网站首页  软件下载  游戏下载  源码下载  词典软件  教程攻略

请输入您要查询的软件:

 

软件 Windows Server 2025正式版 Build 26100.1742 简体中文ISO镜像版
图标
分类 软件下载-系统下载-服务器系统-windows server 2025官方下载 服务器系统
语言 简体中文
大小 5.20GB
软件类型 国产软件
发布时间
用户评分 4
备案号
官方网址
软件授权 免费软件
操作系统 Windows平台
厂商
下载
介绍

Windows Server 2025已于11月份正式发布,版本号Build 26100.1742。它在支持 AI 的高性能平台中提供安全进步和新的混合云功能。在功能和改进方面,微软声称I/O 吞吐量性能有了巨大的改进,其他改进包括GPU虚拟化,以GPU分区或多实例GPU、VBS安全区等形式出现。与Windows 11 24H2 类似,Server 2025也将以检查点累积的形式接收更新,这是一种提供最新更新的新方式。

微软自今年 5 月以来一直在测试用于认证的兼容硬件和软件 ,并在 9 月晚些时候提供了重要更新。

您可以在以下链接中找到 CPU 的完整列表:

2nd Gen Intel® Xeon® 可扩展处理器

第三代英特尔® 至强® 可扩展处理器

第 4 代英特尔® 至强® 可扩展处理器

5 代英特尔® 至强® 可扩展处理器

Intel® Xeon® 6

Intel® Xeon® D 处理器 9 (17xx, 18xx, 21xx, 27xx, 28xx)

Intel® Xeon® E 处理器 (23xx 和 24xx)

AMD EPYC 7xx2

AMD EPYC 7xx3

AMD EPYC 4xx4

AMD EPYC 8xx4

AMD EPYC 9xx4

AMD EPYC 9xx5

激活方法:

推荐使用方法2(KMS38),成功率高且激活后有效期长。

方法①:Server支持OEM激活,它是自Vista时代即存在的一种永久激活方式,需要UEFI或BIOS支持SLIC 2.7。如果电脑硬件不支持,也可以通过软件在开机的时候提前加载SLIC,使用HEU KMS Activator 42.3.0,在OEM激活页面,点击「安装OEM激活」。

重启电脑后,检测一下激活效果:

该激活方式也可以卸载:点击「卸载OEM激活」

方法②:Server支持KMS激活,有效期180天,过后需要再次使用KMS激活,循环往复。

方法③:Server支持KMS38激活,激活后可以使用到2038年。在数字激活页面的KMS38激活选项下,点击“开始”。

Windows Server 2025 中的新增功能

learn.microsoft.com/zh-cn/windows-server/get-started/whats-new-windows-server-2025

新增功能
以下新功能仅特定于具有桌面体验的 Windows Server。 要求具有两台运行此操作系统的物理设备和可用的正确驱动程序。

加速网络
加速网络(AccelNet)简化了 Windows Server 2025 群集上托管的虚拟机(SR-IOV)的单根 I/O 虚拟化(SR-IOV)的管理。 此功能使用高性能 SR-IOV 数据路径来降低延迟、抖动和 CPU 利用率。 AccelNet 还包括一个管理层,用于处理先决条件检查、主机配置和 VM 性能设置。

Active Directory 域服务
Active Directory 域服务 (AD DS) 和 Active Directory 轻型域服务 (AD LDS) 的最新增强功能引入了一系列新功能和增强功能,旨在优化你的域管理体验:

32k 数据库页面大小可选功能 - 自从在使用 8k 数据库页面大小的 Windows 2000 中引入可扩展存储引擎 (ESE) 数据库后,AD 便使用此数据库。 8k 架构设计决策导致整个 AD 存在某些限制,而这些限制已记录在 AD 最大限制可伸缩性中。 此限制的其中一个示例为单个记录 AD 对象,而其大小不能超过 8k 字节。 迁移到 32k 数据库页面格式对受过往限制影响的领域实现了巨大改进,其中就包括多值属性现在可存储高达 3,200 个值(以 2.6 为系数的一个增幅)。

新的 DC 可与 32k 页面数据库一起安装,而该数据库会使用 64 位长整型值 ID (LID) 并在“8k 页面模式”下运行,以便与以前的版本保持兼容。 升级后的 DC 会继续使用其当前的数据库格式和 8k 页面。 迁移到 32k 数据库页面操作会在林范围内完成,且要求林中的所有 DC 均具有支持 32k 页面的数据库。

AD 架构更新 - 引入三个新的日志数据库文件 (LDF),以用于扩展 AD 架构、sch89.ldf、sch90.ldf 和 sch91.ldf。 MS-ADAM-Upgrade3.ldf 中进行了 AD LDS 等效架构更新。 有关先前架构更新的详细信息,请参阅 Windows Server AD 架构更新

AD 对象修复 - AD 现在允许企业管理员修复缺少核心属性 SamAccountType 和 ObjectCategory 的对象。 企业管理员可将对象的 LastLogonTimeStamp 属性重置为当前时间。 这些操作会通过新的 RootDSE 来修改名为 fixupObjectState 的受影响对象的操作功能来实现。

通道绑定审核支持 - 现在可为轻型目录访问协议 (LDAP) 通道绑定启用事件 3074 和 3075。 当通道绑定策略修改为更安全的设置时,管理员可以识别环境中不支持或失败的通道绑定的设备。 这些审核事件也可在 Windows Server 2022 及更高版本中通过 KB4520412 来查询。

DC 位置算法改进 - DC 发现算法提供了新功能,同时改进了将 NetBIOS 式短域名映射到 DNS 式域名的新功能。 若要了解详细信息,请参阅 Active Directory DC 定位器更改。

 备注

Windows 不会在 DC 发现操作期间使用邮件槽,因为 Microsoft 已宣布为这些旧技术弃用 WINS 和邮件槽。

林和域功能级别 - 新的功能级别可用于实现一般可支持性,而新的 32K 数据库页面大小功能必须使用该级别。 新的功能级别将映射到针对无人参与安装的 DomainLevel 10 和 ForestLevel 10 值。 Microsoft 没有改造 Windows Server 2019 和 Windows Server 2022 的功能级别的计划。 若要执行域控制器 (DC) 的无人参与升级和降级,请参阅域控制器无人参与升级和降级的 DCPROMO 应答文件语法。

DsGetDcName 应用程序编程接口 (API) 还支持新标志 DS_DIRECTORY_SERVICE_13_REQUIRED,它可用于启用运行 Windows Server 2025 的 DC 的位置。 可以在以下文章中了解有关功能级别的详细信息:

林和域功能级别

提升域功能级别

提升林功能级别

 备注

需要新的 AD 林或 AD LDS 配置集才能具有 Windows Server 2016 或更高的功能级别。 要升级 AD 或 AD LDS 副本,要求现有域或配置集已在运行,且其功能级别为 Windows Server 2016 或更高。

Microsoft 建议所有客户现在开始规划将其 AD 和 AD LDS 服务器升级到 Windows Server 2022,以便为下一个版本做好准备。

改进针对名称/Sid 查找的算法 - 不同计算机帐户之间的本地安全机构 (LSA) 名称和 Sid 查找转发功能不再使用旧版 Netlogon 安全通道。 改用 Kerberos 身份验证和 DC 定位器算法。 为保持与旧操作系统的兼容性,仍可使用 Netlogon 安全通道作为回退选项。

改进了机密属性 的安全性 - DC 和 AD LDS 实例仅允许 LDAP 在加密连接时添加、搜索和修改涉及机密属性的操作。

改进默认计算机帐户密码的安全性 - AD 现在使用随机生成的默认计算机帐户密码。 Windows 2025 DC 会阻止将计算机帐户密码设为计算机帐户名称的默认密码。

可通过启用 GPO 设置域控制器:拒绝设置默认计算机帐户密码来控制此行为,而该设置位于:计算机配置\Windows 设置\安全设置\本地策略\安全选项

Active Directory 管理中心 (ADAC)、Active Directory 用户和计算机 (ADUC)、net computer 和 dsmod 等实用工具也遵循此新行为。 ADAC 和 ADUC 均不再允许创建 2k 之前的 Windows 帐户。

用于实现加密敏捷性的 Kerberos PKINIT 支持 - 现已更新 Kerberos 中用于初始身份验证的 Kerberos 公钥加密 (PKINIT) 协议实现,从而通过支持更多算法并删除硬编码算法来实现加密敏捷性。

LAN Manager GPO 设置 - GPO 设置“网络安全性:下次更改密码时不存储 LAN Manager 哈希值”不再显示,同时也不适用于新版本的 Windows。

默认进行 LDAP 加密 - 默认情况下,执行简单身份验证和安全层 (SASL) 绑定后,所有 LDAP 客户端通信均会使用 LDAP 密封。 要了解有关 SASL 的详细信息,请参阅 SASL 身份验证。

针对 TLS 1.3 的 LDAP 支持 - LDAP 使用最新的 SCHANNEL 实现,并支持为基于 TLS 连接的 LDAP 使用 TLS 1.3。 使用 TLS 1.3 可以消除过时的加密算法,提供比旧版本更高的安全性,旨在实现尽可能多的握手加密。 若要了解详细信息,请参阅 TLS/SSL (Schannel SSP) 中的协议和 Windows Server 2022 中的 TLS 密码套件。

旧版 SAM RPC 密码更改行为 - 安全协议(如 Kerberos)是更改域用户密码的首选方法。 在 DC 上进行远程调用时,默认接受使用 AES 的最新 SAM RPC 密码更改方法 SamrUnicodeChangePasswordUser4。 进行远程调用时,默认会阻止以下旧 SAM RPC 方法:

SamrChangePasswordUser

SamrOemChangePasswordUser2

SamrUnicodeChangePasswordUser2

对于属于受保护用户组成员的域用户和域成员计算机上的本地帐户,默认情况下会阻止所有通过旧 SAM RPC 接口进行的远程密码更改,包括 SamrUnicodeChangePasswordUser4。

可使用以下组策略对象 (GPO) 设置来控制此行为:

计算机配置 > 管理模板 > 系统 > 安全帐户管理器 > 配置 SAM 更改密码 RPC 方法策略

NUMA 支持 - AD DS 现在会通过使用所有处理器组中的 CPU 来利用支持非一致性内存访问 (NUMA) 的硬件。 以前,AD 只会在组 0 中使用 CPU。 Active Directory 可扩展到 64 个内核以上。

性能计数器 - 现在提供针对以下计数器的性能监视和故障排除:

DC 定位器 - 提供特定于客户端和 DC 的计数器。

通过 LsaLookupNames、LsaLookupSids 和等效 API 的 LSA 查找 - 名称和 SID 查找。 这些计数器可同时用于客户端与服务器 SKU。

LDAP 客户端 - 可通过 KB 5029250 更新在 Windows Server 2022 及更高版本中使用。

复制优先级顺序 - AD 现在允许管理员为特定命名上下文提高针对特定复制伙伴的系统计算出的复制优先级。 此功能允许更灵活地配置复制顺序以解决特定方案。

Azure Arc
默认情况下会安装 Azure Arc 设置按需功能,而它可提供用户友好型向导界面以及位于任务栏中的系统托盘图标,以便将服务器添加到 Azure Arc。Azure Arc 可扩展 Azure 平台的功能,从而允许创建可在不同环境中运行的应用程序和服务。 这些内容包括数据中心、边缘、多云环境,并且提高了灵活性。 若要了解详细信息,请参阅通过 Azure Arc 安装程序将 Windows Server 计算机连接到 Azure。

阻止克隆支持
从 Windows 11 24H2 和 Windows Server 2025 开始,开发驱动器现在支持阻止克隆。 由于开发驱动器使用 ReFS 文件系统格式,因此复制文件时,阻止克隆支持具有显著的性能优势。 使用阻止克隆,文件系统可以代表应用程序复制一系列文件字节作为低成本的元数据操作,而不是对基础物理数据执行高昂的读取和写入操作。 这可以更快地完成文件复制、减少到基础存储的 I/O,并通过允许多个文件共享同一逻辑群集来提高存储容量。 若要了解详细信息,请参阅在 ReFS 上阻止克隆。

蓝牙
现在,可以在 Windows Server 2025 中通过蓝牙连接鼠标、键盘、耳机、音频设备等。

Credential Guard
从 Windows Server 2025 开始,在符合要求的设备上将默认启用 Credential Guard。 有关 Credential Guard 的详细信息,请参阅配置 Credential Guard。

桌面 shell
首次登录时,桌面 shell 体验符合 Windows 11 的样式和外观。

委派托管服务帐户
这种新类型的帐户支持从服务帐户迁移到委派托管服务帐户 (dMSA)。 此帐户类型附带托管密钥和完全随机密钥,可确保在禁用原始服务帐户密码时尽量减少应用程序更改。 若要了解更多信息,请参阅委派的托管服务帐户概述。

开发驱动器
开发驱动器是一个存储卷,旨在提高关键开发人员工作负载的性能。 开发驱动器利用 ReFS 技术并整合特定的文件系统优化,以更好地控制存储卷设置和安全性。 这包括指定信任、配置防病毒设置以及对附加筛选器执行管理控制的功能。 若要了解详细信息,请参阅 在 Windows 11 上设置开发驱动器。

DTrace
Windows Server 2025 配备了 dtrace 作为本机工具。 DTrace 是一款命令行实用工具,可让用户实时监控系统性能并排除故障。 DTrace 允许用户动态检测内核和用户空间代码,而无需修改代码本身。 此多功能工具支持一系列数据收集和分析技术,如聚合、直方图和用户级事件跟踪。 若要了解详细信息,请参阅 DTrace 获取命令行帮助,参阅 Windows 上的 DTrace 了解其他功能。

电子邮件和帐户
现在可以在 Windows Server 2025 的设置 > 帐户 > 电子邮件和帐户中添加以下帐户:

Microsoft Entra ID
Microsoft 帐户
工作或学校帐户
请务必记住,大多数情况下仍需要域加入。

反馈中心
现在可以使用 Windows 反馈中心提交反馈或者报告使用 Windows Server 2025 时遇到的问题。 你可以包括导致问题的过程的屏幕截图或记录,以帮助我们了解你的情况并分享建议来增强你的 Windows 体验。 若要了解详细信息,请参阅浏览反馈中心。

文件压缩
内部版本 26040 通过执行名为压缩到的右键单击来压缩项时具有新的压缩功能。 此功能支持 ZIP、7z 和 TAR 压缩格式,每个格式都有特定的压缩方法。

Hyper-V 管理器
当用户通过 Hyper-V 管理器创建新 VM 时,第 2 代现在设置为“新建虚拟机向导”中的默认选项。

虚拟机监控程序强制执行的分页转换
虚拟机监控程序强制执行的分页转换(HVPT)是一项安全增强功能,用于强制实现线性地址转换的完整性。 HVPT 保护关键系统数据免受攻击者将任意值写入任意位置(通常是由于缓冲区溢出而导致)的写入位置攻击。 HVPT 保护配置关键系统数据结构的页表。 HVPT 包含已使用虚拟机监控程序保护的代码完整性(HVCI)保护的所有内容。 默认情况下,HVPT 在硬件支持可用的情况下处于启用状态。 当 Windows Server 作为来宾在 VM 中运行时,不会启用 HVPT。

网络 ATC
网络 ATC 简化了 Windows Server 2025 群集的网络配置的部署和管理。 它利用基于意向的方法,用户指定其所需的意向,例如网络适配器的管理、计算或存储,并且部署基于预期配置自动进行。 此方法可减少与主机网络部署关联的时间、复杂性和错误,确保群集中的配置一致性,并消除配置偏差。 若要了解详细信息,请参阅 使用网络 ATC 部署主机网络。

NVMe
NVMe 是快速固态硬盘 (SSD) 的新标准。 在 Windows Server 2025 中体验 NVMe 优化,感觉性能提升,性能提升导致 IOPS 增加并降低了 CPU 利用率。

OpenSSH
在早期版本的 Windows Server 中,OpenSSH 连接工具在使用前需要手动安装。 从内部版本 26080 开始,OpenSSH 服务器端组件默认安装在 Windows Server 2025 中。 服务器管理器 UI 还在远程 SSH 访问下面包括了一个一键式选项,此选项用于启用或禁用 sshd.exe 服务。 此外,你还可以将用户添加到 OpenSSH 用户组,以允许或限制访问设备。 若要了解详细信息,请参阅适用于 Windows 的 OpenSSH 概述。

已固定应用
现在可通过开始菜单固定最常用的应用,并且可根据需要进行自定义。 从内部版本 26085 开始,默认固定应用目前为:

Azure Arc 安装程序
反馈中心
文件资源管理器
Microsoft Edge
服务器管理器
设置
终端
Windows PowerShell
远程访问
默认情况下,新的路由和远程访问服务 (RRAS) 设置不接受基于 PPTP 和 L2TP 协议的 VPN 连接。 如有必要,仍可启用这些协议。 基于 SSTP 和 IKEv2 的 VPN 连接仍可接受,不会有任何变化。

现有配置会保留其行为。 例如,如果运行的是 Windows Server 2019 并接受 PPTP 和 L2TP 连接,那么在使用就地更新更新到 Windows Server 2025 后,仍然会接受基于 L2TP 和 PPTP 的连接。 这一更改不会影响 Windows 客户端操作系统。 要详细了解如何重新启用 PPTP 和 L2TP,请参阅配置 VPN 协议。

安全证书管理
在 Windows 上搜索或检索证书现在支持 SHA-256 哈希,如函数 CertFindCertificateInStore 和 CertGetCertificateContextProperty 中所述。 TLS 服务器身份验证在 Windows 中更安全,现在要求最低 RSA 密钥长度为 2048 位。 有关详细信息,请阅读 TLS 服务器身份验证:弃用弱 RSA 证书。

安全基线
通过实现自定义的安全基线,可以根据建议的安全状况,从头开始为设备或 VM 角色建立安全措施。 此基线配备了超过 350 个预配置的 Windows 安全设置,使你能够应用和执行与 Microsoft 和行业标准推荐的最佳做法相一致的特定安全设置。 若要了解详细信息,请参阅 OSConfig 概述。

服务器消息块
服务器消息块 (SMB) 是网络中使用最广泛的协议之一,它提供了在网络上的设备之间共享文件和其他资源的可靠方式。 Windows Server 2025 提供以下 SMB 功能。

从内部版本 26090 开始,引入了另一组 SMB 协议更改,用于禁用 QUIC、签名和加密。

基于 QUIC 的 SMB 禁用

管理员可以通过组策略和 PowerShell 禁用基于 QUIC 的 SMB 客户端。 要使用组策略来禁用基于 QUIC 的 SMB ,请将这些路径中的启用基于 QUIC 的 SMB策略设置为已禁用。

Computer Configuration\Administrative Templates\Network\Lanman Workstation

Computer Configuration\Administrative Templates\Network\Lanman Server

要使用 PowerShell 禁用基于 QUIC 的 SMB,请在提升的 PowerShell 提示符下运行此命令:

PowerShell

复制
Set-SmbClientConfiguration -EnableSMBQUIC $false
SMB 签名和加密审核

管理员可以启用对 SMB 服务器和客户端的审核,以支持 SMB 签名和加密。 如果第三方客户端或服务器不支持 SMB 加密或签名,则它可被检测到。 如果第三方设备或软件声明支持 SMB 3.1.1,但不支持 SMB 签名,则违反了 SMB 3.1.1 预身份验证完整性协议要求。

可以使用组策略或 PowerShell 配置 SMB 签名和加密审核设置。 这些策略可在以下组策略路径中更改:

Computer Configuration\Administrative Templates\Network\Lanman Server\Audit client does not support encryption

Computer Configuration\Administrative Templates\Network\Lanman Server\Audit client does not support signing

Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit server does not support encryption

Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit server does not support signing

要使用 PowerShell 执行这些更改,请在提升的提示符下运行这些命令,其中 $true 表示启用这些设置,而 $false 表示禁用这些设置:

PowerShell

复制
Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true

Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true
这些更改的事件日志会以给定的事件 ID 保存在以下事件查看器路径中。

路径    事件 ID
Applications and Services Logs\Microsoft\Windows\SMBClient\Audit    31998
31999
Applications and Services Logs\Microsoft\Windows\SMBServer\Audit    3021
3022
基于 QUIC 的 SMB 审核

基于 QUIC 的 SMB 客户端连接审核可捕获写入事件日志的事件,以便在事件查看器中包含 QUIC 传输。 这些日志以给定的事件 ID 保存在以下路径中。

路径    事件 ID
Applications and Services Logs\Microsoft\Windows\SMBClient\Connectivity    30832
Applications and Services Logs\Microsoft\Windows\SMBServer\Connectivity    1913
SMB over QUIC 服务器功能以前仅在 Windows Server Azure 版本中可用,现在在 Windows Server Standard 和 Windows Server Datacenter 版本中均可用。 SMB over QUIC 增加了 QUIC 的优势,通过 Internet 提供低延迟、加密的连接。

以前,Windows 中的 SMB 服务器强制入站连接使用 IANA 注册的端口 TCP/445,而 SMB TCP 客户端只允许与同一 TCP 端口建立出站连接。 现在,SMB over QUIC 支持 SMB 替代端口,其中 QUIC 强制的 UDP/443 端口可用于服务器和客户端设备。 要了解详细信息,请参阅配置替代 SMB 端口。

SMB over QUIC 推出的另一项功能是客户端访问控制,这是 TCP 和 RDMA 的替代方法,后者通过不受信任的网络提供与边缘文件服务器的安全连接。 要了解详细信息,请参阅客户端访问控制的工作原理。

以前,创建共享时,SMB 防火墙规则会自动配置为为相关防火墙配置文件启用“文件和打印机共享”组。 现在,在 Windows 中创建 SMB 共享将自动配置“文件和打印机共享(限制性)”新组,该组不再允许入站 NetBIOS 端口 137-139。 要了解详细信息,请参阅更新的防火墙规则。

从内部版本 25997 开始,进行了更新,以对所有出站 SMB 客户端连接强制执行 SMB 加密。 通过此更新,管理员可以设置一个命令,即所有目标服务器都支持 SMB 3.x 和加密。 如果服务器缺少这些功能,则客户端无法建立连接。

此外,在内部版本 25997 中,默认启用 SMB 身份验证速率限制器(限制在特定时间段内进行的身份验证尝试次数)。 要了解详细信息,请参阅 SMB 身份验证速率限制器的工作原理

从内部版本 25951 开始,SMB 客户端支持针对远程出站连接启用 NTLM 阻止。 以前,Windows 简单和受保护的 GSSAPI 协商机制 (SPNEGO) 会与目标服务器协商 Kerberos、NTLM 和其他机制,以确定受支持的安全数据包。 要了解详细信息,请参阅 阻止 SMB 上的 NTLM 连接

内部版本 25951 中的一项新功能允许在 Windows 中管理 SMB 方言,其中 SMB 服务器现在可以控制其协商的 SMB 2 和 SMB 3 方言,而以前的行为只能匹配最高的方言。

从内部版本 25931 开始,默认情况下,所有 SMB 出站连接都需要 SMB 签名,以前仅在连接到 AD 域控制器上名为 SYSVOL 和 NETLOGON 的共享时才需要签名。 要了解详细信息,请参阅签名的工作原理。

从内部版本 25314 开始,远程 Mailslot 协议默认为已禁用,并且可能会在以后的版本中删除。 要了解详细信息,请参阅不再开发的功能。

SMB 压缩除了支持 XPRESS (LZ77)、XPRESS Huffman (LZ77+Huffman)、LZNT1 和 PATTERN_V1 之外,还增加了对行业标准 LZ4 压缩算法的支持。

软件定义的网络 (SDN)
SDN 是一种网络方法,它允许网络管理员通过抽象化较低级别的功能来管理网络服务。 SDN 使网络控制平面(负责管理网络)与处理实际流量的数据平面分离。 这种分离允许提高网络管理的灵活性和可编程性。 SDN 在 Windows Server 2025 中具有以下优势:

网络控制器是 SDN 的控制平面,现在直接托管为物理主机上的故障转移群集服务。 这样就无需部署 VM、简化部署和管理,同时节省资源。

基于标记的分段允许管理员使用自定义服务标记来关联网络安全组(NSG)和 VM 进行访问控制。 管理员现在可以使用简单的自解释标签来标记工作负荷 VM,并根据这些标记应用安全策略,而不是指定 IP 范围。 这简化了管理网络安全的过程,无需记住并重新键入 IP 范围。 若要了解详细信息,请参阅 在 Windows Admin Center 中使用标记配置网络安全组。

Windows Server 2025 中的默认网络策略为通过 Windows Admin Center 部署的工作负载将类似 Azure 的保护选项引入 NSG。 默认策略拒绝所有入站访问,允许选择性地打开已知入站端口,同时允许从工作负荷 VM 进行完全出站访问。 这可确保从创建点保护工作负荷 VM。 若要了解详细信息,请参阅 在 Azure Stack HCI 版本 23H2 上的虚拟机上使用默认网络访问策略。

SDN 多站点在两个位置的应用程序之间提供本机第 2 层和第 3 层连接,无需任何额外的组件。 此功能允许无缝移动应用程序,而无需重新配置应用程序或网络。 它还为工作负载提供统一的网络策略管理,确保在工作负荷 VM 从一个位置移动到另一个位置时不需要更新策略。 若要了解详细信息,请参阅 什么是 SDN 多站点?。

SDN 第 3 层网关的性能已得到增强,可实现更高的吞吐量,并减少 CPU 周期。 默认情况下启用这些改进。 通过 PowerShell 或 Windows Admin Center 配置 SDN 网关第 3 层连接时,用户将自动体验更好的性能。

存储副本增强型日志
增强型日志可帮助存储副本日志实现,以消除与文件系统抽象相关的性能成本,从而提高块复制性能。 若要了解详细信息,请参阅存储副本增强型日志。

任务管理器
内部版本 26040 现在使用符合 Windows 11 样式的 Mica 材料来运行现代任务管理器应用。

基于虚拟化的安全性 (VBS) Enclave
VBS enclave 是主机应用程序地址空间内基于软件的受信任执行环境 (TEE)。 VBS enclaves 会使用底层 VBS 技术,将应用程序的敏感部分隔离在内存的安全分区中。 VBS Enclave 可以使敏感工作负载与主机应用程序和系统的其余部分隔离。

VBS Enclave 可使应用程序不需要信任管理员并能有效抵御恶意攻击者,从而保护自己的机密。 有关详细信息,请阅读 VBS Enclave Win32 参考。

基于虚拟化的安全 (VBS) 密钥保护
VBS 密钥保护使 Windows 开发人员能够使用基于虚拟化的安全 (VBS) 来保护加密密钥。 VBS 利用 CPU 的虚拟化扩展能力,在正常 OS 之外创建一个隔离的运行时。 使用时,VBS 密钥会被隔离在一个安全的进程中,允许对密钥进行操作,而不会将私人密钥材料暴露在这个空间之外。 在静止状态下,私钥材料由 TPM 密钥加密,而 TPM 密钥会将 VBS 密钥与设备绑定。 通过这种方式保护的密钥无法从进程内存中转储或以纯文本形式从用户机器中导出,从而防止了任何管理员级攻击者的渗透攻击。 必须启用 VBS 才能使用密钥保护。 有关如何启用 VBS 的信息,请参阅启用内存完整性。

WLAN
现在,启用无线功能更容易,因为无线 LAN 服务功能现在默认情况下已安装。 无线启动服务被设为手动,并可通过在命令提示符、Windows 终端或 PowerShell 中运行 net start wlansvc 来启用。

Windows 容器可移植性
可移植性是容器管理的一个重要方面,能够通过增强 Windows 中容器的灵活性和兼容性来简化升级。 可移植性是 Windows Server 年度渠道为容器主机提供的一项功能,它允许用户在不同主机或环境之间移动容器映像及其相关数据,而无需进行任何修改。 用户可以在一台主机上创建容器映像,然后将其部署到另一台主机上,而不必担心兼容性问题。 要了解详细信息,请参阅容器的可移植性。

Windows 预览体验计划
通过 Windows 预览体验计划,爱好者社区中的成员可以抢先体验最新的 Windows OS 版本。 作为成员,你可以率先试用 Microsoft 正在开发的新想法和概念。 注册为成员后,你可以转到开始 > 设置 > Windows 更新 > Windows 预览体验计划,选择加入不同的发布渠道。

Windows 本地管理员密码解决方案 (LAPS)
Windows LAPS 可帮助组织管理其已加入域的连接计算机上的本地管理员密码。 它能为每台计算机的本地管理员帐户自动生成唯一的密码,将其安全地存储在 AD 中,并定期更新。 这有助于降低攻击者使用被泄露或容易猜到的密码访问敏感系统的风险,从而提高安全性。

Microsoft LAPS 引入了多项功能,提供以下改进:

全新自动帐户管理功能

最新更新允许 IT 管理员轻松创建托管的本地帐户。 利用该功能,可以自定义账户名称、启用或禁用帐户,甚至可以随机设置帐户名称以增强安全性。 此外,该更新还改进了与 Microsoft 现有本地帐户管理策略的集成。 若要了解有关此功能的更多信息,请参阅 Windows LAPS 帐户管理模式。

新增映像回滚检测功能

Windows LAPS 现在能检测到映像回滚。 如果发生回滚,AD 中存储的密码可能不再与设备上本地存储的密码一致。 回滚可能会导致 IT 管理员无法使用持久化 Windows LAPS 密码登录到设备时出现“撕裂状态”。

为了解决此问题,我们添加了一项新功能,其中包括名为 msLAPS-CurrentPasswordVersion 的 AD 属性。 每次新密码在 AD 中持久化并保存到本地时,该属性都会包含一个由 Windows LAPS 写入的随机 GUID。 在每个处理循环中,都将查询 msLAPS-CurrentPasswordVersion 中存储的 GUID,并将其与本地持久化副本进行比较。 如果两者不一致,则会立即轮换密码。

若要启用此功能,必须运行最新版本的 Update-LapsADSchema cmdlet。 完成后,Windows LAPS 将识别新属性并开始使用。 如果未运行 Update-LapsADSchema cmdlet 的更新版本,Windows LAPS 将在事件日志中记录 10108 警告事件,但在所有其他方面继续正常运行。

不使用策略设置来启用或配置此功能。 添加新模式属性后,该功能将始终启用。

新增密码功能

IT 管理员现在可以利用 Windows LAPS 中的新功能,生成不太复杂的密码。 例如,与传统密码(如V3r_b4tim#963?)相比,EatYummyCaramelCandy 等密码更容易读取、记住和键入。

这项新功能还允许将 PasswordComplexity 策略设置配置为选择三个不同的密码单词列表之一,所有这些列表都包含在 Windows 中,无需单独下载。 名为 PassphraseLength 的新策略设置可控制密码中使用的字数。

创建密码时,将从所选单词列表中随机选择指定数量的单词并进行连接。 每个单词的第一个字母大写,以提高可读性。 此功能还完全支持将密码备份到 Windows Server AD 或 Microsoft Entra ID。

三个新的 PasswordComplexity 密码设置中使用的密码单词列表源自电子前沿基金会的文章深入探讨:EFF 的随机密码新单词列表。 Windows LAPS 密码单词列表根据 CC-BY-3.0 属性许可协议获得许可,并可供下载。

 备注

Windows LAPS 不允许自定义内置单词列表,也不允许使用客户配置的单词列表。

改善密码字典的可读性

Windows LAPS 引入了新的 PasswordComplexity 设置,使 IT 管理员能够创建不太复杂的密码。 此功能允许自定义 LAPS 以使用所有四个字符类别(大写字母、小写字母、数字和特殊字符),就像现有的 4 位复杂性设置一样。 不过,新设置为 5 时,较复杂的字符被排除在外,以提高密码的可读性并尽量减少混淆。 例如,数字“1”和字母“I”在新设置中将永不使用。

当 PasswordComplexity 配置为 5 时,默认密码字典字符集将发生以下更改:

请勿使用这些字母:“I”、“O”、“Q”、“l”和“o”
请勿使用这些数字:“0”和“1”
请勿使用这些“特殊”字符:“,”、“.”、“&”、“{”、“}”、“[”、“]”、“(”、“)”、“;”
开始使用这些“特殊”字符:“:”、 “=”、“?”和“*”
Active Directory 用户和计算机管理单元(通过 Microsoft 管理控制台)现在具有改进的 Windows LAPS 选项卡。Windows LAPS 密码现在使用新字体显示,可在纯文本中显示时增强其可读性。

为终止单个进程提供 PostAuthenticationAction 支持

将新选项添加到 PostAuthenticationActions (PAA) 组策略设置“重置密码、注销托管帐户并终止任何剩余进程”(位于“计算机配置”>“管理模板”>“系统”>“LAPS”>“身份验证后操作”)。

此新选项是上一个“重置密码并注销托管帐户”选项的扩展。 配置后,PAA 会通知并终止任何交互式登录会话。 它枚举并终止仍在 Windows LAPS 托管的本地帐户标识下运行的任何剩余进程。 请务必注意,在终止之前不会发出任何通知。

此外,在身份验证后操作执行过程中扩展日志事件可以更深入地了解操作。

若要了解有关 Windows LAPS 的更多信息,请参阅什么是 Windows LAPS?。

Windows 终端
Windows 终端是一个面向命令行用户的强大且高效的多 shell 应用程序,在此版本中可用。 在搜索栏中搜索“终端”。

Winget
Winget 默认情况下已安装,这是一个命令行 Windows 程序包管理器工具,可提供用于在 Windows 设备上安装应用程序的全面程序包管理器解决方案。 若要了解详细信息,请参阅使用 winget 工具安装和管理应用程序。

加速网络
加速网络简化了 Windows Server 2025 群集上托管的虚拟机的单根 I/O 虚拟化(SR-IOV)的管理。 此功能使用高性能 SR-IOV 数据路径来降低延迟、抖动和 CPU 利用率。 加速网络还添加了一个管理层,用于处理先决条件检查、主机配置和 VM 性能设置。
截图
随便看

 

网盟-旗舰软件下载站,将绿色免费商业版破解软件、共享软件、游戏、电影、电视剧一网打尽!

 

Copyright © 2002-2024 cnnbu.com All Rights Reserved
更新时间:2025/4/7 7:05:30