Novità di Windows Server 2025 (anteprima)

Importante

Windows Server 2025 in ANTEPRIMA. Queste informazioni sono relative alla versione non definitiva del prodotto, che potrebbe subire modifiche significative prima della release definitiva. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

In questo articolo vengono descritti alcuni degli sviluppi più recenti di Windows Server 2025, che vanta funzionalità avanzate che migliorano la sicurezza, le prestazioni e la flessibilità. Grazie alle opzioni di archiviazione più veloci e alla possibilità di integrazione con ambienti cloud ibridi, la gestione dell'infrastruttura è ora più semplice. Windows Server 2025 è stato sviluppato sulla solida base del suo predecessore, introducendo al contempo una serie di miglioramenti innovativi su misura delle proprie esigenze.

Se si è interessati a provare le funzionalità più recenti di Windows Server 2025 prima del rilascio ufficiale, vedere Introduzione a Windows Server Insiders Preview.

Novità

Le nuove funzionalità seguenti sono specifiche di Windows Server solo con Esperienza desktop. Sono necessari entrambi i dispositivi fisici che eseguono il sistema operativo e i driver corretti disponibili.

Active Directory Domain Services

I miglioramenti più recenti per Dominio di Active Directory Services (AD DS) e Active Directory Lightweight Domain Services (AD LDS) introducono una gamma di nuove funzionalità e funzionalità volte a ottimizzare l'esperienza di gestione del dominio:

• Funzionalità facoltativa per le dimensioni delle pagine del database 32k - AD utilizza un database Extensible Storage Engine (ESE) sin dalla sua introduzione in Windows 2000 che utilizza una dimensione di pagina del database di 8k. La decisione di progettazione dell'architettura 8k ha comportato limitazioni in Active Directory documentate in Scalabilità dei limiti massimi di Active Directory. Un esempio di questa limitazione è un singolo oggetto AD di record, che non può superare le dimensioni di 8.000 byte. Il passaggio a un formato di pagina di database a 32k offre un notevole miglioramento nelle aree interessate dalle restrizioni legacy, inclusi gli attributi multivalore ora possono contenere fino a ~3.200 valori, che è un aumento di un fattore pari a 2,6.

  È possibile installare nuovi controller di dominio con un database da 32.000 pagine che utilizza ID valori lunghi (LID) a 64 bit e viene eseguito in "modalità pagina 8.000" per compatibilità con le versioni precedenti. Un controller di dominio aggiornato continua a utilizzare il formato di database corrente e le pagine da 8.000. Il passaggio alle pagine di database da 32.000 viene eseguito a livello di foresta e richiede che tutti i controller di dominio nella foresta dispongano di un database con capacità di pagine da 32.000.

• Aggiornamenti dello schema AD - Vengono introdotti tre nuovi file di database di log (LDF) che estendono lo schema AD, sch89.ldf, sch90.ldf, e sch91.ldf. Gli aggiornamenti dello schema equivalenti di AD LDS si trovano in MS-ADAM-Upgrade3.ldf. Per altre informazioni sugli aggiornamenti dello schema precedente, vedere Aggiornamenti dello schema di Windows Server AD

• Ripristino di oggetti AD - AD consente ora agli amministratori dell'organizzazione di ripristinare gli oggetti con attributi principali mancanti SamAccountType e ObjectCategory. Gli amministratori dell'organizzazione possono reimpostare l'attributo LastLogonTimeStamp in un oggetto all'ora corrente. Queste operazioni vengono eseguite tramite una nuova funzionalità operativa di modifica RootDSE sull'oggetto interessato denominato fixupObjectState.

• Supporto del controllo dell'associazione di canale - gli eventi 3074 e 3075 possono ora essere abilitati per l'associazione di canale LDAP (Lightweight Directory Access Protocol). Quando i criteri di associazione del canale sono stati modificati in un'impostazione più sicura, un amministratore può identificare i dispositivi nell'ambiente che non supportano o non superano le convalide dell'associazione del canale. Questi eventi di controllo sono disponibili anche in Windows Server 2022 e versioni successive tramite KB4520412.

• Miglioramenti dell'algoritmo posizione DC - l'algoritmo di individuazione DC fornisce nuove funzionalità con miglioramenti al mapping di nomi di dominio di tipo NetBIOS brevi ai nomi di dominio in stile DNS. Per altre informazioni, vedere Modifiche del localizzatore di controller di dominio di Active Directory.

  Nota

  Windows non usa mailslot durante le operazioni di individuazione del controller di dominio perché Microsoft ha annunciato la deprecazione di WINS e mailslot per queste tecnologie legacy.

• Livelli funzionali della foresta e del dominio: il nuovo livello funzionale viene usato per supportare in generale ed è necessario per la nuova funzionalità di dimensioni della pagina del database 32K. Il nuovo livello funzionale esegue il mapping al valore di DomainLevel 10 e ForestLevel 10 per le installazioni automatiche. Microsoft non prevede di adattare i livelli funzionali per Windows Server 2019 e Windows Server 2022. Per eseguire un'innalzamento di livello automatico e l'abbassamento di livello di un controller di dominio, vedere sintassi dei file di risposte DCPROMO per promozioni automatiche e abbassamento di livello dei controller di dominio.

  L'Application Programming Interface (API) DsGetDcName supporta anche un nuovo flag DS_DIRECTORY_SERVICE_13_REQUIRED che abilita la posizione dei controller di dominio che eseguono Windows Server 2025. Puoi trovare ulteriori informazioni sui livelli funzionali nei seguenti articoli:

  • Livelli di funzionalità del dominio e della foresta

  • Aumentare il livello di funzionalità del dominio

  • Aumentare il livello di funzionalità della foresta

  Nota

  Per avere un livello funzionale di Windows Server 2016 o superiore, sono necessari nuovi insiemi di configurazione di Active Directory o AD LDS. L'innalzamento di livello di una replica AD o AD LDS richiede che il dominio o il set di configurazione esistente sia già in esecuzione con un livello funzionale di Windows Server 2016 o versione successiva.

  Microsoft consiglia a tutti i clienti di iniziare a pianificare ora di aggiornare i server AD e AD LDS a Windows Server 2022 in preparazione della versione successiva.

• Algoritmi migliorati per le ricerche di Nome e SID - La ricerca con Nome autorità di sicurezza locale (LSA) e la ricerca SID tra account computer non usano più il canale protetto Netlogon legacy. Si utilizzano invece invece l'autenticazione Kerberos e l'algoritmo del localizzatore di controller di dominio. Per mantenere la compatibilità con i sistemi operativi legacy, è comunque possibile usare il canale protetto Netlogon come opzione di fallback.

• Sicurezza migliorata per gli attributi riservati - le istanze DCS e AD LDS consentono solo operazioni di aggiunta, ricerca e modifica LDAP che coinvolgono attributi riservati quando la connessione viene crittografata.

• Sicurezza migliorata per le password predefinite dell'account computer: AD ora utilizza password predefinite per account computer generate casualmente. I controller di dominio di Windows 2025 bloccano l'impostazione delle password dell'account computer sulla password predefinita del nome dell'account computer.

  Questo comportamento può essere controllato abilitando l'impostazione controller di dominio dell'oggetto Criteri di gruppo: Rifiuta l'impostazione predefinita della password dell'account computer disponibile in: Configurazione Computer\Impostazioni Windows\Impostazioni di sicurezza\Criteri Locali\Opzioni di sicurezza

  Utilità come Active Directory Administrative Center (ADAC), Active Directory Users and Computers (ADUC), net computer, e dsmod rispettano questo nuovo comportamento. Sia ADAC che ADUC non consentono più di creare un account Windows pre-2k.

• Kerberos AES SHA256 e SHA384 - l'implementazione del protocollo Kerberos viene aggiornata per supportare meccanismi di crittografia e firma più avanzati con supporto per RFC 8009 aggiungendo SHA-256 e SHA-384. RC4 è deprecato e spostato nell'elenco di crittografia non usato.

• Supporto PKINIT Kerberos per l'agilità crittografica - l'implementazione del protocollo Kerberos Public Key Cryptography for Initial Authentication in Kerberos (PKINIT) viene aggiornata per consentire l'agilità crittografica supportando più algoritmi e rimuovendo algoritmi hardcoded.

• Impostazione oggetto Criteri di gruppo di LAN Manager​ - Sicurezza di rete impostazioni dell'oggetto Criteri di gruppo : non archiviare il valore hash di LAN Manager alla successiva modifica della password non è più presente né applicabile alle nuove versioni di Windows.

• Crittografia LDAP per impostazione predefinita : tutte le comunicazioni client LDAP dopo un'associazione SASL (Simple Authentication and Security Layer) utilizzano la chiusura LDAP per impostazione predefinita. Per altre informazioni su SASL, vedere: autenticazione SASL.

• Supporto LDAP per TLS 1.3 : LDAP usa l'implementazione SCHANNEL più recente e supporta TLS 1.3 per LDAP su connessioni TLS. L'utilizzo di TLS 1.3 elimina gli algoritmi di crittografia obsoleti, migliora la sicurezza rispetto alle versioni precedenti e mira a crittografare la maggior parte dell'handshake possibile. Per altre informazioni, vedere Protocolli in TLS/SSL (SSP Schannel) e pacchetti di crittografia TLS in Windows Server 2022.

• Comportamento di modifica della password RPC SAM legacy - i protocolli sicuri, ad esempio Kerberos, rappresentano il modo migliore per modificare le password utente del dominio. Nei controller di dominio l'ultimo metodo di modifica della password RPC SAM SamrUnicodeChangePasswordUser4 tramite AES viene accettato per impostazione predefinita quando viene chiamato in remoto. I metodi RPC SAM legacy seguenti vengono bloccati per impostazione predefinita quando viene chiamati in remoto:

  • SamrChangePasswordUser

  • SamrOemChangePasswordUser2

  • SamrUnicodeChangePasswordUser2

  Per gli utenti di dominio membri del gruppo Utenti protetti e per gli account locali nei computer membri del dominio, tutte le modifiche remote delle password tramite l'interfaccia RPC SAM legacy vengono bloccate per impostazione predefinita, incluso SamrUnicodeChangePasswordUser4.

  Questo comportamento può essere controllato usando l'impostazione dell'oggetto Criteri di gruppo seguente:

  Configurazione > computer Amministrazione modelli > > amministrativi System Security Account Manager > Configurare la policy dei metodi RPC per la modifica della password SAM

• Supporto NUMA - Servizi di dominio Active Directory sfrutta ora l'hardware con supporto NUMA (Non-Uniform Memory Access) usando CPU in tutti i gruppi di processori. In precedenza, AD utilizzava solo le CPU del gruppo 0. Active Directory può espandersi oltre 64 core.

• Contatori delle prestazioni - il monitoraggio e la risoluzione dei problemi relativi alle prestazioni dei contatori seguenti sono ora disponibili:

  • Localizzatore DC - contatori specifici del client e del controller di dominio disponibili.

  • Nome - LSA Lookup e lookup SID tramite LsaLookupNames, LsaLookupSids e API equivalenti. Questi contatori sono disponibili sia in SKU client che server.

  • Client LDAP: disponibile in Windows Server 2022 e versioni successive tramite aggiornamento KB 5029250.

• Ordine di priorità di replica - AD consente ora agli amministratori di aumentare la priorità di replica calcolata del sistema con un partner di replica specifico per un particolare contesto di denominazione. Questa funzionalità consente una maggiore flessibilità nella configurazione dell'ordine di replica per gestire scenari specifici.

Azure Arc

Per impostazione predefinita, viene installata la funzionalità di installazione di Azure Arc su richiesta, che offre un'interfaccia della procedura guidata intuitiva e un'icona della barra delle applicazioni nella barra delle applicazioni per facilitare il processo di aggiunta di server ad Azure Arc. Azure Arc estende le funzionalità della piattaforma Azure, consentendo la creazione di applicazioni e servizi che possono operare in ambienti diversi. Questi includono data center, ambienti perimetrali, multicloud e offrono una maggiore flessibilità. Per altre informazioni, vedere Connessione computer Windows Server in Azure tramite il programma di installazione di Azure Arc.

Bluetooth

È ora possibile connettere mouse, tastiere, cuffie, dispositivi audio e altro tramite bluetooth in Windows Server 2025.

Credential Guard

A partire da Windows Server 2025, Credential Guard è ora abilitato per impostazione predefinita nei dispositivi che soddisfano i requisiti. Per altre informazioni su Credential Guard, vedere Configurare Credential Guard.

Shell desktop

Quando accedi per la prima volta, l'esperienza della shell desktop è conforme allo stile e all'aspetto di Windows 11.

Account del servizio gestito delegato

Questo nuovo tipo di account consente la migrazione da un account di servizio a un account di servizio gestito delegato (dMSA). Questo tipo di account viene fornito con chiavi gestite e completamente casuali che garantiscono modifiche minime all'applicazione durante la disabilitazione delle password dell'account del servizio originale. Per altre informazioni, vedere Panoramica degli account del servizio gestito delegati.

DTrace

Windows Server 2025 include dtrace come strumento nativo. DTrace è un'utilità della riga di comando che consente agli utenti di monitorare le prestazioni del sistema in tempo reale e di risolvere i problemi ad esse associati. DTrace consente agli utenti di instrumentare dinamicamente il kernel e il codice dello spazio utente senza dover modificare il codice stesso. Questo strumento versatile supporta un'ampia gamma di tecniche di raccolta e analisi dei dati, tra cui aggregazioni, istogrammi e traccia degli eventi a livello di utente. Per altre informazioni, vedere DTrace per la guida della riga di comando e DTrace in Windows per le funzionalità aggiuntive.

Account& di posta elettronica

È ora possibile aggiungere gli account seguenti in Impostazioni > Account > Email & account per Windows Server 2025:

• Microsoft Entra ID
• Account Microsoft
• Account aziendale o dell'istituto di istruzione

È importante tenere presente che l'aggiunta a un dominio è ancora necessaria per la maggior parte delle situazioni.

Hub di Feedback

È ora possibile inviare feedback o segnalare problemi riscontrati durante l'uso di Windows Server 2025 usando l'Hub di Windows Feedback. Puoi includere screenshot o registrazioni del processo che ha causato il problema per aiutarci a comprendere la situazione e condividere suggerimenti per migliorare l'esperienza di Windows. Per altre informazioni, vedere Esplorare l'Hub di Feedback.

Compressione dei file

La build 26040 include una nuova funzionalità di compressione quando si comprime un elemento eseguendo un clic con il pulsante destro del mouse denominato Comprimi su. Questa funzionalità supporta i formati di compressione ZIP, 7z e TAR con metodi di compressione specifici per ognuno di essi.

Versione di anteprima

La versione di anteprima è disponibile solo per la versione del canale Canary a partire dall'inizio del 2024 a partire dalla build di 26010, che consente agli utenti di ricevere versioni di anteprima di Windows Server simili al client Windows. Per abilitare la versione di anteprima nel dispositivo, passare a Start > Impostazioni > Windows Update > Windows Insider Program. Da qui, è possibile scegliere di acconsentire esplicitamente al rilascio dei partecipanti al Programma Insider desiderato.

App aggiunte

L'aggiunta delle app più usate è ora disponibile tramite il menu Start ed è personalizzabile in base alle proprie esigenze. A partire dalla build 26085, le app aggiunte predefinite sono attualmente:

• Programma di installazione di Azure Arc
• Hub di Feedback
• Esplora file
• Microsoft Edge
• Server Manager
• Impostazione
• Terminale
• Windows PowerShell

Accesso remoto

Per impostazione predefinita, le nuove configurazioni di Routing e Servizi di accesso remoto (RRAS) non accettano connessioni VPN basate su protocolli PPTP e L2TP. Se necessario, è comunque possibile abilitare questi protocolli. Le connessioni VPN basate su SSTP e IKEv2 vengono comunque accettate senza alcuna modifica.

Le configurazioni esistenti mantengono il comportamento. Ad esempio, se si esegue Windows Server 2019 e si accettano connessioni PPTP e L2TP, dopo l'aggiornamento a Windows Server 2025 tramite un aggiornamento sul posto, le connessioni basate su L2TP e PPTP sono ancora accettate. Questa modifica non influisce sui sistemi operativi client Windows. Per altre informazioni su come riabilitare PPTP e L2TP, vedere Configurare i protocolli VPN.

Server Message Block

Server Message Block (SMB) è uno dei protocolli più diffusi nella rete, offrendo un modo affidabile per condividere file e altre risorse tra i dispositivi nella rete. Windows Server 2025 offre le funzionalità SMB seguenti.

A partire dalla build 26090, viene introdotto un altro set di modifiche al protocollo SMB per disabilitare QUIC, la firma e la crittografia.

• Disabilitazione di SMB su QUIC

  Gli amministratori possono disabilitare il client SMB su QUIC tramite Criteri di gruppo e PowerShell. Per disabilitare SMB su QUIC usando i Criteri di gruppo, impostare il criterio Abilita SMB su QUIC in questi percorsi su Disabilitato.

  • Configurazione computer\Modelli amministrativi\Rete\Workstation Lanman.

  • Configurazione computer\Modelli amministrativi\Rete\Server Lanman.

  Per disabilitare SMB su QUIC usando PowerShell, eseguire questo comando in un prompt di PowerShell con privilegi elevati:

  Set-SmbClientConfiguration -EnableSMBQUIC $false
  

• Controllo della firma e della crittografia SMB

  Gli amministratori possono abilitare il controllo del server e del client SMB al supporto della firma e della crittografia SMB. Un client o server di terze parti che non supporta la crittografia o la firma SMB può essere rilevato. Se il dispositivo o software di terze parti dichiara di supportare SMB 3.1.1 ma non supporta la firma SMB, viola il requisito del protocollo Integrità di preautenticazione SMB 3.1.1.

  È possibile configurare le impostazioni di controllo della firma e della crittografia SMB usando Criteri di gruppo o PowerShell. Questi criteri possono essere modificati nei seguenti percorsi di Criteri di gruppo:

  • Configurazione Compute\Modelli amministrativi\Rete\Server Lanman\Client Audit non supporta la crittografia

  • Configurazione Compute\Modelli amministrativi\Rete\Server Lanman\Client Audit non supporta la firma

  • Configurazione Compute\Modelli amministrativi\Rete\Workstation Lanman\Server Audit non supporta la crittografia

  • Configurazione Compute\Modelli amministrativi\Rete\Workstation Lanman\Server Audit non supporta la firma

  Per eseguire queste modifiche tramite PowerShell, eseguire questi comandi in un prompt con privilegi elevati in cui $true serve ad abilitare e $false a disabilitare queste impostazioni:

  Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
  Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true
  
  Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
  Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true
  

  I registri eventi di queste modifiche vengono archiviati nei percorsi Visualizzatore eventi seguenti con l'ID evento specificato.

  Percorso	ID evento
  Registri applicazioni e servizi\Microsoft\Windows\SMBClient\Audit	31998 31999
  Registri applicazioni e servizi\Microsoft\Windows\SMBServer\Audit	3021 3022

• Controllo di SMB su QUIC

  Il controllo della connessione client SMB su QUIC acquisisce gli eventi scritti in un registro eventi per includere il trasporto QUIC nel Visualizzatore eventi. Questi registri vengono archiviati nei seguenti percorsi con l'ID evento specificato.

  Percorso	ID evento
  Registri applicazioni e servizi\Microsoft\Windows\SMBClient\Connettività	30832
  Registri applicazioni e servizi\Microsoft\Windows\SMBServer\Connettività	1913

• La funzionalità server SMB su QUIC, disponibile solo in Windows Server Azure Edition, è ora disponibile nelle versioni windows Server Standard e Windows Server Datacenter. SMB su QUIC aggiunge i vantaggi del QUIC, con connessioni crittografate a bassa latenza tramite Internet.

  In precedenza, il server SMB in Windows imponeva alle connessioni in ingresso di usare la porta registrata IANA TCP/445 mentre il client TCP SMB consentiva solo connessioni in uscita alla stessa porta TCP. Ora, SMB su QUIC consente porte alternative SMB in cui le porte UDP/443 con QUIC obbligatorio sono disponibili sia per i dispositivi server che per i dispositivi client. Per altre informazioni, vedere Configurare porte SMB alternative.

  Un'altra funzionalità introdotta da SMB su QUIC è il controllo di accesso client, che è un'alternativa a TCP e RDMA che fornisce una connettività sicura ai file server perimetrali su reti non attendibili. Per altre informazioni, vedere Funzionamento del controllo di accesso client.

• In precedenza, quando è stata creata una condivisione, le regole del firewall SMB venivano configurate automaticamente per abilitare il gruppo "Condivisione file e stampanti" per i profili firewall pertinenti. Ora, la creazione di una condivisione SMB in Windows comporta la configurazione automatica del nuovo gruppo "Condivisione file e stampanti (restrittivo)", che non consente più le porte NetBIOS in ingresso 137-139. Per altre informazioni, vedere Regole del firewall aggiornate.

• A partire dalla build 25997, viene eseguito un aggiornamento per applicare la crittografia SMB per tutte le connessioni client SMB in uscita. Con questo aggiornamento, gli amministratori possono impostare un mandato affinché tutti i server di destinazione supportino SMB 3.x e la crittografia. Se un server non dispone di queste funzionalità, il client non riesce a stabilire una connessione.

• Anche nella build 25997, il limite di velocità di autenticazione SMB, che limita il numero di tentativi di autenticazione che possono essere eseguiti entro un determinato periodo di tempo, è abilitato per impostazione predefinita. Per altre informazioni, vedere Funzionamento del limite della frequenza di autenticazione SMB

• A partire dalla build 25951, il client SMB supporta il blocco NTLM per le connessioni in uscita remote. In precedenza, Windows Simple and Protected GSSAPI Negotiate Mechanism (SPNEGO) negoziava Kerberos, NTLM e altri meccanismi con il server di destinazione per determinare un pacchetto di sicurezza supportato. Per altre informazioni, vedere Bloccare le connessioni NTLM in SMB

• Una nuova funzionalità della build 25951 consente di gestire i dialetti SMB in Windows in cui il server SMB ora controlla quali dialetti SMB 2 e SMB 3 negozia rispetto al comportamento precedente corrispondente solo al dialetto più alto.

• A partire dalla build 25931, la firma SMB è ora richiesta per impostazione predefinita per tutte le connessioni SMB in uscita, in cui in precedenza era necessaria solo quando ci si connetteva alle condivisioni denominate SYSVOL e NETLOGON nei controller di dominio di AD. Per altre informazioni, vedere Funzionamento della firma.

• Il protocollo Remote Mailslot è disabilitato per impostazione predefinita a partire dalla build 25314 e potrebbe essere rimosso in una versione successiva. Per altre informazioni, vedere Funzionalità di cui è cessato lo sviluppo.

• La compressione SMB aggiunge il supporto per l'algoritmo di compressione LZ4 standard del settore, oltre al supporto esistente per XPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1 e PATTERN_V1.

Log avanzato della replica di archiviazione

I log avanzati consentono l'implementazione del log di Archiviazione replica per eliminare i costi di prestazioni associati alle astrazioni del file system, con conseguente miglioramento delle prestazioni di replica dei blocchi. Per altre informazioni, vedere Archiviazione log avanzato della replica.

Gestione attività

La build 26040 ora sfoggia la moderna app Task Manager con materiale mica conforme allo stile di Windows 11.

Enclave di sicurezza basata su virtualizzazione

Un enclave VBS è un ambiente di esecuzione attendibile basato su software all'interno dello spazio indirizzi di un'applicazione host. Gli enclave VBS usano la tecnologia VBS sottostante per isolare la parte sensibile di un'applicazione in una partizione sicura di memoria. Le enclave VBS consentono l'isolamento dei carichi di lavoro sensibili sia dall'applicazione host che dal resto del sistema.

Le enclave VBS consentono alle applicazioni di proteggere i segreti rimuovendo la necessità di considerare attendibili gli amministratori e la protezione avanzata da utenti malintenzionati. Per altre informazioni, vedere le informazioni di riferimento sulle enclave VBS Win32.

Protezione della chiave basata su virtualizzazione

La protezione della chiave VBS consente agli sviluppatori Windows di proteggere le chiavi crittografiche usando la sicurezza basata su virtualizzazione. VBS usa la funzionalità di estensione di virtualizzazione della CPU per creare un runtime isolato al di fuori del normale sistema operativo. Quando in uso, le chiavi VBS sono isolate in un processo sicuro, consentendo l'esecuzione di operazioni sulle chiavi senza esporre il materiale della chiave privata all'esterno di questo spazio. Inattivi, il materiale della chiave privata viene crittografato da una chiave TPM, che associa le chiavi VBS al dispositivo. Le chiavi protette in questo modo non possono essere scaricate dalla memoria del processo o esportate in testo normale dal computer di un utente, impedendo attacchi di esfiltrazione da qualsiasi utente malintenzionato a livello di amministratore. La sicurezza basata su vbs deve essere abilitata per l'uso della protezione della chiave. Per informazioni su come abilitare la sicurezza basata su vbs, vedere Abilitare l'integrità della memoria.

Wi-Fi

Ora è più facile abilitare le funzionalità wireless perché la funzionalità Servizio LAN wireless è ora installata per impostazione predefinita. Il servizio di avvio wireless è impostato su manuale e può essere abilitato eseguendo net start wlansvc nel prompt dei comandi, Terminale Windows o PowerShell.

Portabilità dei contenitori Windows

La portabilità è un aspetto fondamentale della gestione dei contenitori e ha la capacità di semplificare gli aggiornamenti applicando maggiore flessibilità e compatibilità dei contenitori in Windows. La portabilità è una funzionalità del canale annuale di Windows Server per gli host contenitori che consente agli utenti di spostare le immagini del contenitore e i dati associati tra host o ambienti diversi senza richiedere alcuna modifica. Gli utenti possono creare un'immagine del contenitore in un host e quindi distribuirla in un altro host senza doversi preoccupare dei problemi di compatibilità. Per altre informazioni, vedere Portabilità per i contenitori.

Programma Windows Insider

Il Programma Windows Insider offre l'accesso anticipato alle versioni più recenti del sistema operativo Windows per una community di appassionati. In qualità di membro, puoi essere tra i primi a provare nuove idee e concetti che Microsoft sta sviluppando. Dopo esserti registrato come membro, puoi scegliere di partecipare a diversi canali di rilascio andando su Start > Impostazioni > Windows Update > Windows Insider Program.

Soluzione password dell'amministratore locale Windows (LAPS)

Windows LAPS consente alle organizzazioni di gestire le password di amministratore locale nei computer aggiunti a un dominio. Genera automaticamente password univoche per l'account amministratore locale di ogni computer, le archivia in modo sicuro in AD e le aggiorna regolarmente. Questo consente di migliorare la sicurezza riducendo il rischio che gli utenti malintenzionati ottengano l'accesso ai sistemi sensibili usando password compromesse o facilmente individuabili.

Sono state introdotte diverse funzionalità di Microsoft LAPS che apportano i miglioramenti seguenti:

• Nuova funzionalità di gestione automatica degli account

  L'aggiornamento più recente consente agli amministratori IT di creare facilmente un account locale gestito. Con questa funzionalità, è possibile personalizzare il nome dell'account, abilitare o disabilitare l'account e persino casualizzare il nome dell'account per una sicurezza avanzata. Inoltre, l'aggiornamento include un'integrazione migliorata con i criteri di gestione degli account locali esistenti di Microsoft. Per maggiori informazioni su questa funzionalità, consultare la sezione Modalità di gestione degli account Windows LAPS.

• Nuova funzionalità di rilevamento del rollback delle immagini

  Windows LAPS ora rileva quando si verifica il rollback di un'immagine. Se si verifica un rollback, la password archiviata in AD potrebbe non corrispondere più alla password archiviata localmente nel dispositivo. I rollback possono comportare uno "stato di interruzione" in cui l'amministratore IT non è in grado di accedere al dispositivo usando la password di Windows LAPS persistente.

  Per risolvere questo problema, è stata aggiunta una nuova funzionalità che include un attributo AD denominato msL piattaforma di strumenti analitici-CurrentPasswordVersion. Questo attributo contiene un GUID casuale scritto da Windows LAPS ogni volta che una nuova password viene salvata in AD e salvata in locale. Durante ogni ciclo di elaborazione, il GUID archiviato in msLAPS-CurrentPasswordVersion viene sottoposto a query e confrontato con la copia persistente locale. Se sono diversi, la password viene ruotata immediatamente.

  Per abilitare questa funzionalità, è necessario eseguire la versione più recente del cmdlet Update-LapsADSchema. Al termine, Windows LAPS riconosce il nuovo attributo e inizia a usarlo. Se non si esegue la versione aggiornata del cmdlet Update-LapsADSchema, Windows LAPS registra un evento di avviso 10108 nel registro eventi, ma continua a funzionare normalmente in tutti gli altri aspetti.

  Nessuna impostazione dei criteri viene usata per abilitare o configurare questa funzionalità. La funzionalità viene sempre abilitata dopo l'aggiunta del nuovo attributo dello schema.

• Nuova funzionalità di passphrase

  Gli amministratori IT possono ora usare una nuova funzionalità in Windows LAPS che consente la generazione di passphrase meno complesse. Un esempio è una passphrase, ad esempio "EatYummyCaramelCandy", che è più facile da leggere, ricordare e digitare, rispetto a una password tradizionale come "V3r_b4tim#963?".

  Questa nuova funzionalità consente anche di configurare l'impostazione dei criteri PasswordComplexity per selezionare uno dei tre diversi elenchi di parole passphrase, tutti inclusi in Windows senza richiedere un download separato. Una nuova impostazione di criteri denominata PassphraseLength controlla il numero di parole usate nella passphrase.

  Quando si crea una passphrase, il numero specificato di parole viene selezionato in modo casuale dall'elenco di parole scelto e concatenato. La prima lettera di ogni parola viene maiuscola per migliorare la leggibilità. Questa funzionalità supporta anche completamente il backup delle password fino a Windows Server AD o Microsoft Entra ID.

  Gli elenchi di parole passphrase usati nelle tre nuove impostazioni di passphrase passwordComplexity sono originati dall'articolo di Electronic Frontier Foundation, "Deep Dive: EFF's New Wordlists for Random Passphrases". Windows LAPS Passphrase Word Lists è concesso in licenza con la licenza CC-BY-3.0 Attribuzione ed è disponibile per il download.

  Nota

  Windows LAPS non consente la personalizzazione degli elenchi di parole predefiniti né l'uso di elenchi di parole configurati dal cliente.

• Dizionario delle password di leggibilità migliorato

  Windows LAPS introduce una nuova impostazione PasswordComplexity che consente agli amministratori IT di creare password meno complesse. Questa funzionalità consente di personalizzare L piattaforma di strumenti analitici per usare tutte e quattro le categorie di caratteri (lettere maiuscole, lettere minuscole, numeri e caratteri speciali) come l'impostazione di complessità esistente di 4. Tuttavia, con la nuova impostazione di 5, i caratteri più complessi vengono esclusi per migliorare la leggibilità delle password e ridurre al minimo la confusione. Ad esempio, il numero "1" e la lettera "I" non vengono mai usati con la nuova impostazione.

  Quando PasswordComplexity è configurato su 5, vengono apportate le modifiche seguenti al set di caratteri predefinito del dizionario password:

  1. Non usare queste lettere: 'I', 'O', 'Q', 'l', 'o'
  2. Non usare questi numeri: '0', '1'
  3. Non usare questi caratteri "speciali": ',', '.', '&', '{', '}', '[', ']', '(', ')', ';'
  4. Iniziare usando questi caratteri "speciali": ':', '=', '?', '*'

  Lo snap-in Utenti e computer di Active Directory (tramite Microsoft Management Console) ora include una scheda L piattaforma di strumenti analitici windows migliorata. La password di Windows L piattaforma di strumenti analitici viene ora visualizzata in un nuovo tipo di carattere che ne migliora la leggibilità quando viene visualizzata in testo normale.

• Supporto postAuthenticationAction per la terminazione di singoli processi

  Viene aggiunta una nuova opzione all'impostazione di Criteri di gruppo PostAuthenticationActions (PAA), "Reimpostare la password, disconnettere l'account gestito e terminare eventuali processi rimanenti" che si trova in Configurazione computer >Modelli amministrativi > Sistema > LAPS > Azioni post-autenticazione.

  Questa nuova opzione è un'estensione dell'opzione precedente "Reimpostare la password e disconnettere l'account gestito". Dopo la configurazione, il PAA invia una notifica e quindi termina le sessioni di accesso interattive. Enumera e termina tutti i processi rimanenti ancora in esecuzione nell'identità dell'account locale gestito da Windows LAPS. È importante notare che nessuna notifica precede questa terminazione.

  Inoltre, l'espansione degli eventi di registrazione durante l'esecuzione post-autenticazione-azione fornisce informazioni più approfondite sull'operazione.

Per maggiori informazioni su Windows LAPS, consultare la sezione Che cos'è Windows LAPS?.

Terminale Windows

Terminale Windows, un'applicazione multishell potente ed efficiente per gli utenti della riga di comando, è disponibile in questa build. Cercare "Terminale" nella barra di ricerca.

Winget

Winget viene installato per impostazione predefinita, ovvero uno strumento da riga di comando Gestione pacchetti Windows che fornisce soluzioni di gestione pacchetti complete per l'installazione di applicazioni nei dispositivi Windows. Per altre informazioni, vedi Usare lo strumento winget per installare e gestire le applicazioni.

Vedi anche

• Discussioni della community di Windows Server Insiders