Apa yang baru di Windows Server 2025 (pratinjau)

Artikel
10/01/2024

Penting

Windows Server 2025 berada dalam PRATINJAU. Informasi ini berkaitan dengan produk prarilis yang mungkin dimodifikasi secara substansial sebelum dirilis. Microsoft tidak memberikan jaminan, tersurat maupun tersirat, sehubungan dengan informasi yang diberikan di sini.

Artikel ini menjelaskan beberapa pengembangan terbaru di Windows Server 2025, yang membanggakan fitur canggih yang meningkatkan keamanan, performa, dan fleksibilitas. Dengan opsi penyimpanan yang lebih cepat dan kemampuan untuk berintegrasi dengan lingkungan cloud hibrid, mengelola infrastruktur Anda sekarang lebih efisien. Windows Server 2025 dibangun berdasarkan fondasi kuat pendahulunya sambil memperkenalkan berbagai peningkatan inovatif untuk beradaptasi dengan kebutuhan Anda.

Jika Anda tertarik untuk mencoba fitur terbaru Windows Server 2025 sebelum rilis resmi, lihat Mulai menggunakan Pratinjau Windows Server Insiders.

Yang baru

Fitur baru berikut ini khusus untuk Windows Server dengan Pengalaman Desktop saja. Diperlukan perangkat fisik yang menjalankan sistem operasi dan driver yang benar yang tersedia.

Layanan Domain Active Directory

Penyempurnaan terbaru untuk Active Directory Domain Services (AD DS) dan Active Directory Lightweight Domain Services (AD LDS) memperkenalkan berbagai fungsionalitas dan kemampuan baru yang bertujuan untuk mengoptimalkan pengalaman manajemen domain Anda:

Fitur opsional ukuran halaman database 32k - AD menggunakan database Extensible Storage Engine (ESE) sejak diperkenalkan di Windows 2000 yang menggunakan ukuran halaman database 8k. Keputusan desain arsitektur 8k menghasilkan keterbatasan di seluruh AD yang didokumenkan dalam Skalabilitas Batas Maksimum AD. Contoh batasan ini adalah objek AD rekaman tunggal, yang tidak boleh melebihi ukuran 8k byte. Pindah ke format halaman database 32k menawarkan peningkatan besar di area yang dipengaruhi oleh pembatasan warisan, termasuk atribut multinilai sekarang dapat menyimpan hingga ~ 3.200 nilai, yang merupakan peningkatan oleh faktor 2,6.

DC baru dapat diinstal dengan database halaman 32k yang menggunakan ID Nilai Panjang (LID) 64-bit dan berjalan dalam "mode halaman 8k" untuk kompatibilitas dengan versi sebelumnya. DC yang ditingkatkan terus menggunakan format database saat ini dan halaman 8k. Memindahkan ke halaman database 32k dilakukan secara hutan dan mengharuskan semua DC di forest memiliki database berkemampuan halaman 32k.
Pembaruan skema AD - Tiga File Database Log (LDF) baru diperkenalkan yang memperluas skema AD, sch89.ldf, sch90.ldf, dan sch91.ldf. Pembaruan skema setara AD LDS berada di MS-ADAM-Upgrade3.ldf. Untuk mempelajari selengkapnya tentang pembaruan skema sebelumnya, lihat Pembaruan skema Windows Server AD
Perbaikan objek AD - AD sekarang memungkinkan administrator perusahaan untuk memperbaiki objek dengan atribut inti yang hilang SamAccountType dan ObjectCategory. Administrator perusahaan dapat mengatur ulang atribut LastLogonTimeStamp pada objek ke waktu saat ini. Operasi ini dicapai melalui fitur operasi modifikasi RootDSE baru pada objek yang terpengaruh yang disebut fixupObjectState.
Dukungan audit pengikatan saluran - Peristiwa 3074 dan 3075 sekarang dapat diaktifkan untuk pengikatan saluran Lightweight Directory Access Protocol (LDAP). Saat kebijakan pengikatan saluran dimodifikasi ke pengaturan yang lebih aman, administrator dapat mengidentifikasi perangkat di lingkungan yang tidak mendukung atau gagal mengikat validasi saluran. Peristiwa audit ini juga tersedia di Windows Server 2022 dan yang lebih baru melalui KB4520412.
Peningkatan algoritma lokasi DC - Algoritma penemuan DC menyediakan fungsionalitas baru dengan peningkatan pemetaan nama domain pendek bergaya NetBIOS ke nama domain bergaya DNS. Untuk mempelajari selengkapnya, lihat Perubahan pencari lokasi DC Direktori Aktif.

Catatan

Windows tidak menggunakan mailslots selama operasi penemuan DC karena Microsoft telah mengumumkan penghentian WINS dan mailslots untuk teknologi warisan ini.
Tingkat Fungsional Forest dan Domain - Tingkat fungsional baru digunakan untuk dukungan umum dan diperlukan untuk fitur ukuran halaman database 32K baru. Tingkat fungsi baru memetakan ke nilai DomainLevel 10 dan ForestLevel 10 untuk penginstalan tanpa pengawas. Microsoft tidak memiliki rencana untuk meretrofit tingkat fungsi untuk Windows Server 2019 dan Windows Server 2022. Untuk melakukan promosi tanpa pengawasan dan penurunan pangkat Pengendali Domain (DC), lihat sintaks file jawaban DCPROMO untuk promosi tanpa pengawasan dan penurunan pengontrol domain.

Antarmuka Pemrograman Aplikasi (API) DsGetDcName juga mendukung bendera DS_DIRECTORY_SERVICE_13_REQUIRED baru yang memungkinkan lokasi DC yang menjalankan Windows Server 2025. Anda dapat mempelajari selengkapnya tentang tingkat fungsi di artikel berikut:
Catatan

Forest AD baru atau set konfigurasi AD LDS diperlukan untuk memiliki tingkat fungsi windows Server 2016 atau lebih besar. Promosi replika AD atau AD LDS mengharuskan domain atau set konfigurasi yang ada sudah berjalan dengan tingkat fungsional Windows Server 2016 atau yang lebih besar.

Microsoft menyarankan agar semua pelanggan mulai merencanakan sekarang untuk meningkatkan server AD dan AD LDS mereka ke Windows Server 2022 sebagai persiapan rilis berikutnya.
Algoritma yang ditingkatkan untuk Pencarian Nama/Sid - Nama Otoritas Keamanan Lokal (LSA) dan penerusan pencarian Sid antar akun komputer tidak lagi menggunakan saluran aman Netlogon warisan. Autentikasi Kerberos dan algoritma Pencari Lokasi DC digunakan sebagai gantinya. Untuk menjaga kompatibilitas dengan sistem operasi warisan, anda masih dapat menggunakan saluran aman Netlogon sebagai opsi fallback.
Peningkatan keamanan untuk atribut rahasia - instans DC dan AD LDS hanya memungkinkan operasi penambahan, pencarian, dan modifikasi LDAP yang melibatkan atribut rahasia saat koneksi dienkripsi.
Keamanan yang ditingkatkan untuk kata sandi akun komputer default - AD sekarang menggunakan kata sandi akun komputer default yang dihasilkan secara acak. Windows 2025 DC memblokir pengaturan kata sandi akun komputer ke kata sandi default nama akun komputer.

Perilaku ini dapat dikontrol dengan mengaktifkan pengaturan GPO Pengendali domain: Menolak pengaturan kata sandi akun komputer default yang terletak di: Konfigurasi Komputer\Pengaturan Windows\Pengaturan Keamanan\Kebijakan Lokal\Opsi Keamanan

Utilitas seperti Active Directory Administrative Center (ADAC), Active Directory Users and Computers (ADUC), net computer, dan dsmod juga menghormati perilaku baru ini. ADAC dan ADUC tidak lagi mengizinkan pembuatan akun Windows pra-2k.
Dukungan Kerberos PKINIT untuk kelincahan kriptografi - Kriptografi Kunci Umum Kerberos untuk Autentikasi Awal dalam implementasi protokol Kerberos (PKINIT) diperbarui untuk memungkinkan kelincahan kriptografi dengan mendukung lebih banyak algoritma dan menghapus algoritma yang dikodekan secara permanen.
Pengaturan GPO Lan Manager - Pengaturan GPO Keamanan jaringan: Jangan simpan nilai hash LAN Manager pada perubahan kata sandi berikutnya tidak lagi ada atau berlaku untuk versi baru Windows.
Enkripsi LDAP secara default - Semua komunikasi klien LDAP setelah ikatan Simple Authentication and Security Layer (SASL) menggunakan penyegelan LDAP secara default. Untuk mempelajari selengkapnya tentang SASL, lihat Autentikasi SASL.
Dukungan LDAP untuk TLS 1.3 - LDAP menggunakan implementasi SCHANNEL terbaru dan mendukung TLS 1.3 untuk LDAP melalui koneksi TLS. Menggunakan TLS 1.3 menghilangkan algoritma kriptografi usang, meningkatkan keamanan atas versi yang lebih lama, dan bertujuan untuk mengenkripsi jabat tangan sebanyak mungkin. Untuk mempelajari lebih lanjut, lihat Protokol di TLS/SSL (Schannel SSP) dan TLS Cipher Suites di Windows Server 2022.
Perilaku perubahan kata sandi RPC SAM warisan - Protokol aman seperti Kerberos adalah cara yang lebih disukai untuk mengubah kata sandi pengguna domain. Pada DC, metode perubahan kata sandi SAM RPC terbaru SamrUnicodeChangePasswordUser4 menggunakan AES diterima secara default ketika dipanggil dari jarak jauh. Metode RPC SAM warisan berikut diblokir secara default ketika dipanggil dari jarak jauh:
Untuk pengguna domain yang merupakan anggota grup Pengguna Terproteksi dan untuk akun lokal di komputer anggota domain, semua perubahan kata sandi jarak jauh melalui antarmuka RPC SAM warisan diblokir secara default termasuk SamrUnicodeChangePasswordUser4.

Perilaku ini dapat dikontrol menggunakan pengaturan Objek Kebijakan Grup (GPO) berikut:

Templat Administratif Konfigurasi > Komputer Manajer > Akun Keamanan Sistem > Mengonfigurasi kebijakan metode RPC perubahan kata sandi SAM >
Dukungan NUMA - AD DS sekarang memanfaatkan perangkat keras berkemampuan Non-uniform Memory Access (NUMA) dengan menggunakan CPU di semua grup prosesor. Sebelumnya, AD hanya akan menggunakan CPU di grup 0. Active Directory dapat meluas melebihi 64 core.
Penghitung kinerja - Memantau dan memecahkan masalah performa penghitung berikut sekarang tersedia:
- Pencari Lokasi DC - Klien dan penghitung khusus DC tersedia.
- Pencarian LSA - Nama dan pencarian SID melalui LsaLookupNames, LsaLookupSids, dan API yang setara. Penghitung ini tersedia di SKU Klien dan Server.
- Klien LDAP - Tersedia di Windows Server 2022 dan yang lebih baru melalui pembaruan KB 5029250 .
Urutan prioritas replikasi - AD sekarang memungkinkan administrator untuk meningkatkan prioritas replikasi yang dihitung sistem dengan mitra replikasi tertentu untuk konteks penamaan tertentu. Fitur ini memungkinkan lebih banyak fleksibilitas dalam mengonfigurasi urutan replikasi untuk mengatasi skenario tertentu.

Azure Arc

Secara default, penyiapan Azure Arc Feature-on-Demand diinstal, yang menawarkan antarmuka wizard yang mudah digunakan dan ikon baki sistem di taskbar untuk memfasilitasi proses penambahan server ke Azure Arc. Azure Arc memperluas kemampuan platform Azure, memungkinkan pembuatan aplikasi dan layanan yang dapat beroperasi di lingkungan yang beragam. Ini termasuk pusat data, tepi, lingkungan multicloud, dan memberikan peningkatan fleksibilitas. Untuk mempelajari selengkapnya, lihat Menyambungkan komputer Windows Server ke Azure melalui Penyiapan Azure Arc.

Dukungan kloning blok

Dimulai dengan Windows 11 24H2 dan Windows Server 2025, Dev Drive sekarang mendukung kloning Blok. Karena Dev Drive menggunakan format sistem file ReFS, dukungan kloning Blok memberikan manfaat performa yang signifikan saat menyalin file. Dengan kloning Blok, sistem file dapat menyalin berbagai byte file atas nama aplikasi sebagai operasi metadata bersifat rendah, daripada melakukan operasi baca dan tulis yang mahal ke data fisik yang mendasar. Ini menghasilkan penyelesaian penyalinan file yang lebih cepat, mengurangi I/O ke penyimpanan yang mendasar, dan peningkatan kapasitas penyimpanan dengan memungkinkan beberapa file untuk berbagi kluster logis yang sama. Untuk mempelajari selengkapnya, lihat Memblokir kloning di ReFS.

Bluetooth

Anda sekarang dapat menyambungkan tikus, keyboard, headset, perangkat audio, dan lainnya melalui bluetooth di Windows Server 2025.

Penjaga Kredensial

Dimulai dengan Windows Server 2025, Credential Guard sekarang diaktifkan secara default pada perangkat yang memenuhi persyaratan. Untuk informasi selengkapnya tentang Credential Guard, lihat Mengonfigurasi Credential Guard.

Shell desktop

Ketika Anda masuk untuk pertama kalinya, pengalaman shell desktop sesuai dengan gaya dan tampilan Windows 11.

Akun Layanan Terkelola yang Didelegasikan

Jenis akun baru ini memungkinkan migrasi dari akun layanan ke Akun Layanan Terkelola (dMSA) yang didelegasikan. Jenis akun ini dilengkapi dengan kunci terkelola dan sepenuhnya acak yang memastikan perubahan aplikasi minimal sambil menonaktifkan kata sandi akun layanan asli. Untuk mempelajari selengkapnya, lihat Gambaran umum Akun Layanan Terkelola yang Didelegasikan.

Dev Drive

Dev Drive adalah volume penyimpanan yang bertujuan untuk meningkatkan performa beban kerja pengembang yang penting. Dev Drive menggunakan teknologi ReFS dan menggabungkan pengoptimalan sistem file tertentu untuk menawarkan kontrol yang lebih besar atas pengaturan dan keamanan volume penyimpanan. Ini termasuk kemampuan untuk menunjuk kepercayaan, mengonfigurasi pengaturan antivirus, dan menjalankan kontrol administratif atas filter terlampir. Untuk mempelajari selengkapnya, lihat Menyiapkan Dev Drive di Windows 11.

DTrace

Windows Server 2025 dilengkapi dengan dtrace sebagai alat asli. DTrace adalah utilitas baris perintah yang memungkinkan pengguna memantau dan memecahkan masalah performa sistem mereka secara real time. DTrace memungkinkan pengguna untuk secara dinamis melengkapi kernel dan kode ruang pengguna tanpa perlu memodifikasi kode itu sendiri. Alat serbaguna ini mendukung berbagai teknik pengumpulan dan analisis data, seperti agregasi, histogram, dan pelacakan peristiwa tingkat pengguna. Untuk mempelajari selengkapnya, lihat DTrace untuk bantuan baris perintah dan DTrace di Windows untuk kemampuan lain.

Email & akun

Sekarang Anda dapat menambahkan akun berikut di Pengaturan > Akun > Email & akun untuk Windows Server 2025:

Microsoft Entra ID
Akun Microsoft
Akun kantor atau sekolah

Penting untuk diingat bahwa gabungan domain masih diperlukan untuk sebagian besar situasi.

Hub Umpan Balik

Mengirimkan umpan balik atau melaporkan masalah yang dihadapi saat menggunakan Windows Server 2025 sekarang dapat dilakukan menggunakan Hub Tanggapan Windows. Anda dapat menyertakan cuplikan layar atau rekaman proses yang menyebabkan masalah untuk membantu kami memahami situasi Anda dan berbagi saran untuk meningkatkan pengalaman Windows Anda. Untuk mempelajari selengkapnya, lihat Menjelajahi Hub Umpan Balik.

Kompresi File

Build 26040 memiliki fitur kompresi baru saat mengompresi item dengan melakukan klik kanan yang disebut Kompres. Fitur ini mendukung format kompresi ZIP, 7z, dan TAR dengan metode kompresi tertentu untuk masing-masing format.

Hyper-V Manager

Saat membuat komputer virtual baru melalui Hyper-V Manager, Generasi 2 sekarang diatur sebagai opsi default di Wizard Komputer Virtual Baru.

NVMe

NVMe adalah standar baru untuk solid-state drive (SSD) yang cepat. Mengalami pengoptimalan NVMe di Windows Server 2025 dengan peningkatan performa, yang mengakibatkan peningkatan IOPS dan penurunan pemanfaatan CPU.

OpenSSH

Di versi Windows Server yang lebih lama, alat konektivitas OpenSSH memerlukan penginstalan manual sebelum digunakan. Dimulai dengan build 26080, komponen sisi server OpenSSH diinstal secara default di Windows Server 2025. UI Manajer Server juga menyertakan opsi satu klik di bawah Akses SSH Jarak Jauh yang mengaktifkan atau menonaktifkan sshd.exe layanan. Selain itu, Anda dapat menambahkan pengguna ke grup Pengguna OpenSSH untuk mengizinkan atau membatasi akses ke perangkat Anda. Untuk mempelajari selengkapnya, lihat Gambaran umum OpenSSH untuk Windows.

Aplikasi yang disematkan

Menyematkan aplikasi yang paling banyak digunakan sekarang tersedia melalui menu Mulai dan dapat disesuaikan agar sesuai dengan kebutuhan Anda. Pada build 26085, aplikasi default yang disematkan saat ini:

Penyiapan Azure Arc
Hub Umpan Balik
File Explorer
Microsoft Edge
Pengelola Server
Pengaturan
Terminal
Windows PowerShell

Akses Jarak Jauh

Secara default pengaturan Perutean dan Layanan Access Jarak Jauh (RRAS) baru tidak menerima koneksi VPN berdasarkan protokol PPTP dan L2TP. Anda masih dapat mengaktifkan protokol ini jika perlu. Koneksi VPN berbasis SSTP dan IKEv2 masih diterima tanpa perubahan apa pun.

Konfigurasi yang ada mempertahankan perilakunya. Misalnya, jika Anda menjalankan Windows Server 2019 dan menerima koneksi PPTP dan L2TP, setelah memperbarui ke Windows Server 2025 menggunakan pembaruan di tempat, koneksi berbasis L2TP dan PPTP masih diterima. Perubahan ini tidak memengaruhi sistem operasi klien Windows. Untuk mempelajari selengkapnya tentang cara mengaktifkan kembali PPTP dan L2TP, lihat Mengonfigurasi protokol VPN.

Manajemen sertifikat aman

Mencari atau mengambil sertifikat di Windows sekarang mendukung hash SHA-256, seperti yang dijelaskan dalam fungsi CertFindCertificateInStore, dan CertGetCertificateContextProperty. Autentikasi server TLS lebih aman di seluruh Windows, dan sekarang memerlukan panjang kunci RSA minimum 2048 bit. Untuk informasi selengkapnya, baca autentikasi server TLS: Penghentian sertifikat RSA yang lemah.

Garis Besar Keamanan

Dimulai dengan build 26296, Pratinjau Garis Besar Keamanan Windows Server 2025 sekarang tersedia. Dengan menerapkan garis besar keamanan yang disesuaikan, Anda dapat menetapkan langkah-langkah keamanan langsung dari awal untuk peran perangkat atau VM Anda berdasarkan postur keamanan yang direkomendasikan. Garis besar ini dilengkapi dengan lebih dari 350 pengaturan keamanan Windows yang telah dikonfigurasi sebelumnya yang memungkinkan Anda menerapkan dan menerapkan pengaturan keamanan tertentu yang selaras dengan praktik terbaik yang direkomendasikan oleh Microsoft dan standar industri. Untuk mempelajari lebih lanjut, lihat Gambaran umum OSConfig.

Blok Pesan Server

Blok Pesan Server (SMB) adalah salah satu protokol yang paling banyak digunakan dalam jaringan dengan menyediakan cara yang dapat diandalkan untuk berbagi file dan sumber daya lain antara perangkat di jaringan Anda. Windows Server 2025 menghadirkan kemampuan SMB berikut.

Dimulai dengan build 26090, serangkaian perubahan protokol SMB lainnya diperkenalkan untuk menonaktifkan QUIC, penandatanganan, dan enkripsi.

Penonaktifan SMB over QUIC

Administrator dapat menonaktifkan SMB melalui klien QUIC melalui Kebijakan Grup dan PowerShell. Untuk menonaktifkan SMB melalui QUIC menggunakan Kebijakan Grup, atur kebijakan Aktifkan SMB over QUIC di jalur ini ke Dinonaktifkan.
- Konfigurasi Komputer\Templat Administratif\Jaringan\Stasiun Kerja Lanman
- Konfigurasi Komputer\Templat Administratif\Jaringan\Server Lanman
Untuk menonaktifkan SMB melalui QUIC menggunakan PowerShell, jalankan perintah ini dalam prompt PowerShell yang ditingkatkan:
```
Set-SmbClientConfiguration -EnableSMBQUIC $false
```
Penandatanganan SMB dan audit enkripsi

Administrator dapat mengaktifkan audit server dan klien SMB untuk dukungan penandatanganan dan enkripsi SMB. Jika klien atau server pihak ketiga tidak memiliki dukungan untuk enkripsi atau penandatanganan SMB, itu dapat dideteksi. Ketika perangkat atau perangkat lunak pihak ketiga Anda menyatakan mendukung SMB 3.1.1, tetapi gagal mendukung penandatanganan SMB, perangkat tersebut melanggar persyaratan protokol integritas Pra-autentikasi SMB 3.1.1.

Anda dapat mengonfigurasi pengaturan penandatanganan SMB dan audit enkripsi menggunakan Kebijakan Grup atau PowerShell. Kebijakan ini dapat diubah dalam jalur Kebijakan Grup berikut:
- Konfigurasi Komputer\Templat Administratif\Jaringan\Server Lanman\Audit klien tidak mendukung enkripsi
- Konfigurasi Komputer\Templat Administratif\Jaringan\Server Lanman\Audit klien tidak mendukung penandatanganan
- Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit server tidak mendukung enkripsi
- Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit server tidak mendukung penandatanganan
Untuk melakukan perubahan ini menggunakan PowerShell, jalankan perintah ini dalam prompt yang ditingkatkan di mana $true adalah mengaktifkan dan $false menonaktifkan pengaturan ini:
```
Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true

Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true
```
Log peristiwa untuk perubahan ini disimpan di jalur Pemantau Peristiwa berikut dengan ID Peristiwa yang diberikan.

Jalur ID Peristiwa

Log Aplikasi dan Layanan\Microsoft\Windows\SMBClient\Audit 31998
31999

Log Aplikasi dan Layanan\Microsoft\Windows\SMBServer\Audit 3021
3022
Audit SMB over QUIC

Audit koneksi klien SMB over QUIC menangkap peristiwa yang ditulis ke log peristiwa untuk menyertakan transportasi QUIC dalam Pemantau Peristiwa. Log ini disimpan di jalur berikut dengan ID Peristiwa yang diberikan.

Jalur ID Peristiwa

Log Aplikasi dan Layanan\Microsoft\Windows\SMBClient\Connectivity 30832

Log Aplikasi dan Layanan\Microsoft\Windows\SMBServer\Connectivity 1913
Fitur server SMB over QUIC, yang hanya tersedia di Windows Server Azure Edition, sekarang tersedia di versi Windows Server Standard dan Windows Server Datacenter. SMB over QUIC menambahkan manfaat QUIC, yang menyediakan latensi rendah, koneksi terenkripsi melalui internet.

Sebelumnya, server SMB di Windows mengamanatkan koneksi masuk untuk menggunakan port TCP/445 yang terdaftar IANA sementara klien SMB TCP hanya mengizinkan koneksi keluar ke port TCP yang sama. Sekarang, SMB over QUIC memungkinkan port alternatif SMB di mana port UDP/443 yang diamanatkan QUIC tersedia untuk perangkat server dan klien. Untuk mempelajari selengkapnya, lihat Mengonfigurasi port SMB alternatif.

Fitur lain yang diperkenalkan ke SMB over QUIC adalah kontrol akses klien, yang merupakan alternatif untuk TCP dan RDMA yang memasok konektivitas aman ke server file edge melalui jaringan yang tidak tepercaya. Untuk mempelajari selengkapnya, lihat Cara kerja kontrol akses klien.
Sebelumnya, ketika berbagi dibuat, aturan firewall SMB akan secara otomatis dikonfigurasi untuk mengaktifkan grup "Berbagi File dan Printer" untuk profil firewall yang relevan. Sekarang, pembuatan berbagi SMB di Windows menghasilkan konfigurasi otomatis grup "Berbagi File dan Printer (Pembagian File dan Printer) baru, yang tidak lagi mengizinkan port NetBIOS masuk 137-139. Untuk mempelajari selengkapnya, lihat Aturan firewall yang diperbarui.
Dimulai dengan build 25997, pembaruan dilakukan untuk memberlakukan enkripsi SMB untuk semua koneksi klien SMB keluar. Dengan pembaruan ini, administrator dapat mengatur mandat bahwa semua server tujuan mendukung SMB 3.x dan enkripsi. Jika server tidak memiliki kemampuan ini, klien tidak dapat membuat koneksi.
Juga dalam build 25997, pembatas laju autentikasi SMB, yang membatasi jumlah upaya autentikasi yang dapat dilakukan dalam periode waktu tertentu, diaktifkan secara default. Untuk mempelajari lebih lanjut, lihat Cara kerja pembatas laju autentikasi SMB
Dimulai dengan build 25951, klien SMB mendukung pemblokiran NTLM untuk koneksi keluar jarak jauh. Sebelumnya, Mekanisme Negosiasi GSSAPI Sederhana dan Dilindungi Windows (SPNEGO) akan menegosiasikan Kerberos, NTLM, dan mekanisme lain dengan server tujuan untuk menentukan paket keamanan yang didukung. Untuk mempelajari selengkapnya, lihat Memblokir koneksi NTLM di SMB
Fitur baru dalam build 25951 memungkinkan Anda mengelola dialek SMB di Windows di mana server SMB sekarang mengontrol dialek SMB 2 dan SMB 3 mana yang dinegosiasikannya dibandingkan dengan perilaku sebelumnya yang hanya cocok dengan dialek tertinggi.
Dimulai dengan build 25931, penandatanganan SMB sekarang diperlukan secara default untuk semua koneksi keluar SMB di mana sebelumnya hanya diperlukan saat menyambungkan ke berbagi bernama SYSVOL dan NETLOGON pada pengendali domain AD. Untuk mempelajari selengkapnya, lihat Cara kerja penandatanganan.
Protokol Remote Mailslot dinonaktifkan secara default mulai build 25314 dan dapat dihapus dalam rilis selanjutnya. Untuk mempelajari lebih lanjut, lihat Fitur yang tidak lagi kami kembangkan.
Kompresi SMB menambahkan dukungan untuk algoritma kompresi LZ4 standar industri, selain dukungan yang ada untuk XPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1, dan PATTERN_V1.

Jalur	ID Peristiwa
Log Aplikasi dan Layanan\Microsoft\Windows\SMBClient\Audit	31998 31999
Log Aplikasi dan Layanan\Microsoft\Windows\SMBServer\Audit	3021 3022

Jalur	ID Peristiwa
Log Aplikasi dan Layanan\Microsoft\Windows\SMBClient\Connectivity	30832
Log Aplikasi dan Layanan\Microsoft\Windows\SMBServer\Connectivity	1913

Log Yang Ditingkatkan Replika Penyimpanan

Log yang Ditingkatkan membantu implementasi log Replika Penyimpanan untuk menghilangkan biaya performa yang terkait dengan abstraksi sistem file, yang mengarah ke peningkatan performa replikasi blok. Untuk mempelajari selengkapnya, lihat Log Yang Ditingkatkan Replika Penyimpanan.

Manajer Tugas

Bangun 26040 sekarang olahraga aplikasi Task Manager modern dengan materi mica sesuai dengan gaya Windows 11.

Enklave keamanan berbasis virtualisasi (VBS)

Enklave VBS adalah lingkungan eksekusi tepercaya (TEE) berbasis perangkat lunak di dalam ruang alamat aplikasi host. Enklave VBS menggunakan teknologi VBS yang mendasar untuk mengisolasi bagian sensitif aplikasi dalam partisi memori yang aman. Enklave VBS memungkinkan isolasi beban kerja sensitif dari aplikasi host dan sistem lainnya.

Enklave VBS memungkinkan aplikasi untuk melindungi rahasia mereka dengan menghapus kebutuhan untuk mempercayai admin dan pengerasan terhadap penyerang jahat. Untuk informasi selengkapnya, baca referensi Win32 enklave VBS.

Perlindungan kunci keamanan berbasis virtualisasi (VBS)

Perlindungan kunci VBS memungkinkan pengembang Windows untuk mengamankan kunci kriptografi menggunakan keamanan berbasis virtualisasi (VBS). VBS menggunakan kemampuan ekstensi virtualisasi CPU untuk membuat runtime terisolasi di luar OS normal. Saat digunakan, kunci VBS diisolasi dalam proses yang aman, memungkinkan operasi kunci terjadi tanpa mengekspos materi kunci privat di luar ruang ini. Saat tidak aktif, materi kunci privat dienkripsi oleh kunci TPM, yang mengikat kunci VBS ke perangkat. Kunci yang dilindungi dengan cara ini tidak dapat dibuang dari memori proses atau diekspor dalam teks biasa dari komputer pengguna, mencegah serangan eksfiltrasi oleh penyerang tingkat admin mana pun. VBS harus diaktifkan untuk menggunakan perlindungan kunci. Lihat Mengaktifkan integritas memori untuk informasi tentang cara mengaktifkan VBS.

Wi-Fi

Sekarang lebih mudah untuk mengaktifkan kemampuan nirkabel karena fitur Layanan LAN Nirkabel sekarang diinstal secara default. Layanan startup nirkabel diatur ke manual dan dapat diaktifkan dengan berjalan net start wlansvc di Prompt Perintah, Terminal Windows, atau PowerShell.

Portabilitas kontainer Windows

Portabilitas adalah aspek penting dari manajemen kontainer dan memiliki kemampuan untuk menyederhanakan peningkatan dengan menerapkan fleksibilitas dan kompatibilitas kontainer yang ditingkatkan di Windows. Portabilitas adalah fitur Saluran Tahunan Windows Server untuk host kontainer yang memungkinkan pengguna memindahkan gambar kontainer, dan data terkait mereka, antara host atau lingkungan yang berbeda tanpa memerlukan modifikasi apa pun. Pengguna dapat membuat gambar kontainer pada satu host dan kemudian menyebarkannya di host lain tanpa harus khawatir tentang masalah kompatibilitas. Untuk mempelajari selengkapnya, lihat Portabilitas untuk kontainer.

Program Windows Insider

Program Windows Insider menyediakan akses awal ke rilis OS Windows terbaru untuk komunitas penggemar. Sebagai anggota, Anda dapat menjadi salah satu yang pertama mencoba ide dan konsep baru yang dikembangkan Microsoft. Setelah mendaftar sebagai anggota, Anda dapat memilih untuk berpartisipasi dalam saluran rilis yang berbeda dengan masuk ke Mulai > Pengaturan > Windows Update > Windows Insider Program.

Solusi Kata Sandi Administrator Lokal Windows (LAPS)

Windows LAPS membantu organisasi mengelola kata sandi administrator lokal di komputer yang bergabung dengan domain mereka. Ini secara otomatis menghasilkan kata sandi unik untuk setiap akun administrator lokal komputer, menyimpannya dengan aman di AD, dan memperbaruinya secara teratur. Ini membantu meningkatkan keamanan dengan mengurangi risiko penyerang mendapatkan akses ke sistem sensitif menggunakan kata sandi yang disusupi atau mudah ditebak.

Beberapa fitur diperkenalkan ke Microsoft LAPS yang menghadirkan peningkatan berikut:

Fitur manajemen akun otomatis baru

Pembaruan terbaru memungkinkan admin TI untuk membuat akun lokal terkelola dengan mudah. Dengan fitur ini, Anda dapat menyesuaikan nama akun, mengaktifkan atau menonaktifkan akun, dan bahkan mengacak nama akun untuk keamanan yang ditingkatkan. Selain itu, pembaruan mencakup integrasi yang ditingkatkan dengan kebijakan manajemen akun lokal Microsoft yang ada. Untuk mempelajari selengkapnya tentang fitur ini, lihat Mode manajemen akun Windows LAPS.
Fitur deteksi putar kembali gambar baru

Windows LAPS sekarang mendeteksi kapan pembatalan citra terjadi. Jika pemutaran kembali terjadi, kata sandi yang disimpan di AD mungkin tidak lagi cocok dengan kata sandi yang disimpan secara lokal di perangkat. Pembatalan dapat mengakibatkan "status robek" di mana admin TI tidak dapat masuk ke perangkat menggunakan kata sandi Windows LAPS yang bertahan.

Untuk mengatasi masalah ini, fitur baru ditambahkan yang menyertakan atribut AD yang disebut msLAPS-CurrentPasswordVersion. Atribut ini berisi GUID acak yang ditulis oleh Windows LAPS setiap kali kata sandi baru disimpan di AD dan disimpan secara lokal. Selama setiap siklus pemrosesan, GUID yang disimpan dalam msLAPS-CurrentPasswordVersion dikueri dan dibandingkan dengan salinan yang disimpan secara lokal. Jika berbeda, kata sandi segera diputar.

Untuk mengaktifkan fitur ini, anda perlu menjalankan cmdlet versi Update-LapsADSchema terbaru. Setelah selesai, Windows LAPS mengenali atribut baru dan mulai menggunakannya. Jika Anda tidak menjalankan versi cmdlet yang Update-LapsADSchema diperbarui, Windows LAPS mencatat peristiwa peringatan 10108 di log peristiwa, tetapi terus berfungsi secara normal dalam semua hal lain.

Tidak ada pengaturan kebijakan yang digunakan untuk mengaktifkan atau mengonfigurasi fitur ini. Fitur ini selalu diaktifkan setelah atribut skema baru ditambahkan.
Fitur frase sandi baru

Admin TI sekarang dapat menggunakan fitur baru di Windows LAPS yang memungkinkan pembuatan frasa sandi yang kurang kompleks. Contohnya adalah frasa sandi seperti EatYummyCaramelCandy, yang lebih mudah dibaca, diingat, dan ditik, dibandingkan dengan kata sandi tradisional seperti V3r_b4tim#963?.

Fitur baru ini juga memungkinkan pengaturan kebijakan PasswordComplexity dikonfigurasi untuk memilih salah satu dari tiga daftar kata frasa sandi yang berbeda, yang semuanya disertakan dalam Windows tanpa memerlukan unduhan terpisah. Pengaturan kebijakan baru yang disebut PassphraseLength mengontrol jumlah kata yang digunakan dalam frasa sandi.

Saat Anda membuat frasa sandi, jumlah kata yang ditentukan dipilih secara acak dari daftar kata yang dipilih dan digabungkan. Huruf pertama dari setiap kata dikapitalkan untuk meningkatkan keterbacaan. Fitur ini juga sepenuhnya mendukung pencadangan kata sandi hingga Windows Server AD atau ID Microsoft Entra.

Daftar kata sandi yang digunakan dalam tiga pengaturan kata sandi PasswordComplexity baru bersumber dari artikel Electronic Frontier Foundation, Deep Dive: EFF's New Wordlists for Random Passphrases. Daftar Kata Frasa Sandi Windows LAPS dilisensikan di bawah lisensi Atribusi CC-BY-3.0 dan tersedia untuk diunduh.

Catatan

Windows LAPS tidak memungkinkan penyesuaian daftar kata bawaan atau penggunaan daftar kata yang dikonfigurasi pelanggan.
Kamus kata sandi keterbacaan yang disempurnakan

Windows LAPS memperkenalkan pengaturan PasswordComplexity baru yang memungkinkan admin TI membuat kata sandi yang kurang kompleks. Fitur ini memungkinkan Anda menyesuaikan LAPS untuk menggunakan keempat kategori karakter (huruf besar, huruf kecil, angka, dan karakter khusus) seperti pengaturan kompleksitas yang ada 4. Namun, dengan pengaturan baru 5, karakter yang lebih kompleks dikecualikan untuk meningkatkan keterbacaan kata sandi dan meminimalkan kebingungan. Misalnya, angka "1" dan huruf "I" tidak pernah digunakan dengan pengaturan baru.

Ketika PasswordComplexity dikonfigurasi ke 5, perubahan berikut dilakukan pada kumpulan karakter kamus kata sandi default:
1. Jangan gunakan huruf-huruf ini: 'I', 'O', 'Q', 'l', 'o'
2. Jangan gunakan angka-angka ini: '0', '1'
3. Jangan gunakan karakter "khusus" ini: ',', '.', '&', '{', '}', '[', ']', '(', ')', ';'
4. Mulai gunakan karakter "khusus" ini: ':', '=', '?', '*'
Snap-in Pengguna Direktori Aktif dan Komputer (melalui Konsol Manajemen Microsoft) sekarang menampilkan tab Windows LAPS yang ditingkatkan. Kata sandi Windows LAPS sekarang ditampilkan dalam font baru yang meningkatkan keterbacaannya ketika ditampilkan dalam teks biasa.
Dukungan PostAuthenticationAction untuk mengakhiri proses individual

Opsi baru ditambahkan ke pengaturan Kebijakan Grup PostAuthenticationActions (PAA), "Atur ulang kata sandi, keluar dari akun terkelola, dan hentikan proses yang tersisa" yang terletak di tindakan Pasca-autentikasi >Sistem > Templat Administratif Konfigurasi > Komputer.>

Opsi baru ini adalah ekstensi dari opsi "Atur ulang kata sandi dan keluar dari akun terkelola" sebelumnya. Setelah dikonfigurasi, PAA memberi tahu dan kemudian mengakhiri sesi masuk interaktif apa pun. Ini menghitung dan mengakhiri proses yang tersisa yang masih berjalan di bawah identitas akun lokal yang dikelola Windows LAPS. Penting untuk dicatat bahwa tidak ada pemberitahuan yang mendahului penghentian ini.

Selain itu, perluasan peristiwa pengelogan selama eksekusi pasca-autentikasi-tindakan memberikan wawasan yang lebih mendalam tentang operasi.

Untuk mempelajari selengkapnya tentang Windows LAPS, lihat Apa itu Windows LAPS?.

Windows Terminal

Terminal Windows, aplikasi multishell yang kuat dan efisien untuk pengguna baris perintah, tersedia dalam build ini. Cari "Terminal" di bilah pencarian.

Winget

Winget diinstal secara default, yang merupakan alat baris perintah Pengelola Paket Windows yang menyediakan solusi pengelola paket komprehensif untuk menginstal aplikasi di perangkat Windows. Untuk mempelajari lebih lanjut, lihat Menggunakan alat winget untuk menginstal dan mengelola aplikasi.

Lihat juga

Diskusi Komunitas Windows Server Insiders

Bagikan melalui