Поделиться через

Новые возможности Windows Server 2025

  • Статья
  • Применяется к:
    Windows Server 2025

В этой статье описываются некоторые новейшие разработки в Windows Server 2025, которые могут похвастаться расширенными функциями, которые повышают безопасность, производительность и гибкость. Благодаря более быстрым возможностям хранения и возможности интеграции с гибридными облачными средами управление инфраструктурой теперь упрощается. Windows Server 2025 основывается на сильном фундаменте своего предшественника при внедрении ряда инновационных улучшений для адаптации к вашим потребностям.

Если вы хотите попробовать последние возможности Windows Server 2025 до официального выпуска, см. статью "Начало работы с предварительной версией программы предварительной оценки Windows Server".

Новые возможности

Следующие новые функции относятся только к Windows Server с рабочим столом. Наличие физических устройств под управлением операционной системы и правильных драйверов, которые легко доступны.

Ускорение работы в сети

Ускорение сети (AccelNet) упрощает управление виртуализацией одно корневых операций ввода-вывода (SR-IOV) для виртуальных машин, размещенных в кластерах Windows Server 2025. Эта функция использует высокопроизводительный путь к данным SR-IOV для уменьшения задержки, jitter и использования ЦП. AccelNet также включает уровень управления, который обрабатывает проверку готовности, конфигурацию узла и параметры производительности виртуальной машины.

Доменные службы Active Directory

Последние усовершенствования служб домен Active Directory (AD DS) и упрощенных доменных служб Active Directory (AD LDS) представляют ряд новых функций и возможностей, направленных на оптимизацию возможностей управления доменами:

  • Необязательный размер страницы базы данных 32k— AD использует базу данных расширяемого ядра хранилища (ESE) с момента его внедрения в Windows 2000, использующего размер страницы базы данных 8k. Решение по архитектуре 8k привело к ограничениям по всему AD, которые описаны в максимальной масштабируемости AD. Примером этого ограничения является один объект AD записи, размер которого не может превышать 8 кб. Переход к формату страницы базы данных 32k обеспечивает огромное улучшение областей, затронутых устаревшими ограничениями, в том числе многозначные атрибуты теперь могут содержать до 3200 значений, что увеличивается на коэффициент 2,6.

    Новые контроллеры данных можно установить с 32-разрядной базой данных страниц, использующей 64-разрядные идентификаторы значений (LID) и запускаться в режиме страницы 8k для совместимости с предыдущими версиями. Обновленный контроллер домена продолжает использовать текущий формат базы данных и 8 кб страниц. Переход на 32 кб страниц базы данных выполняется на уровне леса и требует, чтобы все контроллеры домена в лесу имели базу данных с поддержкой 32 кб.

  • Обновления схемы AD — вводятся три новых файла базы данных журнала (LDF), расширяющие схему AD, sch89.ldfsch90.ldfи т. дsch91.ldf. Обновления эквивалентной схемы AD LDS находятся в MS-ADAM-Upgrade3.ldf. Дополнительные сведения о предыдущих обновлениях схемы см. в разделе "Обновления схемы Windows Server AD"

  • Восстановление объектов AD — AD теперь позволяет корпоративным администраторам восстанавливать объекты с отсутствующими основными атрибутами SamAccountType и ObjectCategory. Администраторы предприятия могут сбросить атрибут LastLogonTimeStamp для объекта до текущего времени. Эти операции выполняются с помощью новой функции изменения RootDSE в затронутом объекте с именем fixupObjectState.

  • Поддержка аудита привязки канала. Теперь для привязки протокола LDAP можно включить события 3074 и 3075. Если политика привязки канала изменяется на более безопасный параметр, администратор может определить устройства в среде, которые не поддерживают или не поддерживают привязку канала. Эти события аудита также доступны в Windows Server 2022 и более поздних версиях через KB4520412.

  • Усовершенствования алгоритма расположения контроллера домена . Алгоритм обнаружения контроллеров домена предоставляет новые функциональные возможности для сопоставления коротких доменных имен в стиле NetBIOS с доменными именами в стиле DNS. Дополнительные сведения см. в статье об изменениях указателя контроллера домена Active Directory.

    Примечание.

    Windows не использует почтовые слоги во время операций обнаружения контроллеров домена, так как корпорация Майкрософт объявила об отмене winS и почтовых слоток для этих устаревших технологий.

  • Уровни функциональности леса и домена. Новый функциональный уровень используется для общей поддержки и требуется для новой функции размера страницы базы данных 32K. Новый функциональный уровень сопоставляется со значением DomainLevel 10 и ForestLevel 10 автоматическими установками. Корпорация Майкрософт не планирует модернизировать функциональные уровни для Windows Server 2019 и Windows Server 2022. Чтобы выполнить автоматическое повышение и понижение контроллера домена (DC), ознакомьтесь с синтаксисом файла ответов DCPROMO для автоматического повышения и понижения контроллеров домена.

    Интерфейс программирования приложений DsGetDcName (API) также поддерживает новый флаг DS_DIRECTORY_SERVICE_13_REQUIRED , который включает расположение контроллеров домена под управлением Windows Server 2025. Дополнительные сведения о функциональных уровнях см. в следующих статьях:

    Примечание.

    Новые леса AD или наборы конфигураций AD LDS должны иметь функциональный уровень Windows Server 2016 или более поздней версии. Для повышения уровня реплики AD или AD LDS требуется, чтобы существующий домен или набор конфигурации уже работал с функциональным уровнем Windows Server 2016 или более поздней версии.

    Корпорация Майкрософт рекомендует всем клиентам начать планировать обновление серверов AD и AD LDS до Windows Server 2022 при подготовке следующего выпуска.

  • Улучшенные алгоритмы поиска имен и идентификаторов — имя локального центра безопасности (LSA) и перенаправка безопасности между учетными записями компьютера больше не использует устаревший безопасный канал Netlogon. Вместо этого используются алгоритм проверки подлинности Kerberos и алгоритм указателя контроллера домена. Для обеспечения совместимости с устаревшими операционными системами можно использовать безопасный канал Netlogon в качестве резервного варианта.

  • Улучшенная безопасность конфиденциальных атрибутов — экземпляры DCs и AD LDS позволяют добавлять, выполнять поиск и изменять операции, связанные с конфиденциальными атрибутами при шифровании подключения.

  • Улучшена безопасность паролей учетной записи компьютера по умолчанию. AD теперь использует случайные созданные пароли учетных записей компьютера по умолчанию. Контроллеры домена Windows 2025 блокируют пароли учетных записей компьютера по умолчанию для имени учетной записи компьютера.

    Это поведение можно контролировать, включив контроллер домена параметра групповой политики: отклонить пароль учетной записи компьютера по умолчанию, расположенный в: Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

    Служебные программы, такие как Центр администрирования Active Directory (ADAC), Пользователи и компьютеры Active Directory (ADUC), net computerа dsmod также учитывают это новое поведение. AdAC и ADUC больше не позволяют создавать учетную запись Windows до 2k.

  • Поддержка протокола Kerberos PKINIT для криптографической гибкости. Шифрование открытого ключа Kerberos для начальной проверки подлинности в протоколе Kerberos (PKINIT) обновляется, чтобы обеспечить криптографическую гибкость, поддерживая дополнительные алгоритмы и удаляя жестко закодированные алгоритмы.

  • Параметр групповой политики диспетчера локальной сети . Не сохраняйте хэш-значение LAN Manager при следующем изменении пароля больше не применяется к новым версиям Windows.

  • Шифрование LDAP по умолчанию — все клиентские подключения LDAP после привязки простой проверки подлинности и уровня безопасности (SASL) используют печать LDAP по умолчанию . Дополнительные сведения о SASL см. в статье "Проверка подлинности SASL".

  • Поддержка LDAP для TLS 1.3 — LDAP использует последнюю реализацию SCHANNEL и поддерживает TLS 1.3 для подключений TLS. Использование TLS 1.3 устраняет устаревшие алгоритмы шифрования, повышает безопасность более старых версий и стремится зашифровать как можно больше подтверждения. Дополнительные сведения см. в статьях "Протоколы" в протоколах TLS/SSL (Schannel SSP) и наборах шифров TLS в Windows Server 2022.

  • Устаревшее поведение изменения пароля SAM RPC — безопасные протоколы, такие как Kerberos, являются предпочтительным способом изменения паролей пользователей домена. На контроллерах домена последний метод изменения пароля SAM RPC SamrUnicodeChangePasswordUser4 с помощью AES принимается по умолчанию при удаленном вызове. Следующие устаревшие методы SAM RPC блокируются по умолчанию при удаленном вызове:

    Для пользователей домена, являющихся членами группы защищенных пользователей и локальных учетных записей на компьютерах-членах домена, все изменения удаленного пароля через устаревший интерфейс SAM RPC по умолчанию блокируются, включаяSamrUnicodeChangePasswordUser4.

    Это поведение можно контролировать с помощью следующего параметра объекта групповой политики (GPO):

    Настройка > политики методов RPC для системных административных шаблонов конфигурации > компьютера с помощью диспетчера > безопасности учетных > записей безопасности SAM

  • Поддержка NUMA— AD DS теперь использует аппаратное оборудование, отличное от единообразного доступа к памяти (NUMA), используя ЦП во всех группах процессоров. Ранее AD использовал только ЦП в группе 0. Active Directory может расшириться за пределами 64 ядер.

  • Счетчики производительности. Теперь доступны мониторинг и устранение неполадок производительности следующих счетчиков:

    • Указатель контроллера домена — доступные счетчики клиента и контроллера домена.

    • Поиски и идентификаторы - безопасности LSA с помощью LsaLookupNames, LsaLookupSids и эквивалентных API. Эти счетчики доступны как на клиентских, так и на серверах SKU.

    • Клиент LDAP — доступен в Windows Server 2022 и более поздних версиях с помощью обновления 5029250 базы знаний.

  • Порядок приоритета репликации — AD теперь позволяет администраторам увеличить приоритет вычисляемой репликации с определенным партнером репликации для определенного контекста именования. Эта функция обеспечивает большую гибкость при настройке порядка репликации для решения конкретных сценариев.

Azure Arc

По умолчанию устанавливается компонент установки Azure Arc по запросу, который предлагает удобный пользовательский интерфейс мастера и значок области задач для упрощения процесса добавления серверов в Azure Arc. Azure Arc расширяет возможности платформы Azure, позволяя создавать приложения и службы, которые могут работать в различных средах. К ним относятся центры обработки данных, пограничные, многооблачные среды и обеспечивают повышенную гибкость. Дополнительные сведения см. в статье "Подключение компьютеров Windows Server к Azure с помощью программы установки Azure Arc".

Поддержка клонирования блоков

Начиная с Windows 11 24H2 и Windows Server 2025, диск разработки теперь поддерживает клонирование блоков. Так как диск разработки использует формат файловой системы ReFS, поддержка клонирования блоков обеспечивает значительные преимущества производительности при копировании файлов. С помощью клонирования блоков файловая система может скопировать диапазон байтов файлов от имени приложения в виде низкой стоимости операции метаданных, а не выполнять дорогостоящие операции чтения и записи в базовые физические данные. Это приводит к более быстрому завершению копирования файлов, сокращению операций ввода-вывода в базовое хранилище и повышению емкости хранилища, позволяя нескольким файлам совместно использовать одни и те же логические кластеры. Дополнительные сведения см. в разделе "Блокировка клонирования" в ReFS.

Bluetooth

Теперь вы можете подключать мыши, клавиатуры, гарнитуры, звуковые устройства и многое другое через Bluetooth в Windows Server 2025.

Credential Guard

Начиная с Windows Server 2025, Credential Guard теперь включен по умолчанию на устройствах, отвечающих требованиям. Дополнительные сведения о Credential Guard см. в разделе "Настройка Credential Guard".

Оболочка рабочего стола

При первом входе оболочка рабочего стола соответствует стилю и внешнему виду Windows 11.

Делегированная управляемая учетная запись службы

Этот новый тип учетной записи позволяет перенести учетную запись службы с делегированной управляемой учетной записью службы (dMSA). Этот тип учетной записи поставляется с управляемыми и полностью случайными ключами, обеспечивая минимальные изменения приложения при отключении исходных паролей учетной записи службы. Дополнительные сведения см. в обзоре делегированных управляемых учетных записей служб.

Диск разработки

Диск разработки — это том хранилища, который направлен на повышение производительности важных рабочих нагрузок разработчика. Диск разработки использует технологию ReFS и включает определенные оптимизации файловой системы, чтобы обеспечить более широкий контроль над параметрами тома хранилища и безопасностью. Это включает возможность назначать доверие, настраивать параметры антивирусной программы и осуществлять административный контроль над подключенными фильтрами. Дополнительные сведения см. в статье "Настройка диска разработки" в Windows 11.

DTrace

Windows Server 2025 поставляется в dtrace качестве собственного средства. DTrace — это программа командной строки, которая позволяет пользователям отслеживать и устранять неполадки производительности системы в режиме реального времени. DTrace позволяет пользователям динамически инструментировать код ядра и пространства пользователя без необходимости изменять сам код. Это универсальное средство поддерживает ряд методов сбора и анализа данных, таких как агрегаты, гистограммы и трассировка событий на уровне пользователя. Дополнительные сведения см. в справке по командной строке DTrace и DTrace в Windows для других возможностей.

Электронная почта и учетные записи

Теперь вы можете добавить следующие учетные записи в сообщениях электронной почты и учетных записей параметров > > для Windows Server 2025:

  • Microsoft Entra ID
  • Учетная запись Майкрософт
  • Рабочая или учебная учетная запись

Важно помнить, что присоединение к домену по-прежнему требуется для большинства ситуаций.

Центр отзывов

Отправка отзывов или отчетов, возникших при использовании Windows Server 2025, теперь можно выполнить с помощью Центр отзывов о Windows. Вы можете включить снимки экрана или записи процесса, вызвавшего проблему, чтобы помочь нам понять вашу ситуацию и поделиться предложениями по улучшению возможностей Windows. Дополнительные сведения см. в статье "Обзор Центра отзывов".

Сжатие файлов

Сборка 26040 имеет новую функцию сжатия при сжатии элемента, выполнив правую кнопку мыши с именем "Сжатие". Эта функция поддерживает форматы сжатия ZIP, 7z и TAR с определенными методами сжатия для каждого.

Диспетчер Hyper-V

Когда пользователи создают новую виртуальную машину с помощью диспетчера Hyper-V, поколение 2 теперь устанавливается в качестве параметра по умолчанию в мастере создания виртуальной машины.

Перевод с помощью гипервизора на разбиение по страницам

Принудительное преобразование по страницам с гипервизором (HVPT) — это улучшение безопасности для обеспечения целостности линейных преобразований адресов. HVPT защищает критически важные системные данные от атак write-what-where, где злоумышленник записывает произвольное значение в произвольное расположение, часто в результате переполнения буфера. Таблицы страницы защиты HVPT, которые настраивают критически важные системные структуры данных. HVPT включает все, что уже защищенно с помощью защищенного гипервизора целостности кода (HVCI). HVPT включен по умолчанию, где доступна поддержка оборудования. HVPT не включен, если Windows Server работает в качестве гостя на виртуальной машине.

Network ATC

Сетевой ATC упрощает развертывание и управление конфигурациями сети для кластеров Windows Server 2025. Он использует подход на основе намерений, в котором пользователи указывают свои желаемые намерения, такие как управление, вычисление или хранилище для сетевого адаптера, а развертывание автоматизировано на основе предполагаемой конфигурации. Этот подход сокращает время, сложность и ошибки, связанные с развертыванием сетей узлов, обеспечивает согласованность конфигурации в кластере и устраняет смещение конфигурации. Дополнительные сведения см. в статье "Развертывание сети узла с помощью Сетевого ATC".

NVMe

NVMe — это новый стандарт для быстрых твердотельных дисков (SSD). Оптимизация NVMe в Windows Server 2025 с улучшенной производительностью, что приводит к увеличению операций ввода-вывода в секунду и снижению использования ЦП.

OpenSSH

В более ранних версиях Windows Server средство подключения OpenSSH требует ручной установки перед использованием. Начиная с сборки 26080, серверный компонент OpenSSH устанавливается по умолчанию в Windows Server 2025. Пользовательский интерфейс диспетчер сервера также включает параметр с одним щелчком в разделе "Удаленный доступ по протоколу SSH", который включает или отключает sshd.exe службу. Кроме того, вы можете добавить пользователей в группу пользователей OpenSSH , чтобы разрешить или ограничить доступ к устройствам. Дополнительные сведения см. в обзоре OpenSSH для Windows.

Закрепленные приложения

Закрепление наиболее используемых приложений теперь доступно в меню "Пуск " и настраивается в соответствии с вашими потребностями. По состоянию на сборку 26085 закрепленные по умолчанию приложения в настоящее время:

  • Настройка Azure Arc
  • Центр отзывов
  • Проводник
  • Microsoft Edge
  • Диспетчер серверов
  • Настройки
  • Терминал
  • Windows PowerShell

Удаленный доступ

По умолчанию новые настройки маршрутизации и удаленной службы Access (RRAS) не принимают VPN-подключения на основе протоколов PPTP и L2TP. При необходимости эти протоколы можно включить. VPN-подключения на основе SSTP и IKEv2 по-прежнему принимаются без каких-либо изменений.

Существующие конфигурации сохраняют их поведение. Например, если вы используете Windows Server 2019 и принимаете подключения PPTP и L2TP, после обновления до Windows Server 2025 с помощью обновления на месте, подключения на основе L2TP и PPTP по-прежнему принимаются. Это изменение не влияет на операционные системы клиентов Windows. Дополнительные сведения о повторном включении PPTP и L2TP см. в статье "Настройка протоколов VPN".

Безопасное управление сертификатами

Поиск или получение сертификатов в Windows теперь поддерживает хэши SHA-256, как описано в функциях CertFindCertificateInStore и CertGetCertificateContextProperty. Проверка подлинности сервера TLS более безопасна в Windows, и теперь требуется минимальная длина ключа RSA в 2048 битах. Дополнительные сведения см. в статье проверки подлинности сервера TLS: нерекомендуция слабых сертификатов RSA.

Базовые показатели системы безопасности

Реализуя настраиваемые базовые показатели безопасности, можно установить меры безопасности прямо с самого начала для роли устройства или виртуальной машины на основе рекомендуемой системы безопасности. Этот базовый план оснащен более чем 350 предварительно настроенными параметрами безопасности Windows, которые позволяют применять и применять определенные параметры безопасности, соответствующие рекомендациям, рекомендуемым корпорацией Майкрософт и отраслевыми стандартами. Дополнительные сведения см. в обзоре OSConfig.

Server Message Block Overview (Общие сведения об SMB)

Блок сообщений сервера (SMB) является одним из наиболее широко используемых протоколов в сети, предоставляя надежный способ совместного использования файлов и других ресурсов между устройствами в сети. Windows Server 2025 предоставляет следующие возможности SMB.

Начиная с сборки 26090, для отключения QUIC, подписывания и шифрования представлен еще один набор изменений протокола SMB.

  • SMB по отключению QUIC

    Администраторы могут отключить SMB через клиент QUIC через групповую политику и PowerShell. Чтобы отключить SMB через QUIC с помощью групповой политики, задайте для политики Enable SMB over QUIC в этих путях значение "Отключено".

    • Конфигурация компьютера\Административные шаблоны\Сетевая\Рабочая станция Lanman

    • Конфигурация компьютера\Административные шаблоны\Network\Lanman Server

    Чтобы отключить SMB через QUIC с помощью PowerShell, выполните следующую команду в командной строке PowerShell с повышенными привилегиями:

    Set-SmbClientConfiguration -EnableSMBQUIC $false

  • Аудит подписывания и шифрования SMB

    Администраторы могут включить аудит сервера SMB и клиента для поддержки подписывания и шифрования SMB. Если сторонний клиент или сервер не поддерживает шифрование или подпись SMB, его можно обнаружить. Когда стороннее устройство или программное обеспечение поддерживает SMB 3.1.1, но не поддерживает подписывание SMB, оно нарушает требование протокола целостности проверки подлинности SMB 3.1.1.

    Параметры аудита подписи и шифрования SMB можно настроить с помощью групповой политики или PowerShell. Эти политики можно изменить в следующих путях групповой политики:

    • Конфигурация компьютера\Административные шаблоны\Network\Lanman Server\Audit client не поддерживает шифрование

    • Конфигурация компьютера\Административные шаблоны\Network\Lanman Server\Audit client не поддерживает подпись

    • Конфигурация компьютера\Административные шаблоны\Network\Lanman Workstation\Audit Server не поддерживает шифрование

    • Конфигурация компьютера\Административные шаблоны\Network\Lanman Workstation\Audit Server не поддерживает подпись

    Чтобы выполнить эти изменения с помощью PowerShell, выполните следующие команды в командной строке с повышенными привилегиями, где $true необходимо включить и $false отключить следующие параметры:

    Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true

Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true

    Журналы событий для этих изменений хранятся в следующих Просмотр событий пути с заданным идентификатором события.

    Путь ИД события
    Журналы приложений и служб\Microsoft\Windows\SMBClient\Audit 31998
    31999
    Журналы приложений и служб\Microsoft\Windows\SMBServer\Audit 3021
    3022

  • SMB через аудит QUIC

    SMB через аудит подключения клиента QUIC записывает события, записанные в журнал событий, чтобы включить транспорт QUIC в Просмотр событий. Эти журналы хранятся в следующих путях с заданным идентификатором события.

    Путь ИД события
    Журналы приложений и служб\Microsoft\Windows\SMBClient\Connectivity 30832
    Журналы приложений и служб\Microsoft\Windows\SMBServer\Connectivity 1913

  • Функция SMB на сервере QUIC , которая доступна только в Windows Server Azure Edition, теперь доступна как в windows Server Standard, так и в версиях Центра обработки данных Windows Server. SMB через QUIC добавляет преимущества QUIC, что обеспечивает низкую задержку, зашифрованные подключения через Интернет.

    Ранее сервер SMB в Windows поручил исходящим подключениям использовать tcp/445 зарегистрированного IANA порта TCP/445, в то время как TCP-клиент SMB разрешал только исходящие подключения к тому же TCP-порту. Теперь SMB через QUIC позволяет использовать альтернативные порты SMB, в которых порты UDP/443, на которых UDP/443 доступны как для серверов, так и для клиентских устройств. Дополнительные сведения см. в разделе "Настройка альтернативных портов SMB".

    Другая функция, представленная sMB через QUIC, — это управление доступом к клиенту, которое является альтернативой TCP и RDMA, которая обеспечивает безопасное подключение к пограничным файловым серверам через ненадежные сети. Дополнительные сведения см. в статье о работе управления доступом клиентов.

  • Ранее при создании общей папки правила брандмауэра SMB автоматически настраиваются для включения группы "Общий доступ к файлам и принтерам" для соответствующих профилей брандмауэра. Теперь создание общей папки SMB в Windows приводит к автоматической настройке новой группы "Общий доступ к файлам и принтерам (ограничивающий)", которая больше не разрешает входящий порты NetBIOS 137-139. Дополнительные сведения см. в разделе "Обновленные правила брандмауэра".

  • Начиная с сборки 25997, обновление выполняется для принудительного шифрования SMB для всех исходящих клиентских подключений SMB. С помощью этого обновления администраторы могут задать мандат, который все конечные серверы поддерживают SMB 3.x и шифрование. Если сервер не имеет этих возможностей, клиент не может установить подключение.

  • Кроме того, в сборке 25997 средство ограничения скорости проверки подлинности SMB, которое ограничивает количество попыток проверки подлинности, которые могут выполняться в течение определенного периода времени, включена по умолчанию. Дополнительные сведения см. в статье о том, как работает ограничение скорости проверки подлинности SMB

  • Начиная с сборки 25951 клиент SMB поддерживает блокировку NTLM для удаленных исходящих подключений. Ранее механизм согласования GSSAPI (SPNEGO) Windows Simple и protected GSSAPI будет согласовывать Kerberos, NTLM и другие механизмы с целевым сервером для определения поддерживаемого пакета безопасности. Дополнительные сведения см. в разделе "Блокировка подключений NTLM" в SMB

  • Новая функция сборки 25951 позволяет управлять диалектами SMB в Windows , где сервер SMB теперь управляет, какие диалекты SMB 2 и SMB 3 он согласовывает по сравнению с предыдущим поведением, соответствующим только самому высокому диалекту.

  • Начиная с сборки 25931, подписывание SMB теперь требуется по умолчанию для всех исходящих подключений SMB, где ранее это было необходимо только при подключении к общим папкам с именем SYSVOL и NETLOGON на контроллерах домена AD. Дополнительные сведения см. в статье о том, как работает подписывание.

  • Протокол Remote Mailslot отключен по умолчанию начиная с сборки 25314 и может быть удален в более позднем выпуске. Дополнительные сведения см. в разделе "Функции", которые мы больше не разрабатываем.

  • Сжатие SMB добавляет поддержку стандартного алгоритма сжатия LZ4 в отрасли, в дополнение к существующей поддержке XPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1 и PATTERN_V1.

Программно-конфигурируемая сеть (SDN)

SDN — это подход к сети, позволяющий администраторам сети управлять сетевыми службами с помощью абстракции функциональных возможностей более низкого уровня. SDN позволяет разделить плоскость управления сетью, которая отвечает за управление сетью с плоскости данных, которая обрабатывает фактический трафик. Это разделение позволяет повысить гибкость и программируемость в управлении сетями. SDN предоставляет следующие преимущества в Windows Server 2025:

  • Сетевой контроллер, который является плоскостем управления для SDN, теперь размещается непосредственно в качестве служб отказоустойчивого кластера на физических компьютерах узлов. Это устраняет необходимость развертывания виртуальных машин, упрощая развертывание и управление при сохранении ресурсов.

  • Сегментация на основе тегов позволяет администраторам использовать настраиваемые теги служб для связывания групп безопасности сети (NSG) и виртуальных машин для управления доступом. Вместо указания диапазонов IP-адресов администраторы теперь могут использовать простые, самообязательные метки для тегов рабочей нагрузки и применения политик безопасности на основе этих тегов. Это упрощает процесс управления безопасностью сети и устраняет необходимость запоминать и перетипировать диапазоны IP-адресов. Дополнительные сведения см. в статье "Настройка групп безопасности сети с тегами в Windows Admin Center".

  • Политики сети по умолчанию в Windows Server 2025 позволяют использовать параметры защиты, такие как Azure, для групп безопасности для рабочих нагрузок, развернутых через Центр администрирования Windows. Политика по умолчанию запрещает весь входящий доступ, позволяя выборочно открывать известные входящие порты, разрешая полный исходящий доступ с виртуальных машин рабочей нагрузки. Это гарантирует, что виртуальные машины рабочей нагрузки защищены с точки создания. Дополнительные сведения см. в статье Об использовании политик доступа к сети по умолчанию на виртуальных машинах в Azure Stack HCI версии 23H2.

  • SdN Multisite обеспечивает собственное подключение уровня 2 и уровня 3 между приложениями в двух расположениях без дополнительных компонентов. Эта функция обеспечивает простое перемещение приложений без необходимости перенастройки приложения или сетей. Он также предлагает унифицированное управление сетевыми политиками для рабочих нагрузок, обеспечивая, чтобы политики не обновлялись при переходе виртуальной машины рабочей нагрузки из одного расположения в другое. Дополнительные сведения см. в статье "Что такое SDN Multisite?".

  • Производительность шлюзов уровня 3 SDN была улучшена, достигается более высокая пропускная способность и снижается циклы ЦП. Эти улучшения включены по умолчанию. Пользователи автоматически получат более высокую производительность при настройке подключения шлюза SDN уровня 3 с помощью PowerShell или Windows Admin Center.

Расширенный журнал реплики хранилища

Расширенные журналы помогают реализации журнала реплики хранилища устранять затраты на производительность, связанные с абстракциями файловой системы, что приводит к повышению производительности репликации блоков. Дополнительные сведения см. в статье "Расширенный журнал реплики хранилища".

Диспетчер задач

Сборка 26040 теперь спорта современного приложения Диспетчера задач с материалом mica, соответствующим стилю Windows 11.

Анклавы безопасности на основе виртуализации (VBS)

Анклав VBS — это программное обеспечение доверенной среды выполнения (TEE) в адресном пространстве ведущего приложения. Анклавы VBS используют базовую технологию VBS для изоляции конфиденциальной части приложения в безопасной секции памяти. Анклава VBS обеспечивают изоляцию конфиденциальных рабочих нагрузок как от ведущего приложения, так и остальной части системы.

Анклавы VBS позволяют приложениям защищать свои секреты, удаляя необходимость доверять администраторам и защиты от вредоносных злоумышленников. Дополнительные сведения см. в справочнике по анклавам VBS Win32.

Защита ключей на основе виртуализации (VBS)

Защита ключей VBS позволяет разработчикам Windows защитить криптографические ключи с помощью безопасности на основе виртуализации (VBS). VBS использует возможность расширения виртуализации ЦП для создания изолированной среды выполнения за пределами обычной ОС. При использовании ключи VBS изолированы в безопасном процессе, позволяя выполнять операции ключей без предоставления материала закрытого ключа за пределами этого пространства. Неактивный материал закрытого ключа шифруется ключом доверенного платформенного модуля, который привязывает ключи VBS к устройству. Ключи, защищенные таким образом, нельзя сбрасывать из памяти процесса или экспортировать в обычный текст с компьютера пользователя, предотвращая атаки на кражу злоумышленниками на уровне администратора. Для использования защиты ключей необходимо включить VBS. Сведения о включении VBS см. в статье "Включение целостности памяти".

Wi-Fi

Теперь проще включить беспроводные возможности, так как функция беспроводной локальной сети теперь устанавливается по умолчанию. Служба беспроводного запуска устанавливается вручную и может быть включена с помощью net start wlansvc командной строки, Терминал Windows или PowerShell.

Переносимость контейнеров Windows

Переносимость является важным аспектом управления контейнерами и имеет возможность упростить обновления, применяя повышенную гибкость и совместимость контейнеров в Windows. Переносимость — это функция ежегодного канала Windows Server для узлов контейнеров, которые позволяют пользователям перемещать образы контейнеров и связанные с ними данные между разными узлами или средами без каких-либо изменений. Пользователи могут создать образ контейнера на одном узле, а затем развернуть его на другом узле, не беспокоясь о проблемах совместимости. Дополнительные сведения см. в статье "Переносимость для контейнеров".

Программа предварительной оценки Windows

Программа предварительной оценки Windows предоставляет ранний доступ к последним выпускам ОС Windows для сообщества энтузиастов. В качестве члена вы можете быть одним из первых, чтобы попробовать новые идеи и концепции, которые корпорация Майкрософт разрабатывает. После регистрации в качестве участника вы можете принять участие в различных каналах > выпуска, перейдя в раздел "Параметры запуска>" Обновл. Windows > программы предварительной оценки Windows.

Диспетчер паролей локальных администраторов Windows (LAPS)

Windows LAPS помогает организациям управлять паролями локального администратора на компьютерах, присоединенных к домену. Он автоматически создает уникальные пароли для учетной записи локального администратора каждого компьютера, сохраняет их безопасно в AD и регулярно обновляет их. Это помогает повысить безопасность, уменьшая риск доступа злоумышленников к конфиденциальным системам с помощью скомпрометированных или легко угадываемых паролей.

В Microsoft LAPS представлены некоторые функции, которые приводят к следующим улучшениям:

  • Новая функция автоматического управления учетными записями

    Последнее обновление позволяет ИТ-администраторам легко создавать управляемую локальную учетную запись. С помощью этой функции можно настроить имя учетной записи, включить или отключить учетную запись, а также даже случайным образом использовать имя учетной записи для повышения безопасности. Кроме того, обновление включает улучшенную интеграцию с существующими политиками управления локальными учетными записями Майкрософт. Дополнительные сведения об этой функции см. в режимах управления учетными записями Windows LAPS.

  • Новая функция обнаружения отката изображений

    Windows LAPS теперь обнаруживает, когда происходит откат образа. Если откат происходит, пароль, хранящийся в AD, может больше не совпадать с паролем, хранящимся локально на устройстве. Откаты могут привести к "разорванной состоянии", когда ИТ-администратор не может войти на устройство с помощью сохраненного пароля Windows LAPS.

    Для решения этой проблемы добавлена новая функция, которая включает атрибут AD с именем msLAPS-CurrentPasswordVersion. Этот атрибут содержит случайный GUID, написанный Windows LAPS каждый раз, когда новый пароль сохраняется в AD и сохраняется локально. Во время каждого цикла обработки идентификатор GUID, хранящийся в msLAPS-CurrentPasswordVersion , запрашивается и сравнивается с локально сохраняемой копией. Если они отличаются, пароль немедленно поворачивается.

    Чтобы включить эту функцию, необходимо запустить последнюю версию командлета Update-LapsADSchema . После завершения Windows LAPS распознает новый атрибут и начинает использовать его. Если вы не запускаете обновленную версию командлета Update-LapsADSchema , Windows LAPS регистрирует событие предупреждения 10108 в журнале событий, но продолжает работать нормально во всех остальных отношениях.

    Параметры политики не используются для включения или настройки этой функции. Функция всегда включена после добавления нового атрибута схемы.

  • Новая функция парольной фразы

    ИТ-администраторы теперь могут использовать новую функцию в Windows LAPS, которая позволяет создавать менее сложные парольные фразы. Примером будет парольная фраза, например EatYummyCaramelCandy, которая проще читать, запоминать и вводить, по сравнению с традиционным паролем, например V3r_b4tim#963?.

    Эта новая функция также позволяет настроить параметр политики PasswordComplexity для выбора одного из трех различных списков слов парольной фразы, все из которых включены в Windows, не требуя отдельной загрузки. Новый параметр политики с именем PassphraseLength определяет количество слов, используемых в парольной фразе.

    При создании парольной фразы указанное число слов выбирается случайным образом из выбранного списка слов и сцеплено. Первая буква каждого слова заглавная, чтобы повысить удобочитаемость. Эта функция также полностью поддерживает резервное копирование паролей до идентификатора Windows Server AD или Microsoft Entra ID.

    Списки слов парольной фразы, используемые в трех новых параметрах парольной фразы PasswordComplexity , создаются из статьи e Electronic Frontier Foundation. Глубокое погружение: новые списки wordlists EFF для случайных парольных фраз. Списки word для Windows LAPS лицензированы в соответствии с лицензией CC-BY-3.0 Attribution и доступны для скачивания.

    Примечание.

    Windows LAPS не позволяет настраивать встроенные списки слов или использовать настроенные клиентом списки слов.

  • Улучшенный словарь паролей для чтения

    В Windows LAPS представлен новый параметр PasswordComplexity , позволяющий ИТ-администраторам создавать менее сложные пароли. Эта функция позволяет настроить LAPS для использования всех четырех категорий символов (букв верхнего регистра, строчные буквы, цифры и специальные символы), таких как существующий параметр сложности 4. Однако при использовании нового параметра 5 более сложные символы исключаются для повышения удобочитаемости паролей и минимизации путаницы. Например, число "1" и буква "I" никогда не используются с новым параметром.

    Если параметр PasswordComplexity настроен на 5, в набор символов словаря паролей по умолчанию внесены следующие изменения:

    1. Не используйте эти буквы: "I", "O", "Q", "l", "o"
    2. Не используйте эти числа: "0", "1"
    3. Не используйте эти "специальные" символы: ",", ".", "&", "{", "}", "[", "]", "(", ")", ";"
    4. Начните использовать следующие "специальные" символы: ":", "=", "?", "*"

    Оснастка Пользователи и компьютеры Active Directory (через консоль управления Майкрософт) теперь включает улучшенную вкладку Windows LAPS. Пароль Windows LAPS теперь отображается в новом шрифте, который повышает его удобочитаемость при отображении в виде обычного текста.

  • Поддержка PostAuthenticationAction для прекращения отдельных процессов

    Новый параметр добавляется в параметр групповой политики PostAuthenticationActions (PAA), "Сброс пароля, выход из управляемой учетной записи и завершение всех оставшихся процессов", расположенных в системе laPS > после проверки подлинности системы > административных шаблонов > конфигурации > компьютера.

    Этот новый параметр является расширением предыдущего параметра "Сброс пароля и выход из управляемой учетной записи". После настройки PAA уведомляет, а затем завершает любые интерактивные сеансы входа. Он перечисляет и завершает все остальные процессы, которые по-прежнему выполняются под удостоверением локальной учетной записи, управляемой Windows LAPS. Важно отметить, что уведомление перед этим завершением не предшествует.

    Кроме того, расширение событий ведения журнала во время выполнения действия после проверки подлинности обеспечивает более подробную информацию об операции.

Дополнительные сведения о Windows LAPS см. в статье "Что такое Windows LAPS?".

Терминал Windows

Терминал Windows В этой сборке доступен мощный и эффективный мультиshell-приложение для пользователей командной строки. Найдите "Терминал" в строке поиска.

Winget

Winget устанавливается по умолчанию, который является средством командной строки Диспетчер пакетов Windows, предоставляющим комплексные решения диспетчера пакетов для установки приложений на устройствах Windows. Дополнительные сведения см. в статье "Использование средства winget для установки приложений и управления ими".

Ускорение работы в сети

Ускорение сети упрощает управление виртуализацией одно корневых операций ввода-вывода (SR-IOV) для виртуальных машин, размещенных в кластерах Windows Server 2025. Эта функция использует высокопроизводительный путь к данным SR-IOV для уменьшения задержки, jitter и использования ЦП. Ускорение сети также добавляет уровень управления, который обрабатывает проверку готовности, конфигурацию узла и параметры производительности виртуальной машины.

См. также