Novità di Windows Server 2025

2025-03-06
Si applica a: ✅ Windows Server 2025

In questo articolo vengono descritti alcuni degli sviluppi più recenti di Windows Server 2025, che vanta funzionalità avanzate che migliorano la sicurezza, le prestazioni e la flessibilità. Grazie alle opzioni di archiviazione più veloci e alla possibilità di integrazione con ambienti cloud ibridi, la gestione dell'infrastruttura è ora più semplice. Windows Server 2025 si basa sulla solida base del suo predecessore e introduce una gamma di miglioramenti innovativi per adattarsi alle proprie esigenze.

Esperienza desktop e aggiornamento

Esplorare le opzioni di aggiornamento e l'esperienza desktop.

Aggiornamento in sede da Windows Server 2012 R2

Con Windows Server 2025, è possibile aggiornare fino a quattro versioni alla volta. È possibile eseguire l'aggiornamento direttamente a Windows Server 2025 da Windows Server 2012 R2 e versioni successive.

Shell del desktop

Quando accedi per la prima volta, l'esperienza della shell desktop è conforme allo stile e all'aspetto di Windows 11.

Bluetooth

È ora possibile connettere mouse, tastiere, cuffie, dispositivi audio e altro tramite Bluetooth in Windows Server 2025.

DTrace

Windows Server 2025 viene fornito con dtrace come strumento nativo. DTrace è un'utilità della riga di comando che consente agli utenti di monitorare e risolvere i problemi relativi alle prestazioni del sistema in tempo reale. Con DTrace, è possibile instrumentare dinamicamente sia il kernel che il codice dello spazio utente senza dover modificare il codice stesso. Questo strumento versatile supporta un'ampia gamma di tecniche di raccolta e analisi dei dati, tra cui aggregazioni, istogrammi e traccia degli eventi a livello di utente. Per altre informazioni, vedere DTrace per la guida della riga di comando e DTrace su Windows per altre funzionalità.

Posta elettronica e account

È ora possibile aggiungere i tipi di account seguenti in Impostazioni di Windows in Account >account di posta elettronica & account per Windows Server 2025:

Microsoft Entra ID
Account di Microsoft
Account di lavoro o scolastico

L'aggiunta a un dominio è ancora necessaria per la maggior parte delle situazioni.

Hub di Feedback

Per inviare commenti e suggerimenti o segnalare problemi riscontrati quando si usa Windows Server 2025, usare l'hub di Feedback di Windows. Includi screenshot o registrazioni del processo che ha causato il problema per aiutarci a comprendere la situazione e condividere suggerimenti per migliorare l'esperienza di Windows. Per altre informazioni, vedere Esplorare l'Hub di Feedback.

Compressione dei file

Windows Server 2025 include una nuova funzionalità di compressione. Per comprimere un elemento, fare clic con il pulsante destro del mouse e selezionare Comprimi per. Questa funzionalità supporta ZIP , 7ze formati di compressione TAR con metodi di compressione specifici per ognuno di essi.

App aggiunte

L'aggiunta ai preferiti delle app più usate è ora disponibile tramite il menu Start ed è personalizzabile in base alle proprie esigenze. Le app bloccate predefinite sono attualmente:

Configurazione di Azure Arc
Hub di Feedback
Esplora file
Microsoft Edge
Gestore del Server
Impostazione
Terminale
Windows PowerShell

Gestore attività

Windows Server 2025 utilizza l'app di Gestione attività moderna con materiale Mica conforme allo stile di Windows 11.

Wi-Fi

È ora più facile abilitare le funzionalità wireless perché la funzionalità Servizio LAN wireless è ora installata per impostazione predefinita. Il servizio di avvio wireless è impostato su manuale. Per abilitarla, eseguire net start wlansvc nel prompt dei comandi, nel terminale Windows o in PowerShell.

Terminale Windows

La Terminale Windows, un'applicazione multishell potente ed efficiente per gli utenti della riga di comando, è disponibile in Windows Server 2025. Cerca Terminale sulla barra di ricerca.

WinGet

WinGet viene installato per impostazione predefinita, ovvero uno strumento di Gestione pacchetti di Windows da riga di comando che fornisce soluzioni complete di gestione pacchetti per l'installazione di applicazioni nei dispositivi Windows. Per altre informazioni, vedere Usare lo strumento WinGet per installare e gestire le applicazioni.

Sicurezza a più livelli avanzata

Informazioni sulla sicurezza in Windows 2025.

Hotpatch (anteprima)

Hotpatch è ora disponibile per i computer Windows Server 2025 connessi ad Azure Arc dopo l'abilitazione di Hotpatch nel portale di Azure Arc. È possibile usare Hotpatch per applicare gli aggiornamenti della sicurezza del sistema operativo senza riavviare il computer. Per altre informazioni, vedere Hotpatch.

Importante

Hotpatch abilitato per Azure Arc è attualmente in fase di anteprima. Vedere le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.

Credential Guard (Protezione delle Credenziali)

A partire da Windows Server 2025, Credential Guard è abilitato per impostazione predefinita nei dispositivi che soddisfano i requisiti. Per altre informazioni su Credential Guard, consultare Configurare Credential Guard.

Active Directory Servizi di Dominio

I miglioramenti più recenti ai Servizi di dominio Active Directory (AD DS) e ai Servizi di dominio Active Directory Lightweight (AD LDS) introducono una serie di nuove funzionalità e capacità volte a ottimizzare l'esperienza di gestione del dominio:

funzionalità facoltativa per la dimensione della pagina del database da 32k: Active Directory utilizza un database ESE (Extensible Storage Engine) sin dall'introduzione in Windows 2000, che adotta una dimensione di pagina del database di 8k. La decisione di progettazione dell'architettura 8k ha comportato limitazioni in Active Directory documentate in limiti massimi di Active Directory: Scalabilità. Un esempio di questa limitazione è un singolo oggetto Active Directory di record, che non può superare le dimensioni di 8.000 byte. Il passaggio a un formato di pagina di database a 32k offre un notevole miglioramento nelle aree interessate dalle restrizioni legacy. Gli attributi multivalore possono ora contenere fino a circa 3.200 valori, che è un aumento di un fattore pari a 2,6.

È possibile installare nuovi controller di dominio (DC) con un database da 32k pagine che utilizza ID a valore lungo a 64 bit (LID) ed eseguirli in modalità da 8k pagine per garantire la compatibilità con le versioni precedenti. Un controller di dominio aggiornato continua a utilizzare il formato di database attuale e le pagine da 8k. Il passaggio a un database a 32k-page viene eseguito a livello di foresta e richiede che tutti i controller di dominio nella foresta dispongano di un database con supporto per 32.000 pagine.
aggiornamenti dello schema di Active Directory: sono stati introdotti tre nuovi file di database di log che estendono lo schema di Active Directory: sch89.ldf, sch90.ldfe sch91.ldf. Gli aggiornamenti dello schema equivalenti di AD LDS si trovano in MS-ADAM-Upgrade3.ldf. Per altre informazioni sugli aggiornamenti dello schema precedenti, vedere aggiornamenti dello schema di Windows Server Active Directory.
ripristino di oggetti di Active Directory: gli amministratori dell'organizzazione possono ora ripristinare gli oggetti con gli attributi principali mancanti SamAccountType e ObjectCategory. Gli amministratori dell'organizzazione possono reimpostare l'attributo LastLogonTimeStamp su un oggetto all'ora corrente. Queste operazioni vengono eseguite tramite una nuova funzionalità RootDSE di operazione di modifica sull'oggetto interessato denominato fixupObjectState.
Supporto del Controllo dell'Associazione di Canale: È ora possibile abilitare gli eventi 3074 e 3075 per l'associazione di canale LDAP (Lightweight Directory Access Protocol). Quando i criteri di associazione del canale vengono modificati in un'impostazione più sicura, un amministratore può identificare i dispositivi nell'ambiente che non supportano o non soddisfano l'associazione di canali. Questi eventi di controllo sono disponibili anche in Windows Server 2022 e versioni successive tramite KB4520412.
miglioramenti dell'algoritmo di localizzazione del DC: l'algoritmo di rilevamento del DC fornisce nuove funzionalità con miglioramenti al mapping dei nomi di dominio in stile NetBIOS brevi ai nomi di dominio in stile DNS. Per altre informazioni, vedere individuazione dei controller di dominio in Windows e Windows Server.

Nota

Windows non usa i mailslots durante le operazioni di individuazione del controller di dominio perché Microsoft ha annunciato la deprecazione di WINS e dei mailslots per queste tecnologie legacy.
livelli funzionali della foresta e del dominio: il nuovo livello funzionale è utilizzato per il supporto generale ed è necessario per la nuova funzionalità della dimensione della pagina del database a 32k. Il nuovo livello funzionale è associato ai valori di DomainLevel 10 e ForestLevel 10 per le installazioni automatiche. Microsoft non prevede di adattare i livelli funzionali per Windows Server 2019 e Windows Server 2022. Per eseguire una promozione e demozione automatica di un controller di dominio, vedere sintassi del file di risposte DCPROMO per la promozione automatica e la demozione dei controller di dominio.

L'API DsGetDcName supporta anche il nuovo flag DS_DIRECTORY_SERVICE_13_REQUIRED che abilita la localizzazione dei controller di dominio su cui è in esecuzione Windows Server 2025. Puoi trovare ulteriori informazioni sui livelli funzionali nei seguenti articoli:
Nota

Per avere un livello funzionale di Windows Server 2016 o versione successiva, sono necessarie nuove foreste Active Directory o set di configurazione AD LDS. L'innalzamento di livello di una replica Active Directory o AD LDS richiede che il dominio o il set di configurazione esistente sia già in esecuzione con un livello di funzionalità di Windows Server 2016 o versione successiva.

Microsoft consiglia a tutti i clienti di iniziare a pianificare ora di aggiornare i server Active Directory e AD LDS a Windows Server 2022 in preparazione per la versione successiva.
Algoritmi migliorati per la ricerca di nomi/SID: L'autorità di sicurezza locale (LSA) non utilizza più il canale protetto Netlogon legacy per l'inoltro delle ricerche Nome e SID tra gli account delle macchine. Vengono invece utilizzati l'autenticazione Kerberos e l'algoritmo del localizzatore del controller di dominio. Per mantenere la compatibilità con i sistemi operativi legacy, è comunque possibile usare il canale protetto Netlogon come opzione di fallback.
Sicurezza migliorata per gli attributi riservati: le istanze DCS e AD LDS consentono solo a LDAP di aggiungere, cercare e modificare operazioni che coinvolgono attributi riservati quando la connessione viene crittografata.
Sicurezza migliorata per le password predefinite dell'account del computer: Active Directory ora usa le password predefinite dell'account del computer generate casualmente. I controller di dominio di Windows 2025 impediscono di impostare le password degli account computer sulla password predefinita che corrisponde al nome dell'account stesso.

Per controllare questo comportamento, abilitare l'impostazione Oggetto Criteri di gruppo Controller di dominio: Rifiuta l'impostazione della password dell'account computer predefinita presente in Configurazione Computer \Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza.

Utilità come Centro di amministrazione di Active Directory (ADAC), Utenti e computer di Active Directory (ADUC), net computere dsmod rispettano anche questo nuovo comportamento. Sia ADAC che ADUC non consentono più la creazione di un account pre-Windows 2000.
supporto PKINIT Kerberos per l'agilità crittografica: L'implementazione del protocollo Kerberos di crittografia a chiave pubblica per l'autenticazione iniziale (PKINIT) viene aggiornata per consentire l'agilità crittografica supportando più algoritmi e rimuovendo algoritmi codificati staticamente.
modifiche agli algoritmi Kerberos utilizzati per i biglietti di concessione: il Centro di distribuzione Kerberos non emetterà più biglietti di concessione utilizzando la crittografia RC4, ad esempio RC4-HMAC(NT).
Modifiche Kerberos per la configurazione del tipo di crittografia supportata: Kerberos non rispetta più la chiave di registro legacy REG_DWORD presente nel percorso SupportedEncryptionTypes, Microsoft consiglia di usare i criteri di gruppo. Per altre informazioni sulle impostazioni di Criteri di gruppo, vedere Sicurezza di rete: Configurare i tipi di crittografia consentiti per Kerberos.
Impostazione dell'oggetto Criteri di gruppo di LAN Manager: l'impostazione dell'oggetto Criteri di gruppo Sicurezza di rete: non archiviare il valore hash di LAN Manager al prossimo cambio di password non è più presente e non si applica alle nuove versioni di Windows.
crittografia LDAP per impostazione predefinita: tutte le comunicazioni client LDAP dopo un'associazione SASL (Simple Authentication and Security Layer) usano la chiusura LDAP per impostazione predefinita. Per altre informazioni su SASL, vedere: autenticazione SASL.
supporto LDAP per TLS (Transport Layer Security) 1.3: LDAP usa l'ultima implementazione di SCHANNEL e supporta TLS 1.3 per LDAP su connessioni TLS. L'uso di TLS 1.3 elimina gli algoritmi di crittografia obsoleti e migliora la sicurezza rispetto alle versioni precedenti. TLS 1.3 mira a crittografare il maggior numero possibile di handshake. Per altre informazioni, vedere Protocolli in TLS/SSL (SSP Schannel) e pacchetti di crittografia TLS in Windows Server 2022.
Comportamento di modifica della password dell'Account Manager di Sicurezza Legacy (SAM) tramite chiamata di procedura remota (RPC): I protocolli sicuri, come Kerberos, sono il modo preferito per modificare le password degli utenti del dominio. Nei controller di dominio, il metodo più recente per la modifica della password RPC SAM SamrUnicodeChangePasswordUser4 utilizzando l'Advanced Encryption Standard (AES) è accettato di default quando viene eseguito da remoto. I metodi RPC SAM legacy seguenti vengono bloccati per impostazione predefinita quando vengono chiamati in remoto:
Per gli utenti di dominio membri del gruppo utenti protetti e per gli account locali nei computer membri del dominio, tutte le modifiche alle password remote tramite l'interfaccia RPC SAM legacy vengono bloccate per impostazione predefinita, incluso SamrUnicodeChangePasswordUser4.

Per controllare questo comportamento, usare la seguente impostazione dell'oggetto Criteri di gruppo:

Configurazione computer >Modelli Amministrativi>Sistema>Gestore account di sicurezza>Configurare la politica dei metodi RPC per il cambio password di SAM
Supporto NUMA (Non-Uniform Memory Access): AD DS sfrutta ora l'hardware che supporta NUMA usando CPU in tutti i gruppi di processore. In precedenza, Active Directory userebbe solo CPU nel gruppo 0. Active Directory può espandersi oltre 64 core.
contatori delle prestazioni: sono ora disponibili il monitoraggio e la risoluzione dei problemi relativi alle prestazioni dei contatori seguenti:
- Localizzatore di controller di dominio: sono disponibili i contatori specifici per client e controller di dominio.
- Ricerca LSA: Ricerca Nome e SID tramite le API LsaLookupNames, LsaLookupSidsed equivalenti. Questi contatori sono disponibili nelle versioni client e server.
- Client LDAP: disponibile in Windows Server 2022 e versioni successive tramite l'aggiornamento KB 5029250.
ordine di priorità della replica: gli amministratori possono ora aumentare la priorità di replica calcolata dal sistema con un partner di replica specifico per un particolare contesto di denominazione. Questa funzionalità consente una maggiore flessibilità nella configurazione dell'ordine di replica per gestire scenari specifici.

Account del servizio delegato gestito

Questo nuovo tipo di account consente la migrazione da un account di servizio a un account di servizio gestito delegato (dMSA). Questo tipo di account viene fornito con chiavi gestite e completamente casuali per garantire modifiche minime dell'applicazione mentre le password dell'account del servizio originale sono disabilitate. Per ulteriori informazioni, consultare la panoramica sugli account di servizio gestiti delegati.

Soluzione per la password dell'amministratore locale di Windows

La soluzione Windows Local Administrator Password Solution (LAPS) aiuta le organizzazioni a gestire le password di amministratore locale sui computer appartenenti a un dominio. Genera automaticamente password univoche per l'account amministratore locale di ogni computer. Li archivia quindi in modo sicuro in Active Directory e li aggiorna regolarmente. Le password generate automaticamente consentono di migliorare la sicurezza. Riducono il rischio che gli utenti malintenzionati ottengano l'accesso ai sistemi sensibili usando password compromesse o facilmente individuabili.

Diverse funzionalità nuove di Microsoft LAPS introducono i miglioramenti seguenti:

Nuova gestione automatica degli account: gli amministratori IT possono ora creare un account locale gestito con facilità. Con questa funzionalità, è possibile personalizzare il nome dell'account e abilitare o disabilitare l'account. È anche possibile casualizzare il nome dell'account per una sicurezza avanzata. L'aggiornamento include anche un'integrazione migliorata con i criteri di gestione degli account locali esistenti di Microsoft. Per maggiori informazioni su questa funzionalità, consultare la sezione Modalità di gestione degli account Windows LAPS.
Nuovo rilevamento del rollback delle immagini: Windows LAPS ora rileva quando si verifica il rollback di un'immagine. Se si verifica un rollback, la password archiviata in Active Directory potrebbe non corrispondere più alla password archiviata localmente nel dispositivo. I rollback possono comportare uno stato incoerente. In questo caso, l'amministratore IT non è in grado di accedere al dispositivo usando la password LAPS di Windows persistente.

Per risolvere questo problema, è stata aggiunta una nuova funzionalità che include un attributo di Active Directory denominato msLAPS-CurrentPasswordVersion. Questo attributo contiene un identificatore univoco globale casuale (GUID) scritto da Windows LAPS ogni volta che una nuova password viene salvata in Active Directory e salvata in locale. Durante ogni ciclo di elaborazione, il GUID archiviato in msLAPS-CurrentPasswordVersion viene sottoposto a query e confrontato con la copia persistente in locale. Se sono diversi, la password viene cambiata immediatamente.

Per abilitare questa funzionalità, eseguire la versione più recente del cmdlet Update-LapsADSchema. Windows LAPS riconosce quindi il nuovo attributo e inizia a usarlo. Se non si esegue la versione aggiornata del cmdlet Update-LapsADSchema, Windows LAPS registra un evento di avviso 10108 nel registro eventi, ma continua a funzionare normalmente in tutti gli altri aspetti.

Nessuna impostazione dei criteri viene usata per abilitare o configurare questa funzionalità. La funzionalità viene sempre abilitata dopo l'aggiunta del nuovo attributo dello schema.
Nuova passphrase: gli amministratori IT possono ora usare una nuova funzionalità in Windows LAPS che consente la generazione di passphrase meno complesse. Un esempio è una passphrase, ad esempio EatYummyCaramelCandy. Questa frase è più facile da leggere, ricordare e digitare rispetto a una password tradizionale come V3r_b4tim#963?.

Con questa nuova funzionalità, è possibile configurare l'impostazione dei criteri PasswordComplexity per selezionare uno dei tre diversi elenchi di parole per le passphrase. Tutti gli elenchi sono inclusi in Windows e non richiedono un download separato. Una nuova impostazione di criteri denominata PassphraseLength controlla il numero di parole usate nella passphrase.

Quando si crea una passphrase, il numero specificato di parole viene selezionato in modo casuale dall'elenco di parole scelto e concatenato. La prima lettera di ogni parola viene maiuscola per migliorare la leggibilità. Questa funzionalità supporta anche completamente il backup delle password in Active Directory o in Microsoft Entra ID.

Gli elenchi di parole passphrase usati nelle tre nuove impostazioni di passphrase PasswordComplexity provengono dall'articolo Electronic Frontier Foundation Deep Dive: EFF's New Wordlists for Random Passphrases. Il Passphrase Word Lists di Windows LAPS è concesso in licenza con la licenza di attribuzione CC-BY-3.0 ed è disponibile per il download.

Nota

Windows LAPS non consente la personalizzazione degli elenchi di parole predefiniti o dell'uso di elenchi di parole configurati dal cliente.
dizionario delle password di leggibilità migliorato: Windows LAPS introduce una nuova impostazione di PasswordComplexity che consente agli amministratori IT di creare password meno complesse. È possibile usare questa funzionalità per personalizzare LAPS per usare tutte e quattro le categorie di caratteri (lettere maiuscole, lettere minuscole, numeri e caratteri speciali) come l'impostazione di complessità esistente di 4. Con la nuova impostazione di 5, i caratteri più complessi vengono esclusi per migliorare la leggibilità delle password e ridurre al minimo la confusione. Ad esempio, il numero 1 e la lettera non vengono mai usate con la nuova impostazione.

Quando PasswordComplexity è configurato per 5, vengono apportate le modifiche seguenti al set di caratteri predefinito del dizionario password:
- Non usare: Le lettere I, O, Q, l, o
- Non usare: I numeri 0, 1
- Non usare: I caratteri speciali ,, ., &, {, }, [, ], (, ), ;
- Use: I caratteri speciali :, =, ?, *
Lo snap-in ADUC (tramite Microsoft Management Console) ora offre una scheda LAPS di Windows migliorata. La password WINDOWS LAPS viene ora visualizzata in un nuovo tipo di carattere che ne migliora la leggibilità quando viene visualizzato in testo normale.
supporto dell'azione post-autenticazione per terminare i singoli processi: viene aggiunta una nuova opzione all'impostazione di Criteri di gruppo azioni post-autenticazione (PAA), Reset the password, sign out the managed account, and terminate any remaining processes, che si trova in Configurazione computer>Modelli Amministrativi>Sistema>LAPS>azioni post-autenticazione.

Questa nuova opzione è un'estensione dell'opzione precedente, Reset the password and log off the managed account. Dopo la configurazione, il paA invia una notifica e quindi termina le sessioni di accesso interattive. Enumera e termina tutti i processi rimanenti ancora in esecuzione con l'identità dell'account locale gestita da Windows LAPS. Nessuna notifica precede questa terminazione.

L'espansione degli eventi di registrazione durante l'esecuzione di PAA fornisce informazioni più approfondite sull'operazione.

Per maggiori informazioni su Windows LAPS, consultare la sezione Che cos'è Windows LAPS?.

OpenSSH

Nelle versioni precedenti di Windows Server, lo strumento di connettività OpenSSH richiedeva l'installazione manuale prima dell'uso. Il componente lato server OpenSSH viene installato per impostazione predefinita in Windows Server 2025. L'interfaccia utente di Server Manager include anche un'opzione a un solo passaggio sotto Accesso SSH remoto che abilita o disabilita il sshd.exe servizio. È anche possibile aggiungere utenti al gruppo Utenti OpenSSH per consentire o limitare l'accesso ai dispositivi. Per altre informazioni, vedere Panoramica di OpenSSH per Windows.

Standard di sicurezza

Implementando una baseline di sicurezza personalizzata, è possibile stabilire misure di sicurezza direttamente dall'inizio per il ruolo del dispositivo o ruolo VM in base al comportamento di sicurezza consigliato. Questa baseline è dotata di più di 350 impostazioni di sicurezza di Windows preconfigurate. È possibile usare le impostazioni per applicare impostazioni di sicurezza specifiche che rispettano le procedure consigliate da Microsoft e dagli standard dell'industria. Per altre informazioni, vedere Panoramica di OSConfig.

Enclave di sicurezza basati su virtualizzazione

Un enclave di sicurezza basata su virtualizzazione è un ambiente di esecuzione attendibile basato su software all'interno dello spazio degli indirizzi di un'applicazione host. Gli enclave VBS usano la tecnologia VBS sottostante per isolare la parte sensibile di un'applicazione in una partizione sicura di memoria. Le enclave VBS consentono l'isolamento dei carichi di lavoro sensibili sia dall'applicazione host che dal resto del sistema.

Le enclavi VBS consentono alle applicazioni di proteggere i propri segreti rimuovendo la necessità di fidarsi degli amministratori e rafforzare la protezione contro gli attaccanti dannosi. Per ulteriori informazioni, consultare il riferimento Win32 sulle enclave VBS.

Protezione delle chiavi di sicurezza basata su virtualizzazione

La protezione della chiave VBS consente agli sviluppatori Windows di proteggere le chiavi crittografiche usando la sicurezza basata su vbs. VBS usa la funzionalità di estensione di virtualizzazione della CPU per creare un runtime isolato al di fuori del normale sistema operativo.

Quando in uso, le chiavi VBS sono isolate in un processo sicuro. Le operazioni chiave possono verificarsi senza esporre il materiale della chiave privata all'esterno di questo spazio. Quando inattivo, una chiave TPM crittografa il materiale della chiave privata, associando le chiavi VBS al dispositivo. Le chiavi protette in questo modo non possono essere scaricate dalla memoria del processo o esportate in testo normale dal computer di un utente.

La protezione con chiave VBS consente di evitare attacchi di esfiltrazione da parte di qualsiasi utente malintenzionato a livello di amministratore. VBS deve essere abilitato per utilizzare la protezione delle chiavi. Per informazioni su come abilitare il VBS, vedere Abilitare l'integrità della memoria.

Connettività protetta

Le sezioni seguenti illustrano la sicurezza per le connessioni.

Gestione dei certificati Secure

La ricerca o il recupero di certificati in Windows supporta ora hash SHA-256, come descritto nelle funzioni CertFindCertificateInStore e CertGetCertificateContextProperty. L'autenticazione server TLS è più sicura in Windows e ora richiede una lunghezza minima della chiave RSA di 2.048 bit. Per altre informazioni, vedere Autenticazione server TLS: Deprecazione di certificati RSA deboli.

Server Message Block (SMB) su QUIC

La funzionalità server SMB su QUIC, disponibile solo in Windows Server Azure Edition, è ora disponibile nelle versioni windows Server Standard e Windows Server Datacenter. SMB su QUIC aggiunge i vantaggi del QUIC, con connessioni crittografate a bassa latenza tramite Internet.

Policy di abilitazione SMB su QUIC

Gli amministratori possono disabilitare SMB tramite il client QUIC tramite Criteri di gruppo e PowerShell. Per disabilitare SMB su QUIC usando Criteri di gruppo, impostare il criterio Abilita SMB su QUIC nei percorsi seguenti per Disabilitato:

configurazione computer \Modelli amministrativi\Rete\Workstation Lanman
configurazione computer \Modelli amministrativi\Rete\Lanman Server

Per disabilitare SMB su QUIC usando PowerShell, eseguire questo comando in un prompt di PowerShell con privilegi elevati:

Set-SmbClientConfiguration -EnableSMBQUIC $false

Controllo della firma e della crittografia SMB

Gli amministratori possono abilitare il controllo del server e del client SMB al supporto della firma e della crittografia SMB. Se un client o un server non Microsoft non supporta la crittografia SMB o la firma, può essere rilevato. Quando un dispositivo o un software non Microsoft dichiara di supportare SMB 3.1.1, ma non supporta la firma SMB, viola il requisito del protocollo di integrità della pre-autenticazione SMB 3.1.1.

È possibile configurare le impostazioni di controllo della firma e della crittografia SMB usando Criteri di gruppo o PowerShell. È possibile modificare questi criteri nei seguenti percorsi di Criteri di gruppo:

Configurazione Compute\Modelli amministrativi\Rete\Server Lanman\Client Audit non supporta la crittografia
Configurazione Compute\Modelli amministrativi\Rete\Server Lanman\Client Audit non supporta la firma
Configurazione Compute\Modelli amministrativi\Rete\Workstation Lanman\Server Audit non supporta la crittografia
Configurazione Compute\Modelli amministrativi\Rete\Workstation Lanman\Server Audit non supporta la firma

Per eseguire queste modifiche tramite PowerShell, eseguire questi comandi in un prompt con privilegi elevati in cui $true abilita e $false disabilita queste impostazioni:

Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true

Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true

I log eventi per queste modifiche vengono archiviati nei percorsi del Visualizzatore eventi seguenti con l'ID evento specifico.

Percorso	ID evento
Registri applicazioni e servizi\Microsoft\Windows\SMBClient\Audit	31998 31999
Registri applicazioni e servizi\Microsoft\Windows\SMBServer\Audit	3021 3022

Controllo di SMB su QUIC

Il monitoraggio della connessione client SMB su QUIC rileva gli eventi registrati in un registro eventi, includendo il trasporto QUIC nel Visualizzatore eventi. Questi log vengono archiviati nei percorsi seguenti con l'ID evento specifico.

Percorso	ID evento
Registri applicazioni e servizi\Microsoft\Windows\SMBClient\Connettività	30832
Registri applicazioni e servizi\Microsoft\Windows\SMBServer\Connettività	1913

Controllo di accesso client SMB su QUIC

Windows Server 2025 comprende il controllo di accesso client per SMB su QUIC. SMB su QUIC è un'alternativa a TCP e RDMA che fornisce connettività sicura ai file server perimetrali su reti non attendibili. Il controllo di accesso client introduce altri controlli per limitare l'accesso ai dati usando i certificati. Per altre informazioni, vedere Funzionamento del controllo di accesso client.

Porte alternative SMB

È possibile usare il client SMB per connettersi alle porte TCP, QUIC e RDMA alternative anziché alle impostazioni predefinite IANA/IETF 445, 5445 e 443. È possibile configurare porte alternative tramite Criteri di gruppo o PowerShell. In precedenza, il server SMB in Windows imponeva alle connessioni in ingresso di usare la porta registrata IANA TCP/445 mentre il client TCP SMB consentiva solo le connessioni in uscita alla stessa porta TCP. Ora, SMB su QUIC consente porte alternative SMB in cui le porte UDP/443 con QUIC obbligatorio sono disponibili sia per i dispositivi server che per i dispositivi client. Per altre informazioni, vedere Configurare porte SMB alternative.

Rafforzamento delle regole del firewall SMB

In precedenza, quando è stata creata una condivisione, le regole del firewall SMB sono state configurate automaticamente per abilitare il gruppo condivisione file e stampanti per i profili firewall pertinenti. Ora la creazione di una condivisione SMB in Windows comporta la configurazione automatica del nuovo gruppo File e Printer Sharing (Restrittivo), che non consente più le porte NetBIOS in ingresso 137-139. Per altre informazioni, vedere Regole del firewall aggiornate.

Crittografia SMB

Applica la crittografia SMB è attivata per tutte le connessioni client SMB in uscita. Con questo aggiornamento, gli amministratori possono impostare un mandato affinché tutti i server di destinazione supportino SMB 3.x e la crittografia. Se un server non dispone di queste funzionalità, il client non riesce a stabilire una connessione.

Limite di velocità di autenticazione SMB

Il limite di velocità di autenticazione SMB limita il numero di tentativi di autenticazione entro un determinato periodo di tempo. Il limite di velocità di autenticazione SMB consente di combattere gli attacchi di autenticazione di forza bruta. Il servizio per il server SMB usa il limite di velocità di autenticazione per implementare un ritardo tra ogni tentativo di autenticazione basato su NTLM o PKU2U non riuscito. Il servizio è abilitato per impostazione predefinita. Per altre informazioni, vedere Funzionamento del limite di velocità di autenticazione SMB.

Disabilitare SMB NTLM

A partire da Windows Server 2025, il client SMB supporta il blocco NTLM per le connessioni in uscita remote. In precedenza, Windows Simple and Protected GSSAPI Negotiate Mechanism (SPNEGO) negoziò Kerberos, NTLM e altri meccanismi con il server di destinazione per determinare un pacchetto di sicurezza supportato. Per altre informazioni, vedere Bloccare le connessioni NTLM in SMB.

Controllo del dialetto SMB

È ora possibile gestire i dialetti SMB in Windows. Se configurato, il server SMB determina quali dialetti SMB 2 e SMB 3 negozia rispetto al comportamento precedente e corrisponde solo al dialetto più alto.

Firma SMB

La firma SMB è ora richiesta per impostazione predefinita per tutte le connessioni in uscita SMB. In precedenza, era necessario solo quando ci si collegava a condivisioni denominate SYSVOL e NETLOGON sui controller di dominio di Active Directory. Per altre informazioni, vedere Funzionamento della firma.

Mailslot Remoto

Il protocollo Remote Mailslot è disabilitato per impostazione predefinita per SMB e per il protocollo DC Locator con Active Directory. È possibile rimuovere Mailslot remoto in una versione successiva. Per altre informazioni, vedere Funzionalità rimosse o non più sviluppate in Windows Server.

Rafforzamento della sicurezza dei servizi di routing e accesso remoto

Per impostazione predefinita, le nuove installazioni di Routing e Servizi di accesso remoto (RRAS) non accettano connessioni VPN basate su PPTP e L2TP. È comunque possibile abilitare questi protocolli, se necessario. Le connessioni VPN basate su SSTP e IKEv2 vengono comunque accettate senza alcuna modifica.

Le configurazioni esistenti mantengono il proprio comportamento. Ad esempio, se si esegue Windows Server 2019 e si accettano connessioni PPTP e L2TP e si esegue l'aggiornamento a Windows Server 2025 usando un aggiornamento sul posto, le connessioni basate su L2TP e PPTP sono ancora accettate. Questa modifica non influisce sui sistemi operativi client Windows. Per altre informazioni su come riabilitare PPTP e L2TP, vedere Configurare i protocolli VPN.

Cambiamento del protocollo di scambio chiavi predefinito IPsec

I moduli di keying predefiniti sono stati modificati in IKEv1 e IKEv2 per le connessioni IPsec autenticate con i certificati del computer. Per gli altri metodi di autenticazione, rimangono predefiniti AuthIP e IKEv1. Questo vale sia per i client Windows Server 2025 che Per Windows 11 24H2. Nel percorso del Registro di sistema HKLM:\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters, la voce IpsecRestoreLegacyKeyMod con valore 0 utilizza la nuova sequenza, IKEv2 e IKEv1. Il valore 1 usa la sequenza precedente, AuthIP e IKEv1. Per ripristinare il comportamento precedente, aggiungere la chiave del Registro di sistema seguente nei sistemi usando la nuova sequenza di protocollo di keying predefinita. Per rendere effettive le modifiche è necessario un riavvio.

New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters" -Name "IpsecRestoreLegacyKeyMod" -PropertyType "DWORD" -Value 1

Hyper-V, intelligenza artificiale e prestazioni

Le sezioni seguenti illustrano Hyper-V, intelligenza artificiale e prestazioni.

Rete accelerata (anteprima)

La rete accelerata (AccelNet) semplifica la gestione della virtualizzazione di I/O radice singola (SR-IOV) per le macchine virtuali ospitate nei cluster Windows Server 2025. Questa funzionalità usa il percorso dati SR-IOV a prestazioni elevate per ridurre la latenza, il jitter e l'utilizzo della CPU. AccelNet include anche un livello di gestione che gestisce il controllo dei prerequisiti, la configurazione host e le impostazioni delle prestazioni della macchina virtuale. Per altre informazioni, vedere rete accelerata (anteprima).

Compatibilità del processore dinamico

La modalità di compatibilità del processore dinamico viene aggiornata per sfruttare le nuove funzionalità del processore in un ambiente in cluster. La compatibilità del processore dinamico usa il numero massimo di funzionalità del processore disponibili in tutti i server in un cluster. La modalità migliora le prestazioni rispetto alla versione precedente della compatibilità del processore.

È anche possibile usare la compatibilità del processore dinamico per salvare lo stato tra host di virtualizzazione che usano generazioni diverse di processori. La modalità di compatibilità del processore offre ora funzionalità avanzate e dinamiche sui processori in grado di eseguire la conversione degli indirizzi di secondo livello. Per altre informazioni sulla modalità di compatibilità aggiornata, vedere Modalità di compatibilità del processore dinamico.

Gestore di Hyper-V

Quando si crea una nuova macchina virtuale tramite Hyper-V Manager, Generazione 2 viene ora impostata come impostazione predefinita nella Creazione guidata macchina virtuale.

Conversione di paging gestita dall'hypervisor

La traduzione di paging imposta dall'hypervisor (HVPT) è un potenziamento della sicurezza per garantire l'integrità delle traduzioni degli indirizzi lineari. HVPT protegge i dati critici del sistema dagli attacchi write-what-where, in cui l'utente malintenzionato scrive un valore arbitrario in una posizione arbitraria, spesso come risultato di un overflow del buffer. HVPT protegge le tabelle di pagine che configurano strutture di dati di sistema critiche. HVPT include tutto ciò che è già protetto con l'integrità del codice protetto dall'hypervisor (HVCI). HVPT è abilitato per impostazione predefinita, dove è disponibile il supporto hardware. HVPT non è abilitato quando Windows Server viene eseguito come guest in una macchina virtuale.

Partizionamento GPU

È possibile condividere un dispositivo GPU fisico con più macchine virtuali usando il partizionamento GPU. Anziché allocare l'intera GPU a una singola macchina virtuale, il partizionamento GPU (GPU-P) assegna frazioni dedicate della GPU a ogni macchina virtuale. Con Hyper-V GPU-P disponibilità elevata, una macchina virtuale GPU-P viene abilitata automaticamente su un altro nodo del cluster in caso di interruzioni non pianificate.

Gpu-P Live Migration offre una soluzione per spostare una macchina virtuale (per tempi di inattività pianificati o bilanciamento del carico) con GPU-P in un altro nodo indipendente o in cluster. Per altre informazioni sul partizionamento GPU, vedere Partizionamento GPU.

Controllo Automatico del Traffico di Rete

Network ATC semplifica la distribuzione e la gestione delle configurazioni di rete per i cluster Windows Server 2025. Network ATC usa un approccio basato sulle finalità, in cui gli utenti specificano le finalità desiderate, ad esempio gestione, calcolo o archiviazione per una scheda di rete. La distribuzione viene automatizzata in base alla configurazione prevista.

Questo approccio riduce il tempo, la complessità e gli errori associati alla distribuzione della rete host. Garantisce la coerenza della configurazione nel cluster ed elimina anche la deriva della configurazione. Per altre informazioni, vedere Distribuire la rete host con Network ATC.

Scalabilità

Con Windows Server 2025, Hyper-V supporta ora fino a 4 petabyte di memoria e 2.048 processori logici per host. Questo aumento consente una maggiore scalabilità e prestazioni per i carichi di lavoro virtualizzati.

Windows Server 2025 supporta anche fino a 240 TB di memoria e 2.048 processori virtuali per le macchine virtuali di seconda generazione, offrendo una maggiore flessibilità per l'esecuzione di carichi di lavoro di grandi dimensioni. Per altre informazioni, vedere Pianificare la scalabilità di Hyper-V in Windows Server.

Gruppi di lavoro in cluster

Hyper-V cluster di gruppi di lavoro sono un tipo speciale di cluster di failover di Windows Server in cui i nodi del cluster Hyper-V non sono membri di un dominio di Active Directory con la possibilità di eseguire la migrazione in tempo reale di macchine virtuali in un cluster del gruppo di lavoro.

Archiviazione

Le sezioni seguenti descrivono gli aggiornamenti dell'archiviazione.

Supporto della clonazione di blocchi

Dev Drive supporta ora la clonazione di blocchi a partire da Windows 11 24H2 e Windows Server 2025. Poiché Dev Drive usa il formato ReFS (Resilient File System), il supporto per la clonazione dei blocchi offre vantaggi significativi in termini di prestazioni quando si copiano i file. Con la clonazione a blocchi, il file system può copiare un intervallo di byte di file per un'applicazione come operazione di metadati a basso costo anziché eseguire operazioni di lettura e scrittura costose sui dati fisici sottostanti.

Il risultato è un completamento più rapido della copia dei file, riduzione delle operazioni di I/O nella risorsa di archiviazione sottostante e capacità di archiviazione migliorata consentendo a più file di condividere gli stessi cluster logici. Per altre informazioni, vedere Clonazione di blocchi in ReFS.

Dev Drive

Dev Drive è un volume di archiviazione che punta a migliorare le prestazioni dei carichi di lavoro cruciali degli sviluppatori. Dev Drive usa la tecnologia ReFS e incorpora ottimizzazioni specifiche del file system per offrire un maggiore controllo sulle impostazioni del volume di archiviazione e sulla sicurezza. Gli amministratori hanno ora la possibilità di designare l'attendibilità, configurare le impostazioni antivirus ed esercitare il controllo amministrativo sui filtri associati. Per altre informazioni, vedere Configurare Dev Drive in Windows 11.

NVMe

NVMe è un nuovo standard per le unità ssd veloci. Le prestazioni di archiviazione NVMe sono ottimizzate in Windows Server 2025. Il risultato è un miglioramento delle prestazioni con un aumento delle operazioni di I/O al secondo e una diminuzione dell'utilizzo della CPU.

Compressione dell'archiviazione replica

La compressione della replica di archiviazione riduce la quantità di dati trasferiti attraverso la rete durante la replica. Per ulteriori informazioni sulla compressione in Replica di Archiviazione, vedere Panoramica di Replica di Archiviazione .

Log avanzato della replica di archiviazione

Il log avanzato della replica di archiviazione consente di implementare i log per eliminare i costi di prestazioni associati alle astrazioni del file system. Le prestazioni della replica a blocchi sono migliorate. Per ulteriori informazioni, vedere Log avanzato di Replica di Archiviazione.

Deduplicazione e compressione dell'archiviazione nativa ReFS

La deduplicazione e la compressione dell'archiviazione nativa ReFS sono tecniche usate per ottimizzare l'efficienza di archiviazione per carichi di lavoro statici e attivi, ad esempio file server o desktop virtuali. Per altre informazioni sulla deduplicazione e la compressione di ReFS, vedere Ottimizzare l'archiviazione con deduplicazione e compressione ReFS in Azure Local.

Volumi a provisioning sottile

I volumi allocati in modo sottile con Storage Spaces Direct sono un modo per allocare le risorse di archiviazione in modo più efficiente e per evitare costose sovra-allocazioni allocando dal pool solo quando necessario in un cluster. È anche possibile convertire i volumi fissi in volumi con provisioning sottile. La conversione da volumi fissi a volumi con thin provisioning restituisce al pool qualsiasi spazio di archiviazione inutilizzato, per consentirne l'uso da parte di altri volumi. Per altre informazioni sui volumi con thin provisioning, vedere Thin provisioning dell'archiviazione.

Server Message Block (protocollo di comunicazione)

Server Message Block (SMB) è uno dei protocolli più diffusi nella rete. SMB offre un modo affidabile per condividere file e altre risorse tra i dispositivi nella rete. Windows Server 2025 include il supporto della compressione SMB per l'algoritmo di compressione LZ4 standard del settore. LZ4 è oltre al supporto esistente di SMB per XPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1 e PATTERN_V1.

Azure Arc e soluzioni ibride

Le sezioni seguenti illustrano azure Arc e le configurazioni ibride.

Configurazione semplificata di Azure Arc

Il programma di installazione di Azure Arc è una funzionalità su richiesta, quindi viene installata per impostazione predefinita. Un'interfaccia della procedura guidata intuitiva e un'icona dell'area di notifica nella barra delle applicazioni consentono di semplificare il processo di aggiunta di server ad Azure Arc. Azure Arc estende le funzionalità della piattaforma Azure in modo da poter creare applicazioni e servizi che possono funzionare in ambienti diversi. Questi ambienti includono data center, ambienti perimetrali e multicloud e offrono maggiore flessibilità. Per altre informazioni, vedere Connessione computer Windows Server in Azure tramite il programma di installazione di Azure Arc.

Licenze con pagamento in base al consumo

L'opzione di licenza con pagamento in base al consumo di Azure Arc è un'alternativa alla licenza perpetua convenzionale per Windows Server 2025. Con l'opzione con pagamento in base al consumo, è possibile distribuire un dispositivo Windows Server, una licenza e pagare solo per quanto si usa. Questa funzionalità viene facilitata tramite Azure Arc e fatturata tramite la sottoscrizione di Azure. Per altre informazioni, vedere le licenze pay-as-you-go di Azure Arc.

Gestione di Windows Server abilitata da Azure Arc

La gestione di Windows Server abilitata da Azure Arc offre nuovi vantaggi ai clienti con licenze di Windows Server che dispongono di Software Assurance o licenze di Windows Server attive in abbonamento attivo. Windows Server 2025 offre i vantaggi principali seguenti:

Windows Admin Center in Azure Arc: integra Azure Arc con Windows Admin Center in modo da poter gestire le istanze di Windows Server dal portale di Azure Arc. Questa integrazione offre un'esperienza di gestione unificata per le istanze di Windows Server, sia che siano in esecuzione in locale, nel cloud o nei dispositivi perimetrali.
supporto remoto: offre ai clienti il supporto professionale per concedere l'accesso just-in-time con trascrizioni di esecuzione dettagliate e diritti di revoca.
best practices assessment: la raccolta e l'analisi dei dati del server generano problemi e linee guida per la correzione e miglioramenti delle prestazioni.
configurazione di Azure Site Recovery: la configurazione di Azure Site Recovery garantisce la continuità aziendale e offre resilienza dei dati e replica per carichi di lavoro critici.

Per altre informazioni su Gestione di Windows Server abilitata da Azure Arc e sui vantaggi disponibili, vedere Gestione di Windows Server abilitata da Azure Arc.

Software-Defined Rete

Software-Defined Networking (SDN) è un approccio alla rete che gli amministratori di rete possono usare per gestire i servizi di rete attraverso l'astrazione delle funzionalità di livello inferiore. SDN consente la separazione del piano di controllo di rete, che gestisce la rete, dal piano dati, che gestisce il traffico. Questa separazione consente una maggiore flessibilità e programmabilità nella gestione della rete. SDN offre i vantaggi seguenti in Windows Server 2025:

Controller di rete: questo piano di controllo per SDN è ora direttamente ospitato come servizi Cluster di Failover sulle macchine host fisiche. L'uso di un ruolo del cluster elimina la necessità di distribuire macchine virtuali, semplificando la distribuzione e la gestione e conservando le risorse.
segmentazione basata su tag: gli amministratori possono usare tag di servizio personalizzati per associare gruppi di sicurezza di rete e macchine virtuali per il controllo di accesso. Invece di specificare intervalli IP, gli amministratori possono ora usare etichette semplici e autoesplicative per contrassegnare le macchine virtuali del carico di lavoro e applicare criteri di sicurezza basati su questi tag. I tag semplificano il processo di gestione della sicurezza di rete ed eliminano la necessità di ricordare e riscrizionare gli intervalli IP. Per altre informazioni, vedere Configurare i gruppi di sicurezza di rete con tag in Windows Admin Center.
Criteri di rete predefiniti in Windows Server 2025: questi criteri offrono opzioni di protezione simili a quelle di Azure ai gruppi di sicurezza di rete per i carichi di lavoro distribuiti attraverso Windows Admin Center. Il criterio predefinito nega tutto l'accesso in ingresso, consentendo l'apertura selettiva di porte di ingresso ben note, mentre permette l'accesso completo in uscita dalle VM del carico di lavoro. I criteri di rete predefiniti assicurano che le macchine virtuali del carico di lavoro siano protette dal punto di creazione. Per altre informazioni, vedere Usare i criteri di accesso di rete predefiniti nelle macchine virtuali in Locale di Azure.
multisito SDN: questa funzionalità offre connettività nativa di livello 2 e livello 3 tra le applicazioni in due posizioni senza componenti aggiuntivi. Con il multisito SDN, le applicazioni possono spostarsi senza la necessità di riconfigurare l'applicazione o le reti. Offre anche una gestione unificata dei criteri di rete per i carichi di lavoro, in modo che non sia necessario aggiornare i criteri quando una macchina virtuale del carico di lavoro passa da una posizione a un'altra. Per altre informazioni, vedere Che cos'è SDN multisito?.
prestazioni migliorate dei gateway SDN di livello 3: i gateway di livello 3 ottengono una velocità effettiva maggiore e riducono i cicli di CPU. Questi miglioramenti sono abilitati per impostazione predefinita. Gli utenti riscontrano automaticamente prestazioni migliori quando viene configurata una connessione gateway SDN livello 3 tramite PowerShell o Windows Admin Center.

Portabilità dei contenitori Windows

La portabilità è un aspetto fondamentale della gestione dei contenitori e ha la capacità di semplificare gli aggiornamenti applicando maggiore flessibilità e compatibilità dei contenitori in Windows.

La portabilità è una funzionalità di Windows Server che gli utenti possono usare per spostare le immagini del contenitore e i relativi dati associati, tra host o ambienti diversi senza richiedere alcuna modifica. Gli utenti possono creare un'immagine del contenitore in un host e quindi distribuirla in un altro host senza doversi preoccupare dei problemi di compatibilità. Per altre informazioni, vedere Portabilità per i contenitori.

Programma Windows Server Insider

Il programma Windows Server Insider offre accesso anticipato alle versioni più recenti del sistema operativo Windows per una community di appassionati. Come membro, si è tra i primi a provare nuove idee e concetti che Microsoft sta sviluppando. Dopo la registrazione come membro, è possibile partecipare a canali di rilascio diversi. Passare a Start>Impostazioni>Windows Update>Windows Insider Program.

Discussioni della Community Insider di Windows Server