Windows Server 2025已于11月份正式發(fā)布，版本號(hào)Build 26100.3476。它在支持 AI 的高性能平臺(tái)中提供安全進(jìn)步和新的混合云功能。在功能和改進(jìn)方面，微軟聲稱I/O 吞吐量性能有了巨大的改進(jìn)，其他改進(jìn)包括GPU虛擬化，以GPU分區(qū)或多實(shí)例GPU、VBS安全區(qū)等形式出現(xiàn)。與Windows 11 24H2 類似，Server 2025也將以檢查點(diǎn)累積的形式接收更新，這是一種提供最新更新的新方式。

本文介紹 Windows Server 2025 中的一些最新發(fā)展，它擁有一些可提高安全性、性能和靈活性的高級(jí)功能。 借助更快的存儲(chǔ)選項(xiàng)和與混合云環(huán)境集成的能力，現(xiàn)在管理基礎(chǔ)結(jié)構(gòu)變得更加簡(jiǎn)單。Windows Server 2025 建立在前代產(chǎn)品的堅(jiān)實(shí)基礎(chǔ)上，同時(shí)引入了一系列創(chuàng)新增強(qiáng)功能，以適應(yīng)各種需求。以下新功能僅特定于具有桌面體驗(yàn)的 Windows Server。要求具有兩臺(tái)運(yùn)行此操作系統(tǒng)的物理設(shè)備和可用的正確驅(qū)動(dòng)程序。Active Directory域服務(wù)

Active Directory 域服務(wù) (AD DS) 和 Active Directory 輕型域服務(wù) (AD LDS) 的最新增強(qiáng)功能引入了一系列新功能和增強(qiáng)功能，旨在優(yōu)化你的域管理體驗(yàn)：32k 數(shù)據(jù)庫(kù)頁面大小可選功能 - 自從在使用 8k 數(shù)據(jù)庫(kù)頁面大小的Windows 2000中引入可擴(kuò)展存儲(chǔ)引擎 (ESE) 數(shù)據(jù)庫(kù)后，AD 便使用此數(shù)據(jù)庫(kù)。8k 架構(gòu)設(shè)計(jì)決策導(dǎo)致整個(gè) AD 存在某些限制，而這些限制已記錄在 AD 最大限制可伸縮性中。此限制的其中一個(gè)示例為單個(gè)記錄 AD 對(duì)象，而其大小不能超過 8k 字節(jié)。遷移到 32k 數(shù)據(jù)庫(kù)頁面格式對(duì)受過往限制影響的領(lǐng)域?qū)崿F(xiàn)了巨大改進(jìn)，其中就包括多值屬性現(xiàn)在可存儲(chǔ)高達(dá) 3,200 個(gè)值（以 2.6 為系數(shù)的一個(gè)增幅）。新的 DC 可與 32k 頁面數(shù)據(jù)庫(kù)一起安裝，而該數(shù)據(jù)庫(kù)會(huì)使用 64 位長(zhǎng)整型值 ID (LID) 并在“8k 頁面模式”下運(yùn)行，以便與以前的版本保持兼容。升級(jí)后的 DC 會(huì)繼續(xù)使用其當(dāng)前的數(shù)據(jù)庫(kù)格式和 8k 頁面。遷移到 32k 數(shù)據(jù)庫(kù)頁面操作會(huì)在林范圍內(nèi)完成，且要求林中的所有 DC 均具有支持 32k 頁面的數(shù)據(jù)庫(kù)。 

3月11號(hào)更新 2025年3月累積更新正式版(KB5053598)

Windows Server 2025(OS build 26100.3476) Update

https://support.microsoft.com/zh-cn/help/5055285

Windows Server 2025 v24H2 原版集成 2025年3月份累積更新完整ISO鏡像5合1 (2025/03/13)

::Windows Server 2025 version 24H2(OS build 26100.3476) x64 AIO 5in1 zh-CN Mar 2025

改進(jìn)

此安全更新程序包括質(zhì)量改進(jìn)。 以下摘要概述了 KB 更新在安裝后解決的關(guān)鍵問題。 此外，還包括可用的新功能。 括號(hào)中的粗體文本指示更改的項(xiàng)目或區(qū)域。

[講述人]

新功能！  此更新添加新的“講述人”快捷方式。 若要將講述人最后朗讀的內(nèi)容復(fù)制到剪貼板，請(qǐng)按“講述人”鍵 + Ctrl + X。 此快捷方式對(duì)于快速?gòu)?fù)制代碼或數(shù)字等內(nèi)容特別有用。

新功能！  現(xiàn)在，它將在新 Outlook 中自動(dòng)讀取電子郵件的內(nèi)容，類似于它在經(jīng)典 Outlook 中的工作方式。

[掃描應(yīng)用] 已修復(fù)：此更新解決了盡管已連接，但未檢測(cè)到某些掃描程序的問題。

[虛擬 硬盤 (VHD/VHDx) ] 新增！ 此更新將分離虛擬硬盤按鈕添加到“設(shè)置”。 在 VHD 或 VHDx 的屬性中，轉(zhuǎn)到“設(shè)置 > 系統(tǒng) > 存儲(chǔ) > 磁盤 & 卷”。 

[網(wǎng)絡(luò)] 新增功能！  netsh wlan show networks 命令現(xiàn)在可以讀取使用 UTF-8 編碼的 SSUD。  這意味著 Wi-Fi 具有 Unicode 字符（如表情符號(hào)）的 SSD 在 netsh 輸出中正確顯示。

[實(shí)時(shí)內(nèi)核調(diào)試文件 (轉(zhuǎn)儲(chǔ)) ]已修復(fù)：win32kbase.sys 不應(yīng)創(chuàng)建實(shí)時(shí)內(nèi)核調(diào)試文件。

[Winlogon] 已修復(fù)：關(guān)閉期間發(fā)生停止錯(cuò)誤。

[sfc /scannow 命令] 已修復(fù)：每次運(yùn)行命令時(shí)都會(huì)出現(xiàn)錯(cuò)誤。

[用戶自 (S4U2 自身) 服務(wù)] 已修復(fù)：設(shè)備在使用 S4U2 自身進(jìn)行身份驗(yàn)證時(shí)可能存在問題。 如果 Credential Guard 處于關(guān)閉狀態(tài)，并且設(shè)備加入不允許 RC4 密碼的 Active Directory 域，則會(huì)發(fā)生這種情況。

[Windows 內(nèi)核易受攻擊的驅(qū)動(dòng)程序阻止列表文件 (DriverSiPolicy.p7b) ] 此更新將更多驅(qū)動(dòng)程序添加到列表中，這些驅(qū)動(dòng)程序 (BYOVD) 攻擊，這些驅(qū)動(dòng)程序具有自帶易受攻擊的風(fēng)險(xiǎn)。

微軟自今年 5 月以來一直在測(cè)試用于認(rèn)證的兼容硬件和軟件 ，并在 9 月晚些時(shí)候提供了重要更新。

您可以在以下鏈接中找到 CPU 的完整列表：

2nd Gen Intel® Xeon® 可擴(kuò)展處理器

第三代英特爾® 至強(qiáng)® 可擴(kuò)展處理器

第 4 代英特爾® 至強(qiáng)® 可擴(kuò)展處理器

5 代英特爾® 至強(qiáng)® 可擴(kuò)展處理器

Intel® Xeon® 6

Intel® Xeon® D 處理器 9 (17xx， 18xx， 21xx， 27xx， 28xx)

Intel® Xeon® E 處理器 (23xx 和 24xx)

AMD EPYC 7xx2

AMD EPYC 7xx3

AMD EPYC 4xx4

AMD EPYC 8xx4

AMD EPYC 9xx4

AMD EPYC 9xx5

激活方法：

推薦使用方法2（KMS38），成功率高且激活后有效期長(zhǎng)。

方法①：Server支持OEM激活，它是自Vista時(shí)代即存在的一種永久激活方式，需要UEFI或BIOS支持SLIC 2.7。如果電腦硬件不支持，也可以通過軟件在開機(jī)的時(shí)候提前加載SLIC，使用HEU KMS Activator 42.3.0，在OEM激活頁面，點(diǎn)擊「安裝OEM激活」。

重啟電腦后，檢測(cè)一下激活效果：

該激活方式也可以卸載：點(diǎn)擊「卸載OEM激活」

方法②：Server支持KMS激活，有效期180天，過后需要再次使用KMS激活，循環(huán)往復(fù)。

方法③：Server支持KMS38激活，激活后可以使用到2038年。在數(shù)字激活頁面的KMS38激活選項(xiàng)下，點(diǎn)擊“開始”。

Windows Server 2025 中的新增功能

learn.microsoft.com/zh-cn/windows-server/get-started/whats-new-windows-server-2025

新增功能
以下新功能僅特定于具有桌面體驗(yàn)的 Windows Server。 要求具有兩臺(tái)運(yùn)行此操作系統(tǒng)的物理設(shè)備和可用的正確驅(qū)動(dòng)程序。

加速網(wǎng)絡(luò)
加速網(wǎng)絡(luò)（AccelNet）簡(jiǎn)化了 Windows Server 2025 群集上托管的虛擬機(jī)（SR-IOV）的單根 I/O 虛擬化（SR-IOV）的管理。 此功能使用高性能 SR-IOV 數(shù)據(jù)路徑來降低延遲、抖動(dòng)和 CPU 利用率。 AccelNet 還包括一個(gè)管理層，用于處理先決條件檢查、主機(jī)配置和 VM 性能設(shè)置。

Active Directory 域服務(wù)
Active Directory 域服務(wù) (AD DS) 和 Active Directory 輕型域服務(wù) (AD LDS) 的最新增強(qiáng)功能引入了一系列新功能和增強(qiáng)功能，旨在優(yōu)化你的域管理體驗(yàn)：

32k 數(shù)據(jù)庫(kù)頁面大小可選功能 - 自從在使用 8k 數(shù)據(jù)庫(kù)頁面大小的 Windows 2000 中引入可擴(kuò)展存儲(chǔ)引擎 (ESE) 數(shù)據(jù)庫(kù)后，AD 便使用此數(shù)據(jù)庫(kù)。 8k 架構(gòu)設(shè)計(jì)決策導(dǎo)致整個(gè) AD 存在某些限制，而這些限制已記錄在 AD 最大限制可伸縮性中。 此限制的其中一個(gè)示例為單個(gè)記錄 AD 對(duì)象，而其大小不能超過 8k 字節(jié)。 遷移到 32k 數(shù)據(jù)庫(kù)頁面格式對(duì)受過往限制影響的領(lǐng)域?qū)崿F(xiàn)了巨大改進(jìn)，其中就包括多值屬性現(xiàn)在可存儲(chǔ)高達(dá) 3,200 個(gè)值（以 2.6 為系數(shù)的一個(gè)增幅）。

新的 DC 可與 32k 頁面數(shù)據(jù)庫(kù)一起安裝，而該數(shù)據(jù)庫(kù)會(huì)使用 64 位長(zhǎng)整型值 ID (LID) 并在“8k 頁面模式”下運(yùn)行，以便與以前的版本保持兼容。 升級(jí)后的 DC 會(huì)繼續(xù)使用其當(dāng)前的數(shù)據(jù)庫(kù)格式和 8k 頁面。 遷移到 32k 數(shù)據(jù)庫(kù)頁面操作會(huì)在林范圍內(nèi)完成，且要求林中的所有 DC 均具有支持 32k 頁面的數(shù)據(jù)庫(kù)。

AD 架構(gòu)更新 - 引入三個(gè)新的日志數(shù)據(jù)庫(kù)文件 (LDF)，以用于擴(kuò)展 AD 架構(gòu)、sch89.ldf、sch90.ldf 和 sch91.ldf。 MS-ADAM-Upgrade3.ldf 中進(jìn)行了 AD LDS 等效架構(gòu)更新。 有關(guān)先前架構(gòu)更新的詳細(xì)信息，請(qǐng)參閱 Windows Server AD 架構(gòu)更新

AD 對(duì)象修復(fù) - AD 現(xiàn)在允許企業(yè)管理員修復(fù)缺少核心屬性 SamAccountType 和 ObjectCategory 的對(duì)象。 企業(yè)管理員可將對(duì)象的 LastLogonTimeStamp 屬性重置為當(dāng)前時(shí)間。 這些操作會(huì)通過新的 RootDSE 來修改名為 fixupObjectState 的受影響對(duì)象的操作功能來實(shí)現(xiàn)。

通道綁定審核支持 - 現(xiàn)在可為輕型目錄訪問協(xié)議 (LDAP) 通道綁定啟用事件 3074 和 3075。 當(dāng)通道綁定策略修改為更安全的設(shè)置時(shí)，管理員可以識(shí)別環(huán)境中不支持或失敗的通道綁定的設(shè)備。 這些審核事件也可在 Windows Server 2022 及更高版本中通過 KB4520412 來查詢。

DC 位置算法改進(jìn) - DC 發(fā)現(xiàn)算法提供了新功能，同時(shí)改進(jìn)了將 NetBIOS 式短域名映射到 DNS 式域名的新功能。 若要了解詳細(xì)信息，請(qǐng)參閱 Active Directory DC 定位器更改。

 備注

Windows 不會(huì)在 DC 發(fā)現(xiàn)操作期間使用郵件槽，因?yàn)?Microsoft 已宣布為這些舊技術(shù)棄用 WINS 和郵件槽。

林和域功能級(jí)別 - 新的功能級(jí)別可用于實(shí)現(xiàn)一般可支持性，而新的 32K 數(shù)據(jù)庫(kù)頁面大小功能必須使用該級(jí)別。 新的功能級(jí)別將映射到針對(duì)無人參與安裝的 DomainLevel 10 和 ForestLevel 10 值。 Microsoft 沒有改造 Windows Server 2019 和 Windows Server 2022 的功能級(jí)別的計(jì)劃。 若要執(zhí)行域控制器 (DC) 的無人參與升級(jí)和降級(jí)，請(qǐng)參閱域控制器無人參與升級(jí)和降級(jí)的 DCPROMO 應(yīng)答文件語法。

DsGetDcName 應(yīng)用程序編程接口 (API) 還支持新標(biāo)志 DS_DIRECTORY_SERVICE_13_REQUIRED，它可用于啟用運(yùn)行 Windows Server 2025 的 DC 的位置。 可以在以下文章中了解有關(guān)功能級(jí)別的詳細(xì)信息：

林和域功能級(jí)別

提升域功能級(jí)別

提升林功能級(jí)別

 備注

需要新的 AD 林或 AD LDS 配置集才能具有 Windows Server 2016 或更高的功能級(jí)別。 要升級(jí) AD 或 AD LDS 副本，要求現(xiàn)有域或配置集已在運(yùn)行，且其功能級(jí)別為 Windows Server 2016 或更高。

Microsoft 建議所有客戶現(xiàn)在開始規(guī)劃將其 AD 和 AD LDS 服務(wù)器升級(jí)到 Windows Server 2022，以便為下一個(gè)版本做好準(zhǔn)備。

改進(jìn)針對(duì)名稱/Sid 查找的算法 - 不同計(jì)算機(jī)帳戶之間的本地安全機(jī)構(gòu) (LSA) 名稱和 Sid 查找轉(zhuǎn)發(fā)功能不再使用舊版 Netlogon 安全通道。 改用 Kerberos 身份驗(yàn)證和 DC 定位器算法。 為保持與舊操作系統(tǒng)的兼容性，仍可使用 Netlogon 安全通道作為回退選項(xiàng)。

改進(jìn)了機(jī)密屬性 的安全性 - DC 和 AD LDS 實(shí)例僅允許 LDAP 在加密連接時(shí)添加、搜索和修改涉及機(jī)密屬性的操作。

改進(jìn)默認(rèn)計(jì)算機(jī)帳戶密碼的安全性 - AD 現(xiàn)在使用隨機(jī)生成的默認(rèn)計(jì)算機(jī)帳戶密碼。 Windows 2025 DC 會(huì)阻止將計(jì)算機(jī)帳戶密碼設(shè)為計(jì)算機(jī)帳戶名稱的默認(rèn)密碼。

可通過啟用 GPO 設(shè)置域控制器：拒絕設(shè)置默認(rèn)計(jì)算機(jī)帳戶密碼來控制此行為，而該設(shè)置位于：計(jì)算機(jī)配置\Windows 設(shè)置\安全設(shè)置\本地策略\安全選項(xiàng)

Active Directory 管理中心 (ADAC)、Active Directory 用戶和計(jì)算機(jī) (ADUC)、net computer 和 dsmod 等實(shí)用工具也遵循此新行為。 ADAC 和 ADUC 均不再允許創(chuàng)建 2k 之前的 Windows 帳戶。

用于實(shí)現(xiàn)加密敏捷性的 Kerberos PKINIT 支持 - 現(xiàn)已更新 Kerberos 中用于初始身份驗(yàn)證的 Kerberos 公鑰加密 (PKINIT) 協(xié)議實(shí)現(xiàn)，從而通過支持更多算法并刪除硬編碼算法來實(shí)現(xiàn)加密敏捷性。

LAN Manager GPO 設(shè)置 - GPO 設(shè)置“網(wǎng)絡(luò)安全性:下次更改密碼時(shí)不存儲(chǔ) LAN Manager 哈希值”不再顯示，同時(shí)也不適用于新版本的 Windows。

默認(rèn)進(jìn)行 LDAP 加密 - 默認(rèn)情況下，執(zhí)行簡(jiǎn)單身份驗(yàn)證和安全層 (SASL) 綁定后，所有 LDAP 客戶端通信均會(huì)使用 LDAP 密封。 要了解有關(guān) SASL 的詳細(xì)信息，請(qǐng)參閱 SASL 身份驗(yàn)證。

針對(duì) TLS 1.3 的 LDAP 支持 - LDAP 使用最新的 SCHANNEL 實(shí)現(xiàn)，并支持為基于 TLS 連接的 LDAP 使用 TLS 1.3。 使用 TLS 1.3 可以消除過時(shí)的加密算法，提供比舊版本更高的安全性，旨在實(shí)現(xiàn)盡可能多的握手加密。 若要了解詳細(xì)信息，請(qǐng)參閱 TLS/SSL (Schannel SSP) 中的協(xié)議和 Windows Server 2022 中的 TLS 密碼套件。

舊版 SAM RPC 密碼更改行為 - 安全協(xié)議（如 Kerberos）是更改域用戶密碼的首選方法。 在 DC 上進(jìn)行遠(yuǎn)程調(diào)用時(shí)，默認(rèn)接受使用 AES 的最新 SAM RPC 密碼更改方法 SamrUnicodeChangePasswordUser4。 進(jìn)行遠(yuǎn)程調(diào)用時(shí)，默認(rèn)會(huì)阻止以下舊 SAM RPC 方法：

SamrChangePasswordUser

SamrOemChangePasswordUser2

SamrUnicodeChangePasswordUser2

對(duì)于屬于受保護(hù)用戶組成員的域用戶和域成員計(jì)算機(jī)上的本地帳戶，默認(rèn)情況下會(huì)阻止所有通過舊 SAM RPC 接口進(jìn)行的遠(yuǎn)程密碼更改，包括 SamrUnicodeChangePasswordUser4。

可使用以下組策略對(duì)象 (GPO) 設(shè)置來控制此行為：

計(jì)算機(jī)配置 > 管理模板 > 系統(tǒng) > 安全帳戶管理器 > 配置 SAM 更改密碼 RPC 方法策略

NUMA 支持 - AD DS 現(xiàn)在會(huì)通過使用所有處理器組中的 CPU 來利用支持非一致性內(nèi)存訪問 (NUMA) 的硬件。 以前，AD 只會(huì)在組 0 中使用 CPU。 Active Directory 可擴(kuò)展到 64 個(gè)內(nèi)核以上。

性能計(jì)數(shù)器 - 現(xiàn)在提供針對(duì)以下計(jì)數(shù)器的性能監(jiān)視和故障排除：

DC 定位器 - 提供特定于客戶端和 DC 的計(jì)數(shù)器。

通過 LsaLookupNames、LsaLookupSids 和等效 API 的 LSA 查找 - 名稱和 SID 查找。 這些計(jì)數(shù)器可同時(shí)用于客戶端與服務(wù)器 SKU。

LDAP 客戶端 - 可通過 KB 5029250 更新在 Windows Server 2022 及更高版本中使用。

復(fù)制優(yōu)先級(jí)順序 - AD 現(xiàn)在允許管理員為特定命名上下文提高針對(duì)特定復(fù)制伙伴的系統(tǒng)計(jì)算出的復(fù)制優(yōu)先級(jí)。 此功能允許更靈活地配置復(fù)制順序以解決特定方案。

Azure Arc
默認(rèn)情況下會(huì)安裝 Azure Arc 設(shè)置按需功能，而它可提供用戶友好型向?qū)Ы缑嬉约拔挥谌蝿?wù)欄中的系統(tǒng)托盤圖標(biāo)，以便將服務(wù)器添加到 Azure Arc。Azure Arc 可擴(kuò)展 Azure 平臺(tái)的功能，從而允許創(chuàng)建可在不同環(huán)境中運(yùn)行的應(yīng)用程序和服務(wù)。 這些內(nèi)容包括數(shù)據(jù)中心、邊緣、多云環(huán)境，并且提高了靈活性。 若要了解詳細(xì)信息，請(qǐng)參閱通過 Azure Arc 安裝程序?qū)?Windows Server 計(jì)算機(jī)連接到 Azure。

阻止克隆支持
從 Windows 11 24H2 和 Windows Server 2025 開始，開發(fā)驅(qū)動(dòng)器現(xiàn)在支持阻止克隆。 由于開發(fā)驅(qū)動(dòng)器使用 ReFS 文件系統(tǒng)格式，因此復(fù)制文件時(shí)，阻止克隆支持具有顯著的性能優(yōu)勢(shì)。 使用阻止克隆，文件系統(tǒng)可以代表應(yīng)用程序復(fù)制一系列文件字節(jié)作為低成本的元數(shù)據(jù)操作，而不是對(duì)基礎(chǔ)物理數(shù)據(jù)執(zhí)行高昂的讀取和寫入操作。 這可以更快地完成文件復(fù)制、減少到基礎(chǔ)存儲(chǔ)的 I/O，并通過允許多個(gè)文件共享同一邏輯群集來提高存儲(chǔ)容量。 若要了解詳細(xì)信息，請(qǐng)參閱在 ReFS 上阻止克隆。

藍(lán)牙
現(xiàn)在，可以在 Windows Server 2025 中通過藍(lán)牙連接鼠標(biāo)、鍵盤、耳機(jī)、音頻設(shè)備等。

Credential Guard
從 Windows Server 2025 開始，在符合要求的設(shè)備上將默認(rèn)啟用 Credential Guard。 有關(guān) Credential Guard 的詳細(xì)信息，請(qǐng)參閱配置 Credential Guard。

桌面 shell
首次登錄時(shí)，桌面 shell 體驗(yàn)符合 Windows 11 的樣式和外觀。

委派托管服務(wù)帳戶
這種新類型的帳戶支持從服務(wù)帳戶遷移到委派托管服務(wù)帳戶 (dMSA)。 此帳戶類型附帶托管密鑰和完全隨機(jī)密鑰，可確保在禁用原始服務(wù)帳戶密碼時(shí)盡量減少應(yīng)用程序更改。 若要了解更多信息，請(qǐng)參閱委派的托管服務(wù)帳戶概述。

開發(fā)驅(qū)動(dòng)器
開發(fā)驅(qū)動(dòng)器是一個(gè)存儲(chǔ)卷，旨在提高關(guān)鍵開發(fā)人員工作負(fù)載的性能。 開發(fā)驅(qū)動(dòng)器利用 ReFS 技術(shù)并整合特定的文件系統(tǒng)優(yōu)化，以更好地控制存儲(chǔ)卷設(shè)置和安全性。 這包括指定信任、配置防病毒設(shè)置以及對(duì)附加篩選器執(zhí)行管理控制的功能。 若要了解詳細(xì)信息，請(qǐng)參閱 在 Windows 11 上設(shè)置開發(fā)驅(qū)動(dòng)器。

DTrace
Windows Server 2025 配備了 dtrace 作為本機(jī)工具。 DTrace 是一款命令行實(shí)用工具，可讓用戶實(shí)時(shí)監(jiān)控系統(tǒng)性能并排除故障。 DTrace 允許用戶動(dòng)態(tài)檢測(cè)內(nèi)核和用戶空間代碼，而無需修改代碼本身。 此多功能工具支持一系列數(shù)據(jù)收集和分析技術(shù)，如聚合、直方圖和用戶級(jí)事件跟蹤。 若要了解詳細(xì)信息，請(qǐng)參閱 DTrace 獲取命令行幫助，參閱 Windows 上的 DTrace 了解其他功能。

電子郵件和帳戶
現(xiàn)在可以在 Windows Server 2025 的設(shè)置 > 帳戶 > 電子郵件和帳戶中添加以下帳戶：

Microsoft Entra ID
Microsoft 帳戶
工作或?qū)W校帳戶
請(qǐng)務(wù)必記住，大多數(shù)情況下仍需要域加入。

反饋中心
現(xiàn)在可以使用 Windows 反饋中心提交反饋或者報(bào)告使用 Windows Server 2025 時(shí)遇到的問題。 你可以包括導(dǎo)致問題的過程的屏幕截圖或記錄，以幫助我們了解你的情況并分享建議來增強(qiáng)你的 Windows 體驗(yàn)。 若要了解詳細(xì)信息，請(qǐng)參閱瀏覽反饋中心。

文件壓縮
內(nèi)部版本 26040 通過執(zhí)行名為壓縮到的右鍵單擊來壓縮項(xiàng)時(shí)具有新的壓縮功能。 此功能支持 ZIP、7z 和 TAR 壓縮格式，每個(gè)格式都有特定的壓縮方法。

Hyper-V 管理器
當(dāng)用戶通過 Hyper-V 管理器創(chuàng)建新 VM 時(shí)，第 2 代現(xiàn)在設(shè)置為“新建虛擬機(jī)向?qū)?rdquo;中的默認(rèn)選項(xiàng)。

虛擬機(jī)監(jiān)控程序強(qiáng)制執(zhí)行的分頁轉(zhuǎn)換
虛擬機(jī)監(jiān)控程序強(qiáng)制執(zhí)行的分頁轉(zhuǎn)換（HVPT）是一項(xiàng)安全增強(qiáng)功能，用于強(qiáng)制實(shí)現(xiàn)線性地址轉(zhuǎn)換的完整性。 HVPT 保護(hù)關(guān)鍵系統(tǒng)數(shù)據(jù)免受攻擊者將任意值寫入任意位置（通常是由于緩沖區(qū)溢出而導(dǎo)致）的寫入位置攻擊。 HVPT 保護(hù)配置關(guān)鍵系統(tǒng)數(shù)據(jù)結(jié)構(gòu)的頁表。 HVPT 包含已使用虛擬機(jī)監(jiān)控程序保護(hù)的代碼完整性（HVCI）保護(hù)的所有內(nèi)容。 默認(rèn)情況下，HVPT 在硬件支持可用的情況下處于啟用狀態(tài)。 當(dāng) Windows Server 作為來賓在 VM 中運(yùn)行時(shí)，不會(huì)啟用 HVPT。

網(wǎng)絡(luò) ATC
網(wǎng)絡(luò) ATC 簡(jiǎn)化了 Windows Server 2025 群集的網(wǎng)絡(luò)配置的部署和管理。 它利用基于意向的方法，用戶指定其所需的意向，例如網(wǎng)絡(luò)適配器的管理、計(jì)算或存儲(chǔ)，并且部署基于預(yù)期配置自動(dòng)進(jìn)行。 此方法可減少與主機(jī)網(wǎng)絡(luò)部署關(guān)聯(lián)的時(shí)間、復(fù)雜性和錯(cuò)誤，確保群集中的配置一致性，并消除配置偏差。 若要了解詳細(xì)信息，請(qǐng)參閱 使用網(wǎng)絡(luò) ATC 部署主機(jī)網(wǎng)絡(luò)。

NVMe
NVMe 是快速固態(tài)硬盤 (SSD) 的新標(biāo)準(zhǔn)。 在 Windows Server 2025 中體驗(yàn) NVMe 優(yōu)化，感覺性能提升，性能提升導(dǎo)致 IOPS 增加并降低了 CPU 利用率。

OpenSSH
在早期版本的 Windows Server 中，OpenSSH 連接工具在使用前需要手動(dòng)安裝。 從內(nèi)部版本 26080 開始，OpenSSH 服務(wù)器端組件默認(rèn)安裝在 Windows Server 2025 中。 服務(wù)器管理器 UI 還在遠(yuǎn)程 SSH 訪問下面包括了一個(gè)一鍵式選項(xiàng)，此選項(xiàng)用于啟用或禁用 sshd.exe 服務(wù)。 此外，你還可以將用戶添加到 OpenSSH 用戶組，以允許或限制訪問設(shè)備。 若要了解詳細(xì)信息，請(qǐng)參閱適用于 Windows 的 OpenSSH 概述。

已固定應(yīng)用
現(xiàn)在可通過開始菜單固定最常用的應(yīng)用，并且可根據(jù)需要進(jìn)行自定義。 從內(nèi)部版本 26085 開始，默認(rèn)固定應(yīng)用目前為：

Azure Arc 安裝程序
反饋中心
文件資源管理器
Microsoft Edge
服務(wù)器管理器
設(shè)置
終端
Windows PowerShell
遠(yuǎn)程訪問
默認(rèn)情況下，新的路由和遠(yuǎn)程訪問服務(wù) (RRAS) 設(shè)置不接受基于 PPTP 和 L2TP 協(xié)議的 VPN 連接。 如有必要，仍可啟用這些協(xié)議。 基于 SSTP 和 IKEv2 的 VPN 連接仍可接受，不會(huì)有任何變化。

現(xiàn)有配置會(huì)保留其行為。 例如，如果運(yùn)行的是 Windows Server 2019 并接受 PPTP 和 L2TP 連接，那么在使用就地更新更新到 Windows Server 2025 后，仍然會(huì)接受基于 L2TP 和 PPTP 的連接。 這一更改不會(huì)影響 Windows 客戶端操作系統(tǒng)。 要詳細(xì)了解如何重新啟用 PPTP 和 L2TP，請(qǐng)參閱配置 VPN 協(xié)議。

安全證書管理
在 Windows 上搜索或檢索證書現(xiàn)在支持 SHA-256 哈希，如函數(shù) CertFindCertificateInStore 和 CertGetCertificateContextProperty 中所述。 TLS 服務(wù)器身份驗(yàn)證在 Windows 中更安全，現(xiàn)在要求最低 RSA 密鑰長(zhǎng)度為 2048 位。 有關(guān)詳細(xì)信息，請(qǐng)閱讀 TLS 服務(wù)器身份驗(yàn)證：棄用弱 RSA 證書。

安全基線
通過實(shí)現(xiàn)自定義的安全基線，可以根據(jù)建議的安全狀況，從頭開始為設(shè)備或 VM 角色建立安全措施。 此基線配備了超過 350 個(gè)預(yù)配置的 Windows 安全設(shè)置，使你能夠應(yīng)用和執(zhí)行與 Microsoft 和行業(yè)標(biāo)準(zhǔn)推薦的最佳做法相一致的特定安全設(shè)置。 若要了解詳細(xì)信息，請(qǐng)參閱 OSConfig 概述。

服務(wù)器消息塊
服務(wù)器消息塊 (SMB) 是網(wǎng)絡(luò)中使用最廣泛的協(xié)議之一，它提供了在網(wǎng)絡(luò)上的設(shè)備之間共享文件和其他資源的可靠方式。 Windows Server 2025 提供以下 SMB 功能。

從內(nèi)部版本 26090 開始，引入了另一組 SMB 協(xié)議更改，用于禁用 QUIC、簽名和加密。

基于 QUIC 的 SMB 禁用

管理員可以通過組策略和 PowerShell 禁用基于 QUIC 的 SMB 客戶端。 要使用組策略來禁用基于 QUIC 的 SMB ，請(qǐng)將這些路徑中的啟用基于 QUIC 的 SMB策略設(shè)置為已禁用。

Computer Configuration\Administrative Templates\Network\Lanman Workstation

Computer Configuration\Administrative Templates\Network\Lanman Server

要使用 PowerShell 禁用基于 QUIC 的 SMB，請(qǐng)?jiān)谔嵘?PowerShell 提示符下運(yùn)行此命令：

Set-SmbClientConfiguration -EnableSMBQUIC $false

SMB 簽名和加密審核

管理員可以啟用對(duì) SMB 服務(wù)器和客戶端的審核，以支持 SMB 簽名和加密。 如果第三方客戶端或服務(wù)器不支持 SMB 加密或簽名，則它可被檢測(cè)到。 如果第三方設(shè)備或軟件聲明支持 SMB 3.1.1，但不支持 SMB 簽名，則違反了 SMB 3.1.1 預(yù)身份驗(yàn)證完整性協(xié)議要求。

可以使用組策略或 PowerShell 配置 SMB 簽名和加密審核設(shè)置。 這些策略可在以下組策略路徑中更改：

Computer Configuration\Administrative Templates\Network\Lanman Server\Audit client does not support encryption

Computer Configuration\Administrative Templates\Network\Lanman Server\Audit client does not support signing

Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit server does not support encryption

Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit server does not support signing

要使用 PowerShell 執(zhí)行這些更改，請(qǐng)?jiān)谔嵘奶崾痉逻\(yùn)行這些命令，其中 $true 表示啟用這些設(shè)置，而 $false 表示禁用這些設(shè)置：

Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true

Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true
這些更改的事件日志會(huì)以給定的事件 ID 保存在以下事件查看器路徑中。

路徑    事件 ID
Applications and Services Logs\Microsoft\Windows\SMBClient\Audit    31998
31999
Applications and Services Logs\Microsoft\Windows\SMBServer\Audit    3021
3022
基于 QUIC 的 SMB 審核

基于 QUIC 的 SMB 客戶端連接審核可捕獲寫入事件日志的事件，以便在事件查看器中包含 QUIC 傳輸。 這些日志以給定的事件 ID 保存在以下路徑中。

路徑    事件 ID
Applications and Services Logs\Microsoft\Windows\SMBClient\Connectivity    30832
Applications and Services Logs\Microsoft\Windows\SMBServer\Connectivity    1913
SMB over QUIC 服務(wù)器功能以前僅在 Windows Server Azure 版本中可用，現(xiàn)在在 Windows Server Standard 和 Windows Server Datacenter 版本中均可用。 SMB over QUIC 增加了 QUIC 的優(yōu)勢(shì)，通過 Internet 提供低延遲、加密的連接。

以前，Windows 中的 SMB 服務(wù)器強(qiáng)制入站連接使用 IANA 注冊(cè)的端口 TCP/445，而 SMB TCP 客戶端只允許與同一 TCP 端口建立出站連接。 現(xiàn)在，SMB over QUIC 支持 SMB 替代端口，其中 QUIC 強(qiáng)制的 UDP/443 端口可用于服務(wù)器和客戶端設(shè)備。 要了解詳細(xì)信息，請(qǐng)參閱配置替代 SMB 端口。

SMB over QUIC 推出的另一項(xiàng)功能是客戶端訪問控制，這是 TCP 和 RDMA 的替代方法，后者通過不受信任的網(wǎng)絡(luò)提供與邊緣文件服務(wù)器的安全連接。 要了解詳細(xì)信息，請(qǐng)參閱客戶端訪問控制的工作原理。

以前，創(chuàng)建共享時(shí)，SMB 防火墻規(guī)則會(huì)自動(dòng)配置為為相關(guān)防火墻配置文件啟用“文件和打印機(jī)共享”組。 現(xiàn)在，在 Windows 中創(chuàng)建 SMB 共享將自動(dòng)配置“文件和打印機(jī)共享（限制性）”新組，該組不再允許入站 NetBIOS 端口 137-139。 要了解詳細(xì)信息，請(qǐng)參閱更新的防火墻規(guī)則。

從內(nèi)部版本 25997 開始，進(jìn)行了更新，以對(duì)所有出站 SMB 客戶端連接強(qiáng)制執(zhí)行 SMB 加密。 通過此更新，管理員可以設(shè)置一個(gè)命令，即所有目標(biāo)服務(wù)器都支持 SMB 3.x 和加密。 如果服務(wù)器缺少這些功能，則客戶端無法建立連接。

此外，在內(nèi)部版本 25997 中，默認(rèn)啟用 SMB 身份驗(yàn)證速率限制器（限制在特定時(shí)間段內(nèi)進(jìn)行的身份驗(yàn)證嘗試次數(shù)）。 要了解詳細(xì)信息，請(qǐng)參閱 SMB 身份驗(yàn)證速率限制器的工作原理

從內(nèi)部版本 25951 開始，SMB 客戶端支持針對(duì)遠(yuǎn)程出站連接啟用 NTLM 阻止。 以前，Windows 簡(jiǎn)單和受保護(hù)的 GSSAPI 協(xié)商機(jī)制 (SPNEGO) 會(huì)與目標(biāo)服務(wù)器協(xié)商 Kerberos、NTLM 和其他機(jī)制，以確定受支持的安全數(shù)據(jù)包。 要了解詳細(xì)信息，請(qǐng)參閱 阻止 SMB 上的 NTLM 連接

內(nèi)部版本 25951 中的一項(xiàng)新功能允許在 Windows 中管理 SMB 方言，其中 SMB 服務(wù)器現(xiàn)在可以控制其協(xié)商的 SMB 2 和 SMB 3 方言，而以前的行為只能匹配最高的方言。

從內(nèi)部版本 25931 開始，默認(rèn)情況下，所有 SMB 出站連接都需要 SMB 簽名，以前僅在連接到 AD 域控制器上名為 SYSVOL 和 NETLOGON 的共享時(shí)才需要簽名。 要了解詳細(xì)信息，請(qǐng)參閱簽名的工作原理。

從內(nèi)部版本 25314 開始，遠(yuǎn)程 Mailslot 協(xié)議默認(rèn)為已禁用，并且可能會(huì)在以后的版本中刪除。 要了解詳細(xì)信息，請(qǐng)參閱不再開發(fā)的功能。

SMB 壓縮除了支持 XPRESS (LZ77)、XPRESS Huffman (LZ77+Huffman)、LZNT1 和 PATTERN_V1 之外，還增加了對(duì)行業(yè)標(biāo)準(zhǔn) LZ4 壓縮算法的支持。

軟件定義的網(wǎng)絡(luò) (SDN)
SDN 是一種網(wǎng)絡(luò)方法，它允許網(wǎng)絡(luò)管理員通過抽象化較低級(jí)別的功能來管理網(wǎng)絡(luò)服務(wù)。 SDN 使網(wǎng)絡(luò)控制平面（負(fù)責(zé)管理網(wǎng)絡(luò)）與處理實(shí)際流量的數(shù)據(jù)平面分離。 這種分離允許提高網(wǎng)絡(luò)管理的靈活性和可編程性。 SDN 在 Windows Server 2025 中具有以下優(yōu)勢(shì)：

網(wǎng)絡(luò)控制器是 SDN 的控制平面，現(xiàn)在直接托管為物理主機(jī)上的故障轉(zhuǎn)移群集服務(wù)。 這樣就無需部署 VM、簡(jiǎn)化部署和管理，同時(shí)節(jié)省資源。

基于標(biāo)記的分段允許管理員使用自定義服務(wù)標(biāo)記來關(guān)聯(lián)網(wǎng)絡(luò)安全組（NSG）和 VM 進(jìn)行訪問控制。 管理員現(xiàn)在可以使用簡(jiǎn)單的自解釋標(biāo)簽來標(biāo)記工作負(fù)荷 VM，并根據(jù)這些標(biāo)記應(yīng)用安全策略，而不是指定 IP 范圍。 這簡(jiǎn)化了管理網(wǎng)絡(luò)安全的過程，無需記住并重新鍵入 IP 范圍。 若要了解詳細(xì)信息，請(qǐng)參閱 在 Windows Admin Center 中使用標(biāo)記配置網(wǎng)絡(luò)安全組。

Windows Server 2025 中的默認(rèn)網(wǎng)絡(luò)策略為通過 Windows Admin Center 部署的工作負(fù)載將類似 Azure 的保護(hù)選項(xiàng)引入 NSG。 默認(rèn)策略拒絕所有入站訪問，允許選擇性地打開已知入站端口，同時(shí)允許從工作負(fù)荷 VM 進(jìn)行完全出站訪問。 這可確保從創(chuàng)建點(diǎn)保護(hù)工作負(fù)荷 VM。 若要了解詳細(xì)信息，請(qǐng)參閱 在 Azure Stack HCI 版本 23H2 上的虛擬機(jī)上使用默認(rèn)網(wǎng)絡(luò)訪問策略。

SDN 多站點(diǎn)在兩個(gè)位置的應(yīng)用程序之間提供本機(jī)第 2 層和第 3 層連接，無需任何額外的組件。 此功能允許無縫移動(dòng)應(yīng)用程序，而無需重新配置應(yīng)用程序或網(wǎng)絡(luò)。 它還為工作負(fù)載提供統(tǒng)一的網(wǎng)絡(luò)策略管理，確保在工作負(fù)荷 VM 從一個(gè)位置移動(dòng)到另一個(gè)位置時(shí)不需要更新策略。 若要了解詳細(xì)信息，請(qǐng)參閱 什么是 SDN 多站點(diǎn)？。

SDN 第 3 層網(wǎng)關(guān)的性能已得到增強(qiáng)，可實(shí)現(xiàn)更高的吞吐量，并減少 CPU 周期。 默認(rèn)情況下啟用這些改進(jìn)。 通過 PowerShell 或 Windows Admin Center 配置 SDN 網(wǎng)關(guān)第 3 層連接時(shí)，用戶將自動(dòng)體驗(yàn)更好的性能。

存儲(chǔ)副本增強(qiáng)型日志
增強(qiáng)型日志可幫助存儲(chǔ)副本日志實(shí)現(xiàn)，以消除與文件系統(tǒng)抽象相關(guān)的性能成本，從而提高塊復(fù)制性能。 若要了解詳細(xì)信息，請(qǐng)參閱存儲(chǔ)副本增強(qiáng)型日志。

任務(wù)管理器
內(nèi)部版本 26040 現(xiàn)在使用符合 Windows 11 樣式的 Mica 材料來運(yùn)行現(xiàn)代任務(wù)管理器應(yīng)用。

基于虛擬化的安全性 (VBS) Enclave
VBS enclave 是主機(jī)應(yīng)用程序地址空間內(nèi)基于軟件的受信任執(zhí)行環(huán)境 (TEE)。 VBS enclaves 會(huì)使用底層 VBS 技術(shù)，將應(yīng)用程序的敏感部分隔離在內(nèi)存的安全分區(qū)中。 VBS Enclave 可以使敏感工作負(fù)載與主機(jī)應(yīng)用程序和系統(tǒng)的其余部分隔離。

VBS Enclave 可使應(yīng)用程序不需要信任管理員并能有效抵御惡意攻擊者，從而保護(hù)自己的機(jī)密。 有關(guān)詳細(xì)信息，請(qǐng)閱讀 VBS Enclave Win32 參考。

基于虛擬化的安全 (VBS) 密鑰保護(hù)
VBS 密鑰保護(hù)使 Windows 開發(fā)人員能夠使用基于虛擬化的安全 (VBS) 來保護(hù)加密密鑰。 VBS 利用 CPU 的虛擬化擴(kuò)展能力，在正常 OS 之外創(chuàng)建一個(gè)隔離的運(yùn)行時(shí)。 使用時(shí)，VBS 密鑰會(huì)被隔離在一個(gè)安全的進(jìn)程中，允許對(duì)密鑰進(jìn)行操作，而不會(huì)將私人密鑰材料暴露在這個(gè)空間之外。 在靜止?fàn)顟B(tài)下，私鑰材料由 TPM 密鑰加密，而 TPM 密鑰會(huì)將 VBS 密鑰與設(shè)備綁定。 通過這種方式保護(hù)的密鑰無法從進(jìn)程內(nèi)存中轉(zhuǎn)儲(chǔ)或以純文本形式從用戶機(jī)器中導(dǎo)出，從而防止了任何管理員級(jí)攻擊者的滲透攻擊。 必須啟用 VBS 才能使用密鑰保護(hù)。 有關(guān)如何啟用 VBS 的信息，請(qǐng)參閱啟用內(nèi)存完整性。

WLAN
現(xiàn)在，啟用無線功能更容易，因?yàn)闊o線 LAN 服務(wù)功能現(xiàn)在默認(rèn)情況下已安裝。 無線啟動(dòng)服務(wù)被設(shè)為手動(dòng)，并可通過在命令提示符、Windows 終端或 PowerShell 中運(yùn)行 net start wlansvc 來啟用。

Windows 容器可移植性
可移植性是容器管理的一個(gè)重要方面，能夠通過增強(qiáng) Windows 中容器的靈活性和兼容性來簡(jiǎn)化升級(jí)。 可移植性是 Windows Server 年度渠道為容器主機(jī)提供的一項(xiàng)功能，它允許用戶在不同主機(jī)或環(huán)境之間移動(dòng)容器映像及其相關(guān)數(shù)據(jù)，而無需進(jìn)行任何修改。 用戶可以在一臺(tái)主機(jī)上創(chuàng)建容器映像，然后將其部署到另一臺(tái)主機(jī)上，而不必?fù)?dān)心兼容性問題。 要了解詳細(xì)信息，請(qǐng)參閱容器的可移植性。

Windows 預(yù)覽體驗(yàn)計(jì)劃
通過 Windows 預(yù)覽體驗(yàn)計(jì)劃，愛好者社區(qū)中的成員可以搶先體驗(yàn)最新的 Windows OS 版本。 作為成員，你可以率先試用 Microsoft 正在開發(fā)的新想法和概念。 注冊(cè)為成員后，你可以轉(zhuǎn)到開始 > 設(shè)置 > Windows 更新 > Windows 預(yù)覽體驗(yàn)計(jì)劃，選擇加入不同的發(fā)布渠道。

Windows 本地管理員密碼解決方案 (LAPS)
Windows LAPS 可幫助組織管理其已加入域的連接計(jì)算機(jī)上的本地管理員密碼。 它能為每臺(tái)計(jì)算機(jī)的本地管理員帳戶自動(dòng)生成唯一的密碼，將其安全地存儲(chǔ)在 AD 中，并定期更新。 這有助于降低攻擊者使用被泄露或容易猜到的密碼訪問敏感系統(tǒng)的風(fēng)險(xiǎn)，從而提高安全性。

Microsoft LAPS 引入了多項(xiàng)功能，提供以下改進(jìn)：

全新自動(dòng)帳戶管理功能

最新更新允許 IT 管理員輕松創(chuàng)建托管的本地帳戶。 利用該功能，可以自定義賬戶名稱、啟用或禁用帳戶，甚至可以隨機(jī)設(shè)置帳戶名稱以增強(qiáng)安全性。 此外，該更新還改進(jìn)了與 Microsoft 現(xiàn)有本地帳戶管理策略的集成。 若要了解有關(guān)此功能的更多信息，請(qǐng)參閱 Windows LAPS 帳戶管理模式。

新增映像回滾檢測(cè)功能

Windows LAPS 現(xiàn)在能檢測(cè)到映像回滾。 如果發(fā)生回滾，AD 中存儲(chǔ)的密碼可能不再與設(shè)備上本地存儲(chǔ)的密碼一致。 回滾可能會(huì)導(dǎo)致 IT 管理員無法使用持久化 Windows LAPS 密碼登錄到設(shè)備時(shí)出現(xiàn)“撕裂狀態(tài)”。

為了解決此問題，我們添加了一項(xiàng)新功能，其中包括名為 msLAPS-CurrentPasswordVersion 的 AD 屬性。 每次新密碼在 AD 中持久化并保存到本地時(shí)，該屬性都會(huì)包含一個(gè)由 Windows LAPS 寫入的隨機(jī) GUID。 在每個(gè)處理循環(huán)中，都將查詢 msLAPS-CurrentPasswordVersion 中存儲(chǔ)的 GUID，并將其與本地持久化副本進(jìn)行比較。 如果兩者不一致，則會(huì)立即輪換密碼。

若要啟用此功能，必須運(yùn)行最新版本的 Update-LapsADSchema cmdlet。 完成后，Windows LAPS 將識(shí)別新屬性并開始使用。 如果未運(yùn)行 Update-LapsADSchema cmdlet 的更新版本，Windows LAPS 將在事件日志中記錄 10108 警告事件，但在所有其他方面繼續(xù)正常運(yùn)行。

不使用策略設(shè)置來啟用或配置此功能。 添加新模式屬性后，該功能將始終啟用。

新增密碼功能

IT 管理員現(xiàn)在可以利用 Windows LAPS 中的新功能，生成不太復(fù)雜的密碼。 例如，與傳統(tǒng)密碼（如V3r_b4tim#963?）相比，EatYummyCaramelCandy 等密碼更容易讀取、記住和鍵入。

這項(xiàng)新功能還允許將 PasswordComplexity 策略設(shè)置配置為選擇三個(gè)不同的密碼單詞列表之一，所有這些列表都包含在 Windows 中，無需單獨(dú)下載。 名為 PassphraseLength 的新策略設(shè)置可控制密碼中使用的字?jǐn)?shù)。

創(chuàng)建密碼時(shí)，將從所選單詞列表中隨機(jī)選擇指定數(shù)量的單詞并進(jìn)行連接。 每個(gè)單詞的第一個(gè)字母大寫，以提高可讀性。 此功能還完全支持將密碼備份到 Windows Server AD 或 Microsoft Entra ID。

三個(gè)新的 PasswordComplexity 密碼設(shè)置中使用的密碼單詞列表源自電子前沿基金會(huì)的文章深入探討：EFF 的隨機(jī)密碼新單詞列表。 Windows LAPS 密碼單詞列表根據(jù) CC-BY-3.0 屬性許可協(xié)議獲得許可，并可供下載。

 備注

Windows LAPS 不允許自定義內(nèi)置單詞列表，也不允許使用客戶配置的單詞列表。

改善密碼字典的可讀性

Windows LAPS 引入了新的 PasswordComplexity 設(shè)置，使 IT 管理員能夠創(chuàng)建不太復(fù)雜的密碼。 此功能允許自定義 LAPS 以使用所有四個(gè)字符類別（大寫字母、小寫字母、數(shù)字和特殊字符），就像現(xiàn)有的 4 位復(fù)雜性設(shè)置一樣。 不過，新設(shè)置為 5 時(shí)，較復(fù)雜的字符被排除在外，以提高密碼的可讀性并盡量減少混淆。 例如，數(shù)字“1”和字母“I”在新設(shè)置中將永不使用。

當(dāng) PasswordComplexity 配置為 5 時(shí)，默認(rèn)密碼字典字符集將發(fā)生以下更改：

請(qǐng)勿使用這些字母：“I”、“O”、“Q”、“l”和“o”
請(qǐng)勿使用這些數(shù)字：“0”和“1”
請(qǐng)勿使用這些“特殊”字符：“,”、“.”、“&”、“{”、“}”、“[”、“]”、“(”、“)”、“;”
開始使用這些“特殊”字符：“:”、 “=”、“?”和“*”
Active Directory 用戶和計(jì)算機(jī)管理單元（通過 Microsoft 管理控制臺(tái)）現(xiàn)在具有改進(jìn)的 Windows LAPS 選項(xiàng)卡。Windows LAPS 密碼現(xiàn)在使用新字體顯示，可在純文本中顯示時(shí)增強(qiáng)其可讀性。

為終止單個(gè)進(jìn)程提供 PostAuthenticationAction 支持

將新選項(xiàng)添加到 PostAuthenticationActions (PAA) 組策略設(shè)置“重置密碼、注銷托管帳戶并終止任何剩余進(jìn)程”（位于“計(jì)算機(jī)配置”>“管理模板”>“系統(tǒng)”>“LAPS”>“身份驗(yàn)證后操作”）。

此新選項(xiàng)是上一個(gè)“重置密碼并注銷托管帳戶”選項(xiàng)的擴(kuò)展。 配置后，PAA 會(huì)通知并終止任何交互式登錄會(huì)話。 它枚舉并終止仍在 Windows LAPS 托管的本地帳戶標(biāo)識(shí)下運(yùn)行的任何剩余進(jìn)程。 請(qǐng)務(wù)必注意，在終止之前不會(huì)發(fā)出任何通知。

此外，在身份驗(yàn)證后操作執(zhí)行過程中擴(kuò)展日志事件可以更深入地了解操作。

若要了解有關(guān) Windows LAPS 的更多信息，請(qǐng)參閱什么是 Windows LAPS？。

Windows 終端
Windows 終端是一個(gè)面向命令行用戶的強(qiáng)大且高效的多 shell 應(yīng)用程序，在此版本中可用。 在搜索欄中搜索“終端”。

Winget
Winget 默認(rèn)情況下已安裝，這是一個(gè)命令行 Windows 程序包管理器工具，可提供用于在 Windows 設(shè)備上安裝應(yīng)用程序的全面程序包管理器解決方案。 若要了解詳細(xì)信息，請(qǐng)參閱使用 winget 工具安裝和管理應(yīng)用程序。

加速網(wǎng)絡(luò)
加速網(wǎng)絡(luò)簡(jiǎn)化了 Windows Server 2025 群集上托管的虛擬機(jī)的單根 I/O 虛擬化（SR-IOV）的管理。 此功能使用高性能 SR-IOV 數(shù)據(jù)路徑來降低延遲、抖動(dòng)和 CPU 利用率。 加速網(wǎng)絡(luò)還添加了一個(gè)管理層，用于處理先決條件檢查、主機(jī)配置和 VM 性能設(shè)置。