUnicodeChangePasswordUser4。 进行远程调用时,默认会阻止以下旧 SAM RPC 方法:
对于属于受保护用户组成员的域用户和域成员计算机上的本地帐户,默认情况下会阻止所有通过旧 SAM RPC 接口进行的远程密码更改,包括
SamrUnicodeChangePasswordUser4。可使用以下组策略对象 (GPO) 设置来控制此行为:
计算机配置 > 管理模板 > 系统 > 安全帐户管理器 > 配置 SAM 更改密码 RPC 方法策略
NUMA 支持 - AD DS 现在会通过使用所有处理器组中的 CPU 来利用支持非一致性内存访问 (NUMA) 的硬件。 以前,AD 只会在组 0 中使用 CPU。 Active Directory 可扩展到 64 个内核以上。
性能计数器 - 现在提供针对以下计数器的性能监视和故障排除:
DC 定位器 - 提供特定于客户端和 DC 的计数器。
通过 LsaLookupNames、LsaLookupSids 和等效 API 的 LSA 查找 - 名称和 SID 查找。 这些计数器可同时用于客户端与服务器 SKU。
LDAP 客户端 - 可通过 KB 5029250 更新在 Windows Server 2022 及更高版本中使用。
复制优先级顺序 - AD 现在允许管理员为特定命名上下文提高针对特定复制伙伴的系统计算出的复制优先级。 此功能允许更灵活地配置复制顺序以解决特定方案。
委派托管服务帐户
这种新类型的帐户支持从服务帐户迁移到委派托管服务帐户 (dMSA)。 此帐户类型附带托管密钥和完全随机密钥,可确保在禁用原始服务帐户密码时尽量减少应用程序更改。 若要了解更多信息,请参阅委派的托管服务帐户概述。
Windows 本地管理员密码解决方案 (LAPS)
Windows LAPS 可帮助组织管理其已加入域的连接计算机上的本地管理员密码。 它能为每台计算机的本地管理员帐户自动生成唯一的密码,将其安全地存储在 AD 中,并定期更新。 自动生成的密码有助于通过降低攻击者使用泄露或容易猜出的密码访问敏感系统的风险来提高安全性。
Microsoft LAPS 引入了多项功能,提供以下改进:
全新自动帐户管理功能
最新更新允许 IT 管理员轻松创建托管的本地帐户。 利用该功能,可以自定义账户名称、启用或禁用帐户,甚至可以随机设置帐户名称以增强安全性。 此外,该更新还改进了与 Microsoft 现有本地帐户管理策略的集成。 若要了解有关此功能的更多信息,请参阅 Windows LAPS 帐户管理模式。
新增映像回滚检测功能
Windows LAPS 现在能检测到映像回滚。 如果发生回滚,则存储在 AD 中的密码可能不再与存储在设备上的本地密码匹配。 回滚可能会导致 IT 管理员无法使用持久化 Windows LAPS 密码登录到设备时出现“撕裂状态”。
为了解决此问题,我们添加了一项新功能,其中包括名为 msLAPS-CurrentPasswordVersion 的 AD 属性。 每次新密码在 AD 中持久化并保存到本地时,该属性都会包含一个由 Windows LAPS 写入的随机 GUID。 在每个处理循环中,都将查询 msLAPS-CurrentPasswordVersion 中存储的 GUID,并将其与本地持久化副本进行比较。 如果两者不一致,则会立即轮换密码。
若要启用此功能,必须运行最新版本的
Update-LapsADSchemacmdlet。 完成后,Windows LAPS 将识别新属性并开始使用。 如果未运行Update-LapsADSchemacmdlet 的更新版本,Windows LAPS 将在事件日志中记录 10108 警告事件,但在所有其他方面继续正常运行。不使用策略设置来启用或配置此功能。 添加新模式属性后,该功能将始终启用。
新增密码功能
IT 管理员现在可以利用 Windows LAPS 中的新功能,生成不太复杂的密码。 例如,与传统密码(如V3r_b4tim#963?)相比,EatYummyCaramelCandy 等密码更容易读取、记住和键入。
这项新功能还允许将 PasswordComplexity 策略设置配置为选择三个不同的密码单词列表之一,所有这些列表都包含在 Windows 中,无需单独下载。 名为 PassphraseLength 的新策略设置可控制密码中使用的字数。
创建密码时,将从所选单词列表中随机选择指定数量的单词并进行连接。 每个单词的第一个字母大写,以提高可读性。 此功能还完全支持将密码备份到 Windows Server AD 或 Microsoft Entra ID。
三个新的 PasswordComplexity 密码设置中使用的密码单词列表源自电子前沿基金会的文章深入探讨:EFF 的随机密码新单词列表。 Windows LAPS 密码单词列表根据 CC-BY-3.0 属性许可协议获得许可,并可供下载。
注意
Windows LAPS 不允许自定义内置单词列表,也不允许使用客户配置的单词列表。
改善密码字典的可读性
Windows LAPS 引入了新的 PasswordComplexity 设置,使 IT 管理员能够创建不太复杂的密码。 此功能允许自定义 LAPS 以使用所有四个字符类别(大写字母、小写字母、数字和特殊字符),就像现有的 4 位复杂性设置一样。 不过,新设置为 5 时,较复杂的字符被排除在外,以提高密码的可读性并尽量减少混淆。 例如,数字“1”和字母“I”在新设置中将永不使用。
当 PasswordComplexity 配置为 5 时,默认密码字典字符集将发生以下更改:
- 请勿使用这些字母:“I”、“O”、“Q”、“l”和“o”
- 请勿使用这些数字:“0”和“1”
- 请勿使用这些“特殊”字符:“,”、“.”、“&”、“{”、“}”、“[”、“]”、“(”、“)”、“;”
- 开始使用这些“特殊”字符:“:”、 “=”、“?”和“*”
Active Directory 用户和计算机管理单元(通过 Microsoft 管理控制台)现在具有改进的 Windows LAPS 选项卡。Windows LAPS 密码现在使用新字体显示,可在纯文本中显示时增强其可读性。
为终止单个进程提供 PostAuthenticationAction 支持
将新选项添加到 PostAuthenticationActions (PAA) 组策略设置“重置密码、注销托管帐户并终止任何剩余进程”(位于“计算机配置”>“管理模板”>“系统”>“LAPS”>“身份验证后操作”)。
此新选项是上一个“重置密码并注销托管帐户”选项的扩展。 配置后,PAA 会通知并终止任何交互式登录会话。 它枚举并终止仍在 Windows LAPS 托管的本地帐户标识下运行的任何剩余进程。 请务必注意,在终止之前不会发出任何通知。
此外,在身份验证后操作执行过程中扩展日志事件可以更深入地了解操作。
若要了解有关 Windows LAPS 的更多信息,请参阅什么是 Windows LAPS?。
OpenSSH
在早期版本的 Windows Server 中,OpenSSH 连接工具在使用前需要手动安装。 OpenSSH 服务器端组件默认安装在 Windows Server 2025 中。 服务器管理器 UI 还包括远程 SSH 访问下的一步选项,用于启用或禁用sshd.exe该服务。 此外,你还可以将用户添加到 OpenSSH 用户组,以允许或限制访问设备。 若要了解详细信息,请参阅适用于 Windows 的 OpenSSH 概述。
安全基线
通过实现自定义的安全基线,可以根据建议的安全状况,从头开始为设备或 VM 角色建立安全措施。 此基线配备了超过 350 个预配置的 Windows 安全设置,使你能够应用和执行与 Microsoft 和行业标准推荐的最佳做法相一致的特定安全设置。 若要了解详细信息,请参阅 OSConfig 概述。
基于虚拟化的安全性 (VBS) Enclave
VBS enclave 是主机应用程序地址空间内基于软件的受信任执行环境 (TEE)。 VBS enclaves 会使用底层 VBS 技术,将应用程序的敏感部分隔离在内存的安全分区中。 VBS Enclave 可以使敏感工作负载与主机应用程序和系统的其余部分隔离。
VBS Enclave 可使应用程序不需要信任管理员并能有效抵御恶意攻击者,从而保护自己的机密。 有关详细信息,请阅读 VBS Enclave Win32 参考。
基于虚拟化的安全 (VBS) 密钥保护
VBS 密钥保护使 Windows 开发人员能够使用基于虚拟化的安全 (VBS) 来保护加密密钥。 VBS 利用 CPU 的虚拟化扩展能力,在正常 OS 之外创建一个隔离的运行时。 使用时,VBS 密钥会被隔离在一个安全的进程中,允许对密钥进行操作,而不会将私人密钥材料暴露在这个空间之外。 在静止状态下,私钥材料由 TPM 密钥加密,而 TPM 密钥会将 VBS 密钥与设备绑定。 以这种方式保护的密钥无法从进程内存中转储,也不能以纯文本形式从用户计算机导出。 VBS 密钥保护有助于防止任何管理员级攻击者发生外泄攻击。 必须启用 VBS 才能使用密钥保护。 有关如何启用 VBS 的信息,请参阅启用内存完整性。
安全连接
安全证书管理
在 Windows 上搜索或检索证书现在支持 SHA-256 哈希,如函数 CertFindCertificateInStore 和 CertGetCertificateContextProperty 中所述。 TLS 服务器身份验证在 Windows 中更安全,现在要求最低 RSA 密钥长度为 2,048 位。 有关详细信息,请阅读 TLS 服务器身份验证:弃用弱 RSA 证书。
基于 QUIC 的 SMB
SMB over QUIC 服务器功能以前仅在 Windows Server Azure 版本中可用,现在在 Windows Server Standard 和 Windows Server Datacenter 版本中均可用。 SMB over QUIC 增加了 QUIC 的优势,通过 Internet 提供低延迟、加密的连接。
通过 QUIC 启用策略的 SMB
管理员可以通过组策略和 PowerShell 禁用基于 QUIC 的 SMB 客户端。 若要使用组策略禁用基于 QUIC 的 SMB,请在以下路径中将“启用 SMB over QUIC”策略设置为“已禁用” :
Computer Configuration\Administrative Templates\Network\Lanman WorkstationComputer Configuration\Administrative Templates\Network\Lanman Server
要使用 PowerShell 禁用基于 QUIC 的 SMB,请在提升的 PowerShell 提示符下运行此命令:
Set-SmbClientConfiguration -EnableSMBQUIC $false
SMB 签名和加密审核
管理员可以启用对 SMB 服务器和客户端的审核,以支持 SMB 签名和加密。 如果非Microsoft客户端或服务器缺少对 SMB 加密或签名的支持,则可以检测到它。 当非Microsoft设备或软件声明它支持 SMB 3.1.1,但不支持 SMB 签名时,它违反了 SMB 3.1.1 预身份验证完整性 协议要求。
可以使用组策略或 PowerShell 配置 SMB 签名和加密审核设置。 这些策略可在以下组策略路径中更改:
Computer Configuration\Administrative Templates\Network\Lanman Server\Audit client does not support encryption
Computer Configuration\Administrative Templates\Network\Lanman Server\Audit client does not support signing
Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit server does not support encryption
Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit server does not support signing
要使用 PowerShell 执行这些更改,请在提升的提示符下运行这些命令,其中 $true 表示启用这些设置,而 $false 表示禁用这些设置:
Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true
这些更改的事件日志会以给定的事件 ID 保存在以下事件查看器路径中。
| 路径 | 事件 ID |
|---|---|
| Applications and Services Logs\Microsoft\Windows\SMBClient\Audit | 31998 31999 |
| Applications and Services Logs\Microsoft\Windows\SMBServer\Audit | 3021 3022 |
基于 QUIC 的 SMB 审核
基于 QUIC 的 SMB 客户端连接审核可捕获写入事件日志的事件,以便在事件查看器中包含 QUIC 传输。 这些日志以给定的事件 ID 保存在以下路径中。
| 路径 | 事件 ID |
|---|---|
| Applications and Services Logs\Microsoft\Windows\SMBClient\Connectivity | 30832 |
| Applications and Services Logs\Microsoft\Windows\SMBServer\Connectivity | 1913 |
SMB over QUIC 客户端访问控制
Windows Server 2025 包括通过 QUIC 客户端访问控制的 SMB。 SMB over QUIC 是 TCP 和 RDMA 的替代方法,它通过不受信任的网络提供与边缘文件服务器的安全连接。 客户端访问控制引入了更多控制,用于限制使用证书访问数据。 要了解详细信息,请参阅客户端访问控制的工作原理。
SMB 备用端口
可以使用 SMB 客户端连接到备用 TCP、QUIC 和 RDMA 端口,而不是其 IANA/IETF 默认值 445、5445 和 443。 可以通过组策略或 PowerShell 配置备用端口。 以前,Windows 中的 SMB 服务器强制入站连接使用 IANA 注册的端口 TCP/445,而 SMB TCP 客户端只允许与同一 TCP 端口建立出站连接。 现在,SMB over QUIC 支持 SMB 替代端口,其中 QUIC 强制的 UDP/443 端口可用于服务器和客户端设备。 要了解详细信息,请参阅配置替代 SMB 端口。
SMB 防火墙规则强化
以前,创建共享时,SMB 防火墙规则会自动配置为为相关防火墙配置文件启用 文件和打印机共享 组。 现在,在 Windows 中创建 SMB 共享会导致新的 文件和打印机共享(限制性) 组的自动配置,该组不再允许入站 NetBIOS 端口 137-139。 要了解详细信息,请参阅更新的防火墙规则。
SMB 加密
为所有出站 SMB 客户端连接启用强制 SMB 加密 。 通过此更新,管理员可以设置一个命令,即所有目标服务器都支持 SMB 3.x 和加密。 如果服务器缺少这些功能,则客户端无法建立连接。
SMB 身份验证速率限制器
SMB 身份验证速率限制器旨在限制在特定时间段内进行的身份验证尝试次数。 SMB 身份验证速率限制器有助于打击暴力身份验证攻击。 SMB 服务器服务使用身份验证速率限制器实现每个失败的 NTLM 或基于 PKU2U 的身份验证尝试之间的延迟,并且默认启用。 若要了解详细信息,请参阅 SMB 身份验证速率限制程序的工作原理。
禁用 SMB NTLM
从 Windows Server 2025 开始,SMB 客户端支持远程出站连接的 NTLM 阻止。 以前,Windows 简单和受保护的 GSSAPI 协商机制(SPNEGO)与目标服务器协商了 Kerberos、NTLM 和其他机制,以确定受支持的安全包。 若要了解详细信息,请参阅 SMB 上的阻止 NTLM 连接。
SMB 方言控件
现在可以 在 Windows 中管理 SMB 方言。 配置 SMB 服务器时,确定与之前的行为匹配的最高方言相比,它协商的 SMB 2 和 SMB 3 方言。
SMB 签名
现在,所有 SMB 出站连接(以前仅在连接到 AD 域控制器上名为 SYSVOL 和 NETLOGON 的共享时)都需要 SMB 签名。 要了解详细信息,请参阅签名的工作原理。
远程 Mailslot
对于 SMB 和 ACTIVE Directory 的 DC 定位符协议使用情况,默认禁用远程 Mailslot 协议。 远程 Mailslot 可能会在更高版本中删除。 要了解详细信息,请参阅不再开发的功能。
路由和远程访问服务 (RRAS) 强化
默认情况下,新的路由和远程访问服务(RRAS)安装不接受基于 PPTP 和 L2TP 协议的 VPN 连接。 如有必要,仍可启用这些协议。 基于 SSTP 和 IKEv2 的 VPN 连接仍可接受,不会有任何变化。
现有配置会保留其行为。 例如,如果你运行的是 Windows Server 2019 并接受 PPTP 和 L2TP 连接,并且你使用就地升级升级到 Windows Server 2025,则仍接受基于 L2TP 和 PPTP 的连接。 这一更改不会影响 Windows 客户端操作系统。 若要详细了解如何重新启用 PPTP 和 L2TP,请参阅 配置 VPN 协议。
Hyper-V、AI 和性能
加速网络
加速网络(AccelNet)简化了 Windows Server 2025 群集上托管的虚拟机(SR-IOV)的单根 I/O 虚拟化(SR-IOV)的管理。 此功能使用高性能 SR-IOV 数据路径来降低延迟、抖动和 CPU 利用率。 AccelNet 还包括一个管理层,用于处理先决条件检查、主机配置和 VM 性能设置。 若要了解详细信息,请参阅 Edge 上的加速网络(预览版)。
Hyper-V 管理器
通过 Hyper-V 管理器创建新 VM 时,第 2 代现在设置为“新建虚拟机向导”中的默认选项。
虚拟机监控程序强制执行的分页转换
虚拟机监控程序强制执行的分页转换(HVPT)是一项安全增强功能,用于强制实现线性地址转换的完整性。 HVPT 保护关键系统数据免受攻击者将任意值写入任意位置(通常是由于缓冲区溢出而导致)的写入位置攻击。 HVPT 保护配置关键系统数据结构的页表。 HVPT 包含已使用虚拟机监控程序保护的代码完整性(HVCI)保护的所有内容。 默认情况下,HVPT 在硬件支持可用的情况下处于启用状态。 当 Windows Server 作为来宾在 VM 中运行时,不会启用 HVPT。
GPU 分区 (GPU-P)
使用 GPU 分区,你可以与多个虚拟机 (VM) 共享一个物理 GPU 设备。 GPU 分区会将 GPU 的专用分数分配给每个 VM,而不是将整个 GPU 分配到单个 VM。 使用 Hyper-V GPU-P 高可用性时,在计划外停机的情况下,会自动在另一个群集节点上启用 GPU-P VM。 GPU-P 实时迁移提供了一种解决方案,用于将 VM(计划内停机或负载均衡)与 GPU-P 移到另一个节点(无论是独立节点还是群集节点)。 若要了解有关 GPU 分区的详细信息,请参阅 GPU 分区。
动态处理器兼容性
动态处理器兼容性模式已更新,以利用群集环境中的新处理器功能。 动态处理器兼容性使用群集中所有服务器提供的最大处理器功能数。 与以前版本的处理器兼容性相比,模式可提高性能。 动态处理器兼容性还允许你在使用不同代处理器的虚拟化主机之间保存其状态。 处理器兼容性模式现在为能够进行二级地址转换(SLAT)的处理器提供增强的动态功能。 若要了解有关更新的兼容性模式的详细信息,请参阅 动态处理器兼容性模式。
工作组群集
Hyper-V 工作组群集是一种特殊类型的 Windows Server 故障转移群集,其中 Hyper-V 群集节点不是 Active Directory 域的成员,能够实时迁移工作组群集中的 VM。
网络 ATC
网络 ATC 简化了 Windows Server 2025 群集的网络配置的部署和管理。 网络 ATC 使用基于意向的方法,用户指定其所需的意向,例如网络适配器的管理、计算或存储,并且部署基于预期配置自动进行。 此方法可减少与主机网络部署关联的时间、复杂性和错误,确保群集中的配置一致性,并消除配置偏差。 若要了解详细信息,请参阅 使用网络 ATC 部署主机网络。
伸缩性
借助 Windows Server 2025,Hyper-V 现在支持多达 4 PB 内存和每个主机 2,048 个逻辑处理器。 这一增加可提高虚拟化工作负载的可伸缩性和性能。
对于第 2 代 VM,Windows Server 2025 还支持多达 240 TB 的内存和 2,048 个虚拟处理器,为运行大型工作负荷提供更高的灵活性。 若要了解详细信息,请参阅 Windows Server 中的 Hyper-V 可伸缩性规划。
存储
阻止克隆支持
从 Windows 11 24H2 和 Windows Server 2025 开始,开发驱动器现在支持阻止克隆。 由于开发驱动器使用 ReFS 文件系统格式,因此复制文件时,块克隆支持可提供显著的性能优势。 通过块克隆,文件系统可以代表应用程序复制一系列文件字节作为低成本的元数据操作,而不是对基础物理数据执行昂贵的读取和写入操作。 这可以更快地完成文件复制、减少到基础存储的 I/O,并通过允许多个文件共享同一逻辑群集来提高存储容量。 若要了解详细信息,请参阅在 ReFS 上阻止克隆。
开发驱动器
开发驱动器是一个存储卷,旨在提高关键开发人员工作负载的性能。 开发驱动器利用 ReFS 技术并整合特定的文件系统优化,以更好地控制存储卷设置和安全性。 这包括指定信任、配置防病毒设置以及对附加筛选器执行管理控制的功能。 若要了解详细信息,请参阅 在 Windows 11 上设置开发驱动器。
NVMe
NVMe 是快速固态硬盘 (SSD) 的新标准。 NVMe 存储性能已在 Windows Server 2025 中进行了优化,性能有所提高,导致 IOPS 增加并降低 CPU 利用率。
存储副本压缩
存储副本压缩可减少复制期间通过网络传输的数据量。 若要详细了解存储副本中的压缩,请参阅 存储副本概述。
存储副本增强型日志
增强型日志可帮助存储副本日志实现,以消除与文件系统抽象相关的性能成本,从而提高块复制性能。 若要了解详细信息,请参阅存储副本增强型日志。
ReFS 本机存储重复数据删除和压缩
ReFS 本机存储重复数据删除和压缩技术用于优化静态和活动工作负荷(如文件服务器或虚拟桌面)的存储效率。 若要详细了解 ReFS 重复数据删除和压缩,请参阅 使用 Azure Stack HCI 中的 ReFS 重复数据删除和压缩优化存储。
精简预配卷
具有存储空间直通的精简预配卷是一种更高效地分配存储资源的方法,仅当群集中需要时,才从池中分配成本高昂的过度分配。 还可以将固定卷转换为精简预配卷。 从固定卷转换为精简预配卷会将任何未使用的存储返回池,以供其他卷使用。 若要了解有关精简预配卷的详细信息,请参阅 存储精简预配。
服务器消息块
服务器消息块 (SMB) 是网络中使用最广泛的协议之一,它提供了在网络上的设备之间共享文件和其他资源的可靠方式。 Windows Server 2025 包括对行业标准 LZ4 压缩算法的 SMB 压缩支持。 LZ4 除了对 XPRESS(LZ77)、XPRESS Huffman(LZ77+Huffman)、LZNT1 和 PATTERN_V1的现有 SBS 支持之外。
Azure Arc 和混合
简化的 Azure Arc 设置
默认情况下会安装 Azure Arc 设置按需功能,而它可提供用户友好型向导界面以及位于任务栏中的系统托盘图标,以便将服务器添加到 Azure Arc。Azure Arc 可扩展 Azure 平台的功能,从而允许创建可在不同环境中运行的应用程序和服务。 这些环境包括数据中心、边缘、多云环境,并提供更高的灵活性。 若要了解详细信息,请参阅通过 Azure Arc 安装程序将 Windows Server 计算机连接到 Azure。
即用即付许可
Azure Arc 的即用即付订阅许可选项是 Windows Server 2025 常规永久许可的替代方法。 使用即用即付,你可以部署 Windows Server 设备、授权它,并且只需支付你使用的费用。 此功能通过 Azure Arc 促进,并通过 Azure 订阅计费。 详细了解 Azure Arc 即用即付许可。
Azure Arc 启用的 Windows Server 管理
通过 Azure Arc 启用的 Windows Server 管理为具有有效软件保障或 Windows Server 许可证的 Windows Server 许可证的客户提供了新的权益,这些许可证是活动订阅许可证。 Windows Server 2025 具有以下主要优势:
Azure Arc 中的 Windows Admin Center:Windows Admin Center 现已与 Azure Arc 集成,允许你从 Azure Arc 门户管理 Windows Server 实例。 此集成为 Windows Server 实例提供统一的管理体验,无论是在本地、云中还是在边缘运行。
远程支持:为客户提供专业支持,能够使用详细的执行脚本和吊销权限授予实时(JIT)访问权限。
最佳做法评估:收集和分析服务器数据,以生成问题和修正指南和性能改进。
Azure Site Recovery 配置:配置 Azure Site Recovery 以确保业务连续性,为关键工作负荷提供复制和数据复原能力。
若要详细了解由 Azure Arc 启用的 Windows Server 管理以及可用优势,请参阅 Azure Arc 启用的 Windows Server 管理。
软件定义的网络 (SDN)
SDN 是一种网络方法,它允许网络管理员通过抽象化较低级别的功能来管理网络服务。 SDN 使网络控制平面(负责管理网络)与处理实际流量的数据平面分离。 这种分离允许提高网络管理的灵活性和可编程性。 SDN 在 Windows Server 2025 中具有以下优势:
网络控制器是 SDN 的控制平面,现在直接托管为物理主机上的故障转移群集服务。 使用群集角色无需部署 VM、简化部署和管理,同时节省资源。
基于标记的分段允许管理员使用自定义服务标记来关联网络安全组(NSG)和 VM 进行访问控制。 管理员现在可以使用简单的自解释标签来标记工作负荷 VM,并根据这些标记应用安全策略,而不是指定 IP 范围。 标记简化了管理网络安全的过程,无需记住并重新键入 IP 范围。 若要了解详细信息,请参阅 在 Windows Admin Center 中使用标记配置网络安全组。
Windows Server 2025 中的默认网络策略为通过 Windows Admin Center 部署的工作负载将类似 Azure 的保护选项引入 NSG。 默认策略拒绝所有入站访问,允许选择性地打开已知入站端口,同时允许从工作负荷 VM 进行完全出站访问。 默认网络策略可确保从创建点保护工作负荷 VM。 若要了解详细信息,请参阅 在 Azure Stack HCI 版本 23H2 上的虚拟机上使用默认网络访问策略。
SDN 多站点在两个位置的应用程序之间提供本机第 2 层和第 3 层连接,无需任何额外的组件。 此功能允许无缝移动应用程序,而无需重新配置应用程序或网络。 它还为工作负载提供统一的网络策略管理,确保在工作负荷 VM 从一个位置移动到另一个位置时不需要更新策略。 若要了解详细信息,请参阅 什么是 SDN 多站点?。
SDN 第 3 层网关的性能得到增强,可实现更高的吞吐量和减少的 CPU 周期。 默认情况下启用这些改进。 通过 PowerShell 或 Windows Admin Center 配置 SDN 网关第 3 层连接时,用户会自动体验更好的性能。
Windows 容器可移植性
可移植性是容器管理的一个重要方面,能够通过增强 Windows 中容器的灵活性和兼容性来简化升级。 可移植性是 Windows Server 的一项功能,允许用户在不同主机或环境之间移动容器映像及其关联的数据,而无需进行任何修改。 用户可以在一台主机上创建容器映像,然后将其部署到另一台主机上,而不必担心兼容性问题。 要了解详细信息,请参阅容器的可移植性。
Windows Server 预览体验计划
Windows Server 预览体验计划为爱好者社区提供对最新 Windows OS 版本的早期访问。 作为成员,你可以率先试用 Microsoft 正在开发的新想法和概念。 注册为成员后,你可以选择从 Windows 更新 转到 Windows 预览体验计划来参与不同的发布频道。