Keselamatan lanjutan dan ciri baharu utama dalam Windows Server

Windows Server 2025 tiba dengan lonjakan keselamatan yang sangat seriusPengurusan identiti, prestasi dan keupayaan awan hibrid. Ini bukanlah kemas kini tambahan yang mudah: Microsoft telah menangani hampir setiap lapisan sistem, daripada kernel hingga Active Directory, termasuk SMB, Hyper-V, storan dan dasar pengerasan yang telah dikonfigurasikan terlebih dahulu. Jika anda mengurus infrastruktur di premis atau hibrid, adalah berbaloi untuk memahami apa yang telah berubah dan cara memanfaatkannya.

Secara selari, Windows Server 2025 menguatkan banyak vektor serangan klasik dari kilang.Kelayakan yang disimpan dalam memori, protokol yang tidak selamat, penyulitan ketinggalan zaman dan perkhidmatan terdedah yang tidak terkawal semuanya merupakan isu yang ditangani. Ia juga memperkenalkan alat baharu untuk pentadbiran jarak jauh, automasi dan kebolehcerapan yang, digabungkan dengan amalan terbaik, membolehkan anda membina seni bina yang hampir dengan model Zero Trust tanpa membuat diri anda terlalu sibuk setiap hari.

Pengalaman desktop dan persekitaran pelayan asas

Walaupun kita bercakap tentang sistem berorientasikan pelayan, lapisan pengalaman pengguna juga berubah.Selepas log masuk ke Windows Server 2025 buat kali pertama, anda akan menemui desktop yang sangat sejajar dengan gaya visual Windows 11, dengan antara muka yang dimodenkan, Pengurus Tugas yang direka bentuk semula dengan bahan Mika dan pengalaman keseluruhan yang lebih digilap.

Penaiktarafan di tempat juga dibuat lebih fleksibelAnda boleh melompat terus ke Windows Server 2025 daripada Windows Server 2012 R2 dan versi yang lebih baharu, membenarkan sehingga empat lompatan versi dalam satu operasi. Ini memudahkan penghijrahan persekitaran lama yang belum bersedia untuk dinaik taraf kepada 2016, 2019 atau 2022.

Keupayaan sambungan bersepadu diperluasPelayan kini merangkumi perkhidmatan LAN tanpa wayar sebagai standard; anda hanya perlu mengaktifkan perkhidmatan dengan net start wlansvc untuk menyediakan Wi-Fi dan menambah sokongan Bluetooth untuk tetikus, papan kekunci, fon kepala dan peranti lain, yang berguna di makmal, POC atau persekitaran fizikal yang bukan begitu "pusat data".

Antara alat untuk pentadbir, kedatangan Windows Terminal dan WinGet menonjol.Ini dipasang secara lalai. Terminal membolehkan anda bekerja dengan berbilang shell (PowerShell, CMD, SSH) dalam tab, manakala WinGet menyediakan pengurus pakej baris arahan yang sangat mudah untuk memasang, mengemas kini dan menyelenggara alat pada pelayan, termasuk alat pemeriksaan proses seperti Menggunakan Penggodam Proses pada Windows.

Integrasi dengan perkhidmatan dan akaun juga diperkukuhDaripada Tetapan > Akaun > E-mel dan akaun, anda boleh menambah ID Microsoft Entra (dahulunya Azure AD), akaun Microsoft dan akaun profesional atau pendidikan, mengekalkan pautan domain klasik sebagai tonggak utama tetapi membuka pintu kepada lebih banyak senario hibrid.

Keselamatan berbilang lapisan dan pengerasan asli

Fokus utama Windows Server 2025 adalah pada keselamatan yang mendalam.Microsoft sedang memperketatkan tetapan lalai, menerbitkan kemas kini asas keselamatan yang kerap dan menambah teknologi baharu untuk melindungi kelayakan, komunikasi dan perkhidmatan yang terdedah, dengan tumpuan khusus pada serangan ransomware dan peningkatan keistimewaan.

Garis dasar keselamatan yang dikemas kini dan dasar yang diperhalusi

Garis dasar keselamatan rasmi untuk Windows Server 2025 (v2506 dan yang lebih baharu) disemak dengan lebih kerap untuk menyesuaikan diri dengan ancaman baharu dan maklum balas komuniti. Antara pelarasan yang paling relevan ialah perubahan pada hak log masuk jauh dan pengauditan lanjutan.

Microsoft mengubah suai dasar SeDenyRemoteInteractiveLogonRight untuk menggunakan SID S-1-5-114 (akaun setempat yang juga merupakan pentadbir) dan bukannya SID generik S-1-5-113 (semua akaun setempat). Ini memastikan akses RDP ke akaun setempat dengan keistimewaan tinggi disekat, tetapi memberi ruang untuk akaun setempat tanpa peranan pentadbir yang boleh digunakan dalam senario sokongan atau pemulihan apabila domain tidak tersedia.

Kumpulan Tetamu juga ditambah pada dasar "Tolak log masuk menggunakan Perkhidmatan Desktop Jauh".Jadi, walaupun akaun Tetamu diaktifkan secara tidak sengaja, ia masih tidak akan dapat diakses melalui RDP. Ini adalah lapisan pertahanan tambahan terhadap konfigurasi yang salah atau GPO legasi.

Sesetengah arahan sejarah telah dikeluarkan daripada garis dasar kerana ia sudah lapuk atau tidak relevan.Contohnya, dasar “Pengesahan WDigest (penyahaktifan mungkin memerlukan KB2871997)” dialih keluar kerana WDigest sendiri tidak lagi menyimpan kata laluan dalam teks biasa dalam versi semasa dan “Benarkan Ruang Kerja Dakwat Windows” dialih keluar kerana ia tidak terpakai pada pelayan, sekali gus mengurangkan hingar dan masa pemprosesan GPO.

Secara selari, keterlihatan ditingkatkan dengan pilihan pengauditan baharu.Pengauditan "perubahan dasar kebenaran (Kejayaan)" diaktifkan pada Pengawal Domain dan Pelayan Ahli untuk merekod pengubahsuaian kritikal pada hak pengguna dan dasar keselamatan, dan penangkapan baris arahan diaktifkan untuk peristiwa penciptaan proses, yang meningkatkan keupayaan pengesanan dalam SIEM dan EDR dengan ketara, seperti yang dijelaskan dalam audit keselamatan dengan auditpol dan wevtutil.

Keselamatan berasaskan virtualisasi, Pengawal Kelayakan dan LSA yang dilindungi

Keselamatan berasaskan virtualisasi (VBS) semakin mantap sebagai salah satu tonggak pengerasan moden.Ia memanfaatkan virtualisasi perkakasan untuk mewujudkan persekitaran terpencil yang melindungi komponen kritikal daripada sistem pengendalian itu sendiri, sekali gus menghalang serangan kecurian kelayakan dan manipulasi memori secara drastik.

Pengawal Kredensial kini diaktifkan secara lalai pada peranti yang layakCiri ini mengalihkan rahsia NTLM, tiket Kerberos TGT dan kelayakan Pengurus Kredensial ke persekitaran VBS yang berasingan, supaya penyerang yang mempunyai keistimewaan pentadbir setempat tidak dapat membacanya dalam memori menggunakan alat seperti Mimikatz.

Untuk mengesahkan status perlindungan ini, anda boleh menggunakan PowerShell dengan konsultasi kepada kelas Win32_DeviceGuard, mengkaji semula nilai-nilai SecurityServicesConfigured y SecurityServicesRunningdan sahkan penebat LSA dengan menyemak nilai RunAsPPL dalam daftar. Nilai 1 menunjukkan bahawa LSASS berjalan sebagai Proses Terlindung (PPL).

Garis dasar ini juga mengetengahkan peranan dua dasar yang berkait rapat dengan sekatan UEFIMengaktifkan VBS (Device Guard) dan mengkonfigurasi LSA sebagai proses yang dilindungi adalah langkah keselamatan utama. Apabila digabungkan dengan Secure Boot, TPM 2.0 dan firmware yang mengunci pembolehubah UEFI, perlindungan ini menjadi sangat sukar untuk dilumpuhkan, walaupun untuk pentadbir tempatan. Walau bagaimanapun, adalah dinasihatkan untuk mengesahkan keserasian perkakasan dan merancang dengan teliti, kerana membalikkan langkah-langkah ini tidak selalunya mudah. ​​Untuk pemahaman yang lebih baik tentang konsep yang berkaitan dengan VBS dan pengasingan sistem fizikal, dokumentasi mengenai [topik hilang dalam teks asal] adalah berguna. penebat teras.

Active Directory yang lebih kukuh dan boleh diskala

Active Directory menerima salah satu pembaharuan terbesar dalam beberapa tahun kebelakangan ini, baik dari segi prestasi dan keselamatan kriptografi serta tingkah laku lalai terhadap klien dan pengawal legasi.

Pertama, pilihan saiz halaman pangkalan data 32k diperkenalkan. Untuk AD DS dan AD LDS. Sehingga kini, pangkalan data ESE berfungsi dengan 8k halaman, yang mengenakan had pada saiz objek dan atribut berbilang nilai. Dengan 32k halaman, atribut berbilang nilai boleh berkembang kira-kira 2,6 kali lebih besar, dan beberapa kekangan skalabiliti sejarah dikurangkan. Migrasi memerlukan semua pengawal domain dalam hutan menyokong format baharu ini.

Skema Active Directory juga sedang diperluas dengan fail LDF baharu (sch89.ldf, sch90.ldf, sch91.ldf dan yang setaraf dengannya dalam AD LDS MS-ADAM-Upgrade3.ldf), menambah kelas dan atribut untuk fungsi keselamatan dan pengurusan baharu. Di samping itu, fungsi pembaikan objek digabungkan (fixupObjectState) untuk memulihkan atribut kritikal seperti SamAccountType u ObjectCategory dalam objek yang rosak.

Keselamatan kata laluan akaun pasukan sedang diperkukuhAkaun mesin kini menerima kata laluan rawak secara lalai dan Pengawal Domain 2025 menyekat penggunaan kata laluan biasa yang sepadan dengan nama akaun. GPO baharu, "Pengawal Domain: Tolak tetapan kata laluan lalai akaun mesin," membolehkan anda mengurus tingkah laku ini dan alatan seperti ADAC, ADUC atau arahan net computer y dsmod Mereka menghormati dasar baharu ini.

Pelbagai aspek kriptografi dan protokol diperkukuh, terutamanya dalam Kerberos dan LDAPRC4 dinyahdayakan dalam TGT dan kunci pendaftaran legasi tidak lagi digunakan. SupportedEncryptionTypes Bagi menyokong Objek Dasar Kumpulan (GPO), PKINIT dikemas kini untuk menyokong algoritma yang lebih moden dan sokongan TLS 1.3 diperkenalkan dalam LDAP. Selain itu, penyulitan diperlukan untuk operasi dengan atribut sensitif dan penandatanganan (pengedapan) LDAP dikuatkuasakan secara lalai dalam pelaksanaan baharu.

Penambahbaikan operasi termasuk sokongan NUMA, kaunter prestasi baharu dan kawalan replikasi lanjutan.AD DS kini boleh memanfaatkan semua kumpulan pemproses melebihi 64 teras, menggabungkan kaunter khusus untuk DC Locator, carian LSA (nama/SID) dan klien LDAP, dan membolehkan peningkatan keutamaan replikasi dengan rakan kongsi tertentu untuk senario tertentu.

Akaun Perkhidmatan Terurus yang Diwakilkan (dMSA) dan LAPS yang Dipertingkatkan

Salah satu perkembangan baharu utama dalam pengurusan identiti perkhidmatan ialah Akaun Perkhidmatan Terurus yang Diwakilkan (dMSA)Jenis akaun baharu ini membolehkan anda memindahkan akaun perkhidmatan tradisional kepada identiti dengan kunci yang diuruskan secara automatik dan rawak sepenuhnya, tanpa mengubah aplikasi secara drastik. Kata laluan asal dinyahdayakan, sekali gus mengurangkan permukaan serangan dan membolehkan pendelegasian pentadbiran yang lebih terperinci.

Penyelesaian Windows LAPS bersepadu juga mengambil langkah yang ketara ke hadapan. Dalam Windows Server 2025, LAPS menjana dan memutar kata laluan unik untuk setiap pentadbir setempat, menyimpannya dengan selamat dalam AD atau ID Kemasukan Microsoft, tetapi kini menambah ciri seperti pengurusan akaun setempat automatik baharu, pengesanan pengembalian imej menggunakan atribut msLAPS-CurrentPasswordVersion dan sokongan untuk frasa laluan yang boleh dibaca oleh manusia MakanGula-gula Karamel Sedap.

Kerumitan kata laluan baharu yang "lebih mudah dibaca" diperkenalkan. (nilai 5 dalam PasswordComplexityIni tidak termasuk aksara yang mudah dikelirukan seperti I/O/Q/l/0/1 dan simbol tertentu, mengekalkan keteguhan sambil mengurangkan ralat menaip. Alat tambah ADUC termasuk tab LAPS yang dipertingkatkan dengan fon yang lebih mudah dibaca untuk memaparkan kata laluan.

Di samping itu, LAPS mengintegrasikan tindakan pasca-pengesahan (PAA) baharu, seperti pilihan “Tetapkan semula kata laluan, daftar keluar akaun terurus dan tamatkan sebarang proses yang tinggal”, yang bukan sahaja log keluar akaun terurus selepas penetapan semula, tetapi juga menyenaraikan dan menamatkan semua proses yang masih berjalan di bawah identiti tersebut, dengan peristiwa log yang dikembangkan untuk memudahkan pengauditan.

SMB yang Diperkeras: QUIC, penyulitan, penandatanganan dan pengurangan kekerasan

Protokol SMB merupakan satu lagi bidang utama yang menerima pengerasan yang ketara., baik pada peringkat pengangkutan mahupun dari segi pengesahan dan kawalan akses, direka khas untuk persekitaran hibrid dan kerja jarak jauh.

SMB melalui QUIC menjadi lebih meluas di luar Azure Edition Ia tersedia dalam Windows Server Standard dan Datacenter. Mod ini merangkumi SMB 3.1.1 melalui QUIC menggunakan port TLS 1.3 dan UDP, mewujudkan sejenis "VPN SMB" untuk akses selamat ke pelayan pinggir daripada rangkaian yang tidak dipercayai, sesuai untuk kerja jarak jauh dan peranti mudah alih tanpa menyediakan VPN tradisional.

Pentadbir boleh mengawal SMB melalui QUIC menggunakan GPO dan PowerShellKlien QUIC boleh dinyahdayakan dengan dasar "Dayakan SMB melalui QUIC" atau dengan Set-SmbClientConfiguration -EnableSMBQUIC $falseDayakan audit tandatangan dan penyulitan untuk mengesan klien atau pelayan yang tidak menyokong keupayaan ini dan semak peristiwa yang sepadan dalam log SMBClient dan SMBServer (Audit dan Kesambungan).

Port SMB alternatif diperkenalkan untuk TCP, QUIC dan RDMAIni membolehkan anda memintas port TCP/445 tradisional apabila reka bentuk keselamatan anda memerlukannya. Peraturan firewall juga telah dikemas kini: apabila mencipta sumber kongsi baharu, port NetBIOS 137-139 tidak lagi dibuka secara automatik; sebaliknya, kumpulan peraturan yang lebih ketat, "Perkongsian Fail dan Pencetak (Terhad)," digunakan. Untuk menyemak pendedahan dan port terbuka pada pelayan, anda boleh merujuk panduan untuk Lihat port rangkaian terbuka.

Dalam pengesahan, semua sambungan SMB keluar kini memerlukan tandatangan dan penyulitan mengikut konfigurasi.Klien boleh menyekat NTLM untuk sambungan jauh dan perkhidmatan SMB melaksanakan pengehad kadar pengesahan untuk membendung serangan brute-force berasaskan NTLM atau PKU2U, sekali gus menyebabkan kelewatan yang semakin meningkat selepas percubaan yang gagal.

IPsec, RRAS dan langkah-langkah pengerasan sambungan yang lain

Di luar SMB, Windows Server 2025 melaraskan komponen rangkaian dan VPN yang lain untuk menyelaraskannya dengan piawaian keselamatan kriptografi moden.

Dalam IPsec, susunan modul kunci lalai berubah kepada IKEv2 dan IKEv1 Untuk sambungan yang disahkan menggunakan sijil mesin, biarkan AuthIP sebagai pilihan legasi yang boleh diaktifkan semula dengan kunci pendaftaran IpsecRestoreLegacyKeyModIni mendorong organisasi untuk menggunakan IKEv2, yang lebih mantap dan moden.

Dalam Penghalaan dan Akses Jauh (RRAS), pemasangan baharu didatangkan dengan PPTP dan L2TP yang dinyahdayakan. Secara lalai, ia masih boleh diaktifkan jika persekitaran memerlukannya, tetapi tujuannya adalah untuk mengutamakan SSTP dan IKEv2, yang jauh lebih selamat. Konfigurasi yang telah menggunakan PPTP/L2TP dan dikemas kini akan mengekalkan tingkah lakunya untuk mengelakkan pemutusan sambungan yang tidak dijangka.

Windows mengukuhkan keperluan minimum untuk sijil dan TLSCarian dan pengurusan sijil menyokong SHA-256 sebagai standard, dan sijil pelayan TLS mesti menggunakan kunci RSA sekurang-kurangnya 2048 bit, sejajar dengan penghapusan sijil yang dianggap lemah.

Hyper-V, prestasi dan infrastruktur untuk AI

Dalam bidang virtualisasi, Windows Server 2025 meluaskan ufuk baik dari segi prestasi mentah mahupun sokongan untuk beban kerja kecerdasan buatan., yang semakin bergantung pada GPU, memori yang besar dan rangkaian latensi rendah.

Hyper-V meningkatkan had skalabiliti dengan ketaraKini hos boleh mengendalikan sehingga 4 PB memori dan 2048 pemproses logik, manakala mesin maya Generasi 2 boleh mencapai 240 TB RAM dan 2048 vCPU, membuka pintu kepada persekitaran pangkalan data yang besar, analitik lanjutan atau enjin AI tempatan.

Pembahagian GPU (GPU-P) membolehkan satu GPU fizikal dikongsi antara berbilang mesin maya.GPU-P memperuntukkan "slices" khusus berdasarkan keperluan setiap VM. Ini adalah kunci untuk senario AI, rendering atau intensif pengkomputeran di mana sebelum ini GPU perlu dikhususkan untuk setiap hos tetamu. Tambahan pula, GPU-P menyokong ketersediaan tinggi dengan failover automatik dalam kluster dan migrasi langsung, walaupun dengan GPU yang dibahagikan.

Keserasian pemproses dinamik direka bentuk semula untuk kluster campuran, menggunakan set maksimum ciri CPU yang dikongsi merentasi semua nod, meningkatkan prestasi berbanding mod keserasian klasik, terutamanya apabila menggunakan keupayaan seperti terjemahan alamat peringkat kedua (SLAT).

Ciri terjemahan penomboran paksa hipervisor (HVPT) menambah lapisan pertahanan yang lain HVPT melindungi daripada serangan penulisan memori sewenang-wenangnya, melindungi struktur jadual halaman utama sistem. HVPT aktif secara lalai apabila disokong oleh perkakasan, tetapi tidak apabila pelayan berjalan sebagai mesin maya tetamu.

Dalam rangkaian maya, ciri Rangkaian Dipercepatkan (AccelNet) akan tiba dalam versi pratonton. Untuk memudahkan penggunaan SR-IOV dalam kluster, mengurangkan kependaman, jitter dan penggunaan CPU, Network ATC menawarkan model berasaskan niat untuk menggunakan konfigurasi rangkaian hos yang konsisten merentasi kluster.

Storan moden dan dioptimumkan untuk pembangunan

Subsistem storan dalam Windows Server 2025 juga sedang dirombak, dengan penambahbaikan dalam prestasi NVMe, keupayaan ReFS baharu dan pengoptimuman yang ditujukan kepada pembangun dan senario kecekapan tinggi.

Pemacu Pembangun, yang sudah dikenali dalam Windows 11, tiba di dunia pelayan Dev Drive ialah jenis volum berasaskan ReFS yang dioptimumkan untuk beban kerja pembangunan, menawarkan kawalan yang lebih baik ke atas penapis, antivirus dan tetapan keselamatan. Kini, Dev Drive juga menyokong pengklonan blok, membolehkan salinan fail besar dilakukan sebagai operasi metadata kos rendah, mengurangkan I/O sebenar dan mempercepatkan proses dengan ketara.

ReFS menggabungkan deduplikasi dan pemampatan asli Direka untuk beban kerja statik (repositori imej, sandaran) dan desktop maya aktif atau pelayan fail. Dalam persekitaran data volum tinggi, penjimatan kapasiti boleh menjadi sangat ketara tanpa menjejaskan prestasi dengan ketara.

Isipadu yang diperuntukkan nipis pada Ruang Penyimpanan Langsung memudahkan peruntukan kapasiti yang lebih cekapIni membolehkan peruntukan berlebihan yang selamat sambil memantau penggunaan sebenar. Tambahan pula, adalah mungkin untuk menukar isipadu tetap sedia ada kepada isipadu nipis, mengembalikan ruang yang tidak digunakan ke dalam kolam untuk digunakan semula dalam isipadu lain.

Dari segi prestasi tulen, sokongan NVMe ditala dengan lebih baik.Ini meningkatkan IOPS dan mengurangkan penggunaan CPU berbanding versi sebelumnya. SMB juga menggabungkan pemampatan dengan standard LZ4, menambah pilihan lain kepada XPRESS, LZNT1 dan PATTERN_V1 untuk senario di mana mengutamakan kelajuan pemampatan dan penyahmampatan dikehendaki.

Azure Arc, model hibrid dan pengurusan berpusat

Windows Server 2025 menerima pakai sepenuhnya model hibrid dengan Azure Arc, menjadikannya lebih mudah untuk mengurus pelayan di premis seolah-olah ia merupakan sumber Azure asli, termasuk pengebilan, pemantauan dan operasi lanjutan.

Pemasang Azure Arc menjadi ciri atas permintaan yang dipasang secara lalai.Dengan wizard yang sangat mudah dan ikon dulang sistem yang mempercepatkan sambungan pelayan ke Arc. Setelah disambungkan, anda boleh menggunakan dasar, memantau, menggunakan sambungan atau berintegrasi dengan penyelesaian Azure lain secara bersepadu.

Pelesenan bayar-sambil-guna diperkenalkan melalui Azure ArcIni membolehkan Windows Server dilesenkan dalam mod langganan dan hanya membayar untuk penggunaan sebenar, alternatif yang menarik kepada lesen berterusan untuk persekitaran dengan kebolehubahan beban yang tinggi atau projek yang mempunyai tempoh terhad.

Pengurusan Windows Server yang didayakan Azure Arc membawa beberapa kelebihan tambahan: integrasi dengan Pusat Pentadbiran Windows secara langsung dalam portal Azure, sokongan jarak jauh Just-In-Time dengan log terperinci, penilaian amalan terbaik automatik dan penggunaan berpandu Azure Site Recovery untuk kesinambungan perniagaan.

Dasar keselamatan seperti Azure dan Perangkaian Tertakrif Perisian

Perangkaian yang ditakrifkan perisian (SDN) dalam Windows Server 2025 semakin hampir dengan pengalaman Azure., kedua-duanya dalam model pengendalian dan dalam perlindungan lalai.

Pengawal rangkaian SDN kini dihoskan sebagai perkhidmatan kluster pada hos fizikal, menghapuskan keperluan untuk menggunakan mesin maya khusus untuk komponen ini, memudahkan topologi dan membebaskan sumber pengkomputeran.

Dasar rangkaian lalai diperkenalkan dengan falsafah "tolak secara lalai".Sama seperti Azure Network Security Groups: semua trafik masuk ke mesin maya beban pada mulanya ditolak, hanya membuka port yang dibenarkan secara eksplisit, manakala trafik keluar dibenarkan secara lalai supaya tidak memperlahankan aplikasi.

Label perkhidmatan membolehkan segmentasi beban kerja yang lebih intuitif.Mengaitkan NSG dengan mesin maya menggunakan label yang boleh dibaca manusia dan bukannya julat IP memudahkan untuk menukar topologi tanpa menulis semula peraturan yang kompleks dan mengurangkan ralat konfigurasi.

Fungsi SDN Multisite menyediakan sambungan L2 dan L3 antara lokasi berbeza tanpa komponen tambahan.Mengekalkan dasar seragam walaupun mesin maya berhijrah antara tapak. Ini dilengkapi dengan prestasi yang lebih baik daripada gerbang Lapisan 3, yang menggunakan kurang CPU dan menawarkan daya pemprosesan yang lebih tinggi.

Kebolehgunaan kontena dan Program Windows Server Insider

Dalam bekas, Windows Server 2025 memberi tumpuan kepada kebolehgunaanPlatform ini membolehkan imej kontena dan datanya dipindahkan antara hos dan persekitaran yang berbeza tanpa perubahan, sekali gus mengurangkan geseran semasa mengemas kini versi hos atau menukar infrastruktur.

Kemudahalihan ini memudahkan pemodenan aplikasi legasi.Ini kerana anda boleh merangkumnya dalam bekas Windows dan mengalihkannya antara persekitaran di premis, awan awam atau ujian tanpa perlu membungkus semula setiap kali, selagi anda menghormati keserasian versi minimum.

Untuk sentiasa mengikuti perkembangan terkini tentang keupayaan ini, Program Windows Server Insider Ia menawarkan akses awal kepada binaan dengan ciri dan perubahan baharu, membolehkan pentadbir dan rakan kongsi menguji senario keselamatan, prestasi dan keserasian sebelum ia mencapai pengeluaran.

Kemas kini status, isu yang diketahui dan ujian keselamatan dunia sebenar

Windows Server 2025, seperti mana-mana sistem hidup, mempunyai kitaran kemas kini dan pembetulan yang berterusan.Microsoft mendokumentasikan isu yang diketahui dan status penyelesaiannya dengan agak telus.

Antara insiden baru-baru ini, satu gangguan dengan WUSA menonjol. Memasang fail .msu daripada sumber kongsi dengan berbilang pakej yang dijana ralat ERROR_BAD_PATHNAMEMitigasi melibatkan penyalinan fail .msu secara setempat atau menggunakan Pengembalian Isu Yang Diketahui (KIR) dengan dasar kumpulan khas, sementara pembetulan muktamad diedarkan dalam kemas kini akan datang.

Satu lagi isu menjejaskan putaran kata laluan mesin apabila menggunakan pengesahan Kerberos dengan PKINITIni menyebabkan beberapa peranti dibiarkan dengan kata laluan yang telah tamat tempoh dan kegagalan pengesahan. Ia telah dibaiki dalam kemas kini keselamatan April 2025 (KB5055523), dan sementara itu, ciri Akaun Pasukan Pengawal Kredensial telah dinyahdayakan buat sementara waktu sehingga penyelesaian yang stabil tersedia.

Terdapat juga laporan kemas kini yang tidak dijangka dari Windows Server 2019 dan 2022 hingga 2025. Dalam persekitaran dengan alat pengurusan tampalan pihak ketiga yang mengendalikan kemas kini ciri seperti yang disyorkan dan bukannya pilihan, Microsoft mengurangkan situasi dengan menghentikan sementara sepanduk tawaran dalam Kemas Kini Windows dan bekerjasama dengan vendor untuk menjelaskan penggunaan klasifikasi DeploymentAction=OptionalInstallation.

Di luar teori, makmal ujian penembusan telah menguji perlindungan baharu ini.Dalam ujian dengan pelbagai alat jenis Potato (Juicy, Lovely, Rogue, PrintSpoofer), kebanyakannya gagal, manakala PetitPotato hanya berjaya meningkat ke peringkat Pentadbir tempatan, bukan ke SISTEM. Ini menunjukkan pengukuhan sebenar kawalan penyamaran dan perkhidmatan COM/RPC, walaupun masih penting untuk menyemak konfigurasi perkhidmatan dan kebenaran fail.

Ujian eskalasi menggunakan perkhidmatan yang salah konfigurasi, seperti serangan DNSadmin atau penyalahgunaan FTP, kekal berdaya maju. Jika ralat kebenaran asas dibuat, ia merupakan peringatan bahawa sistem pengendalian terbaik pun tidak dapat mengimbangi konfigurasi yang lemah; adalah dinasihatkan untuk menggunakan utiliti untuk mengaudit kebenaran dan laluan seperti Menggunakan AccessChk dalam Windows dan menyemak kawalan akses.

Percubaan juga dibuat untuk mengeksploitasi kelemahan kernel seperti CVE-2025-21325, tanpa kejayaan dalam binaan yang dikemas kini, di mana eksploitasi tersebut menyebabkan BSOD disebabkan oleh KERNEL_SECURITY_CHECK_FAILURE dan bukannya meningkat kepada SYSTEM.

Secara keseluruhannya, Windows Server 2025 telah membawa keselamatan melalui reka bentuk ke satu lonjakan yang ketara ke hadapan.Ia mengurangkan pendedahan kelayakan, memperkukuh protokol dan memperkenalkan garis dasar yang lebih agresif tanpa mengorbankan fleksibiliti operasi, menggabungkan keupayaan di premis, hibrid dan AI supaya organisasi dapat membina infrastruktur yang lebih berdaya tahan, boleh dipantau dan sedia menghadapi ancaman, dengan syarat ia disertakan dengan amalan baik, audit berkala dan strategi pengerasan yang jelas.