Partager via


Nouveautés de Windows Server 2025 (préversion)

Important

Windows Server 2025 est en version PRÉLIMINAIRE Certaines informations portent sur un produit en préversion susceptible d’être substantiellement modifié avant sa publication. Microsoft ne donne aucune garantie, expresse ou implicite, concernant les informations fournies ici.

Cet article décrit certaines des évolutions récentes de Windows Server 2025, qui propose des fonctionnalités avancées améliorant la sécurité, les performances et la flexibilité. Grâce à des options de stockage plus rapides et la possibilité de s’intégrer à des environnements de cloud hybride, la gestion de votre infrastructure est désormais plus simplifiée. Windows Server 2025 s’appuie sur les bases solides de son prédécesseur tout en introduisant une gamme d’améliorations innovantes pour s’adapter à vos besoins.

Si vous souhaitez essayer les dernières fonctionnalités de Windows Server 2025 avant leur sortie officielle, veuillez consulter la rubrique Bien démarrer avec la préversion de Windows Server Insiders.

Nouveautés

Les nouvelles fonctionnalités ci-dessous sont spécifiques à Windows Server uniquement avec l’expérience utilisateur. Il est nécessaire d’avoir à la fois les appareils physiques exécutant le système d’exploitation et les pilotes appropriés facilement disponibles.

Services de domaine Active Directory

Les dernières améliorations apportées aux services de domaine Active Directory (AD DS) et aux services de domaine Active Directory légers (AD LDS) proposent une série de nouvelles fonctionnalités et capacités visant à optimiser votre expérience de gestion de domaine.

  • Fonctionnalité optionnelle de taille de page de base de données 32k - AD utilise une base de données Extensible Storage Engine (ESE) depuis son introduction dans Windows 2000, qui utilise une taille de page de base de données de 8k. La décision de conception architecturale de 8k a entraîné des limitations dans AD, qui sont documentées dans AD Maximum Limits Scalability (Limites maximales d'évolutivité d'AD). Un exemple de cette limitation est l'objet AD à enregistrement unique, dont la taille ne peut excéder 8 000 octets. Le passage à un format de page de base de données de 32k offre une amélioration considérable dans les domaines affectés par les restrictions héritées, notamment les attributs à valeurs multiples qui peuvent désormais contenir jusqu'à 3200 valeurs, soit une augmentation d'un facteur de 2,6.

    Les nouveaux DC peuvent être installés avec une base de données de 32 000 pages qui utilise des Long Value IDs (LID) de 64 bits et fonctionne en mode « 8 000 pages » pour assurer la compatibilité avec les versions précédentes. Un DC mis à niveau continue d'utiliser son format de base de données actuel et ses pages de 8k. Le passage à une base de données 32 k se fait à l'échelle de la forêt et nécessite que tous les DC de la forêt disposent d'une base de données 32k.

  • Mise à jour du schéma AD - Trois nouveaux fichiers de base de données de journaux (LDF) sont introduits et étendent le schéma AD, sch89.ldf, sch90.ldf et sch91.ldf. Les mises à jour de schéma équivalentes AD LDS se trouvent dans MS-ADAM-Upgrade3.ldf. Pour en savoir plus sur les précédentes mises à jour du schéma, consultez les Mises à jour du schéma de Windows Server AD

  • Réparation d’objets AD : AD permet désormais aux administrateurs d’entreprise de réparer des objets dont les attributs de base SamAccountType et ObjectCategory sont manquants. Les administrateurs d’entreprise peuvent réinitialiser l’attribut LastLogonTimeStamp sur un objet à l’heure actuelle. Ces opérations sont effectuées grâce à une nouvelle fonctionnalité de modification d’opération RootDSE sur l’objet concerné appelé fixupObjectState.

  • Support d'audit de liaison de chaîne - Les événements 3074 et 3075 peuvent désormais être activés pour la liaison de chaîne LDAP (Lightweight Directory Access Protocol). Lorsque la stratégie de liaison de chaînes a été modifiée pour un paramètre plus sûr, un administrateur peut identifier les périphériques dans l'environnement qui ne supportent pas ou échouent aux validations de liaison de chaînes. Ces événements d'audit sont également disponibles dans Windows Server 2022 et versions ultérieures via KB4520412.

  • Améliorations de l'algorithme de localisation DC - L'algorithme de découverte DC offre de nouvelles fonctionnalités avec des améliorations du mappage des noms de domaine courts de type NetBIOS vers les noms de domaine de type DNS. Pour en savoir plus, consultez les modifications apportées au localisateur DC d'Active Directory.

    Remarque

    Windows n'utilise pas les mailslots pendant les opérations de découverte de DC car Microsoft a annoncé l'abandon de WINS et des mailslots pour ces technologies héritées.

  • Niveaux fonctionnels de la forêt et du domaine - Le nouveau niveau fonctionnel est utilisé pour le support général et est requis pour la nouvelle fonctionnalité de taille de page de base de données de 32K. Le nouveau niveau fonctionnel correspond aux valeurs DomainLevel 10 et ForestLevel 10 pour les installations sans surveillance. Microsoft n’a pas l’intention de modifier les niveaux fonctionnels pour Windows Server 2019 et Windows Server 2022. Pour effectuer une promotion et une rétrogradation sans surveillance d'un contrôleur de domaine (DC), reportez-vous à la syntaxe du fichier de réponse DCPROMO pour la promotion et la rétrogradation sans surveillance des contrôleurs de domaine.

    L’interface de programmation d’application (API) DsGetDcName prend également en charge un nouvel indicateur DS_DIRECTORY_SERVICE_13_REQUIRED qui permet de localiser les contrôleurs de domaine exécutant Windows Server 2025. Vous trouverez plus d'informations sur les niveaux fonctionnels dans les articles suivants :

    Remarque

    De nouvelles forêts AD ou ensembles de configuration AD LDS doivent avoir un niveau fonctionnel de Windows Server 2016 ou supérieur. La promotion d’un réplica AD ou AD LDS nécessite que le domaine ou le jeu de configuration existant fonctionne déjà avec un niveau fonctionnel de Windows Server 2016 ou supérieur.

    Microsoft recommande à tous les clients de commencer à planifier la mise à niveau de leurs serveurs AD et AD LDS vers Windows Server 2022 en préparation de la prochaine version.

  • Algorithmes améliorés pour les recherches de noms/SID : le transfert du nom de l’autorité de sécurité locale (LSA) et de la recherche de SID entre les comptes de machine n’utilise plus l’ancien canal sécurisé Netlogon. On utilise désormais, l’authentification Kerberos et l’algorithme du localisateur de contrôleurs de domaine. Pour maintenir la compatibilité avec les systèmes d’exploitation hérités, il est toujours possible d’utiliser le canal sécurisé Netlogon comme option de secours.

  • Sécurité améliorée pour les attributs confidentiels - Les DC et les instances AD LDS n'autorisent les opérations d'ajout, de recherche et de modification LDAP impliquant des attributs confidentiels que lorsque la connexion est chiffrée.

  • Sécurité améliorée pour les mots de passe par défaut des comptes ordinateur : AD utilise désormais des mots de passe par défaut des comptes ordinateur générés de manière aléatoire. Les contrôleurs de domaine Windows 2025 empêchent de définir les mots de passe des comptes ordinateur comme mots de passe par défaut du nom du compte ordinateur.

    Ce comportement peut être contrôlé en activant le paramètre GPO Contrôleur de domaine : Refuser de définir le mot de passe par défaut du compte de l'ordinateur qui se trouve dans : Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité

    Des utilitaires comme Active Directory Administrative Center (ADAC), Utilisateurs et ordinateurs Active Directory (ADUC), net computer et dsmod respecte également ce nouveau comportement. ADAC et ADUC n’autorisent plus la création d’un compte Windows pré-2k.

  • Kerberos AES SHA256 et SHA384 - L'implémentation du protocole Kerberos est mise à jour pour prendre en charge des mécanismes de chiffrement et de signature plus puissants avec le support de la RFC 8009 en ajoutant SHA-256 et SHA-384. RC4 est déprécié et déplacé dans la liste des algorithmes de chiffrement à ne pas utiliser.

  • Support de Kerberos PKINIT pour l'agilité cryptographique - L'implémentation du protocole Kerberos Public Key Cryptography for Initial Authentication in Kerberos (PKINIT) est mise à jour pour permettre l'agilité cryptographique en supportant plus d'algorithmes et en supprimant les algorithmes codés en dur.

  • Paramètre GPO Gestionnaire de réseau local - Paramètre GPO Sécurité du réseau : Ne pas stocker la valeur de hachage du gestionnaire de réseau local lors du prochain changement de mot de passe n'est plus présent ni applicable aux nouvelles versions de Windows.

  • Chiffrement LDAP par défaut - Toutes les communications des clients LDAP après une liaison SASL (Simple Authentication and Security Layer) utilisent le chiffrement LDAP par défaut. Pour en savoir plus sur SASL, consultez Authentification SASL.

  • Support LDAP pour TLS 1.3 - LDAP utilise la dernière implémentation de SCHANNEL et supporte TLS 1.3 pour les connexions LDAP sur TLS. L’utilisation de TLS 1.3 élimine les algorithmes de chiffrement obsolètes, améliore la sécurité par rapport aux anciennes versions, et vise à chiffrer la plus grande partie possible de l’établissement d’une liaison. Pour en savoir plus, consultez la section Protocoles TLS/SSL (Schannel SSP) et Suites de chiffrement TLS dans Windows Server 2022.

  • Comportement de changement de mot de passe SAM RPC hérité - Les protocoles sécurisés tels que Kerberos sont le moyen privilégié de changer les mots de passe des utilisateurs de domaine. Sur les DC, la dernière méthode de changement de mot de passe SAM RPC SamrUnicodeChangePasswordUser4 utilisant AES est acceptée par défaut lorsqu'elle est appelée à distance. Les méthodes RPC SAM héritées suivantes sont bloquées par défaut lorsqu’elles sont appelées à distance :

    Pour les utilisateurs du domaine qui sont membres du groupe Protected Users et pour les comptes locaux sur les ordinateurs membres du domaine, tous les changements de mot de passe à distance via l'ancienne interface SAM RPC sont bloqués par défaut, y compris SamrUnicodeChangePasswordUser4.

    Ce comportement peut être contrôlé à l'aide du paramètre suivant de l'objet de stratégie de groupe (GPO) :

    Configuration de l'ordinateur > Modèles d'administration > Système > Gestionnaire de comptes de sécurité > Configurer la stratégie de méthodes RPC de changement de mot de passe SAM

  • Support NUMA - AD DS tire désormais parti du matériel NUMA (Non-uniform Memory Access) en utilisant les processeurs de tous les groupes de processeurs. Auparavant, AD n’utiliserait que des processeurs dans le groupe 0. Active Directory peut s'étendre au-delà de 64 cœurs.

  • Compteurs de performance - La surveillance et le dépannage des performances des compteurs suivants sont désormais disponibles :

    • DC Locator - Des compteurs spécifiques aux clients et aux DC sont disponibles.

    • Recherches LSA - Recherche de noms et de SID par le biais des API LsaLookupNames, LsaLookupSids et autres API équivalentes. Ces compteurs sont disponibles pour les UGS client et serveur.

    • Client LDAP - Disponible à partir de Windows Server 2022 via la mise à jour KB 5029250.

  • Ordre de priorité de réplication - AD permet désormais aux administrateurs d'augmenter la priorité de réplication calculée par le système avec un partenaire de réplication particulier pour un contexte de dénomination particulier. Cette fonctionnalité permet une plus grande flexibilité dans la configuration de l’ordre de réplication pour répondre à des scénarios spécifiques.

Azure Arc

Par défaut, la fonctionnalité d'installation d'Azure Arc à la demande est installée. Elle propose une interface d'assistance conviviale et une icône située dans la barre des tâches pour faciliter le processus d'ajout de serveurs à Azure Arc. Azure Arc étend les capacités de la plateforme Azure en permettant la création d'applications et de services capables de fonctionner dans divers environnements. Cela inclut les centres de données, Edge, les environnements multi-cloud et offre une flexibilité accrue. Pour plus d’informations, consultez Connecter des machines Windows Server à Azure via le programme d’installation d’Azure Arc.

Bluetooth

Vous pouvez désormais connecter des souris, des claviers, des casques, des périphériques audio et plus encore via Bluetooth dans Windows Server 2025.

Credential Guard

À compter de Windows Server 2025, Credential Guard est désormais activé par défaut sur les appareils qui répondent aux exigences. Pour plus d’informations sur Credential Guard, consultez Configurer Credential Guard.

Environnement de Bureau

Lors de votre première connexion, l’environnement de Bureau offre une expérience conforme au style et à l’apparence de Windows 11.

Compte de Service Managé Délégué

Ce nouveau type de compte permet la migration d’un compte de service vers un Compte de Service Managé délégué (dMSA). Ce type de compte est livré avec des clés gérées et entièrement aléatoires assurant un minimum de changements dans les applications tout en désactivant les mots de passe de compte de service d’origine. Pour en savoir plus, consultez Vue d’ensemble des Comptes de Service Managé Délégué.

DTrace

Windows Server 2025 est équipé de dtrace en tant qu’outil natif. DTrace est une utilitaire en ligne de commande qui permet aux utilisateurs de surveiller et de dépanner les performances de leur système en temps réel. DTrace permet aux utilisateurs d’instrumenter dynamiquement à la fois le noyau et le code espace utilisateur sans avoir besoin de modifier le code lui-même. Cet outil polyvalent prend en charge une gamme de techniques de collecte et d’analyse de données, telles que les agrégations, les histogrammes et le traçage des événements au niveau utilisateur. Pour en savoir plus, consultez DTrace pour obtenir de l’aide en ligne de commande et DTrace sur Windows pour des fonctionnalités supplémentaires.

E-mail et comptes

Vous pouvez désormais ajouter les comptes suivants dans Paramètres > Comptes > Courrier électronique & comptes pour Windows Server 2025 :

  • Microsoft Entra ID
  • Compte Microsoft
  • Compte professionnel ou scolaire

Il est important de garder à l’esprit que la jonction de domaine est toujours requise pour la plupart des situations.

Hub de commentaires

Envoyer des commentaires ou signaler des problèmes rencontrés lors de l’utilisation de Windows Server 2025 peut désormais être effectué en utilisant le Hub de commentaires Windows. Vous pouvez inclure des captures d’écran ou des enregistrements du processus ayant causé le problème pour nous aider à comprendre votre situation et partager des suggestions pour améliorer votre expérience Windows. Pour en savoir plus, consultez la section Explorer le Hub de commentaires.

Compression de fichiers

La Build 26040 comporte une nouvelle fonctionnalité de compression lors de la compression d’un élément en effectuant un clic droit appelé Compresser vers. Cette fonctionnalité prend en charge les formats de compression ZIP, 7z et TAR avec des méthodes de compression spécifiques pour chacun d’eux.

Distribution de version d’évaluation

La distribution n’est disponible que pour la version de Canary Channel à partir du début de 2024 à partir de la version 26010, ce qui permet aux utilisateurs de recevoir des distributions de Windows Server similaires à celles du client Windows. Pour activer la distribution de versions d’évaluation sur votre appareil, rendez-vous dans Démarrer > Paramètres > Mise à jour Windows > Programme Windows Insider. De là, vous pouvez choisir de participer à la version Insiders souhaitée.

Applications épinglées

Vous pouvez désormais épingler vos applications les plus utilisées via le menu Démarrer et personnaliser selon vos besoins. À partir de la version 26085, les applications épinglées par défaut sont actuellement :

  • Installation d’Azure Arc
  • Hub de commentaires
  • Explorateur de fichiers
  • Microsoft Edge
  • Gestionnaire de serveur
  • Paramètres
  • Terminal
  • Windows PowerShell

Accès à distance

Par défaut, les nouvelles configurations des services de routage et d’accès à distance (RRAS) n’acceptent pas les connexions VPN basées sur les protocoles PPTP et L2TP. Vous pouvez toujours activer ces protocoles si nécessaire. Les connexions VPN basées sur SSTP et IKEv2 sont toujours acceptées sans aucune modification.

Les configurations existantes conservent leur comportement. Par exemple, si vous exécutez Windows Server 2019 et acceptez les connexions PPTP et L2TP, après la mise à jour vers Windows Server 2025 à l’aide d’une mise à jour sur place, les connexions L2TP et PPTP sont toujours acceptées. Cette modification n’affecte pas les systèmes d’exploitation des clients Windows. Pour en savoir plus sur la réutilisation de PPTP et L2TP, consultez Configurer des protocoles VPN.

Protocole SMB

Server Message Block (SMB) est l'un des protocoles les plus utilisés dans la mise en réseau, car il fournit un moyen fiable de partager des fichiers et d'autres ressources entre les appareils de votre réseau. Windows Server 2025 apporte les fonctionnalités SMB suivantes.

À partir de la build 26090, une autre série de modifications du protocole SMB est introduite pour désactiver QUIC, la signature et le chiffrement.

  • Désactivation du SMB sur QUIC

    Les administrateurs peuvent désactiver le client SMB sur QUIC par le biais de la stratégie de groupe et de PowerShell. Pour désactiver SMB sur QUIC à l’aide de la stratégie de groupe, définissez la stratégie Activer SMB sur QUIC dans ces chemins d’accès sur Désactivé.

    • Configuration de l’ordinateur\Modèles d’administration\Réseau\Station de travail Lanman

    • Configuration de l’ordinateur\Modèles d’administration\Réseau\Serveur Lanman

    Pour désactiver SMB sur QUIC à l’aide de PowerShell, exécutez cette commande dans une invite PowerShell avec élévation de privilèges :

    Set-SmbClientConfiguration -EnableSMBQUIC $false
    
  • Audit de la signature et du chiffrement SMB

    Les administrateurs peuvent activer l’audit du serveur et du client SMB pour la prise en charge de la signature et du chiffrement SMB. Si un client ou un serveur tiers ne prend pas en charge le chiffrement ou la signature SMB, il peut être détecté. Lorsque votre appareil ou logiciel tiers indique qu’il prend en charge SMB 3.1.1, mais ne prend pas en charge la signature SMB, il enfreint les exigences du protocole Intégrité de préauthentification de SMB 3.1.1.

    Vous pouvez configurer des paramètres d’audit de la signature et du chiffrement SMB à l’aide de la stratégie de groupe ou de PowerShell. Ces stratégies peuvent être modifiées dans les chemins d’accès suivants de la stratégie de groupe :

    • Configuration de l’ordinateur\Modèles d’administration\Réseau\Serveur Lanman\Le client d’audit ne prend pas en charge le chiffrement

    • Configuration de l’ordinateur\Modèles d’administration\Réseau\Serveur Lanman\Le client d’audit ne prend pas en charge la signature

    • Configuration de l’ordinateur\Modèles d’administration\Réseau\Station de travail Lanman\Le serveur d’audit ne prend pas en charge le chiffrement

    • Configuration de l’ordinateur\Modèles d’administration\Réseau\Station de travail Lanman\Le serveur d’audit ne prend pas en charge la signature

    Pour effectuer ces modifications à l’aide de PowerShell, exécutez ces commandes dans une invite avec élévation de privilèges où $true permet d’activer ces paramètres et $false de les désactiver :

    Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
    Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true
    
    Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
    Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true
    

    Les journaux d’événements relatifs à ces modifications sont stockés dans les chemins d’accès suivants de l’observateur d’événements, avec l’ID d’événement qui leur a été attribué.

    Chemin d’accès ID événement
    Journaux des applications et des services\Microsoft\Windows\SMBClient\Audit 31998
    31999
    Journaux des applications et des services\Microsoft\Windows\SMBServer\Audit 3021
    3022
  • Audit de SMB sur QUIC

    L’audit de la connexion client SMB sur QUIC capture des événements qui sont écrits dans un journal d’événements pour inclure le transport QUIC dans l’observateur d’événements. Ces journaux sont stockés dans les chemins suivants avec l’ID d’événement qui leur a été attribué.

    Chemin d’accès ID événement
    Journaux des applications et des services\Microsoft\Windows\SMBClient\Connectivité 30832
    Journaux des applications et des services\Microsoft\Windows\SMBServer\Connectivité 1913
  • La fonctionnalité SMB sur QUIC du serveur, qui n’était disponible que dans l’édition Azure de Windows Server, est désormais disponible dans les versions Windows Server Standard et Windows Server Datacenter. SMB sur QUIC ajoute les avantages de QUIC, qui fournit des connexions chiffrées à faible latence sur Internet.

    Auparavant, le serveur SMB sous Windows obligeait les connexions entrantes à utiliser le port TCP/445 enregistré auprès de l'IANA, tandis que le client TCP SMB n'autorisait que les connexions sortantes vers ce même port TCP. À présent, SMB sur QUIC permet d’utiliser d’autres ports SMB là où les ports UDP/443 mandatés par QUIC sont disponibles pour le serveur et les appareils clients. Pour en savoir plus, veuillez consulter la section Configurer des ports SMB alternatifs.

    Une autre fonctionnalité introduite dans SMB sur QUIC est le contrôle d’accès client, qui est une alternative à TCP et RDMA qui fournit une connectivité sécurisée aux serveurs de fichiers de périphérie sur des réseaux non fiables. Pour en savoir plus, veuillez consulter la section Fonctionnement du contrôle d’accès client.

  • Auparavant, lorsqu'un partage était créé, les règles de pare-feu SMB étaient automatiquement configurées pour activer le groupe « Partage de fichiers et d'imprimantes » pour les profils de pare-feu concernés. À présent, la création d’un partage SMB dans Windows entraîne la configuration automatique du nouveau groupe « Partage de fichiers et d’imprimantes (restrictif) », qui n’autorise plus les ports NetBIOS entrants 137-139. Pour en savoir plus, veuillez consulter la section Règles de pare-feu mises à jour.

  • À compter de la build 25997, une mise à jour est effectuée pour appliquer le chiffrement SMB à toutes les connexions clients SMB sortantes. Grâce à cette mise à jour, les administrateurs peuvent définir un mandat que tous les serveurs de destination prennent en charge SMB 3.x et le chiffrement. Si un serveur ne dispose pas de ces fonctionnalités, le client ne peut pas établir de connexion.

  • En outre, dans la build 25997, le limiteur d’authentifications SMB, qui limite le nombre de tentatives d’authentification pouvant être effectuées dans un certain laps de temps, est activé par défaut. Pour en savoir plus, veuillez consulter la section Fonctionnement du limiteur de débit d’authentification SMB.

  • À partir de la build 25951, le client SMB prend en charge le blocage NTLM pour les connexions sortantes distantes. Auparavant, le mécanisme de négociation DSGS-API simple et protégé (SPNEGO) négociait Kerberos, NTLM et d’autres mécanismes avec le serveur de destination pour déterminer un package de sécurité pris en charge. Pour en savoir plus, veuillez consulter la section Bloquer les connexions NTLM sur SMB.

  • Une nouvelle fonctionnalité dans la version 25951 vous permet de gérer les dialectes SMB dans Windows où le serveur SMB contrôle désormais les dialectes SMB 2 et SMB 3 qu’il négocie par rapport au comportement précédent qui correspondait uniquement au dialecte le plus élevé.

  • À partir de la version 25931, la signature SMB est désormais requise par défaut pour toutes les connexions sortantes SMB alors qu’auparavant elle était uniquement requise lors de la connexion à des partages nommés SYSVOL et NETLOGON sur les contrôleurs de domaine AD. Pour en savoir plus, veuillez consulter la section Fonctionnement de la signature.

  • Le protocole Remote Mailslot est désactivé par défaut à partir de la version 25314 et peut être supprimé dans une version ultérieure. Pour en savoir plus, veuillez consulter la section Fonctionnalités que nous ne développons plus.

  • La compression SMB ajoute la prise en charge de l'algorithme de compression standard LZ4, en plus de la prise en charge existante de XPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1 et PATTERN_V1.

Journal amélioré de réplica de stockage

Les journaux améliorés aident l’implémentation de Storage Replica à éliminer les coûts de performance associés aux abstractions du système de fichiers, conduisant à une amélioration des performances de réplication des blocs. Pour en savoir plus, veuillez consulter la section Journal amélioré de Storage Replica.

Gestionnaire des tâches

La build 26040 arbore désormais l'application moderne Gestionnaire des tâches avec un matériau mica conforme au style de Windows 11.

Wi-Fi

Il est à présent plus facile d’activer les capacités sans fil car la fonctionnalité du service LAN sans fil est désormais installée par défaut. Le service de démarrage sans fil est réglé sur manuel et peut être activé en exécutant net start wlansvc dans l'invite de commande, le terminal Windows ou PowerShell.

Portabilité des conteneurs Windows

La portabilité constitue un aspect crucial de la gestion des conteneurs et permet de simplifier les mises à niveau en améliorant la flexibilité et la compatibilité des conteneurs dans Windows. La portabilité est une fonctionnalité de Windows Server Annual Channel pour les hôtes de conteneurs qui permet aux utilisateurs de déplacer des images de conteneurs, ainsi que leurs données associées, entre différents hôtes ou environnements sans nécessiter de modifications. Les utilisateurs peuvent créer une image conteneur sur un hôte, puis la déployer sur un autre hôte sans se soucier des problèmes de compatibilité. Pour en savoir plus, consultez Portabilité pour les conteneurs.

Programme Windows Insider

Le programme Windows Insider offre un accès anticipé aux dernières versions du système d'exploitation Windows pour une communauté de passionnés. En tant que membre, vous pouvez faire parti des premiers à essayer les nouvelles idées et concepts développés par Microsoft. Après vous être enregistré en tant que membre, vous pouvez choisir de participer à différents canaux de publication en allant dans Démarrer > Paramètres > Mise à jour Windows > Programme Windows Insider.

Solution de mot de passe d'administrateur local Windows (LAPS)

Windows LAPS aide les organisations à gérer les mots de passe des administrateurs locaux sur leurs ordinateurs reliés à un domaine. Il génère automatiquement des mots de passe uniques pour le compte d'administrateur local de chaque ordinateur, les stocke en toute sécurité dans AD et les met à jour régulièrement. Cela permet d'améliorer la sécurité en réduisant le risque que des attaquants accèdent à des systèmes sensibles en utilisant des mots de passe compromis ou faciles à deviner.

Plusieurs fonctionnalités ont été introduites dans Microsoft LAPS, qui apportent les améliorations suivantes :

  • Nouvelle fonction de gestion automatique des comptes

    La dernière mise à jour permet aux administrateurs informatiques de créer facilement un compte local géré. Grâce à cette fonctionnalité, vous pouvez personnaliser le nom du compte, activer ou désactiver le compte, et même rendre aléatoire le nom du compte pour une sécurité accrue. De plus, la mise à jour comprend une intégration améliorée avec les stratégies de gestion des comptes locaux existantes de Microsoft. Pour en savoir plus sur cette fonctionnalité, consultez les modes de gestion des comptes Windows LAPS.

  • Nouvelle fonction de détection du retour en arrière de l'image

    Windows LAPS détecte désormais lorsqu'un retour en arrière de l'image se produit. Si un retour en arrière se produit, le mot de passe stocké dans AD peut ne plus correspondre au mot de passe stocké localement sur l'appareil. Les retours en arrière peuvent entraîner un « état de déchirement » dans lequel l'administrateur informatique est incapable de se connecter à l'appareil à l'aide du mot de passe Windows LAPS persistant.

    Pour résoudre ce problème, une nouvelle fonctionnalité a été ajoutée qui inclut un attribut AD appelé msLAPS-CurrentPasswordVersion. Cet attribut contient un GUID aléatoire écrit par Windows LAPS chaque fois qu'un nouveau mot de passe est conservé dans AD et enregistré localement. Au cours de chaque cycle de traitement, le GUID stocké dans msLAPS-CurrentPasswordVersion est interrogé et comparé à la copie conservée localement. S'ils sont différents, le mot de passe est immédiatement modifié.

    Pour activer cette fonctionnalité, il est nécessaire d'exécuter la dernière version de la cmdlet Update-LapsADSchema. Une fois cette opération terminée, Windows LAPS reconnaît le nouvel attribut et commence à l'utiliser. Si vous n'exécutez pas la version mise à jour de la cmdlet Update-LapsADSchema, Windows LAPS enregistre un événement d'avertissement 10108 dans le journal des événements, mais continue à fonctionner normalement à tous les autres égards.

    Aucun paramètre de stratégie n'est utilisé pour activer ou configurer cette fonctionnalité. La fonctionnalité est toujours activée une fois que le nouvel attribut de schéma est ajouté.

  • Nouvelle fonction de phrase d'authentification

    Les administrateurs informatiques peuvent désormais utiliser une nouvelle fonctionnalité de Windows LAPS qui permet de générer des phrases de passe moins complexes. Par exemple, une phrase de passe comme « EatYummyCaramelCandy », qui est plus facile à lire, à retenir et à taper qu'un mot de passe traditionnel comme « V3r_b4tim#963? ».

    Cette nouvelle fonctionnalité permet également de configurer le paramètre de stratégie PasswordComplexity pour sélectionner l'une des trois listes de mots de passe différentes, qui sont toutes incluses dans Windows sans nécessiter de téléchargement séparé. Un nouveau paramètre de stratégie appelé PassphraseLength contrôle le nombre de mots utilisés dans la phrase de passe.

    Lorsque vous créez une phrase de passe, le nombre de mots spécifié est sélectionné au hasard dans la liste de mots choisie et concaténé. La première lettre de chaque mot est mise en majuscule pour améliorer la lisibilité. Cette fonction prend également en charge la sauvegarde des mots de passe dans Windows Server AD ou Microsoft Entra ID.

    Les listes de mots de passe utilisées dans les trois nouveaux paramètres de phrase de passe de PasswordComplexity proviennent de l'article de l'Electronic Frontier Foundation intitulé « Deep Dive : EFF's New Wordlists for Random Passphrases ». La liste de mots de passe Windows LAPS est placée sous la licence CC-BY-3.0 Attribution et peut être téléchargée.

    Remarque

    Windows LAPS ne permet pas de personnaliser les listes de mots intégrées ni d'utiliser des listes de mots configurées par le client.

  • Amélioration de la lisibilité du dictionnaire de mots de passe

    Windows LAPS introduit un nouveau paramètre PasswordComplexity qui permet aux administrateurs informatiques de créer des mots de passe moins complexes. Cette fonction vous permet de personnaliser LAPS afin d'utiliser les quatre catégories de caractères (lettres majuscules, lettres minuscules, chiffres et caractères spéciaux) comme le paramètre de complexité existant de 4. Toutefois, avec le nouveau paramètre de 5, les caractères les plus complexes sont exclus afin d'améliorer la lisibilité des mots de passe et de réduire les risques de confusion. Par exemple, le chiffre « 1 » et la lettre « I » ne sont jamais utilisés avec la nouvelle configuration.

    Lorsque PasswordComplexity est configuré sur 5, les modifications suivantes sont apportées au jeu de caractères du dictionnaire de mots de passe par défaut :

    1. N'utilisez pas les lettres suivantes : I, O, Q, l et o.
    2. N'utilisez pas les chiffres suivants : 0 et 1
    3. N'utilisez pas les caractères spéciaux suivants : ',', '.', '&', '{', '}', '[', ']', '(', ')', ';'
    4. Commencez à utiliser ces caractères spéciaux : ':', '=', '?', '*'

    Le snap-in Utilisateurs et ordinateurs d'Active Directory (via Microsoft Management Console) comporte désormais un onglet Windows LAPS amélioré. Le mot de passe Windows LAPS est désormais affiché dans une nouvelle police qui améliore sa lisibilité lorsqu'il est affiché en texte clair.

  • Support PostAuthenticationAction pour l'arrêt des processus individuels

    Une nouvelle option est ajoutée au paramètre de stratégie de groupe PostAuthenticationActions (PAA), « Réinitialiser le mot de passe, déconnecter le compte géré et terminer tous les processus restants » situé dans Configuration de l'ordinateur >Modèles d'administration >Système > LAPS > Post-authentication actions.

    Cette nouvelle option est une extension de l'option précédente « Réinitialiser le mot de passe et déconnecter le compte géré ». Une fois configuré, l'AAP notifie et met fin à toutes les sessions de connexion interactives. Il énumère et termine tous les processus encore en cours d'exécution sous l'identité du compte local géré par Windows LAPS. Il est important de noter qu'aucune notification ne précède cette interruption.

    En outre, l'extension des événements de journal pendant l'exécution de l'action post-authentification permet de mieux comprendre l'opération.

Pour en savoir plus sur Windows LAPS, consultez Qu'est-ce que Windows LAPS?

Terminal Windows

Windows Terminal, une application multi-environnement puissante et efficace pour les utilisateurs de ligne de commande, est disponible dans cette version. Recherchez « Terminal » dans la barre de recherche.

Winget

Winget est installé par défaut, il s’agit d’un un outil en ligne de commandes qui permet d’interagir avec le gestionnaire de paquets Windows Package Manager et qui fournit des solutions complètes de gestion de package pour installer des applications sur les appareils Windows. Pour plus d’informations, veuillez consulter la section Utiliser l’outil Winget pour installer et gérer des applications.

Voir aussi