Neuerungen in Windows Server 2025 (Vorschauversion)

Artikel
08/14/2024

Wichtig

Windows Server 2025 befindet sich in der VORSCHAU. Diese Informationen beziehen sich auf eine Vorabversion des Produkts, an der vor der Veröffentlichung noch wesentliche Änderungen vorgenommen werden können. Microsoft übernimmt keine Garantie, weder ausdrücklich noch stillschweigend, für die hier bereitgestellten Informationen.

In diesem Artikel werden einige der neuesten Entwicklungen in Windows Server 2025 beschrieben, die erweiterte Features zur Verbesserung der Sicherheit, Leistung und Flexibilität bieten. Dank schnellerer Speicheroptionen und der Möglichkeit zur Integration in hybride Cloudumgebungen ist die Verwaltung Ihrer Infrastruktur jetzt optimiert. Windows Server 2025 baut auf der starken Grundlage seines Vorgängers auf und führt eine Reihe innovativer Verbesserungen ein, um sich an Ihre Anforderungen anzupassen.

Wenn Sie die neuesten Features von Windows Server 2025 vor der offiziellen Version ausprobieren möchten, lesen Sie Erste Schritte mit Windows Server Insiders Preview.

Neuerungen

Die folgenden neuen Features gelten nur für Windows Server mit Desktopdarstellung. Sowohl die physischen Geräte, auf denen das Betriebssystem ausgeführt wird, als auch die richtigen Treiber sind erforderlich.

Active Directory Domain Services

Die neuesten Verbesserungen an Active Directory Domain Services (AD DS) und Active Directory Lightweight Domain Services (AD LDS) bieten eine Reihe neuer Funktionen und Möglichkeiten zur Optimierung Ihrer Domänenverwaltungserfahrung:

Optionale Funktion 32k-Datenbankseitengröße – AD verwendet seit seiner Einführung in Windows 2000 eine ESE-Datenbank (Extensible Storage Engine), die eine 8k-Datenbankseitengröße verwendet. Die architektonische Entscheidung für 8k hat zu Einschränkungen in AD geführt, die in Maximale Skalierbarkeit von AD dokumentiert sind. Ein Beispiel für diese Einschränkung ist, dass ein AD-Objekt mit einem einzelnen Datensatz nicht größer als 8k Bytes sein darf. Die Umstellung auf ein 32k-Datenbankseitenformat bietet eine enorme Verbesserung in Bereichen, die von veralteten Beschränkungen betroffen sind. So können mehrwertige Attribute jetzt bis zu ~3200 Werte enthalten, was einer Steigerung um den Faktor 2,6 entspricht.

Neue DCs können mit einer 32k-Datenbankseite installiert werden, die 64-Bit-LIDs (Long Value IDs) verwendet und in einem "8k-Seitenmodus" ausgeführt wird, um die Kompatibilität mit früheren Versionen zu gewährleisten. Ein aktualisierter DC verwendet weiterhin sein aktuelles Datenbankformat und 8k-Seiten. Die Umstellung auf 32k-Datenbankseiten erfolgt für die gesamte Gesamtstruktur und setzt voraus, dass alle DCs in der Gesamtstruktur über eine 32k-Seiten-fähige Datenbank verfügen.
AD-Schema-Updates – Es werden zwei neue LDFs (Log Database Files) eingeführt, die das AD-Schema erweitern, sch89.ldf, sch90.ldf und sch91.ldf. Die entsprechenden AD LDS-Schemaupdates befinden sich in MS-ADAM-Upgrade3.ldf. Erfahren Sie unter Windows Server AD-Schema-Updates mehr über frühere Schema-Updates.
AD-Objektreparatur – AD ermöglicht Unternehmensadministrator*innen jetzt, Objekte mit fehlenden Kernattributen SamAccountType und ObjectCategory zu reparieren. Unternehmensadministrator*innen können das LastLogonTimeStamp-Attribut für ein Objekt auf die aktuelle Uhrzeit zurücksetzen. Diese Vorgänge werden über ein neues RootDSE-Feature zur Vorgangsänderung vorgenommen, das als fixupObjectState bezeichnet wird.
Support für Kanalbindungs-Audits – Die Ereignisse 3074 und 3075 können jetzt für die LDAP-Kanalbindung (Lightweight Directory Access Protocol) aktiviert werden. Wenn die Richtlinie für die Kanalbindung auf eine sicherere Einstellung geändert wurde, kann ein/e Administrator*in Geräte in der Umgebung identifizieren, die die Kanalbindungsüberprüfung nicht unterstützen oder nicht bestehen. Diese Audit-Ereignisse sind auch in Windows Server 2022 und höher über KB4520412 verfügbar.
Verbesserungen am DC-Lokalisierungsalgorithmus – Der DC-Ermittlungsalgorithmus bietet neue Funktionen mit Verbesserungen bei der Zuordnung von kurzen Domänennamen im NetBIOS-Stil zu Domänennamen im DNS-Stil. Erfahren Sie mehr unter Änderungen am Active Directory DC-Locator.

Hinweis

Windows verwendet während der DC-Ermittlungsvorgänge keine Mailslots, da Microsoft die Abschaffung von WINS und Mailslots für diese veralteten Technologien angekündigt hat.
Funktionsebene Gesamtstruktur und Domäne – Der neue Funktionslevel wird für den allgemeinen Support verwendet und ist für die neue Funktion der 32K-Datenbankseitengröße erforderlich. Die neue Funktionsebene wird den Werten DomainLevel 10 und ForestLevel 10 für unbeaufsichtigte Installationen zugeordnet. Microsoft plant keine Nachrüstung der Funktionsebenen für Windows Server 2019 und Windows Server 2022. Um eine unbeaufsichtigte Herauf- und Herabstufung eines Domänencontrollers (DC) durchzuführen, lesen Sie DCPROMO-Antwortdatei-Syntax für die unbeaufsichtigte Herauf- und Herabstufung von Domänencontrollern.

Die DsGetDcName-API (Application Programming Interface) unterstützt außerdem ein neues Flag DS_DIRECTORY_SERVICE_13_REQUIRED, das die Lokalisierung von DCs ermöglicht, die Windows Server 2025 ausführen. Weitere Informationen zu Funktionsebenen finden Sie in den folgenden Artikeln:
Hinweis

Neue AD-Gesamtstrukturen oder AD LDS-Konfigurationssätze müssen über die Funktionsebene von Windows Server 2016 oder höher verfügen. Zum Heraufstufen eines AD- oder AD LDS-Replikats muss die vorhandene Domäne oder der Konfigurationssatz bereits mit einer Funktionsebene von Windows Server 2016 oder höher ausgeführt werden.

Microsoft empfiehlt allen Kunden, jetzt mit der Planung eines Upgrades ihrer AD- und AD LDS-Server auf Windows Server 2022 zu beginnen, um sich auf das nächste Release vorzubereiten.
Verbesserte Algorithmen für Name/SID-Suchvorgänge – Die LSA- (Local Security Authority, lokale Sicherheitsautorität) und SID-Suchweiterleitung zwischen Computerkonten verwendet nicht mehr den älteren sicheren Netlogon-Kanal. Stattdessen werden Kerberos-Authentifizierung und DC-Locator-Algorithmus verwendet. Um die Kompatibilität mit älteren Betriebssystemen zu wahren, kann auch der sichere Netlogon-Kanal weiterhin als Fallbackoption verwendet werden.
Verbesserte Sicherheit für vertrauliche Attribute – DCs und AD-LDS-Instanzen bieten nur dann die Möglichkeit, LDAP-Vorgänge zum Hinzufügen, Suchen und Ändern von vertraulichen Attributen zuzulassen, wenn die Verbindung verschlüsselt ist.
Verbesserte Sicherheit für Computerkonto-Standardkennwörter – AD verwendet jetzt zufällig generierte Standardkennwörter für das Computerkonto. Windows 2025-DCs verhindern, dass Computerkontokennwörter auf das Standardkennwort des Computerkontonamens festgelegt werden.

Dieses Verhalten kann mithilfe der folgenden GPO-Einstellung gesteuert werden: Domänencontroller: Festlegen des Computerkonto-Standardkennwort verweigern in: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen

Hilfsprogramme wie Active Directory Administrative Center (ADAC), Active Directory-Benutzer und -Computer (ADUC), net computer und dsmod berücksichtigen dieses neue Verhalten. Sowohl ADAC als auch ADUC lassen das Erstellen eines Vorabkontos für Windows 2000 nicht mehr zu.
Kerberos AES SHA256 und SHA384 – Die Implementierung des Kerberos-Protokolls wurde aktualisiert, um stärkere Verschlüsselungs- und Signiermechanismen mit Unterstützung für RFC 8009 durch Hinzufügen von SHA-256 und SHA-384 zu unterstützen. RC4 wird außer Betrieb genommen und auf die Liste der nicht zu verwendenden Verschlüsselungsmethoden verschoben.
Kerberos PKINIT-Unterstützung für kryptografische Agilität – Die Implementierung des PKINIT-Protokolls (Kerberos Public Key Cryptography for Initial Authentication in Kerberos) wurde aktualisiert, um kryptographische Flexibilität zu ermöglichen, indem mehr Algorithmen unterstützt und hartcodierte Algorithmen entfernt wurden.
LAN Manager GPO-Einstellung – Die GPO-Einstellung Netzwerksicherheit: LAN Manager Hash-Wert bei nächster Kennwortänderung nicht speichern ist nicht mehr vorhanden und gilt nicht mehr für neue Versionen von Windows.
LDAP-Standardverschlüsselung – Die gesamte Kommunikation von LDAP-Clients nach einer SASL-Bindung (Simple Authentication and Security Layer) verwendet standardmäßig die LDAP-Versiegelung. Weitere Informationen zu SASL finden Sie unter SASL-Authentifizierung.
LDAP-Unterstützung für TLS 1.3 – LDAP verwendet die neueste SCHANNEL-Implementierung und unterstützt TLS 1.3 für LDAP über TLS-Verbindungen. TLS 1.3 räumt mit veralteten Kryptografiealgorithmen auf, erhöht die Sicherheit gegenüber älteren Versionen und zielt darauf ab, einen möglichst großen Teil des Handshakes zu verschlüsseln. Um mehr zu erfahren, lesen Sie Protokolle in TLS/SSL (Schannel SSP) und TLS Cipher-Suites in Windows Server 2022.
Veraltetes SAM-RPC-Verhalten bei der Änderung von Kennwörtern – Sichere Protokolle wie Kerberos sind der bevorzugte Weg, um die Kennwörter von Domänenbenutzern zu ändern. Auf DCs wird die neueste SAM-RPC-Methode (SamrUnicodeChangePasswordUser4) zur Änderung von Kennwörtern mit AES standardmäßig akzeptiert, wenn sie remote aufgerufen wird. Die folgenden älteren SAM-RPC-Methoden werden bei einem Remoteaufruf standardmäßig blockiert:
Bei Domänenbenutzer*innen, die der Gruppe Geschützte Benutzer angehören, und für lokale Konten auf Domänenmitgliedscomputern werden alle Remotekennwortänderungen über die veraltete SAM-RPC-Schnittstelle standardmäßig blockiert, einschließlich SamrUnicodeChangePasswordUser4.

Dieses Verhalten kann mit der folgenden Einstellung des Gruppenrichtlinienobjekts (GPO) gesteuert werden:

Computerkonfiguration > Administrative Vorlagen > System > Sicherheitskontenmanager > SAM-Richtlinie für RPC-Methoden zum Ändern des Kennworts konfigurieren
NUMA-Support – AD DS nutzt jetzt die Vorteile von NUMA-fähiger Hardware (Non-uniform Memory Access), indem es CPUs in allen Prozessorgruppen verwendet. Bisher wurden in AD nur CPUs in Gruppe 0 verwendet. Active Directory kann über 64 Kerne hinaus erweitert werden.
Leistungszähler – Die Überwachung und Fehlerbehebung der Leistung der folgenden Zähler ist jetzt verfügbar:
- DC Locator – Client- und DC-spezifische Zähler verfügbar.
- LSA Lookups - Name und SID über LsaLookupNames, LsaLookupSids und entsprechende APIs. Diese Zähler sind sowohl für Client- als auch für Server-SKUs verfügbar.
- LDAP-Client – Verfügbar in Windows Server 2022 und höher über das KB 5029250-Update.
Replikationsprioritätsreihenfolge – AD bietet jetzt Administrator*innen die Möglichkeit, die vom System berechnete Replikationspriorität mit einem bestimmten Replikationspartner für einen bestimmten Namenskontext zu erhöhen. Dieses Feature ermöglicht mehr Flexibilität beim Konfigurieren der Replikationsreihenfolge, um bestimmte Szenarien zu behandeln.

Azure Arc

Standardmäßig ist die Funktion zur Einrichtung von Azure Arc on-demand installiert, die eine einfach Assistentenoberfläche und ein Symbol in der Taskleiste bietet, um das Hinzufügen von Servern zu Azure Arc zu erleichtern. Azure Arc erweitert die Funktionalitäten der Azure-Plattform und lässt die Erstellung von Anwendungen und Diensten zu, die in verschiedenen Umgebungen betrieben werden können. Dazu gehören Rechenzentren, Edge- und Multi-Cloud-Umgebungen sowie mehr Flexibilität. Weitere Informationen finden Sie unter Verbinden von Windows Server-Computern mit Azure Über Azure Arc Setup.

Blockieren der Klonungsunterstützung

Ab Windows 11 24H2 und Windows Server 2025 unterstützt Dev Drive nun das Klonen von Blöcken. Da Dev Drive das ReFS-Dateisystemformat verwendet, bietet die Unterstützung für das Klonen von Blöcken erhebliche Leistungsvorteile beim Kopieren von Dateien. Mit dem Klonen von Blöcken kann das Dateisystem einen Bereich von Dateibytes im Namen einer Anwendung als kostengünstige Metadatenoperation kopieren, anstatt teure Lese- und Schreibvorgänge in die zugrunde liegenden physischen Daten auszuführen. Dies führt dazu, dass das Kopieren von Dateien schneller abgeschlossen, E/A auf den zugrunde liegenden Speicher reduziert und die Speicherkapazität verbessert wird, indem mehrere Dateien dieselben logischen Cluster gemeinsam nutzen können. Weitere Informationen finden Sie unter Klonen von Blöcken in ReFS.

Bluetooth

In Windows Server 2025 haben Sie nun die Möglichkeit, Mäuse, Tastaturen, Headsets, Audiogeräte und vieles mehr über Bluetooth zu verbinden.

Credential Guard

Ab Windows Server 2025 ist Credential Guard jetzt standardmäßig auf allen Geräten aktiviert, die die Anforderungen erfüllen. Weitere Informationen zu Credential Guard finden Sie in Credential Guard konfigurieren.

Desktop-Shell

Wenn Sie sich zum ersten Mal anmelden, entspricht die Desktop-Shell-Umgebung dem Stil und der Darstellung von Windows 11.

Delegiertes verwaltetes Dienstkonto

Dieser neue Kontotyp ermöglicht die Migration von einem Dienstkonto zu einem delegierten verwalteten Dienstkonto (Delegated Managed Service Account, dMSA). Dieser Kontotyp enthält verwaltete und vollständig randomisierte Schlüssel, die minimale Anwendungsänderungen sicherstellen, während die ursprünglichen Kennwörter des Dienstkontos deaktiviert werden. Weitere Informationen finden Sie unter Übersicht über delegierte verwaltete Dienstkonten.

Dev Drive

Dev Drive ist ein Speichervolume, das die Leistung wichtiger Entwicklerworkloads verbessern soll. Dev Drive nutzt die ReFS-Technologie und enthält spezifische Dateisystemoptimierungen, um eine bessere Kontrolle über die Einstellungen des Speichervolumens und die Sicherheit zu bieten. Dies umfasst die Möglichkeit, Vertrauensstellungen festzulegen, Antivireneinstellungen zu konfigurieren und administrative Kontrolle über angefügte Filter auszuüben. Weitere Informationen finden Sie unter Einrichten eines Dev Drive unter Windows 11.

DTrace

Windows Server 2025 enthält dtrace als systemeigenes Tool. DTrace ist ein Befehlszeilenprogramm, mit dem Benutzer die Systemleistung in Echtzeit überwachen und Probleme beheben können. DTrace ermöglicht es Benutzern, sowohl den Kernel- als auch den Benutzerbereichscode dynamisch zu instrumentieren, ohne den Code selbst ändern zu müssen. Dieses leistungsstarke Tool unterstützt eine Reihe von Datenerfassungs- und Analysetechniken, wie Aggregationen, Histogramme und Ablaufverfolgung von Ereignissen auf Benutzerebene. Weitere Informationen finden Sie unter DTrace für die Befehlszeilenhilfe und DTrace unter Windows für weitere Funktionen.

E-Mail und Konten

Sie können jetzt die folgenden Konten unter Einstellungen > Konten > E-Mail & Konten für Windows Server 2025 hinzufügen:

Microsoft Entra ID
Microsoft-Konto
Geschäfts-, Schul- oder Unikonto

Es ist wichtig zu beachten, dass in den meisten Situationen weiterhin ein Domänenbeitritt erforderlich ist.

Feedback-Hub

Die Übermittlung von Feedback oder die Meldung von Problemen, die bei der Verwendung von Windows Server 2025 aufgetreten sind, kann jetzt über den Windows-Feedback-Hub durchgeführt werden. Sie können Screenshots oder Aufzeichnungen des Vorgangs, der das Problem verursacht hat, anhängen, damit wir Ihre Situation besser verstehen und Vorschläge zur Verbesserung Ihrer Windows-Erfahrung machen können. Um mehr zu erfahren, lesen Sie Erkunden des Feedback-Hubs.

Dateikomprimierung

Build 26040 verfügt über ein neues Feature beim Komprimieren eines Elements, indem mit der rechten Maustaste auf Komprimieren geklickt wird. Dieses Feature unterstützt die Komprimierungsformate ZIP, 7z und TAR mit bestimmten Komprimierungsmethoden für jedes.

Erstellen von Flights

Flighting ist ab Anfang 2024 nur für die Canary Channel-Version ab Build 26010 verfügbar, sodass Benutzer Windows Server-Flights ähnlich dem Windows-Client erhalten können. Um Flighting auf Ihrem Gerät zu aktivieren, wechseln Sie zu Start > Einstellungen > Windows Update > Windows Insider-Programm. Von dort aus können Sie die gewünschte Insider-Version auswählen.

Hyper-V-Manager

Beim Erstellen eines neuen virtuellen Computers über den Hyper-V-Manager wird Generation 2 jetzt als Standardoption im Assistenten für neue virtuelle Computer festgelegt.

OpenSSH

In früheren Versionen von Windows Server erforderte das Konnektivitätstool OpenSSH vor der Verwendung eine manuelle Installation. Ab Build 26080 wird die serverseitige OpenSSH-Komponente standardmäßig in Windows Server 2025 installiert. Die Server-Manager-Benutzeroberfläche enthält unter SSH-Remotezugriff auch eine 1-Klick-Option, durch die der sshd.exe-Dienst aktiviert oder deaktiviert wird. Außerdem können Sie der Gruppe OpenSSH-Benutzer Benutzer hinzufügen, um den Zugriff auf Ihre Geräte zuzulassen oder einzuschränken. Weitere Informationen finden Sie unter Übersicht über OpenSSH für Windows.

Angeheftete Apps

Die Funktion zum Anheften der am häufigsten verwendeten Apps ist jetzt über das Startmenü verfügbar und kann individuell angepasst werden.. Ab Build 26085 sind standardmäßig die folgenden Apps angeheftet:

Azure Arc Setup
Feedback-Hub
Datei-Explorer
Microsoft Edge
Server-Manager
Einstellungen
Terminal
Windows PowerShell

Remotezugriff

Standardmäßig akzeptieren neue Routing and Remote Access Services (RRAS)-Setups keine VPN-Verbindungen, die auf PPTP- und L2TP-Protokollen basieren. Sie können diese Protokolle weiterhin aktivieren, wenn notwendig. SSTP- und IKEv2-basierte VPN-Verbindungen werden weiterhin ohne Änderung akzeptiert.

Vorhandene Konfigurationen behalten ihr Verhalten bei. Wenn Sie beispielsweise Windows Server 2019 ausführen und PPTP- und L2TP-Verbindungen akzeptieren, werden nach einem direkten Update auf Windows Server 2025 L2TP- und PPTP-basierte Verbindungen weiterhin akzeptiert. Diese Änderung wirkt sich nicht auf die Betriebssysteme für Windows-Clients aus. Weitere Informationen zur Reaktivierung von PPTP und L2TP finden Sie unter VPN-Protokolle konfigurieren.

Server Message Block

Server Message Block (SMB) ist eines der am weitesten verbreiteten Protokolle in Netzwerken, da es eine zuverlässige Möglichkeit bietet, Dateien und andere Ressourcen zwischen Geräten in Ihrem Netzwerk auszutauschen. Windows Server 2025 bietet die folgenden SMB-Funktionen.

Ab Build 26090 werden weitere SMB-Protokolländerungen zum Deaktivieren von QUIC, Signatur und Verschlüsselung eingeführt.

Deaktivierung von SMB über QUIC

Administratoren können den Client für SMB über QUIC über die Gruppenrichtlinie und PowerShell deaktivieren. Wenn Sie SMB über QUIC mithilfe der Gruppenrichtlinie deaktivieren möchten, legen Sie die Richtlinie SMB über QUIC aktivieren in diesen Pfaden auf Deaktiviert fest.
- Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Workstation
- Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Server
Führen Sie zum Deaktivieren von SMB über QUIC mithilfe von PowerShell den folgenden Befehl an einer PowerShell-Eingabeaufforderung mit erhöhten Rechten aus:
```
Set-SmbClientConfiguration -EnableSMBQUIC $false
```
Überwachen der SMB-Signatur und -Verschlüsselung

Administratoren können die Überwachung des SMB-Servers und -Clients aktivieren, um die SMB-Signatur und -Verschlüsselung zu unterstützen. Wenn ein Client oder Server eines Drittanbieters keine Unterstützung für die SMB-Verschlüsselung oder -Signatur bietet, kann er ermittelt werden. Wenn das Gerät oder die Software eines Drittanbieters SMB 3.1.1, aber nicht die SMB-Signatur unterstützt, verstößt dies gegen die Protokollanforderung SMB 3.1.1-Vorauthentifizierungsintegrität.

Sie können die Überwachungseinstellungen für SMB-Signatur und -Verschlüsselung mithilfe der Gruppenrichtlinie oder von PowerShell konfigurieren. Diese Richtlinien können in den folgenden Gruppenrichtlinienpfaden geändert werden:
- Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Server\Verschlüsselung vom Überwachungsclient nicht unterstützt
- Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Server\Signierung vom Überwachungsclient nicht unterstützt
- Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Workstation\Verschlüsselung vom Überwachungsserver nicht unterstützt
- Computerkonfiguration\Administrative Vorlagen\Netzwerk\Lanman Workstation\Signierung vom Überwachungsserver nicht unterstützt
Um diese Änderungen mithilfe von PowerShell vorzunehmen, führen Sie die folgenden Befehle an einer Eingabeaufforderung mit erhöhten Rechten aus. $true dient zum Aktivieren und $false zum Deaktivieren dieser Einstellungen:
```
Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true

Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true
```
Ereignisprotokolle für diese Änderungen werden mit ihrer jeweiligen Ereignis-ID in den folgenden Pfaden der Ereignisanzeige gespeichert.

Pfad Ereignis-ID

Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBClient\Audit 31998
31999

Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBServer\Audit 3021
3022
Überwachung von SMB über QUIC

Die Verbindungsüberwachung für den Client für SMB über QUIC erfasst Ereignisse, die in ein Ereignisprotokoll geschrieben werden, um den QUIC-Transport in die Ereignisanzeige einzuschließen. Diese Protokolle werden mit ihrer jeweiligen Ereignis-ID in den folgenden Pfaden gespeichert:

Pfad Ereignis-ID

Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBClient\Connectivity 30832

Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBServer\Connectivity 1913
Das zuvor nur in Windows Server Azure Edition verfügbare Serverfeature SMB over QUIC ist jetzt in Windows Server Standard- und Windows Server Datacenter-Versionen verfügbar. SMB over QUIC fügt die Vorteile der QUIC hinzu, die niedrige Latenz, verschlüsselte Verbindungen über das Internet bietet.

Zuvor haben SMB-Server in Windows eingehende Verbindungen für die Verwendung des IANA-registrierten Ports TCP/445 vorgeschrieben, während der SMB TCP-Client nur ausgehende Verbindungen mit demselben TCP-Port zugelassen hat. Jetzt ermöglicht SMB over QUIC alternative Ports für SMB, bei denen QUIC-vorgeschriebene UDP/443-Ports sowohl für Server- als auch für Clientgeräte verfügbar sind. Weitere Informationen finden Sie unter Konfigurieren alternativer SMB-Ports.

Ein weiteres Feature, das in SMB über QUIC eingeführt wird, ist die Clientzugriffskontrolle, die eine Alternative zu TCP und RDMA darstellt, die sichere Konnektivität mit Edgedateiservern über nicht vertrauenswürdige Netzwerke bereitstellt. Weitere Informationen finden Sie unter Funktionsweise der Clientzugriffskontrolle.
Bei der Erstellung einer Freigabe wurden die SMB-Firewallregeln automatisch so konfiguriert, dass die Gruppe „Datei- und Druckerfreigabe“ für die relevanten Firewallprofile aktiviert wird. Die Erstellung einer SMB-Freigabe in Windows führt nun zur automatischen Konfiguration der neuen Gruppe „Datei- und Druckerfreigabe (Restriktiv)“, die eingehende NetBIOS-Ports 137-139 nicht mehr zulässt. Weitere Informationen finden Sie unter Aktualisierte Firewallregeln.
Ab Build 25997 wird ein Update vorgenommen, um die SMB-Verschlüsselung für alle ausgehenden SMB-Clientverbindungen zu erzwingen. Mit diesem Update können Administratoren ein Mandat festlegen, das alle Zielserver SMB 3.x und Verschlüsselung unterstützen. Wenn auf einem Server diese Funktionen fehlen, kann der Client keine Verbindung herstellen.
Auch in Build 25997 ist der SMB-Authentifizierungsratengrenzwert, der die Anzahl der Authentifizierungsversuche einschränkt, die innerhalb eines bestimmten Zeitraums vorgenommen werden können, standardmäßig aktiviert. Weitere Informationen finden Sie unter Funktionsweise des SMB-Authentifizierungsratenlimiters
Ab Build 25951 unterstützt der SMB-Client die ntLM-Blockierung für ausgehende Remoteverbindungen. Zuvor würde der Windows Simple and Protected GSSAPI Negotiate Mechanism (SPNEGO) Kerberos, NTLM und andere Mechanismen mit dem Zielserver aushandeln, um ein unterstütztes Sicherheitspaket zu ermitteln. Weitere Informationen finden Sie unter Blockieren von NTLM-Verbindungen auf SMB
Eine neue Funktion in Build 25951 ermöglicht das Verwalten der SMB-Dialekte in Windows. Der SMB-Server kann nun steuern, welche SMB 2- und SMB 3-Dialekte im Vergleich zum vorherigen Verhalten nur mit dem höchsten Dialekt verglichen werden.
Ab Build 25931 ist die SMB-Signierung jetzt standardmäßig für alle ausgehenden SMB-Verbindungen obligatorisch, bei denen sie zuvor nur erforderlich war, wenn eine Verbindung mit Freigaben namens SYSVOL und NETLOGON auf AD-Domänencontrollern hergestellt wird. Weitere Informationen finden Sie unter Funktionsweise der Signierung.
Das Remote Mailslot-Protokoll ist standardmäßig ab Build 25314 deaktiviert und kann in einer späteren Version entfernt werden. Weitere Informationen finden Sie unter Features, die wir nicht mehr entwickeln.
Die SMB-Komprimierung bietet zusätzlich zur bestehenden Unterstützung für XPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1 und PATTERN_V1 Unterstützung für den Industriestandard LZ4-Komprimierungsalgorithmus.

Pfad	Ereignis-ID
Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBClient\Audit	31998 31999
Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBServer\Audit	3021 3022

Pfad	Ereignis-ID
Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBClient\Connectivity	30832
Anwendungs- und Dienstprotokolle\Microsoft\Windows\SMBServer\Connectivity	1913

Erweitertes Speicherreplikat-Protokoll

Erweiterte Protokolle sind bei der Implementierung des Speicherreplikatprotokolls hilfreich, um die mit Dateisystemabstraktionen verbundenen Leistungskosten zu eliminieren, was zu einer verbesserten Blockreplikationsleistung führt. Weitere Informationen finden Sie unter Erweitertes Speicherreplikatprotokoll.

Task-Manager

Build 26040 enthält jetzt die moderne Aufgabenverwaltungs-App mit Mica-Material, die dem Stil von Windows 11 entspricht.

Virtualisierungsbasierte Sicherheit (VBS) Enklaven

Eine VBS-Enclave ist eine softwarebasierte Trusted Execution Environment (vertrauenswürdige Ausführungsumgebung, TEE) im Adressraum einer Hostanwendung. VBS-Enclaves verwenden die zugrunde liegende VBS-Technologie , um den sensiblen Teil einer Anwendung in einer sicheren Speicherpartition zu isolieren. VBS-Enclaves ermöglichen die Isolierung sensibler Workloads sowohl von der Hostanwendung als auch vom Rest des Systems.

Mithilfe von VBS-Enclaves lassen sich die Geheimnisse von Anwendungen schützen. Dies gelingt durch den Verzicht auf die Notwendigkeit, auf Administratoren zu vertrauen, und die Absicherung vor böswilligen Angreifern. Weitere Informationen finden Sie in der Win32-Referenz zu VBS-Enclaves.

Virtualisierungsbasierte Sicherheit (VBS) – Schlüsselschutz

Mit dem VBS-Schlüsselschutz können Windows-Entwickler kryptografische Schlüssel mithilfe der virtualisierungsbasierten Sicherheit (VBS) schützen. VBS verwendet die CPU-Funktion für die Virtualisierungserweiterung, um eine isolierte Laufzeit außerhalb des normalen Betriebssystems zu erstellen. VBS-Schlüssel sind während der Verwendung in einem sicheren Prozess isoliert. Auf diese Weise können Schlüsselvorgänge ausgeführt werden, ohne dass privates Schlüsselmaterial außerhalb dieses Raums verfügbar wird. Privates Schlüsselmaterial wird im Ruhezustand durch einen TPM-Schlüssel verschlüsselt, durch den VBS-Schlüssel an das Gerät gebunden werden. Auf diese Weise geschützte Schlüssel können nicht vom Prozessspeicher gesichert werden oder vom Computer eines Benutzers in Nur-Text exportiert werden. Dies verhindert Exfiltrationsangriffe von jeglichen Angreifern auf Administratorebene. VBS muss aktiviert sein, um den Schlüsselschutz verwenden zu können. Informationen zum Aktivieren von VBS finden Sie unter Aktivieren der Speicherintegrität .

WLAN

Es ist nun einfacher, Wireless-Funktionen zu aktivieren, da das Feature „Wireless LAN-Dienst“ jetzt standardmäßig installiert ist. Der drahtlose Startdienst ist auf manuell festgelegt und kann durch Ausführen von net start wlansvc in der Eingabeaufforderung, dem Windows-Terminal oder der PowerShell aktiviert werden.

Portabilität von Windows-Containern

Portabilität ist ein wichtiger Aspekt der Containerverwaltung. Sie kann Upgrades durch verbesserte Flexibilität und Kompatibilität von Containern in Windows vereinfachen. Portabilität ist ein Feature des jährlichen Windows Server-Kanals für Containerhosts, mit dem Benutzer Containerimages und ihre zugehörigen Daten zwischen verschiedenen Hosts oder Umgebungen verschieben können, ohne dass Änderungen erforderlich sind. Benutzer können ein Containerimage auf einem Host erstellen und es dann auf einem anderen Host bereitstellen, ohne sich Gedanken über Kompatibilitätsprobleme machen zu müssen. Weitere Informationen finden Sie unter Portabilität für Container.

Windows-Insider-Programm

Das Windows Insider Programm bietet einer Community von Enthusiasten frühzeitigen Zugriff auf die neuesten Versionen von Windows-Betriebssystemen. Als Mitglied können Sie zu den ersten gehören, um neue Ideen und Konzepte auszuprobieren, die Microsoft entwickelt. Nach der Registrierung als Mitglied können Sie sich verschiedenen Veröffentlichungskanälen beitreten, indem Sie zu Start > Einstellungen > Windows Update > Windows-Insider-Program wechseln.

Windows Kennwortlösung für lokale Administratoren (LAPS)

Windows LAPS unterstützt Unternehmen bei der Verwaltung lokaler Administratorkennwörter auf ihren domänenverbundenen Computern. Es generiert automatisch eindeutige Kennwörter für das lokale Administratorkonto jedes Computers, speichert sie sicher in AD und aktualisiert sie regelmäßig. Dies trägt zur Verbesserung der Sicherheit bei, indem es das Risiko verringert, dass Angreifer mit kompromittierten oder leicht zu erratenden Passwörtern Zugang zu sensiblen Systemen erlangen.

In Microsoft LAPS wurden mehrere Funktionen eingeführt, die die folgenden Verbesserungen mit sich bringen:

Neue Funktion zur automatischen Kontoverwaltung

Mit dem neuesten Update können IT-Administratoren ganz einfach ein verwaltetes lokales Konto erstellen. Mit dieser Funktion können Sie den Kontonamen anpassen, das Konto aktivieren oder deaktivieren und sogar den Kontonamen nach dem Zufallsprinzip vergeben, um die Sicherheit zu erhöhen. Darüber hinaus beinhaltet das Update eine verbesserte Integration mit den bestehenden lokalen Kontoverwaltungsrichtlinien von Microsoft. Weitere Informationen zu dieser Funktion finden Sie unter Windows LAPS-Kontoverwaltungsmodi.
Neue Funktion zur Erkennung von Bild-Rollbacks

Windows LAPS erkennt jetzt, wenn ein Image-Rollback stattfindet. Bei einem Rollback stimmt das im AD gespeicherte Kennwort möglicherweise nicht mehr mit dem lokal auf dem Gerät gespeicherten Kennwort überein. Rollbacks können zu einem „zerrissenen Zustand“ führen, in dem der IT-Administrator nicht in der Lage ist, sich mit dem gespeicherten Windows LAPS-Kennwort am Gerät anzumelden.

Um dieses Problem zu beheben, wurde eine neue Funktion hinzugefügt, die ein AD-Attribut namens msLAPS-CurrentPasswordVersion enthält. Dieses Attribut enthält eine zufällige GUID, die von Windows LAPS jedes Mal geschrieben wird, wenn ein neues Kennwort im AD beibehalten und lokal gespeichert wird. Bei jedem Verarbeitungszyklus wird die in msLAPS-CurrentPasswordVersion gespeicherte GUID abgefragt und mit der lokal persistierten Kopie verglichen. Wenn sie unterschiedlich sind, wird das Passwort sofort geändert.

Um diese Funktion zu aktivieren, müssen Sie die neueste Version des Cmdlets Update-LapsADSchema ausführen. Sobald dies abgeschlossen ist, erkennt Windows LAPS das neue Attribut und beginnt, es zu verwenden. Wenn Sie die aktualisierte Version des Cmdlets Update-LapsADSchema nicht ausführen, protokolliert Windows LAPS ein 10108-Warnungsereignis im Ereignisprotokoll, funktioniert aber ansonsten weiterhin normal.

Es werden keine Richtlinieneinstellungen zur Aktivierung oder Konfiguration dieser Funktion verwendet. Die Funktion ist immer aktiviert, sobald das neue Schemaattribut hinzugefügt wurde.
Neue Passphrase-Funktion

IT-Administratoren können jetzt eine neue Funktion in Windows LAPS nutzen, die die Generierung von weniger komplexen Passphrasen ermöglicht. Ein Beispiel wäre eine Passphrase wie „EatYummyCaramelCandy“, die im Vergleich zu einem herkömmlichen Passwort wie „V3r_b4tim#963?“ leichter zu lesen, zu merken und einzugeben ist.

Mit dieser neuen Funktion kann auch die Richtlinieneinstellung PasswordComplexity so konfiguriert werden, dass eine von drei verschiedenen Passphrase-Wortlisten ausgewählt wird, die alle in Windows enthalten sind, ohne dass ein separater Download erforderlich ist. Eine neue Richtlinieneinstellung namens PassphraseLength steuert die Anzahl der in der Passphrase verwendeten Wörter.

Beim Erstellen einer Passphrase wird die angegebene Anzahl von Wörtern nach dem Zufallsprinzip aus der gewählten Wortliste ausgewählt und aneinandergehängt. Der erste Buchstabe eines jeden Wortes wird groß geschrieben, um die Lesbarkeit zu verbessern. Diese Funktion unterstützt auch das Sichern von Passwörtern in Windows Server AD oder Microsoft Entra ID.

Die Wortlisten der Passphrasen, die in den drei neuen PasswordComplexity-Passphrasen-Einstellungen verwendet werden, stammen aus dem Artikel der Electronic Frontier Foundation Deep Dive: EFF's New Wordlists for Random Passphrases. Die Windows LAPS Passphrase Word Lists ist lizenziert unter der CC-BY-3.0 Attribution Lizenz und steht zum Download zur Verfügung.

Hinweis

Windows LAPS erlaubt weder die Anpassung der eingebauten Wortlisten noch die Verwendung von kundenkonfigurierten Wortlisten.
Verbesserte Lesbarkeit des Passwort-Wörterbuchs

Windows LAPS führt eine neue PasswordComplexity-Einstellung ein, die es IT-Administratoren ermöglicht, weniger komplexe Passwörter zu erstellen. Mit dieser Funktion können Sie LAPS so anpassen, dass alle vier Zeichenkategorien (Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen) wie bei der bestehenden Komplexitätseinstellung von 4 verwendet werden. Mit der neuen Einstellung von 5 werden jedoch die komplexeren Zeichen ausgeschlossen, um die Lesbarkeit des Passworts zu verbessern und Verwirrung zu vermeiden. So werden beispielsweise die Zahl „1“ und der Buchstabe „I“ bei der neuen Einstellung nie verwendet.

Wenn PasswordComplexity auf 5 konfiguriert ist, werden die folgenden Änderungen am Standardzeichensatz des Kennwortwörterbuchs vorgenommen:
1. Verwenden Sie diese Buchstaben nicht: „I“, „O“, „Q“, „l“, „o“
2. Verwenden Sie diese Zahlen nicht: „0“, „1“
3. Verwenden Sie diese „Sonderzeichen“ nicht: „,“, „.“, „&“, „{„, „}“, „[“, „]“, „(“, „)“, „;“
4. Verwenden Sie diese „Sonderzeichen“: „:“, „=“, „?“, „*“
Das Snap-In Active Directory-Benutzer und -Computer (über die Microsoft Management Console) verfügt jetzt über eine verbesserte Registerkarte Windows LAPS. Das Windows LAPS-Kennwort wird jetzt in einer neuen Schriftart angezeigt, die die Lesbarkeit des Kennworts verbessert, wenn es im Klartext angezeigt wird.
PostAuthenticationAction-Unterstützung für die Beendigung einzelner Prozesse

Der Gruppenrichtlinieneinstellung „PostAuthenticationActions (PAA)“ wird eine neue Option hinzugefügt: „Reset the password, sign out the managed account, and terminate any remaining processes” zu finden unter Computer Configuration > Administrative Templates > System > LAPS > Post-authentication actions.

Diese neue Option ist eine Erweiterung der bisherigen Option „Reset the password and sign out the managed account“. Nach der Konfiguration benachrichtigt das PAA alle interaktiven Anmeldesitzungen und beendet sie dann. Er listet alle verbleibenden Prozesse auf, die noch unter der von Windows LAPS verwalteten lokalen Kontoidentität laufen, und beendet sie. Es ist wichtig zu wissen, dass dieser Kündigung keine Benachrichtigung vorausgeht.

Darüber hinaus bietet die Erweiterung der Protokollierung von Ereignissen während der Ausführung von Aktionen nach der Authentifizierung tiefere Einblicke in den Vorgang.

Weitere Informationen über Windows LAPS finden Sie unter What is Windows LAPS?.

Windows-Terminal

Windows-Terminal, eine leistungsstarke und effiziente Multishell-Anwendung für Befehlszeilenbenutzer, ist in diesem Build verfügbar. Suchen Sie nach „Terminal“ in der Suchleiste.

Winget

Winget ist standardmäßig installiert. Dies ist ein Windows-Paket-Managertool mit Befehlszeilen, die umfassende Paket-Manager-Lösungen zum Installieren von Anwendungen auf Windows-Geräten bereitstellt. Weitere Informationen finden Sie unter Installieren und Verwalten von Anwendungen mit dem Tool „winget“

Siehe auch

Windows Server Insiders Community-Diskussionen

Freigeben über