Mas mataas na seguridad at mga pangunahing bagong tampok sa Windows Server

Dumating ang Windows Server 2025 na may napakalaking hakbang sa seguridadPamamahala ng pagkakakilanlan, pagganap, at mga kakayahan sa hybrid cloud. Hindi ito isang simpleng unti-unting pag-update: Natugunan na ng Microsoft ang halos bawat layer ng system, mula sa kernel hanggang sa Active Directory, kabilang ang SMB, Hyper-V, storage, at mga preconfigured hardening policy. Kung namamahala ka ng on-premises o hybrid infrastructures, mahalagang maunawaan kung ano ang mga nagbago at kung paano ito magagamit.

Kasabay nito, pinatitibay ng Windows Server 2025 ang maraming klasikong vector ng pag-atake mula sa pabrika.Ang mga kredensyal na nakaimbak sa memorya, mga hindi ligtas na protocol, hindi napapanahong pag-encrypt, at mga hindi makontrol na nakalantad na serbisyo ay pawang mga isyung tinutugunan. Nagpapakilala rin ito ng mga bagong tool para sa malayuang pangangasiwa, automation, at observability na, kasama ng mga pinakamahusay na kasanayan, ay nagbibigay-daan sa iyong bumuo ng mga arkitektura na malapit sa modelo ng Zero Trust nang hindi pinapahirapan ang iyong sarili araw-araw.

Karanasan sa desktop at kapaligiran ng base server

Kahit na pinag-uusapan natin ang isang server-oriented system, nagbabago rin ang user experience layer.Pagkatapos mag-log in sa Windows Server 2025 sa unang pagkakataon, makikita mo ang isang desktop na halos kapareho ng visual na istilo ng Windows 11, na may modernisadong interface, muling idinisenyong Task Manager na may materyal na Mica, at mas pinakintab na pangkalahatang karanasan.

Ang mga in-place upgrade ay ginawa ring mas flexibleMaaari kang direktang lumipat sa Windows Server 2025 mula sa Windows Server 2012 R2 at mga mas bagong bersyon, na nagpapahintulot ng hanggang apat na pagtalon sa bersyon sa isang operasyon. Lubos nitong pinapasimple ang paglipat ng mga mas lumang kapaligiran na hindi pa handang mag-upgrade sa 2016, 2019, o 2022.

Pinalawak ang mga pinagsamang kakayahan sa koneksyonKasama na ngayon sa server ang wireless LAN service bilang standard; kailangan mo lang i-activate ang serbisyo gamit ang net start wlansvc para magbigay ng Wi-Fi, at nagdaragdag ng suporta sa Bluetooth para sa mga mouse, keyboard, headphone at iba pang device, na kapaki-pakinabang sa mga lab, POC o mga pisikal na kapaligiran na hindi gaanong "data center".

Sa mga kagamitan para sa mga administrador, namumukod-tangi ang pagdating ng Windows Terminal at WinGet.Ang mga ito ay naka-install bilang default. Pinapayagan ka ng Terminal na magtrabaho kasama ang maraming shell (PowerShell, CMD, SSH) sa mga tab, habang ang WinGet ay nagbibigay ng isang napaka-maginhawang command-line package manager para sa pag-install, pag-update, at pagpapanatili ng mga tool sa mga server, kabilang ang mga tool sa inspeksyon ng proseso tulad ng Paggamit ng Process Hacker sa Windows.

Pinapalakas din ang integrasyon sa mga serbisyo at accountMula sa Mga Setting > Mga Account > Email at mga account, maaari kang magdagdag ng Microsoft Entra ID (dating Azure AD), mga Microsoft account at mga propesyonal o pang-edukasyon na account, habang pinapanatili ang klasikong domain link bilang pangunahing haligi ngunit nagbubukas ng pinto sa mas maraming hybrid na senaryo.

Seguridad na may maraming patong at katutubong pagpapatigas

Ang pangunahing pokus ng Windows Server 2025 ay sa malalimang seguridad.Pinapalakas ng Microsoft ang mga default na setting, naglalathala ng mga madalas na baseline update sa seguridad, at nagdaragdag ng mga bagong teknolohiya upang protektahan ang mga kredensyal, komunikasyon, at mga nakalantad na serbisyo, na may partikular na pagtuon sa mga pag-atake ng ransomware at pagtaas ng pribilehiyo.

Na-update na baseline ng seguridad at mga pinong patakaran

Ang opisyal na baseline ng seguridad para sa Windows Server 2025 (v2506 at mas bago) ay mas madalas na sinusuri upang umangkop sa mga bagong banta at feedback ng komunidad. Kabilang sa mga pinakamahalagang pagsasaayos ay ang mga pagbabago sa mga karapatan sa malayuang pag-login at advanced na pag-awdit.

Binago ng Microsoft ang patakaran ng SeDenyRemoteInteractiveLogonRight na gamitin ang SID S-1-5-114 (mga lokal na account na mga administrator din) sa halip na ang generic na SID S-1-5-113 (lahat ng lokal na account). Pinapanatili nitong naka-block ang access ng RDP sa mga lokal na account na may matataas na pribilehiyo, ngunit nag-iiwan ng espasyo para sa mga lokal na account na walang papel ng admin na maaaring gamitin sa mga sitwasyon ng suporta o pagbawi kapag hindi available ang domain.

Ang grupong Bisita ay idinaragdag din sa patakarang "Tanggihan ang pag-login gamit ang Remote Desktop Services".Kaya, kahit na hindi sinasadyang na-activate ang Guest account, hindi pa rin ito makaka-access sa pamamagitan ng RDP. Ito ay isang karagdagang patong ng depensa laban sa mga maling configuration o mga legacy GPO.

Ang ilang makasaysayang direktiba ay inalis mula sa baseline dahil ang mga ito ay lipas na o hindi na nauugnay.Halimbawa, ang patakarang "WDigest Authentication (ang pag-disable ay maaaring mangailangan ng KB2871997)" ay inalis dahil ang WDigest mismo ay hindi na nag-iimbak ng mga password sa plain text sa mga kasalukuyang bersyon, at ang "Allow Windows Ink Workspace" ay inalis dahil hindi ito nalalapat sa mga server, na binabawasan ang ingay at oras ng pagproseso ng GPO.

Kasabay nito, tumataas ang visibility kasabay ng mga bagong opsyon sa pag-awdit.Ang pag-awdit ng "pagbabago ng patakaran sa awtorisasyon (Tagumpay)" ay pinagana sa mga Domain Controller at Member Server upang mag-log ng mga kritikal na pagbabago sa mga karapatan ng gumagamit at mga patakaran sa seguridad, at ang command-line capture ay pinagana para sa mga kaganapan sa paglikha ng proseso, na lubos na nagpapabuti sa mga kakayahan sa pag-detect sa SIEM at EDR, gaya ng ipinaliwanag sa pag-audit ng seguridad gamit ang auditpol at wevtutil.

Seguridad na nakabatay sa virtualization, Credential Guard, at protektadong LSA

Ang seguridad na nakabatay sa virtualization (VBS) ay nagiging isa sa mga haligi ng modernong pagpapatigas.Ginagamit nito ang hardware virtualization upang lumikha ng isang nakahiwalay na kapaligiran na nagpoprotekta sa mga kritikal na bahagi mula mismo sa operating system, na lubhang humahadlang sa mga pag-atake ng pagnanakaw ng kredensyal at pagmamanipula ng memorya.

Naka-enable na ngayon bilang default ang Credential Guard sa mga kwalipikadong deviceInililipat ng feature na ito ang mga NTLM secret, Kerberos TGT ticket, at Credential Manager credentials sa isang hiwalay na VBS environment, para kahit ang isang attacker na may mga lokal na pribilehiyo ng administrator ay hindi mabasa ang mga ito sa memory gamit ang mga tool tulad ng Mimikatz.

Para kumpirmahin ang katayuan ng proteksyong ito, maaari mong gamitin ang PowerShell na may mga konsultasyon sa klase Win32_DeviceGuard, pagsusuri sa mga halaga ng SecurityServicesConfigured y SecurityServicesRunningat beripikahin ang LSA insulation sa pamamagitan ng pagsuri sa halaga RunAsPPL sa registry. Ang halagang 1 ay nagpapahiwatig na ang LSASS ay tumatakbo bilang isang Protected Process (PPL).

Itinatampok din ng baseline ang papel ng dalawang patakarang malapit na nauugnay sa pagharang sa UEFIAng pag-activate ng VBS (Device Guard) at pag-configure ng LSA bilang isang protektadong proseso ay mga pangunahing hakbang sa seguridad. Kapag isinama sa Secure Boot, TPM 2.0, at firmware na nagla-lock ng mga variable ng UEFI, ang mga proteksyong ito ay nagiging napakahirap i-disable, kahit para sa mga lokal na administrator. Gayunpaman, ipinapayong patunayan ang compatibility ng hardware at maingat na magplano, dahil ang pagbabaliktad sa mga hakbang na ito ay hindi laging madali. Para sa mas mahusay na pag-unawa sa mga konsepto na may kaugnayan sa VBS at physical system isolation, makakatulong ang dokumentasyon sa [topic missing in original text]. pangunahing pagkakabukod.

Pinatigas at mas nasusukat na Active Directory

Nakatanggap ang Active Directory ng isa sa pinakamalaking pagbabago sa mga nakaraang taon, kapwa sa mga tuntunin ng pagganap at seguridad sa kriptograpiko at default na pag-uugali patungo sa mga luma at mga controller.

Una, ipinakilala ang opsyon sa laki ng pahina ng database na 32k. Para sa AD DS at AD LDS. Hanggang ngayon, ang ESE database ay gumagana sa 8k na pahina, na nagpataw ng mga limitasyon sa laki ng mga object at multi-value attribute. Sa 32k na pahina, ang mga multi-value attribute ay maaaring lumaki nang humigit-kumulang 2,6 beses na mas malaki, at nababawasan ang ilang mga limitasyon sa historical scalability. Kinakailangan ng migration na suportahan ng lahat ng domain controllers sa forest ang bagong format na ito.

Ang schema ng Active Directory ay pinalalawak din gamit ang mga bagong LDF file (sch89.ldf, sch90.ldf, sch91.ldf at ang katumbas nito sa AD LDS MS-ADAM-Upgrade3.ldf), pagdaragdag ng mga klase at katangian para sa mga bagong tungkulin sa seguridad at pamamahala. Bukod pa rito, isinasama ang isang tungkulin sa pagkukumpuni ng bagay (fixupObjectState) upang maibalik ang mga kritikal na katangian tulad ng SamAccountType u ObjectCategory sa mga nasirang bagay.

Pinapalakas ang seguridad ng password ng team accountAng mga machine account ngayon ay tumatanggap na ng mga random na password bilang default, at hinaharangan ng Domain Controllers 2025 ang paggamit ng karaniwang password na tumutugma sa pangalan ng account. Ang isang bagong GPO, "Domain Controller: Reject machine account default password setting," ay nagbibigay-daan sa iyong pamahalaan ang pag-uugaling ito, at mga tool tulad ng ADAC, ADUC, o mga command. net computer y dsmod Iginagalang nila ang bagong patakarang ito.

Maraming aspeto ng kriptograpiya at protokol ang pinatibay, lalo na sa Kerberos at LDAPHindi pinagana ang RC4 sa mga TGT, at hindi na ginagamit ang legacy registration key. SupportedEncryptionTypes Bilang suporta sa mga Group Policy Object (GPO), ina-update ang PKINIT upang suportahan ang mas modernong mga algorithm, at ipinakilala ang suporta sa TLS 1.3 sa LDAP. Bukod pa rito, kinakailangan ang encryption para sa mga operasyon na may mga sensitibong katangian, at ang pag-sign (sealing) ng LDAP ay ipinapatupad bilang default sa mga bagong implementasyon.

Kabilang sa mga pagpapabuti sa operasyon ang suporta ng NUMA, mga bagong counter ng pagganap, at advanced na kontrol sa replikasyon.Maaari nang samantalahin ng AD DS ang lahat ng grupo ng processor na higit sa 64 na core, isinasama ang mga partikular na counter para sa DC Locator, mga lookup ng LSA (mga pangalan/SID) at LDAP client, at nagbibigay-daan sa pagtaas ng priyoridad ng replikasyon sa ilang partikular na kasosyo para sa mga partikular na senaryo.

Mga Delegated Managed Service Account (dMSA) at Pinahusay na LAPS

Isa sa mga pangunahing bagong pag-unlad sa pamamahala ng pagkakakilanlan ng serbisyo ay ang Delegated Managed Service Accounts (dMSA).Ang bagong uri ng account na ito ay nagbibigay-daan sa iyong ilipat ang mga tradisyonal na service account sa mga pagkakakilanlan na may ganap na randomized, awtomatikong pinamamahalaang mga key, nang hindi binabago nang husto ang application. Hindi pinagana ang mga orihinal na password, na binabawasan ang mga attack surface at nagbibigay-daan sa mas detalyadong administratibong delegasyon.

Malaki rin ang naging pag-unlad ng pinagsamang solusyon ng Windows LAPS. Sa Windows Server 2025, ang LAPS ay bumubuo at nagpapaikot ng mga natatanging password para sa bawat lokal na administrator, ligtas na iniimbak ang mga ito sa AD o Microsoft Entry ID, ngunit ngayon ay nagdaragdag ng mga tampok tulad ng bagong awtomatikong pamamahala ng lokal na account, pagtukoy ng rollback ng imahe gamit ang katangiang msLAPS-CurrentPasswordVersion at suporta para sa mga passphrase na nababasa ng tao KumainNaMasarapKaramelKendi.

Isang bago, "mas madaling basahin" na komplikasyon ng password ang ipinakilala. (halaga 5 sa PasswordComplexityHindi kasama rito ang mga karakter na madaling malito tulad ng I/O/Q/l/0/1 at ilang simbolo, na nagpapanatili ng katatagan habang binabawasan ang mga error sa pagta-type. Kasama sa ADUC add-on ang isang pinahusay na LAPS tab na may mas madaling basahing mga font para sa pagpapakita ng mga password.

Bukod pa rito, isinasama ng LAPS ang mga bagong aksyon pagkatapos ng pagpapatotoo (PAA), tulad ng opsyong “I-reset ang password, mag-sign out sa pinamamahalaang account, at wakasan ang anumang natitirang proseso”, na hindi lamang nagla-log out sa pinamamahalaang account pagkatapos ng pag-reset, kundi naglilista at nagtatapos din sa lahat ng prosesong tumatakbo pa rin sa ilalim ng pagkakakilanlang iyon, na may pinalawak na mga kaganapan sa log upang mapadali ang pag-awdit.

Hardened SMB: QUIC, encryption, signing, at brute-force mitigation

Ang protokol ng SMB ay isa pang mahalagang larangan na tumatanggap ng makabuluhang pagpapatibay., kapwa sa antas ng transportasyon at sa mga tuntunin ng pagpapatotoo at kontrol sa pag-access, na idinisenyo lalo na para sa mga hybrid na kapaligiran at malayuang trabaho.

Ang SMB sa QUIC ay nagiging mas laganap lampas sa Azure Edition Ito ay makukuha sa Windows Server Standard at Datacenter. Pinagsasama-sama ng mode na ito ang SMB 3.1.1 sa QUIC gamit ang TLS 1.3 at UDP ports, na lumilikha ng isang uri ng "SMB VPN" para sa ligtas na pag-access sa mga edge server mula sa mga hindi mapagkakatiwalaang network, mainam para sa remote work at mga mobile device nang hindi nagse-set up ng tradisyonal na VPN.

Maaaring kontrolin ng mga administrator ang SMB sa QUIC gamit ang GPO at PowerShellMaaaring i-disable ang QUIC client gamit ang patakarang "Paganahin ang SMB sa pamamagitan ng QUIC" o gamit ang Set-SmbClientConfiguration -EnableSMBQUIC $falsePaganahin ang mga signature at encryption audit upang matukoy ang mga client o server na hindi sumusuporta sa mga kakayahang ito, at suriin ang mga kaukulang kaganapan sa mga log ng SMBClient at SMBServer (Audit at Connectivity).

Ipinakilala ang mga alternatibong SMB port para sa TCP, QUIC, at RDMANagbibigay-daan ito sa iyo na malampasan ang tradisyonal na TCP/445 port kapag kinakailangan ito ng iyong disenyo ng seguridad. Na-update din ang mga patakaran ng firewall: kapag lumilikha ng mga bagong nakabahaging mapagkukunan, ang mga NetBIOS port 137-139 ay hindi na awtomatikong binubuksan; sa halip, isang mas mahigpit na grupo ng panuntunan, ang "File and Printer Sharing (Restrictive)," ang ginagamit. Upang suriin ang mga exposure at bukas na mga port sa server, maaari kang sumangguni sa mga gabay para sa Tingnan ang mga bukas na port ng network.

Sa pagpapatotoo, lahat ng papalabas na koneksyon sa SMB ay nangangailangan na ngayon ng paglagda at pag-encrypt ayon sa configuration.Maaaring harangan ng kliyente ang NTLM para sa mga malayuang koneksyon, at ang serbisyo ng SMB ay nagpapatupad ng isang authentication rate limiter upang mapigilan ang mga brute-force attack na nakabatay sa NTLM o PKU2U, na nagdudulot ng pagtaas ng mga pagkaantala pagkatapos ng mga nabigong pagtatangka.

IPsec, RRAS at iba pang mga hakbang sa pagpapatibay ng koneksyon

Higit pa sa SMB, inaayos ng Windows Server 2025 ang iba pang mga bahagi ng network at VPN upang iayon ang mga ito sa mga modernong pamantayan ng seguridad sa kriptograpiko.

Sa IPsec, ang default na pagkakasunud-sunod ng key module ay nagbabago sa IKEv2 at IKEv1 Para sa mga na-authenticate na koneksyon gamit ang mga sertipiko ng makina, iniiwan ang AuthIP bilang isang legacy na opsyon na maaaring muling i-activate gamit ang registration key IpsecRestoreLegacyKeyModIto ang nagtutulak sa mga organisasyon na gamitin ang IKEv2, na mas matatag at moderno.

Sa Routing and Remote Access (RRAS), ang mga bagong instalasyon ay may kasamang naka-disable na PPTP at L2TP. Bilang default, maaari pa rin itong paganahin kung kinakailangan ito ng kapaligiran, ngunit ang layunin ay unahin ang SSTP at IKEv2, na mas ligtas. Ang mga configuration na gumamit na ng PPTP/L2TP at na-update na ay mananatili sa kanilang pag-uugali upang maiwasan ang mga hindi inaasahang pagkakadiskonekta.

Pinapalakas ng Windows ang mga minimum na kinakailangan para sa mga sertipiko at TLSSinusuportahan ng paghahanap at pamamahala ng sertipiko ang SHA-256 bilang pamantayan, at dapat gumamit ang mga sertipiko ng TLS server ng mga RSA key na hindi bababa sa 2048 bits, na naaayon sa pag-phase-out ng mga sertipikong itinuturing na mahina.

Hyper-V, pagganap, at imprastraktura para sa AI

Sa larangan ng virtualization, pinalalawak ng Windows Server 2025 ang mga abot-tanaw kapwa sa raw performance at sa suporta para sa mga workload ng artificial intelligence., na lalong umaasa sa mga GPU, napakalaking memorya, at mga network na may mababang latency.

Malaki ang naitutulong ng Hyper-V para mapalaki ang mga limitasyon ng scalabilityNgayon, kayang humawak ng hanggang 4 PB ng memorya at 2048 logical processor ang isang host, habang ang isang Generation 2 virtual machine ay kayang umabot sa 240 TB ng RAM at 2048 vCPU, na magbubukas ng pinto sa malalaking database environment, advanced analytics, o local AI engines.

Ang GPU partitioning (GPU-P) ay nagbibigay-daan sa isang pisikal na GPU na maibahagi sa maraming virtual machine.Naglalaan ang GPU-P ng mga nakalaang "slices" batay sa mga pangangailangan ng bawat VM. Mahalaga ito para sa mga senaryo ng AI, rendering, o compute-intensive kung saan dati ay kailangang ilaan ang isang GPU sa bawat guest host. Bukod pa rito, sinusuportahan ng GPU-P ang mataas na availability na may awtomatikong failover sa loob ng cluster at live migration, kahit na may mga partitioned GPU.

Ang dynamic processor compatibility ay muling idinisenyo para sa mga mixed cluster, gamit ang pinakamataas na hanay ng mga tampok ng CPU na ibinahagi sa lahat ng node, na nagpapabuti sa pagganap kumpara sa klasikong compatibility mode, lalo na kapag gumagamit ng mga kakayahan tulad ng second-level address translation (SLAT).

Ang tampok na hypervisor forced pagination translation (HVPT) ay nagdaragdag ng isa pang layer ng depensa Pinoprotektahan ng HVPT ang mga arbitraryong pag-atake sa pagsulat ng memorya, na pinoprotektahan ang mga istruktura ng pangunahing talahanayan ng pahina ng system. Aktibo ang HVPT bilang default kapag sinusuportahan ng hardware, ngunit hindi kapag ang server ay tumatakbo bilang isang panauhing virtual machine.

Sa mga virtual network, ang feature na Accelerated Networking (AccelNet) ay darating sa isang preview na bersyon. Para gawing simple ang paggamit ng SR-IOV sa mga cluster, na binabawasan ang latency, jitter, at paggamit ng CPU, nag-aalok ang Network ATC ng isang intent-based na modelo para sa pag-deploy ng mga pare-parehong configuration ng host network sa buong cluster.

Moderno at na-optimize na imbakan para sa pag-develop

Ang storage subsystem sa Windows Server 2025 ay binabago rin., na may mga pagpapabuti sa pagganap ng NVMe, mga bagong kakayahan sa ReFS, at mga pag-optimize na nakatuon sa mga developer at mga senaryo na may mataas na kahusayan.

Ang Dev Drive, na kilala na sa Windows 11, ay dumating na sa mundo ng server Ang Dev Drive ay isang uri ng volume na nakabatay sa ReFS na na-optimize para sa mga workload ng development, na nag-aalok ng mas mahusay na kontrol sa mga filter, antivirus, at mga setting ng seguridad. Ngayon, sinusuportahan na rin ng Dev Drive ang block cloning, na nagbibigay-daan sa mga kopya ng malalaking file na maisagawa bilang mga operasyon ng metadata na may mababang gastos, na binabawasan ang aktwal na I/O at makabuluhang pinapabilis ang proseso.

Isinasama ng ReFS ang katutubong deduplication at compression Dinisenyo para sa parehong static workloads (mga repositoryo ng imahe, mga backup) at mga aktibong virtual desktop o file server. Sa mga kapaligirang may mataas na volume ng data, ang pagtitipid sa kapasidad ay maaaring maging lubhang makabuluhan nang hindi gaanong nakakaapekto sa pagganap.

Ang mga thin-provisioned volume sa mga Direct Storage Spaces ay nagpapadali sa mas mahusay na alokasyon ng kapasidadNagbibigay-daan ito para sa ligtas na labis na paglalaan habang sinusubaybayan ang aktwal na pagkonsumo. Bukod pa rito, posibleng i-convert ang mga umiiral na nakapirming volume sa mga manipis na volume, na ibinabalik ang hindi nagamit na espasyo sa pool para magamit muli sa iba pang mga volume.

Sa usapin ng purong pagganap, mas mahusay ang pagkakatugma ng suporta sa NVMe.Pinapataas nito ang IOPS at binabawasan ang paggamit ng CPU kumpara sa mga nakaraang bersyon. Isinasama rin ng SMB ang compression sa pamantayang LZ4, na nagdaragdag ng isa pang opsyon sa XPRESS, LZNT1, at PATTERN_V1 para sa mga sitwasyon kung saan ninanais ang pagbibigay-priyoridad sa bilis ng compression at decompression.

Azure Arc, hybrid na modelo at sentralisadong pamamahala

Lubos na niyayakap ng Windows Server 2025 ang hybrid model gamit ang Azure Arc, na ginagawang mas madaling pamahalaan ang mga on-premise server na parang mga native Azure resources ang mga ito, kabilang ang pagsingil, pagsubaybay, at mga advanced na operasyon.

Ang Azure Arc installer ay nagiging isang on-demand na feature na naka-install bilang default.Gamit ang isang napakasimpleng wizard at isang icon ng system tray na nagpapabilis sa koneksyon ng server sa Arc. Kapag nakakonekta na, maaari ka nang maglapat ng mga patakaran, magmonitor, mag-deploy ng mga extension, o mag-integrate sa iba pang mga solusyon ng Azure sa isang pinag-isang paraan.

Ang pay-as-you-go licensing ay ipinakikilala sa pamamagitan ng Azure ArcPinapayagan nito ang Windows Server na maging lisensyado sa subscription mode at magbayad lamang para sa aktwal na paggamit, isang kawili-wiling alternatibo sa mga perpetual na lisensya para sa mga kapaligirang may mataas na load variability o mga proyektong may limitadong tagal.

Ang pamamahala ng Windows Server na pinapagana ng Azure Arc ay nagdudulot ng ilang karagdagang bentahe: integrasyon sa Windows Admin Center nang direkta sa Azure portal, malayuang suporta ng Just-In-Time na may detalyadong mga log, awtomatikong pagtatasa ng pinakamahusay na kasanayan, at gabay na pag-deploy ng Azure Site Recovery para sa pagpapatuloy ng negosyo.

Mga patakaran sa seguridad na parang sa Software-Defined Networking at Azure

Ang software-defined networking (SDN) sa Windows Server 2025 ay lalong lumalapit sa karanasan ng Azure., kapwa sa modelo ng pagpapatakbo at sa mga default na proteksyon.

Ang SDN network controller ay naka-host na ngayon bilang isang cluster service sa mga pisikal na host, inaalis ang pangangailangang mag-deploy ng mga nakalaang virtual machine para sa component na ito, pinapasimple ang topology at pinapalaya ang mga computing resources.

Ang mga default na patakaran sa network ay ipinakikilala nang may pilosopiyang "deny by default".Katulad ng Azure Network Security Groups: lahat ng papasok na trapiko sa mga virtual machine na may load ay unang tinatanggihan, binubuksan lamang ang mga hayagang pinapayagang port, habang ang papalabas na trapiko ay pinapayagan bilang default upang hindi mapabagal ang mga application.

Ang mga label ng serbisyo ay nagbibigay-daan para sa mas madaling maunawaang paghati-hati ng mga workload.Ang pag-uugnay ng mga NSG sa mga virtual machine gamit ang mga label na nababasa ng tao sa halip na mga saklaw ng IP ay ginagawang mas madali ang pagbabago ng mga topolohiya nang hindi muling isinusulat ang mga kumplikadong panuntunan at binabawasan ang mga error sa configuration.

Ang SDN Multisite functionality ay nagbibigay ng koneksyon sa L2 at L3 sa pagitan ng iba't ibang lokasyon nang walang karagdagang mga bahagi.Pagpapanatili ng mga pinag-isang patakaran kahit na lumilipat ang mga virtual machine sa pagitan ng mga site. Kinukumpleto ito ng pinahusay na pagganap mula sa Layer 3 gateways, na kumokonsumo ng mas kaunting CPU at nag-aalok ng mas malaking throughput.

Kakayahang dalhin ang lalagyan at ang Windows Server Insider Program

Sa mga lalagyan, ang Windows Server 2025 ay nakatuon sa kakayahang dalhinPinapayagan ng platform ang paglipat ng mga imahe ng container at ang kanilang data sa pagitan ng iba't ibang host at kapaligiran nang walang pagbabago, na binabawasan ang alitan kapag ina-update ang mga bersyon ng host o binabago ang imprastraktura.

Pinapadali ng kadaliang dalhin na ito ang modernisasyon ng mga lumang aplikasyon.Ito ay dahil maaari mong i-encapsulate ang mga ito sa mga Windows container at ilipat ang mga ito sa pagitan ng on-premises, public clouds, o mga test environment nang hindi kinakailangang mag-repackage sa bawat pagkakataon, hangga't nirerespeto mo ang minimum na compatibility ng bersyon.

Para manatiling napapanahon sa mga kakayahang ito, ang Windows Server Insider Program Nag-aalok ito ng maagang access sa mga build na may mga bagong feature at pagbabago, na nagbibigay-daan sa mga administrator at partner na subukan ang mga senaryo ng seguridad, performance, at compatibility bago pa man sila umabot sa production.

I-update ang katayuan, mga kilalang isyu, at pagsubok sa seguridad sa totoong mundo

Ang Windows Server 2025, tulad ng anumang nabubuhay na sistema, ay may patuloy na siklo ng mga pag-update at pag-aayos.Malinaw na idinodokumento ng Microsoft ang mga kilalang isyu at ang katayuan ng kanilang paglutas.

Sa mga nakaraang insidente, isang aberya sa WUSA ang namumukod-tangi. Nagdulot ng mga error ang pag-install ng mga .msu file mula sa mga shared resources na may maraming package ERROR_BAD_PATHNAMEAng pagpapagaan ay kinabibilangan ng pagkopya ng mga .msu file nang lokal o paggamit ng Known Issue Rollback (KIR) na may mga espesyal na patakaran ng grupo, habang ang isang tiyak na pag-aayos ay ipapamahagi sa mga susunod na update.

Isa pang isyu ang nakaapekto sa pag-ikot ng password ng makina kapag ginagamit ang Kerberos authentication gamit ang PKINITDahil dito, naiwang may mga nag-expire na password at mga pagkabigo sa pagpapatotoo ang ilang device. Naayos ito sa update sa seguridad noong Abril 2025 (KB5055523), at pansamantala, pansamantalang hindi pinagana ang feature na Credential Guard Team Accounts hanggang sa magkaroon ng stable na solusyon.

Mayroon ding mga ulat ng mga hindi inaasahang update mula sa Windows Server 2019 at 2022 hanggang 2025. Sa mga kapaligirang may mga tool sa pamamahala ng patch ng third-party na itinuring ang mga update ng feature bilang inirerekomenda sa halip na opsyonal, pinagaan ng Microsoft ang sitwasyon sa pamamagitan ng pag-pause ng offer banner sa Windows Update at pakikipagtulungan sa mga vendor upang linawin ang paggamit ng klasipikasyong DeploymentAction=OptionalInstallation.

Higit pa sa teorya, sinubukan na ng mga laboratoryo ng penetration testing ang mga bagong proteksyon.Sa mga pagsubok gamit ang iba't ibang tool na uri ng Potato (Juicy, Lovely, Rogue, PrintSpoofer), karamihan ay nabigo, habang ang PetitPotato ay nagawa lamang na umabot sa lokal na antas ng Administrator, hindi sa SYSTEM. Ipinapahiwatig nito ang tunay na paglakas ng mga kontrol sa panggagaya at mga serbisyo ng COM/RPC, bagama't nananatiling mahalaga na suriin ang mga configuration ng serbisyo at mga pahintulot sa file.

Ang mga escalation test gamit ang mga serbisyong hindi na-configure nang tama, tulad ng mga pag-atake ng DNSadmin o pang-aabuso sa FTP, ay nananatiling posible. Kung may mga pagkakamali sa mga pangunahing pahintulot, ito ay isang paalala na kahit ang pinakamahusay na operating system ay hindi kayang bayaran ang mahinang configuration; ipinapayong gumamit ng mga utility upang i-audit ang mga pahintulot at path tulad ng Paggamit ng AccessChk sa Windows at suriin ang mga kontrol sa pag-access.

May mga pagtatangka ring gamitin ang mga kahinaan ng kernel tulad ng CVE-2025-21325, ngunit hindi nagtagumpay sa mga na-update na build, kung saan ang exploit ay nagdulot ng mga BSOD dahil sa KERNEL_SECURITY_CHECK_FAILURE sa halip na lumala sa SYSTEM.

Sa pangkalahatan, ang seguridad ay dinisenyo ng Windows Server 2025 sa isang makabuluhang pagsulong.Binabawasan nito ang pagkakalantad sa kredensyal, pinatitibay ang mga protocol, at nagpapakilala ng mas agresibong baseline nang hindi isinasakripisyo ang operational flexibility, pinagsasama ang on-premise, hybrid, at AI capabilities upang ang mga organisasyon ay makapagtayo ng mas matatag, masusubaybayan, at handa sa mga banta na imprastraktura, basta't sasamahan nila ito ng mabubuting kasanayan, regular na pag-audit, at isang malinaw na diskarte sa pagpapatibay.