Поделиться через


Новые возможности Windows Server 2025

В этой статье описываются некоторые новейшие разработки в Windows Server 2025, которые могут похвастаться расширенными функциями, которые повышают безопасность, производительность и гибкость. Благодаря более быстрым возможностям хранения и возможности интеграции с гибридными облачными средами управление инфраструктурой теперь упрощается. Windows Server 2025 основывается на сильном фундаменте своего предшественника и представляет ряд инновационных улучшений для адаптации к вашим потребностям.

Возможности рабочего стола и обновление

Ознакомьтесь с параметрами обновления и возможностями рабочего стола.

Локальное обновление с Windows Server 2012 R2

Windows Server 2025 позволяет обновлять до четырех версий одновременно. Вы можете выполнить обновление непосредственно до Windows Server 2025 с Windows Server 2012 R2 и более поздних версий.

Desktop shell

При первом входе оболочка рабочего стола соответствует стилю и внешнему виду Windows 11.

Bluetooth

Теперь вы можете подключать мыши, клавиатуры, гарнитуры, звуковые устройства и многое другое через Bluetooth в Windows Server 2025.

DTrace

Windows Server 2025 поставляется с dtrace в качестве собственного средства. DTrace — это программа командной строки, которая позволяет пользователям отслеживать и устранять неполадки производительности системы в режиме реального времени. С помощью DTrace можно динамически инструментировать код ядра и пространства пользователя без необходимости изменять сам код. Это универсальное средство поддерживает ряд методов сбора и анализа данных, таких как агрегаты, гистограммы и трассировка событий на уровне пользователя. To learn more, see DTrace for command-line help and DTrace on Windows for other capabilities.

Электронная почта и учетные записи

You can now add the following types of accounts in Windows Settings under Accounts>Email & accounts for Windows Server 2025:

  • Microsoft Entra ID
  • Microsoft account
  • Рабочая или учебная учетная запись

Присоединение к домену по-прежнему требуется для большинства ситуаций.

Feedback Hub

Чтобы отправить отзыв или сообщить о проблемах, возникающих при использовании Windows Server 2025, используйте Центр отзывов Windows. Включите снимки экрана или записи процесса, вызвавшего проблему, чтобы помочь нам понять вашу ситуацию и поделиться предложениями по улучшению возможностей Windows. Дополнительные сведения см. в статье "Обзор Центра отзывов".

File compression

Windows Server 2025 имеет новую функцию сжатия. To compress an item, right-click and select Compress to. This feature supports ZIP, 7z, and TAR compression formats with specific compression methods for each one.

Pinned apps

Pinning your most-used apps is now available through the Start menu and is customizable to suit your needs. Приложения, закрепленные по умолчанию, в настоящий момент следующие:

  • Настройка Azure Arc
  • Feedback Hub
  • File Explorer
  • Microsoft Edge
  • Server Manager
  • Settings
  • Terminal
  • Windows PowerShell

Task Manager

Windows Server 2025 uses the modern Task Manager app with Mica material that conforms to the style of Windows 11.

Wi-Fi

Теперь проще включить беспроводные возможности, так как функция беспроводной локальной сети теперь устанавливается по умолчанию. Служба беспроводной связи настроена на ручной запуск. Чтобы включить его, запустите net start wlansvc в командной строке, терминале Windows или PowerShell.

Windows Terminal

В Windows Server 2025 доступен Терминал Windows — мощное и эффективное многофункциональное приложение для пользователей командной строки. Search for Terminal on the search bar.

WinGet

WinGet устанавливается по умолчанию, который является средством диспетчера пакетов Windows командной строки, предоставляющим комплексные решения диспетчера пакетов для установки приложений на устройствах Windows. Дополнительные сведения см. в статье Использование средства WinGet для установкиприложений и управления ими.

Расширенная многоуровневая безопасность

Сведения о безопасности в Windows 2025.

Hotpatch (preview)

Hotpatch теперь доступен для компьютеров Windows Server 2025, подключенных к Azure Arc после включения Hotpatch на портале Azure Arc. Вы можете использовать Hotpatch для применения обновлений безопасности ОС без перезапуска компьютера. To learn more, see Hotpatch.

Important

Hotpatch с поддержкой Azure Arc в настоящее время находится в предварительной версии. Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

Credential Guard

Начиная с Windows Server 2025, Credential Guard теперь включен по умолчанию на устройствах, отвечающих требованиям. Дополнительные сведения о Credential Guard см. в разделе "Настройка Credential Guard".

Доменные службы Active Directory

Последние усовершенствования служб домен Active Directory (AD DS) и упрощенных доменных служб Active Directory (AD LDS) представляют ряд новых функций и возможностей, направленных на оптимизацию возможностей управления доменами:

  • Опциональная функция размера страницы базы данных 32k: Active Directory использует базу данных расширяемого хранилища (ESE) с момента внедрения в Windows 2000, которая использует размер страницы базы данных 8k. Решение архитектуры 8k привело к ограничениям в Active Directory, которые описаны в максимальных ограничениях Active Directory: масштабируемость. Примером этого ограничения является один объект Active Directory записи, который не может превышать 8k-байт. Переход к формату страницы базы данных 32k обеспечивает огромное улучшение областей, затронутых устаревшими ограничениями. Многозначные атрибуты теперь могут содержать около 3200 значений, что увеличивается на 2,6.

    Вы можете установить новые контроллеры домена (DCs) с базой данных на 32 тысячи страниц, использующей 64-разрядные идентификаторы длинных значений (LIDs), и работать в 8k-страничном режиме для совместимости с предыдущими версиями. Обновленный контроллер домена продолжает использовать текущий формат базы данных и 8 кб страниц. Переход к базе данных на 32 тыс. страниц осуществляется для всего леса и требует, чтобы все контроллеры домена в лесу имели базу данных, поддерживающую 32 тыс. страниц.

  • обновления схемы Active Directory: вводятся три новых файла базы данных журнала, расширяющие схему Active Directory: sch89.ldf, sch90.ldfи sch91.ldf. Обновления эквивалентной схемы AD LDS находятся в MS-ADAM-Upgrade3.ldf. Дополнительные сведения о предыдущих обновлениях схемы см. в обновлениях схемы Windows Server Active Directory.

  • восстановление объектов Active Directory: администраторы предприятия теперь могут восстановить объекты с отсутствующими основными атрибутами SamAccountType и ObjectCategory. Администраторы предприятия могут обнулить атрибут LastLogonTimeStamp у объекта, установив его на текущее время. These operations are achieved through a new RootDSE modify operation feature on the affected object called fixupObjectState.

  • Поддержка аудита привязки канала: Теперь вы можете включить события 3074 и 3075 для привязки канала протокола Легкого Доступа к Каталогу (LDAP). Если политика привязки канала изменяется на более безопасный параметр, администратор может определить устройства в этой среде, которые не поддерживают или не могут осуществить привязку канала. These audit events are also available in Windows Server 2022 and later via KB4520412.

  • улучшения алгоритма определения местоположения контроллера домена: Алгоритм обнаружения контроллера домена предоставляет новую функциональность с улучшением сопоставления коротких доменных имен в стиле NetBIOS с доменными именами в стиле DNS. Дополнительные сведения см. в статье Поиск контроллеров домена в Windows и Windows Server.

    Note

    Windows не использует почтовые слоты во время операций обнаружения контроллеров домена, так как корпорация Майкрософт объявила об устаревании WINS и почтовых слотов для этих устаревших технологий.

  • Функциональные уровни леса и домена: новый функциональный уровень используется для общей поддерживаемости и требуется для новой функции размера страницы базы данных 32k. Новый функциональный уровень сопоставляется со значением DomainLevel 10 и ForestLevel 10 для установок без присмотра. Корпорация Майкрософт не планирует модернизировать функциональные уровни для Windows Server 2019 и Windows Server 2022. Чтобы выполнить неактивное повышение и понижение контроллера домена, см. синтаксис файла ответов DCPROMO для неактивного повышения и понижения уровня контроллеров домена.

    The DsGetDcName API also supports the new flag DS_DIRECTORY_SERVICE_13_REQUIRED that enables location of DCs running Windows Server 2025. Дополнительные сведения о функциональных уровнях см. в следующих статьях:

    Note

    Новые леса Active Directory и наборы конфигураций AD LDS должны иметь функциональный уровень Windows Server 2016 или выше. Для продвижения реплики Active Directory или AD LDS требуется, чтобы существующий домен или набор конфигурации уже работал с функциональным уровнем Windows Server 2016 или более поздней версии.

    Корпорация Майкрософт рекомендует всем клиентам начать планирование обновления серверов Active Directory и AD LDS до Windows Server 2022 в рамках подготовки к следующему выпуску.

  • Улучшенные алгоритмы поиска имен/SID: Переадресация поиска имен и SID с использованием локального органа безопасности (LSA) между учётными записями компьютеров больше не использует устаревший безопасный канал Netlogon. Вместо этого используются аутентификация Kerberos и алгоритм определения контроллера домена. Для обеспечения совместимости с устаревшими операционными системами можно использовать безопасный канал Netlogon в качестве резервного варианта.

  • Улучшенная безопасность конфиденциальных атрибутов: Контроллеры домена и экземпляры AD LDS разрешают выполнение операций добавления, поиска и изменения с использованием LDAP, связанных с конфиденциальными атрибутами, только при зашифрованном соединении.

  • улучшенная безопасность паролей учетных записей компьютера по умолчанию: Active Directory теперь использует пароли учетных записей компьютера по умолчанию, которые создаются случайным образом. Контроллеры домена Windows 2025 блокируют установку паролей учетных записей компьютеров на значение по умолчанию, равное имени учетной записи компьютера.

    Чтобы управлять этим поведением, включите параметр объекта групповой политики (GPO) Контроллер домена: отказать в установке пароля учетной записи компьютера по умолчанию, расположенный в Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности.

    Служебные программы, такие как Центр администрирования Active Directory (ADAC), пользователи и компьютеры Active Directory (ADUC), net computerи dsmod также учитывают это новое поведение. AdAC и ADUC больше не позволяют создавать учетную запись до Windows 2000.

  • поддержка протокола Kerberos PKINIT для криптографической гибкости: криптография открытого ключа Kerberos для начальной проверки подлинности в Kerberos (PKINIT) обновляется, чтобы обеспечить криптографическую гибкость, поддерживая дополнительные алгоритмы и удаляя жестко закодированные алгоритмы.

  • изменения в Kerberos для алгоритмов, используемых для предоставления билетов: Центр распределения Kerberos больше не будет выдавать билеты на предоставление доступа с использованием шифрования RC4, такого как RC4-HMAC(NT).

  • Изменения в Kerberos для конфигурации поддерживаемого типа шифрования: Kerberos больше не учитывает устаревший ключ реестра REG_DWORD, найденный в пути SupportedEncryptionTypes, Microsoft рекомендует использовать групповую политику. Дополнительные сведения о параметрах групповой политики см. в статье " Безопасность сети": настройка типов шифрования, разрешенных для Kerberos.

  • параметр групповой политики диспетчера локальной сети: параметр групповой политики сетевой безопасности. Не сохраняйте хэш-значение LAN Manager при следующем изменении пароля больше не присутствует и не применяется к новым версиям Windows.

  • шифрование LDAP по умолчанию: всё клиентское взаимодействие LDAP после привязки по протоколу SASL использует шифрование LDAP по умолчанию. To learn more about SASL, see SASL Authentication.

  • поддержка LDAP для Transport Layer Security (TLS) 1.3: LDAP использует последнюю реализацию SCHANNEL и поддерживает протокол TLS 1.3 для подключений LDAP по TLS. Использование TLS 1.3 устраняет устаревшие алгоритмы шифрования и повышает безопасность более ранних версий. TLS 1.3 стремится зашифровать как можно большую часть рукопожатия. Дополнительные сведения см. в статьях "Протоколы" в протоколах TLS/SSL (Schannel SSP) и наборах шифров TLS в Windows Server 2022.

  • Процедура изменения пароля в удалённом вызове (RPC) устаревшего Диспетчера учётных записей безопасности (SAM): безопасные протоколы, такие как Kerberos, являются предпочтительным способом для изменения паролей пользователей домена. On DCs, the latest SAM RPC password change method SamrUnicodeChangePasswordUser4 by using Advanced Encryption Standard (AES) is accepted by default when it's called remotely. Следующие устаревшие методы SAM RPC блокируются по умолчанию при удаленном вызове:

    For domain users that are members of the Protected Users group and for local accounts on domain member computers, all remote password changes through the legacy SAM RPC interface are blocked by default, including SamrUnicodeChangePasswordUser4.

    Чтобы управлять этим поведением, используйте следующий параметр групповой политики:

    Computer Configuration>Administrative Templates>System>Security Account Manager>Configure SAM change password RPC methods policy

  • поддержканеоднородного доступа к памяти (NUMA): AD DS теперь использует аппаратное обеспечение с поддержкой NUMA с помощью ЦП во всех группах процессоров. Ранее Active Directory использовал только ЦП в группе 0. Active Directory может расшириться за пределами 64 ядер.

  • Performance counters: Monitoring and troubleshooting the performance of the following counters are now available:

    • DC Locator: Counters specific to clients and DCs are available.
    • LSA Lookups: Name and SID Lookups through the LsaLookupNames, LsaLookupSids, and equivalent APIs. Эти счетчики доступны как на клиентских, так и на серверных версиях.
    • LDAP client: Available in Windows Server 2022 and later via the KB 5029250 update.
  • порядок приоритета репликации: Теперь администраторы могут увеличить системно вычисляемый приоритет репликации с определенным партнером репликации для определенного контекста именования. Эта функция обеспечивает большую гибкость при настройке порядка репликации для решения конкретных сценариев.

Управляемая учетная запись делегированного обслуживания

Этот новый тип учетной записи позволяет перенести учетную запись службы на делегированную управляемую учетную запись службы (dMSA). Этот тип учетной записи поставляется с управляемыми и полностью случайными ключами, чтобы обеспечить минимальные изменения приложения при отключении паролей исходной учетной записи службы. Дополнительные сведения см. в разделе Обзор делегированных управляемых учетных записей служб.

Решение для паролей локальных администраторов Windows

Решение для локального администратора Windows (LAPS) помогает организациям управлять паролями локального администратора на компьютерах, присоединенных к домену. Он автоматически создает уникальные пароли для учетной записи локального администратора каждого компьютера. Затем он хранит их безопасно в Active Directory и регулярно обновляет их. Автоматически созданные пароли помогают повысить безопасность. Они снижают риск доступа злоумышленников к конфиденциальным системам с помощью скомпрометированных или легко угадываемых паролей.

Некоторые функции, новые для Microsoft LAPS, представляют следующие улучшения:

  • Новое автоматическое управление учетными записями: IT-администраторы теперь могут с легкостью создавать локальную управляемую учетную запись. С помощью этой функции можно настроить имя учетной записи и включить или отключить учетную запись. Вы даже можете случайно использовать имя учетной записи для повышения безопасности. Обновление также включает улучшенную интеграцию с существующими политиками управления локальными учетными записями от Корпорации Майкрософт. Дополнительные сведения об этой функции см. в режимах управления учетными записями Windows LAPS.

  • Обнаружение отката изображения: Windows LAPS теперь определяет, когда происходит откат изображения. Если откат происходит, пароль, хранящийся в Active Directory, может больше не совпадать с паролем, хранящимся локально на устройстве. Rollbacks can result in a torn state. В этом случае ИТ-администратор не может войти на устройство с помощью сохраненного пароля Windows LAPS.

    Для решения этой проблемы добавлена новая функция, которая включает атрибут Active Directory с именем msLAPS-CurrentPasswordVersion. Этот атрибут содержит случайный глобальный уникальный идентификатор (GUID), написанный Windows LAPS каждый раз, когда новый пароль сохраняется в Active Directory и сохраняется локально. Во время каждого цикла обработки идентификатор GUID, хранящийся в msLAPS-CurrentPasswordVersion, запрашивается и сравнивается с локально сохраняемой копией. Если они отличаются, пароль немедленно сменяется.

    Чтобы включить эту функцию, запустите последнюю версию командлета Update-LapsADSchema. Windows LAPS распознает новый атрибут и начинает использовать его. Если вы не запускаете обновленную версию командлета Update-LapsADSchema, Windows LAPS регистрирует событие предупреждения 10108 в журнале событий, но продолжает работать нормально во всех остальных отношениях.

    Параметры политики не используются для включения или настройки этой функции. Функция всегда включена после добавления нового атрибута схемы.

  • New passphrase: IT admins can now use a new feature in Windows LAPS that enables the generation of less-complex passphrases. An example is a passphrase such as EatYummyCaramelCandy. This phrase is easier to read, remember, and type compared to a traditional password like V3r_b4tim#963?.

    С помощью этой новой функции можно настроить параметр политики PasswordComplexity, чтобы выбрать один из трех различных списков слов для парольной фразы. Все списки включены в Windows и не требуют отдельной загрузки. Новый параметр политики с именем PassphraseLength определяет количество слов, используемых в парольной фразе.

    При создании парольной фразы указанное число слов выбирается случайным образом из выбранного списка слов и объединяется. Первая буква каждого слова заглавная, чтобы повысить удобочитаемость. Эта функция также полностью поддерживает резервное копирование паролей в Active Directory или Идентификатор Microsoft Entra.

    Списки слов, используемые в трех новых настройках парольных фраз PasswordComplexity, взяты из статьи Electronic Frontier Foundation Глубокое погружение: Новые списки слов EFF для случайных парольных фраз. Списки слов Windows LAPS для паролей лицензированы в соответствии с лицензией CC-BY-3.0 и доступны для скачивания.

    Note

    Windows LAPS не позволяет настраивать встроенные списки слов или использовать настроенные клиентом списки слов.

  • словарь паролей с улучшенной читаемостью: Windows LAPS вводит новый параметр PasswordComplexity, который позволяет ИТ-администраторам создавать менее сложные пароли. Эту функцию можно использовать для настройки LAPS для использования всех четырех категорий символов (прописных букв, строчных букв, чисел и специальных символов), таких как существующий параметр сложности 4. При новом параметре 5более сложные символы исключаются для повышения удобочитаемости паролей и минимизации путаницы. For example, the numeral 1 and the letter I are never used with the new setting.

    Если PasswordComplexity настроено на 5, в набор символов словаря паролей по умолчанию вносятся следующие изменения:

    • Don't use: The letters I, O, Q, l, o
    • Don't use: The numbers 0, 1
    • Don't use: The special characters ,, ., &, {, }, [, ], (, ), ;
    • Use: The special characters :, =, ?, *

    Оснастка ADUC (через консоль управления Майкрософт) теперь включает улучшенную вкладку Windows LAPS. Пароль Windows LAPS теперь отображается в новом шрифте, который повышает его удобочитаемость при отображении в виде обычного текста.

  • Поддержка действий после аутентификации для завершения отдельных процессов: новый параметр добавлен в параметр действий после аутентификации (PAA) в настройках групповой политики Reset the password, sign out the managed account, and terminate any remaining processes, который расположен в Конфигурация компьютера>Административные шаблоны>Система>LAPS>Действия после аутентификации.

    Этот новый параметр является расширением предыдущего параметра Reset the password and log off the managed account. После настройки PAA уведомляет, а затем завершает любые интерактивные сеансы входа. Он перечисляет и завершает все процессы, которые по-прежнему выполняются под локальной учетной записью, управляемой Windows LAPS. Завершение происходит без предварительного уведомления.

    Расширение логирования событий во время выполнения PAA предоставляет более глубокое понимание работы.

Дополнительные сведения о Windows LAPS см. в статье "Что такое Windows LAPS?".

OpenSSH

В более ранних версиях Windows Server средство подключения OpenSSH требовало ручной установки перед использованием. Компонент на стороне сервера OpenSSH устанавливается по умолчанию в Windows Server 2025. Пользовательский интерфейс диспетчер сервера также включает одношаговый параметр в разделе "Удаленный SSH-доступ", который включает или отключает sshd.exe службу. Also, you can add users to the OpenSSH Users group to allow or restrict access to your devices. Дополнительные сведения см. в обзоре OpenSSH для Windows.

Security baseline

Реализуя настраиваемую базовую линию безопасности, вы можете установить меры безопасности с самого начала для роли устройства или виртуальной машины на основе рекомендуемого уровня безопасности. Этот базовый план оснащен более чем 350 предварительно настроенными параметрами безопасности Windows. Параметры можно использовать для применения и обеспечения соблюдения определенных параметров безопасности, которые соответствуют рекомендациям, рекомендуемыми корпорацией Майкрософт и отраслевыми стандартами. To learn more, see OSConfig overview.

Анклавы безопасности на основе виртуализации

Анклав безопасности на основе виртуализации (VBS) — это доверенная среда выполнения на основе программного обеспечения в адресном пространстве ведущего приложения. VBS enclaves use underlying VBS technology to isolate the sensitive portion of an application in a secure partition of memory. Анклава VBS обеспечивают изоляцию конфиденциальных рабочих нагрузок как от ведущего приложения, так и остальной части системы.

Анклавы VBS позволяют приложениям защищать свои секреты, устраняя необходимость доверия администраторам и усиливая защиту от вредоносных злоумышленников. Дополнительные сведения см. в справочнике по анклавам VBS Win32 .

Защита ключей безопасности на основе виртуализации

Защита ключей VBS позволяет разработчикам Windows защитить криптографические ключи с помощью VBS. VBS использует возможность расширения виртуализации ЦП для создания изолированной среды выполнения за пределами обычной ОС.

При использовании ключи VBS изолируются в рамках защищенного процесса. Операции с ключами могут выполняться без раскрытия данных закрытого ключа за пределами данного пространства. В неактивном состоянии ключ TPM шифрует данные закрытого ключа, что связывает ключи VBS с устройством. Ключи, защищенные таким образом, нельзя сбрасывать из памяти процесса или экспортировать в обычный текст с компьютера пользователя.

Защита ключей VBS помогает предотвратить эксфильтрационные атаки любого злоумышленника с правами администратора. Для использования защиты ключей необходимо включить VBS. Сведения о том, как включить VBS, см. в разделе Включение целостности памяти.

Secured connectivity

В следующих разделах рассматривается безопасность подключений.

Безопасное управление сертификатами

Searching or retrieving certificates on Windows now supports SHA-256 hashes, as described in the functions CertFindCertificateInStore and CertGetCertificateContextProperty. Проверка подлинности сервера TLS более безопасна в Windows и теперь требует минимальной длины ключа RSA 2048 бит. Дополнительные сведения см. в статье аутентификация сервера TLS: отказ от использования сертификатов RSA с низкой степенью защиты.

SMB по QUIC

Функция SMB на сервере QUIC , которая доступна только в Windows Server Azure Edition, теперь доступна как в windows Server Standard, так и в версиях Центра обработки данных Windows Server. SMB через QUIC использует преимущества протокола QUIC, обеспечивая низкую задержку и зашифрованные подключения через Интернет.

Политика активации SMB через QUIC

Администраторы могут отключить клиент SMB по протоколу QUIC с помощью групповой политики и PowerShell. Чтобы отключить SMB через QUIC с помощью групповой политики, установите политику Включить SMB через QUIC в следующих путях в состояние Отключено:

  • конфигурация компьютера\Административные шаблоны\Network\Lanman Workstation
  • конфигурация компьютера\Административные шаблоны\Network\Lanman Server

Чтобы отключить SMB через QUIC с помощью PowerShell, выполните следующую команду в командной строке PowerShell с повышенными привилегиями:

Set-SmbClientConfiguration -EnableSMBQUIC $false
Аудит подписывания и шифрования SMB

Администраторы могут включить аудит сервера SMB и клиента для поддержки подписывания и шифрования SMB. Если клиент или сервер, отличный от Майкрософт, не поддерживает шифрование SMB или подпись, его можно обнаружить. Если устройство или программное обеспечение, отличное от Майкрософт, поддерживает SMB 3.1.1, но не поддерживает подписывание SMB, оно нарушает требование протокола целостности проверки подлинности SMB 3.1.1.

Параметры аудита подписи и шифрования SMB можно настроить с помощью групповой политики или PowerShell. Эти политики можно изменить в следующих путях групповой политики:

  • Конфигурация компьютера\Административные шаблоны\Network\Lanman Server\Audit client не поддерживает шифрование
  • Конфигурация компьютера\Административные шаблоны\Network\Lanman Server\Audit client не поддерживает подпись
  • Конфигурация компьютера\Административные шаблоны\Network\Lanman Workstation\Audit Server не поддерживает шифрование
  • Конфигурация компьютера\Административные шаблоны\Network\Lanman Workstation\Audit Server не поддерживает подпись

Чтобы выполнить эти изменения с помощью PowerShell, выполните следующие команды в командной строке с повышенными привилегиями, где $true включает и $false отключает следующие параметры:

Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true

Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true

Журналы событий для этих изменений хранятся в средствах просмотра событий по следующим путям с указанным идентификатором события.

Path Event ID
Журналы приложений и служб\Microsoft\Windows\SMBClient\Audit 31998
31999
Журналы приложений и служб\Microsoft\Windows\SMBServer\Audit 3021
3022
Аудит SMB через QUIC

Аудит подключения клиента SMB через QUIC регистрирует события в журнале событий для включения транспорта QUIC в Просмотр событий. Эти журналы хранятся по следующим путям с их определённым идентификатором события (Event ID).

Path Event ID
Журналы приложений и служб\Microsoft\Windows\SMBClient\Connectivity 30832
Журналы приложений и служб\Microsoft\Windows\SMBServer\Connectivity 1913
Управление доступом клиента SMB через QUIC

Windows Server 2025 включает управление доступом клиентов для SMB через QUIC. SMB через QUIC — это альтернатива TCP и RDMA, которая обеспечивает безопасное подключение к пограничным файловым серверам через ненадежные сети. Управление доступом к клиенту вводит дополнительные элементы управления, чтобы ограничить доступ к данным с помощью сертификатов. Дополнительные сведения см. в статье о работе управления доступом клиентов.

Альтернативные порты SMB

Клиент SMB можно использовать для подключения к альтернативным портам TCP, QUIC и RDMA вместо их значений по умолчанию IANA/IETF: 445 для TCP, 443 для QUIC и 5445 для RDMA. Можно настроить альтернативные порты с помощью групповой политики или PowerShell. Ранее сервер SMB в Windows назначил входящий трафик для использования зарегистрированного через IANA порта TCP/445, а tcp-клиент SMB допускает только исходящие подключения к тому же TCP-порту. Теперь SMB через QUIC позволяет использовать альтернативные порты SMB, если порты UDP/443, требуемые QUIC, доступны как для серверов, так и для клиентских устройств. Дополнительные сведения см. в разделе "Настройка альтернативных портов SMB".

Усиление защиты правил брандмауэра SMB

Ранее при создании общей папки правила брандмауэра SMB были автоматически настроены для включения группы общего доступа к файлам и принтерам для соответствующих профилей брандмауэра. Теперь создание общей папки SMB в Windows приводит к автоматической настройке новой группы Ограниченного общего доступа к файлам и принтерам, которая больше не разрешает входящие порты NetBIOS 137-139. Дополнительные сведения см. в разделе "Обновленные правила брандмауэра".

SMB encryption

Принудительное шифрование SMB включено для всех исходящих клиентских подключений SMB. С помощью этого обновления администраторы могут установить требование, чтобы все конечные серверы поддерживали SMB 3.x и шифрование. Если сервер не имеет этих возможностей, клиент не может установить подключение.

Ограничение скорости проверки подлинности SMB

Ограничение скорости проверки подлинности SMB ограничивает количество попыток проверки подлинности в течение определенного периода времени. Ограничитель скорости аутентификации SMB помогает бороться с атаками грубой силы. Служба для сервера SMB использует ограничитель скорости проверки для осуществления задержки между каждой неудачной попыткой проверки подлинности NTLM или PKU2U. Служба включена по умолчанию. Дополнительные сведения см. в статье о том, как работает ограничение скорости проверки подлинности SMB.

Отключите SMB NTLM

Начиная с Windows Server 2025 клиент SMB поддерживает блокировку NTLM для удаленных исходящих подключений. Previously, the Windows Simple and Protected GSSAPI Negotiation Mechanism (SPNEGO) negotiated Kerberos, NTLM, and other mechanisms with the destination server to determine a supported security package. Дополнительные сведения см. в разделе "Блокировать подключения NTLM" в SMB.

Управление диалектом SMB

Теперь вы можете управлять диалектами SMB в Windows. При конфигурировании сервер SMB определяет, какие диалекты SMB 2 и SMB 3 он согласовывает по сравнению с прежним поведением, и выбирает только самый высокий диалект.

SMB signing

Подписывание SMB теперь требуется по умолчанию для всех исходящих подключений SMB. Previously, it was required only when you connected to shares named SYSVOL and NETLOGON on Active Directory DCs. Дополнительные сведения см. в статье Как работает подпись.

Remote Mailslot

Протокол Remote Mailslot отключен по умолчанию для SMB и для использования протокола DC Locator в сочетании с Active Directory. Remote Mailslot может быть удален в более позднем выпуске. Дополнительные сведения см. в статье Функции, удаленные или не разработанные в Windows Server.

Усиление защиты служб маршрутизации и удаленного доступа

По умолчанию новые установки служб маршрутизации и удаленного доступа (RRAS) не принимают VPN-подключения на основе PPTP и L2TP. При необходимости эти протоколы можно включить. VPN-подключения на основе SSTP и IKEv2 по-прежнему принимаются без каких-либо изменений.

Существующие конфигурации сохраняют их поведение. Например, если вы запускаете Windows Server 2019 и принимаете подключения PPTP и L2TP, а также выполняете обновление до Windows Server 2025 с помощью обновления на месте, подключения на основе L2TP и PPTP по-прежнему принимаются. Это изменение не влияет на клиентские операционные системы Windows. Дополнительные сведения о повторной активации PPTP и L2TP см. в статье Настройка протоколов VPN.

Изменение протокола ключей по умолчанию IPsec

Модули ключей по умолчанию были изменены на IKEv1 и IKEv2 для подключений IPsec, прошедших проверку подлинности с помощью сертификатов компьютера. Для других методов проверки подлинности по умолчанию остается authIP и IKEv1. Это относится к клиентам Windows Server 2025 и Windows 11 24H2. In the registry path HKLM:\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters, the IpsecRestoreLegacyKeyMod entry with a value of 0 utilizes the new sequence, IKEv2 and IKEv1. A value of 1 utilizes the previous sequence, AuthIP and IKEv1. Чтобы вернуться к предыдущему поведению, добавьте следующий раздел реестра в системы, использующие новую последовательность ключевого протокола по умолчанию. Чтобы изменения вступили в силу, требуется перезагрузка.

New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters" -Name "IpsecRestoreLegacyKeyMod" -PropertyType "DWORD" -Value 1

Hyper-V, AI и производительность

В следующих разделах рассматриваются Hyper-V, ИИ и производительность.

Ускорение сети (предварительная версия)

Ускоренная сеть (AccelNet) упрощает управление одно корневой виртуализацией ввода-вывода (SR-IOV) для виртуальных машин, размещенных на кластерах Windows Server 2025. Эта функция использует высокопроизводительный канал передачи данных SR-IOV для уменьшения задержки, дрожания и использования центрального процессора. AccelNet также включает уровень управления, который обрабатывает проверку готовности, конфигурацию узла и параметры производительности виртуальной машины. Дополнительные сведения см. в Ускоренная сетевая функция (предварительная версия).

Совместимость динамического процессора

Режим совместимости динамического процессора обновляется, чтобы воспользоваться преимуществами новых возможностей процессора в кластеризованной среде. Совместимость динамического процессора использует максимальное количество функций процессора, доступных на всех серверах в кластере. Режим повышает производительность по сравнению с предыдущей версией совместимости процессора.

Вы также можете использовать динамическую совместимость процессора для сохранения состояния между узлами виртуализации, использующих разные поколения процессоров. Теперь режим совместимости процессора предоставляет расширенные динамические возможности на процессорах, способных переводить адреса второго уровня. Дополнительные сведения об обновленном режиме совместимости см. в разделе "Режим совместимости динамического процессора".

Hyper-V Manager

When you create a new VM through Hyper-V Manager, Generation 2 is now set as the default option in the New Virtual Machine Wizard.

Управляемое гипервизором постраничное преобразование

Принудительная трансляция страниц с гипервизором (HVPT) — это улучшение безопасности для гарантии целостности линейных трансляций адресов. HVPT защищает критически важные системные данные от атак write-what-where, где злоумышленник записывает произвольное значение в произвольное расположение, часто в результате переполнения буфера. HVPT защищает таблицы страниц, которые управляют критически важными системными данными. HVPT включает всё, что уже находится под защитой целостности кода с использованием гипервизора (HVCI). HVPT включен по умолчанию, где доступна поддержка оборудования. HVPT не включен, если Windows Server работает в качестве гостя на виртуальной машине.

GPU partitioning

Физическое устройство GPU можно совместно использовать с несколькими виртуальными машинами с помощью секционирования GPU. Вместо выделения всего GPU на одну виртуальную машину секционирование GPU (GPU-P) назначает выделенные доли GPU каждой виртуальной машине. При Hyper-V GPU-P высокой доступности виртуальная машина GPU-P автоматически включается на другом узле кластера при незапланированном простое.

Динамическая миграция GPU-P предоставляет решение для перемещения виртуальной машины (для запланированного простоя или балансировки нагрузки) с GPU-P на другой узел независимо от того, является ли он автономным или кластеризованным. To learn more about GPU partitioning, see GPU partitioning.

Network ATC

Сетевой ATC упрощает развертывание и управление сетевыми конфигурациями для кластеров Windows Server 2025. Сетевой ATC использует подход, основанный на намерениях, где пользователи указывают свои намерения, например, управление, вычисления или хранилище для сетевого адаптера. Развертывание автоматизировано на основе предполагаемой конфигурации.

Этот подход сокращает время, сложность и ошибки, связанные с развертыванием сетей узлов. Это обеспечивает согласованность конфигурации в кластере, а также устраняет смещение конфигурации. Дополнительные сведения см. в разделе "Развертывание сетевых ресурсов с использованием Network ATC".

Scalability

В Windows Server 2025 Hyper-V теперь поддерживает до 4 петабайт памяти и 2048 логических процессоров на узел. Это увеличение позволяет повысить масштабируемость и производительность виртуализированных рабочих нагрузок.

Windows Server 2025 также поддерживает до 240 ТБ памяти и 2048 виртуальных процессоров для виртуальных машин поколения 2, обеспечивая повышенную гибкость для выполнения больших рабочих нагрузок. Дополнительные сведения см. в разделе "Планирование масштабируемости Hyper-V" в Windows Server.

Workgroup clusters

Hyper-V кластеры рабочей группы — это особый тип отказоустойчивого кластера Windows Server, где узлы кластера Hyper-V не являются членами домена Active Directory с возможностью динамической миграции виртуальных машин в кластере рабочей группы.

Storage

В следующих разделах описываются обновления хранилища.

Поддержка клонирования блоков

Теперь Dev Drive поддерживает клонирование блоков, начиная с Windows 11 24H2 и Windows Server 2025. Поскольку Dev Drive использует формат устойчивой файловой системы (ReFS), поддержка клонирования блоков обеспечивает значительные преимущества в производительности при копировании файлов. С помощью клонирования блоков файловая система может скопировать диапазон байтов файлов для приложения как операцию с метаданными с низкой стоимостью, вместо выполнения дорогостоящих операций чтения и записи в базовые физические данные.

Результатом является быстрое завершение копирования файлов, сокращение операций ввода-вывода в базовое хранилище и повышение емкости хранилища, позволяя нескольким файлам совместно использовать одни и те же логические кластеры. Дополнительные сведения см. в разделе "Блокировка клонирования" в ReFS.

Dev Drive

Dev Drive — это том хранилища, предназначенный для повышения производительности ключевых рабочих нагрузок разработчика. Dev Drive использует технологию ReFS и включает определенные оптимизации файловой системы, чтобы обеспечить более широкий контроль над параметрами тома хранилища и безопасностью. Теперь администраторы могут назначать доверие, настраивать параметры антивирусной программы и осуществлять административный контроль над подключенными фильтрами. Дополнительные сведения см. в статье "Настройка диска разработки" в Windows 11.

NVMe

NVMe — это новый стандарт для быстрых твердотельных дисков. Производительность хранилища NVMe оптимизирована в Windows Server 2025. Результатом является повышение производительности с увеличением операций ввода-вывода в секунду и снижением использования ЦП.

Сжатие реплики хранилища

Сжатие реплики хранилища уменьшает объем данных, передаваемых по сети во время репликации. Дополнительные сведения о сжатии в Storage Replica см. в разделе ОбзорStorage Replica.

Расширенный журнал репликации хранилища

Улучшенный журнал реплики хранилища помогает в реализации журнала для устранения затрат на производительность, связанных с абстракциями файловой системы. Улучшена производительность блочной репликации. Чтобы узнать больше, см. Расширенный журнал реплики хранилища.

Дедупликация и сжатие в собственном хранилище ReFS

Дедупликация и сжатие в собственном хранилище ReFS — это методы оптимизации эффективности хранения для статических и активных рабочих нагрузок, таких как файловые серверы или виртуальные рабочие столы. Дополнительные сведения о дедупликации и сжатии ReFS см. в статье Оптимизация хранилища с помощью дедупликации и сжатия ReFS в локальной Azure.

Тонко выделенные тома

Тома с тонким выделением ресурсов с использованием Storage Spaces Direct — это способ эффективного распределения ресурсов хранилища и предотвращения дорогостоящего перераспределения путем выделения из пула только когда это необходимо в кластере. Вы также можете преобразовать тома с фиксированным распределением в тома с тонким распределением. Преобразование из фиксированных в тонкие подготовленные тома возвращает любое неиспользуемое хранилище обратно в пул для использования других томов. Чтобы узнать больше о тонких томах с динамическим выделением, см. Тонкое выделение памяти.

Блок сообщений сервера

Блок сообщений сервера (SMB) является одним из наиболее широко используемых протоколов в сети. SMB предоставляет надежный способ совместного использования файлов и других ресурсов между устройствами в сети. Windows Server 2025 включает поддержку сжатия SMB для стандартного алгоритма сжатия LZ4 в отрасли. LZ4 в дополнение к уже существующей поддержки SMB для XPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1 и PATTERN_V1.

Azure Arc и гибридная среда

В следующих разделах рассматриваются конфигурации Azure Arc и гибридные конфигурации.

Упрощенная настройка Azure Arc

Настройка Azure Arc — это функция по запросу, поэтому она устанавливается по умолчанию. Удобный интерфейс мастера и значок области задач помогают упростить процесс добавления серверов в Azure Arc. Azure Arc расширяет возможности платформы Azure, чтобы создавать приложения и службы, которые могут работать в различных средах. Эти среды включают центры обработки данных, пограничные и многооблачные среды и обеспечивают повышенную гибкость. Дополнительные сведения см. в статье "Подключение компьютеров Windows Server к Azure с помощью программы установки Azure Arc".

Pay-as-you-go licensing

Вариант лицензирования подписки с оплатой по мере использования Azure Arc является альтернативой обычному постоянному лицензированию для Windows Server 2025. С помощью варианта оплаты по мере использования можно развернуть устройство Windows Server, лицензировать его и оплатить только столько, сколько вы используете. Эта функция упрощается с помощью Azure Arc и оплачивается через подписку Azure. Дополнительные сведения см. в статье лицензирование Azure Arc по мере использования.

Управление Windows Server, поддерживаемое Azure Arc

Управление Windows Server, осуществляемое с помощью Azure Arc, предоставляет новые преимущества клиентам, имеющим лицензии Windows Server с активной подпиской Software Assurance или действующие подписочные лицензии на Windows Server. Windows Server 2025 имеет следующие ключевые преимущества:

  • Windows Admin Center в Azure Arc: интегрирует Azure Arc с Windows Admin Center, что позволяет управлять экземплярами Windows Server через портал Azure Arc. Эта интеграция обеспечивает единый интерфейс управления для экземпляров Windows Server, работающих локально, в облаке или на периферии.
  • Remote Support: Offers customers with professional support the ability to grant just-in-time access with detailed execution transcripts and revocation rights.
  • Оценка лучших практик: Сбор и анализ данных сервера выявляют проблемы и предоставляют рекомендации по их устранению, а также способствуют улучшению производительности.
  • конфигурации Azure Site Recovery. Конфигурация Azure Site Recovery обеспечивает бесперебойность бизнес-процессов и обеспечивает репликацию и устойчивость данных для критически важных рабочих нагрузок.

Дополнительные сведения об управлении Windows Server, включенном Azure Arc и доступных преимуществах, см. в статье "Управление Windows Server" с поддержкой Azure Arc.

Software-Defined Networking

Программно-определяемые сети (SDN) — это подход к сетям, который сетевые администраторы могут использовать для управления сетевыми службами через абстрагирование низкоуровневых функций. SDN позволяет разделить плоскость управления сетью, которая управляет сетью с плоскости данных, которая обрабатывает трафик. Это разделение позволяет повысить гибкость и программируемость в управлении сетями. SDN предоставляет следующие преимущества в Windows Server 2025:

  • Network Controller: This control plane for SDN is now hosted directly as Failover Cluster services on the physical host machines. Использование роли кластера устраняет необходимость развертывания виртуальных машин, что упрощает развертывание и управление и экономит ресурсы.
  • Tag-based segmentation: Administrators can use custom service tags to associate network security groups (NSGs) and VMs for access control. Вместо указания диапазонов IP-адресов администраторы теперь могут использовать простые самообъясняющиеся метки, чтобы обозначать виртуальные машины рабочей нагрузки и применять политики безопасности на основе этих меток. Теги упрощают процесс управления безопасностью сети и устраняют необходимость запоминать и перетипировать диапазоны IP-адресов. Дополнительные сведения см. в статье "Настройка групп безопасности сети с тегами в Windows Admin Center".
  • Политики сети по умолчанию в Windows Server 2025: эти политики предлагают варианты защиты, похожие на Azure, для сетевых групп безопасности (НСБ) при развертывании рабочих процессов через Центр администрирования Windows. Политика по умолчанию запрещает весь входящий доступ, позволяя выборочно открывать известные входящие порты, разрешая полный исходящий доступ с виртуальных машин рабочей нагрузки. Политики сети по умолчанию гарантируют, что виртуальные машины рабочей нагрузки защищены с точки создания. Дополнительные сведения см. в статье "Использование политик доступа к сети по умолчанию" на виртуальных машинах в локальной среде Azure.
  • SDN Multisite: This feature provides native layer 2 and layer 3 connectivity between applications across two locations without any extra components. С помощью multisite SDN приложения могут легко перемещаться без необходимости перенастройки приложения или сетей. Она также предлагает унифицированное управление политиками сети для рабочих нагрузок, чтобы не нужно обновлять политики при переходе виртуальной машины рабочей нагрузки из одного расположения в другое. Дополнительные сведения см. в статье "Что такое SDN Multisite?".
  • улучшенная производительность шлюзов уровня 3 SDN: шлюзы уровня 3 обеспечивают более высокую пропускную способность и сокращают циклы ЦП. Эти улучшения включены по умолчанию. Пользователи автоматически испытывают более высокую производительность при настройке подключения уровня 3 шлюза SDN с помощью PowerShell или Windows Admin Center.

Переносимость контейнеров Windows

Переносимость является важным аспектом управления контейнерами и имеет возможность упростить обновления, применяя повышенную гибкость и совместимость контейнеров в Windows.

Переносимость — это функция Windows Server, которую пользователи могут использовать для перемещения образов контейнеров и связанных с ними данных между разными узлами или средами без каких-либо изменений. Пользователи могут создать образ контейнера на одном узле, а затем развернуть его на другом узле, не беспокоясь о проблемах совместимости. Чтобы узнать больше, см. Переносимость для контейнеров.

Программа предварительной оценки Windows Server

Программа предварительной оценки Windows Server предоставляет ранний доступ к последним выпускам ОС Windows для сообщества энтузиастов. В качестве члена вы являетесь одним из первых, чтобы попробовать новые идеи и концепции, которые корпорация Майкрософт разрабатывает. После регистрации в качестве участника вы можете участвовать в различных каналах выпуска. Go to Start>Settings>Windows Update>Windows Insider Program.

обсуждения Инсайдерского сообщества Windows Server