2,693
个编辑
更改
→新功能与特性: “高级多层安全性” 章节已初步施工完毕
* 电子邮件和帐户
* 电子邮件和帐户
现在可以在 Windows '''设置'''中, '''帐户''' > '''电子邮件 & 帐户'''下添加以下类型的帐户, 以用于 Windows Server 2025:
现在可以在'''设置'''中, '''帐户''' > '''电子邮件 & 帐户'''下添加以下类型的帐户, 以用于 Windows Server 2025:
:* Microsoft Entra ID。
:* Microsoft Entra ID。
:* Microsoft 帐户。
:* Microsoft 帐户。
===高级多层安全性===
===高级多层安全性===
* 热补丁 (预览)
在 Azure Arc 门户中启用热补丁后, 现在可用于已连接到运行 Azure Arc 的 Windows Server 2025 设备。 可以使用热补丁应用于系统安全更新, 而无需重启计算机。 启用了 Azure Arc 的热补丁目前处于预览阶段。
* <abbr title="英文全称为 “Credential Guard”。">凭据防护</abbr>
从 Windows Server 2025 开始, 在符合要求的设备上将默认启用凭据防护。
* Active Directory 域服务
Active Directory 域服务 (AD DS) 和 Active Directory 轻型域服务 (AD LDS) 的最新增强功能引入了一系列新功能和增强功能, 旨在优化你的域管理体验:
:* 32k 数据库页大小可选功能
:Active Directory 自 [[OS:Windows 2000|Windows 2000]] 引入以来, 一直使用采用 8k 数据库页大小的可扩展存储引擎 (ESE) 数据库。 8k 架构设计决策导致了整个 Active Directory 的限制, 这些限制记录在 Active Directory 最大限制 - 可伸缩性中。 此限制的一个示例是单个记录 Active Directory 对象, 不能超过 8k 字节大小。 迁移到 32k 数据库页面格式对受旧版限制影响的方面提供了巨大的改进。 多值属性现在可以容纳大约 3200 个值, 这相当于增加了 2.6 倍。
:可以使用 32k 页的数据库安装新的域控制器 (DC), 该数据库使用 64 位长值 ID (LID), 并在 8k 页模式下运行, 以便与以前的版本兼容。 升级后的 DC 会继续使用其当前的数据库格式和 8k 页面。 迁移到 32k 页面数据库操作会在林范围内完成, 且要求林中的所有 DC 均具有支持 32k 页面的数据库。
:* Active Directory 架构更新
:引入了三个新的日志文件来扩展 Active Directory 架构: <code>sch89.ldf</code>、 <code>sch90.ldf</code> 和 <code>sch91.ldf</code>。 AD LDS 等效架构更新在 <code>MS-ADAM-Upgrade3.ldf</code> 中。
:* Active Directory 对象修复
:企业管理员不仅可以修复缺少的核心属性 <code>SamAccountType</code> 和 <code>ObjectCategory</code> 的对象, 也可以将对象的 <code>LastLogonTimeStamp</code> 属性重置为当前时间。 这些操作会通过新的 RootDSE 来修改名为 <code>fixupObjectState</code> 的受影响对象的操作功能来实现。
:* 通道绑定审核支持
:现在可以为轻型目录访问协议 (LDAP) 通道绑定启用事件 3074 和 3075。 当通道绑定策略修改为更安全的设置时, 管理员可以识别环境中不支持或失败的通道绑定的设备。
:* DC 位置算法改进
:DC 发现算法提供了新功能, 同时改进了将 NetBIOS 式短域名映射到 DNS 式域名的新功能。 Windows 不会在 DC 发现操作期间使用邮件槽, 因为微软在早前就已宣布为这些旧技术而弃用 WINS 和邮件槽。
:* 林和域功能级别
:新的功能级别可用于实现一般可支持性, 而新的 32K 数据库页面大小功能必须使用该级别。 新的功能级别将映射到针对无人参与安装的 <code>DomainLevel 10</code> 和 <code>ForestLevel 10</code> 值。
:DsGetDcName API 还支持一个新标志 <code>DS_DIRECTORY_SERVICE_13_REQUIRED</code>, 可以用于定位运行 Windows Server 2025 的 DC。
:需要新的 Active Directory 林或 AD LDS 配置集才能具有 [[OS:Windows Server 2016|Windows Server 2016]] 或更高的功能级别。 要升级 Active Directory 或 AD LDS 副本, 要求现有域或配置集已在运行, 且其功能级别为 Windows Server 2016 或更高。 微软官方建议所有客户现在开始计划将其 Active Directory 和 AD LDS 服务器升级到 [[OS:Windows Server 2022|Windows Server 2022]], 为下一个版本做准备。
:* 改进针对名称/SID 查找的算法
:不同计算机帐户之间的本地安全机构 (LSA) 名称和 SID 查找转发功能不再使用旧版 Netlogon 安全通道。 将改用 Kerberos 身份验证和 DC 定位器算法。 为保持与旧操作系统的兼容性,仍可使用 Netlogon 安全通道作为回退选项。
:* 改进了机密属性的安全性
:仅当连接加密时, DC 和 AD LDS 实例才允许 LDAP 执行涉及机密属性的添加、 搜索和修改操作。
:* 改进了默认计算机帐户密码的安全性
:Active Directory 现在使用随机生成的默认计算机帐户密码。 Windows Server 2025 的 DC 会阻止将计算机帐户密码设为计算机帐户名称的默认密码。
:若要控制此行为, 请将域控制器启用组策略对象 (GPO) 设置为拒绝 “计算机配置\Windows 设置\安全设置\本地策略\安全选项” 中设置默认计算机帐户的密码。
:Active Directory 管理中心 (ADAC)、 Active Directory 用户和计算机 (ADUC)、 <code>net computer</code> 等实用工具, <code>dsmod</code> 也遵循这一新行为。 ADAC 和 ADUC 都不再允许创建 Windows 2000 之前的帐户。
:* Kerberos PKINIT 对加密敏捷性的支持
:Kerberos 公钥加密的初始身份验证协议实现已更新, 通过支持更多算法和移除硬编码算法来实现加密敏捷性。
:* Kerberos 对用于票证授予票证的算法进行的变更
:Kerberos 分发中心将不再颁发使用 RC4 加密 (例如 RC4-HMAC(NT)) 的票证授予票证。
:* Kerberos 更改了支持的加密类型配置
:Kerberos 不再支持路径 <code>SupportedEncryptionTypes</code> 中找到的旧版注册表项 <code>REG_DWORD HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Kerberos\Parameters</code>, 微软官方建议使用组策略。
:* LAN Manager GPO 设置 - GPO 设置 > 网络安全:不要将 LAN Manager 哈希值存储在下次密码更改中
:该设置已不存在, 也不适用于新版本的 Windows 中。
:* 默认情况下 LDAP 加密
:简单身份验证和安全层 (SASL) 绑定后的所有 LDAP 客户端通信默认使用 LDAP 密封。
:* 针对传输层安全 (TLS) 1.3 的 LDAP 支持
:LDAP 使用最新的 SCHANNEL 实现, 并支持为基于 TLS 连接的 LDAP 使用 TLS 1.3。 使用 TLS 1.3 可消除过时的加密算法, 并增强旧版本的安全性。 TLS 1.3 旨在尽可能多地加密握手。
:* 旧版安全帐户管理器(SAM)远程过程调用(RPC)密码更改行为
:安全协议 (如 Kerberos) 是更改域用户密码的首选方法。 在 DC 上, 当远程调用时, 默认使用高级加密标准 (AES) 接受最新的 SAM RPC 密码更改方法 <code>SamrUnicodeChangePasswordUser4</code>。<ref>[https://learn.microsoft.com/zh-cn/openspecs/windows_protocols/ms-samr/bbc1c5e5-9b81-4038-b2b9-c87d3569ed38 [MS-SAMR]: SamrUnicodeChangePasswordUser4 (Opnum 73) | Microsoft Learn]</ref> 默认情况下, 远程调用以下旧 SAM RPC 方法时会阻止这些方法:
::* <code>SamrChangePasswordUser</code>。<ref>[https://learn.microsoft.com/zh-cn/openspecs/windows_protocols/ms-samr/9699d8ca-e1a4-433c-a8c3-d7bebeb01476 [MS-SAMR]: SamrChangePasswordUser (Opnum 38) | Microsoft Learn]</ref>
::* <code>SamrOemChangePasswordUser2</code>。<ref>[https://learn.microsoft.com/zh-cn/openspecs/windows_protocols/ms-samr/8d0bf63e-fa5f-4c75-be22-558c52075842 [MS-SAMR]: SamrOemChangePasswordUser2 (Opnum 54) | Microsoft Learn]</ref>
::* <code>SamrUnicodeChangePasswordUser2</code>。<ref>[https://learn.microsoft.com/zh-cn/openspecs/windows_protocols/ms-samr/acb3204a-da8b-478e-9139-1ea589edb880 [MS-SAMR]: SamrUnicodeChangePasswordUser2 (Opnum 55) | Microsoft Learn]</ref>
:对于属于受保护用户的组和域成员计算机上的本地帐户的域用户, 默认情况下会阻止通过旧 SAM RPC 接口进行的所有远程密码更改, 包括 <code>SamrUnicodeChangePasswordUser4</code>。
:若要控制此行为, 请使用以下 GPO 设置:
:'''计算机配置''' > '''管理模板''' > '''系统''' > '''安全帐户管理器''' > '''配置 SAM 更改密码 RPC 方法策略'''
:* 非一致性内存访问 (NUMA) 支持
:AD DS 现在会使用所有处理器组中的 CPU 来利用支持 NUMA 的硬件。 在这之前 Active Directory 只会在组 0 中使用 CPU, 现在 Active Directory 可扩展到 64 个内核以上。
:* 性能计数器
:现在可以监视和排查以下计数器的性能问题:
::* DC 定位器: 特定于客户端和 DC 的计数器可用。
::* LSA 查找: 通过 <code>LsaLookupNames</code>、 <code>LsaLookupSids</code> 和等效的 API 进行的名称和 SID 查找。 这些计数器在客户端和服务器版本上都可用。
::* LDAP 客户端: 通过 KB5029250 更新在 Windows Server 2022 及更高版本中可用。<ref>[https://support.microsoft.com/zh-cn/topic/2023-%E5%B9%B4-8-%E6%9C%88-8-%E6%97%A5-kb5029250-os-%E5%86%85%E9%83%A8%E7%89%88%E6%9C%AC-20348-1906-2db4a1ac-8e18-443e-b4d6-ee17435cf94c 2023 年 8 月 8 日 — KB5029250 (OS 内部版本 20348.1906) - Microsoft 支持]</ref>
:* 复制优先级顺序
:管理员现在可以为特定命名上下文选择特定复制伙伴, 并增加系统计算出的复制优先级。 此功能允许更灵活地配置复制顺序以解决特定方案。
* 委派托管服务帐户
这种新类型的帐户支持从服务帐户迁移到委派托管服务帐户 (dMSA)。 此帐户类型附带托管密钥和完全随机密钥, 以确保在禁用原始服务帐户密码时尽量减少应用程序更改。
* Windows 本地管理员密码解决方案
Windows 本地管理员密码解决方案 (LAPS) 可帮助组织在其已加入域的计算机上管理本地管理员密码。 它会自动为每个计算机的本地管理员帐户生成唯一密码, 然后它将安全地存储在 Active Directory 中并定期更新它们, 自动生成的密码有助于提高安全性, 他们通过使用泄露或容易猜出的密码来降低攻击者获取敏感系统访问权限的风险。
Microsoft LAPS 的多项新增功能引入了以下改进:
:* 新的自动帐户管理
:IT 管理员可以轻松创建托管的本地帐户。 使用此功能,可以自定义帐户名称并启用或禁用该帐户。 甚至可以随机化帐户名称以提高安全性。 此更新还包括改进与来自Microsoft的现有本地帐户管理策略的集成。
:* 新映像回滚检测
:在发生映像回滚时, Windows LAPS 现在可以检测到。 如果发生回滚, 则存储在 Active Directory 中的密码可能不再与存储在设备上的本地密码匹配, 回滚可能会导致撕裂状态。 在这种情况下,IT 管理员无法使用持久化 Windows LAPS 密码登录到设备。
:为了解决此问题, 添加了一项新功能, 其中包括名为 <code>msLAPS-CurrentPasswordVersion</code> 的 Active Directory 属性。 此属性包含由 Windows LAPS 编写的随机全局唯一标识符 (GUID), 每次将新密码持久化到 Active Directory 并在本地保存时都会生成。 在每个处理周期中, 查询存储在 <code>msLAPS-CurrentPasswordVersion</code> 中的 GUID, 并将其与本地持久化副本进行比较。 如果两者不一致, 则会立即轮换密码。
:若要启用此功能, 请运行最新版本的 <code>cmdlet</code> 之 <code>Update-LapsADSchema</code>。 然后,Windows LAPS 识别新属性并开始使用它。 如果未运行更新版本的 <code>cmdlet</code> 之 <code>Update-LapsADSchema</code>, 则 Windows LAPS 会在事件日志中记录 10108 警告事件, 但仍在所有其他方面正常运行。
:不使用策略设置来启用或配置此功能, 在添加新架构属性后始终启用该功能。
:* 新的通行短语
:IT 管理员现在可以在 Windows LAPS 中使用新功能来生成不太复杂的通行短语。 '''EatYummyCaramelCandy''' 等通行短语就是一个示例。 与传统密码 (如 '''V3r_b4tim#963''') 相比, 此短语更易于阅读、 记住和键入。
:使用此新功能, 可以将 <code>PasswordComplexity</code> 策略设置配置为为通行短语选择三个不同的单词列表之一。 所有列表都包含在 Windows 中, 不需要单独下载。 名为 <code>PassphraseLength</code> 的新策略设置控制通行短语中使用的单词数。
:创建通行短语时, 将从所选单词列表中随机选择指定的单词数并连接。 每个单词的第一个字母大写, 以提高可读性。 此功能还完全支持将密码备份到 Active Directory 或 Microsoft Entra ID。
:三个新的 <code>PasswordComplexity</code> 通行短语设置中使用的单词列表源自电子前沿基金会的文章 《深度探索:EFF 的随机通行短语新单词列表》,<ref>[https://www.eff.org/deeplinks/2016/07/new-wordlists-random-passphrases EFF's New Wordlists for Random Passphrases | Electronic Frontier Foundation]</ref> Windows LAPS 密码短语列表根据 CC-BY-3.0 署名许可协议授权并可供下载。<ref>[https://www.microsoft.com/en-us/download/details.aspx?id=105762 Download Windows LAPS Passphrase Word Lists from Official Microsoft Download Center]</ref>
:Windows LAPS 不允许自定义内置单词列表或使用客户配置的单词列表。
:* 改进了可读性密码字典
:Windows LAPS 引入了一个新的 <code>PasswordComplexity</code> 设置, 使 IT 管理员能够创建不太复杂的密码。 可以使用此功能来自定义 LAPS, 以使用所有四个字符类别 (大写字母、 小写字母、 数字和特殊字符), 例如现有的 <code>4</code> 复杂性设置。 通过新的 <code>5</code> 设置, 将排除更复杂的字符以提高密码可读性, 并最大程度地减少混淆。 例如, '''数字 1''' 和'''字母 I''' 永远不会与新设置一起使用。
:<code>PasswordComplexity</code> 配置为 <code>5</code> 时, 将对默认密码字典字符集进行以下更改:
::* '''不使用: 字母 I、 O、 Q、 l、 o。'''
::* '''请勿使用: 数字 0、 1。'''
::* '''不使用: 特殊字符 、、 。, &, {, }, [, ], (, ), ;。'''
::* '''使用: 特殊字符 :、 =、 ?, *。'''
:ADUC 管理单元 (通过 Microsoft 管理控制台) 现在具有改进的 Windows LAPS 选项卡。 Windows LAPS 密码现在使用新字体显示, 可在纯文本中显示时增强其可读性。
:* 身份验证后操作支持终止各个进程
:在身份验证后操作 (PAA) 组策略设置中添加了一个新选项 - <code>Reset the password, sign out the managed account, and terminate any remaining processes</code>, 该选项位于'''计算机配置''' > '''管理模板''' > '''系统''' > '''LAPS''' > '''身份验证后操作'''。
:此新选项是上一选项的扩展, 即 <code>Reset the password and log off the managed account</code>。 配置后, PAA 会通知并终止任何交互式登录会话。 它枚举并终止仍在由 Windows LAPS 管理的本地帐户标识下运行的任何剩余进程。 此终止之前没有通知。
:在 PAA 执行过程中扩展日志事件可以更深入地了解操作。
* OpenSSH
在早期版本的 Windows Server 中 OpenSSH 连接工具在使用前需要手动安装, 现在 OpenSSH 服务器端组件默认安装在 Windows Server 2025 中。 服务器管理器 UI 还包括远程 SSH 访问下的一步选项, 用于启用或禁用 <code>sshd</code> 该服务。 此外, 你还可以将用户添加到 '''OpenSSH 用户组''', 以允许或限制访问设备。
* 安全基线
通过实现自定义的安全基线, 可以根据建议的安全状况, 从头开始为设备或 VM 角色建立安全措施。 此基线配备了 350 多个预配置的 Windows 安全设置。 可以使用这些设置应用和强制实施特定的安全设置, 这些设置符合Microsoft和行业标准建议的最佳做法。
* 基于虚拟化的安全性 Enclave
基于虚拟化的安全性 (VBS) 区段是主机应用程序地址空间内的基于软件的受信任执行环境。 VBS enclaves 会使用底层 VBS 技术, 将应用程序的敏感部分隔离在内存的安全分区中。 VBS Enclave 可以使敏感工作负载与主机应用程序和系统的其余部分隔离。
VBS Enclave 可使应用程序不需要信任管理员并能有效抵御恶意攻击者,从而保护自己的机密。
* 基于虚拟化的安全密钥保护
VBS 密钥保护使 Windows 开发人员能够使用 VBS 保护加密密钥。 VBS 利用 CPU 的虚拟化扩展能力,在正常 OS 之外创建一个隔离的运行时。
使用时, VBS 密钥在安全进程中隔离。 无需在该空间外暴露私钥材料即可执行密钥操作。 在静态状态下,TPM 密钥会加密私钥材料, 用于将 VBS 密钥绑定到设备。 以这种方式保护的密钥无法从进程内存中转储, 也不能以纯文本形式从用户计算机导出。
VBS 密钥保护有助于防止任何管理员级攻击者发生外泄攻击。 必须启用 VBS 才能使用密钥保护。
* 安全连接
:* 安全证书管理
:在 Windows 上搜索或检索证书现在支持 SHA-256 哈希, 如函数 <code>CertFindCertificateInStore</code> 和 <code>CertGetCertificateContextProperty</code> 中所述。<ref>[https://learn.microsoft.com/zh-cn/windows/win32/api/wincrypt/nf-wincrypt-certfindcertificateinstore CertFindCertificateInStore 函数 (wincrypt.h) - Win32 apps | Microsoft Learn]</ref><ref>[https://learn.microsoft.com/zh-cn/windows/win32/api/wincrypt/nf-wincrypt-certgetcertificatecontextproperty CertGetCertificateContextProperty 函数 (wincrypt.h) - Win32 apps | Microsoft Learn]</ref> TLS 服务器身份验证在 Windows 中更安全, 现在要求最低 RSA 密钥长度为 2048 位。
:* 基于 QUIC 的 SMB
:SMB over QUIC 服务器功能以前仅在 Windows Server Datacenter Azure Edition 中可用, 现在在 Windows Server 的 Standard SKU 和 Datacenter SKU 中均可用。 SMB over QUIC 增加了 QUIC 的优势, 通过 Internet 提供低延迟、加密的连接。
::* 基于 QUIC 的 SMB 的启用策略
::管理员可以通过组策略和 PowerShell 通过 QUIC 客户端禁用 SMB。 若要通过组策略禁用 QUIC 上的 SMB, 请在以下路径中将'''启用 SMB over QUIC 策略'''设置为'''禁用''':
:::* ''计算机配置\管理模板\网络\Lanman 工作站''。
:::* ''计算机配置\管理模板\网络\Lanman 服务器''。
::若要使用 PowerShell 在 QUIC 上禁用 SMB, 请在提升的 PowerShell 提示符中运行此命令: <code>Set-SmbClientConfiguration -EnableSMBQUIC $false</code>。
::* SMB 签名和加密审核
::管理员可以启用对 SMB 服务器和客户端的审核, 以支持 SMB 签名和加密。 如果非 Microsoft 客户端或服务器缺少对 SMB 加密或签名的支持, 则可以检测到它。 当非 Microsoft 设备或软件声明它支持 SMB 3.1.1, 但不支持 SMB 签名时, 它违反了 SMB 3.1.1 预身份验证完整性协议要求。<ref>[https://learn.microsoft.com/zh-cn/archive/blogs/openspecification/smb-3-1-1-pre-authentication-integrity-in-windows-10 SMB 3.1.1 Pre-authentication integrity in Windows 10 | Microsoft Learn]</ref>
::可以使用组策略或 PowerShell 配置 SMB 签名和加密审核设置。 可以在以下组策略路径中更改这些策略:
::* ''计算机配置\管理模板\网络\Lanman 服务器\审计客户端不支持加密''。
::* ''计算机配置\管理模板\网络\Lanman 服务器\审核客户端不支持签名''。
::* ''计算机配置\管理模板\网络\Lanman 工作站\审计服务器不支持加密''。
::* ''计算机配置\管理模板\网络\Lanman 工作站\审计服务器不支持签名''。
::若要使用 PowerShell 执行这些更改, 请在提升的提示符下运行以下命令, 其中 <code>$true</code> 以启用或 <code>$false</code> 以禁用这些设置:
::* <code>Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true</code>。
::* <code>Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true</code>。
::* <code>Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true</code>。
::* <code>Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true</code>。
::这些更改的事件日志存储在以下具有特定事件 ID 的事件查看器路径中:
::{| class="wikitable" style="width: 50%"
|-
! 路径 !! 事件标识符
|-
| 应用程序和服务日志\Microsoft\Windows\SMBClient\Audit || 31998<br>31999
|-
| 应用程序和服务日志\Microsoft\Windows\SMBServer\Audit || 3021<br>3022
|}
::* 基于 QUIC 的 SMB 审核
::基于 QUIC 的 SMB 客户端连接审核可捕获写入事件日志的事件, 以便在事件查看器中包含 QUIC 传输。 这些日志存储在以下路径中, 其中包含其特定的事件 ID:
::{| class="wikitable" style="width: 50%"
|-
! 路径 !! 事件标识符
|-
| 应用程序和服务日志\Microsoft\Windows\SMBClient\Connectivity || 30832
|-
| 应用程序和服务日志\Microsoft\Windows\SMBServer\Connectivity || 1913
|}
::* SMB over QUIC 客户端访问控制
::Windows Server 2025 包括针对 QUIC 上的 SMB 的客户端访问控制。 SMB over QUIC 是 TCP 和 RDMA 的替代方法, 它通过不受信任的网络提供与边缘文件服务器的安全连接。 客户端访问控制引入了更多控制措施, 以使用证书限制对数据的访问。
:* SMB 备用端口
:可以使用 SMB 客户端连接到备用 TCP、 QUIC 和 RDMA 端口, 而不是其 IANA / IETF 默认值 445、 5445 和 443。 可以通过组策略或 PowerShell 配置备用端口。 以前, Windows 中的 SMB 服务器授权入站连接使用 IANA 注册的端口 TCP / 445, 而 SMB TCP 客户端只允许与同一 TCP 端口建立出站连接。 现在, SMB over QUIC 支持 SMB 替代端口, 其中 QUIC 强制的 UDP/443 端口可用于服务器和客户端设备。
:* SMB 防火墙规则强化
:在以前创建共享时, SMB 防火墙规则会自动配置为为相关防火墙配置文件启用'''文件和打印机共享'''组。 现在在 Windows 中创建 SMB 共享会导致自动配置新的'''文件和打印机共享 (限制)'''组, 该组不再允许入站 NetBIOS 端口 137-139。
:* SMB 加密
:为所有出站 SMB 客户端连接启用强制 SMB 加密。<ref>[https://learn.microsoft.com/zh-cn/windows-server/storage/file-server/smb-security#smb-encryption SMB 安全性增强功能 | Microsoft Learn]</ref> 通过此更新, 管理员可以设置一个命令, 即所有目标服务器都支持 SMB 3.x 和加密。 如果服务器缺少这些功能, 则客户端无法建立连接。
:* SMB 身份验证速率限制器
:SMB 身份验证速率限制程序限制特定时间段内的身份验证尝试次数。 SMB 身份验证速率限制器有助于打击暴力身份验证攻击。 为了减少每次失败的 NTLM 或基于 PKU2U 的身份验证尝试之间的时间延迟, SMB 服务器服务使用身份验证速率限制器。 默认情况下, 该服务处于启用状态。
:* SMB 身份验证速率限制器
:SMB 身份验证速率限制程序限制特定时间段内的身份验证尝试次数。 SMB 身份验证速率限制器有助于打击暴力身份验证攻击。 为了减少每次失败的 NTLM 或基于 PKU2U 的身份验证尝试之间的时间延迟, SMB 服务器服务使用身份验证速率限制器。 默认情况下, 该服务处于启用状态。
:* 禁用 SMB NTLM
:从 Windows Server 2025 开始, SMB 客户端支持阻止远程出站连接的 NTLM 功能。 以前, Windows 简单和受保护的 GSSAPI 协商机制 (SPNEGO) 与目标服务器协商了 Kerberos、 NTLM 和其他机制,<ref>[https://learn.microsoft.com/zh-cn/openspecs/windows_protocols/ms-spng/b16309d8-4a93-4fa6-9ee2-7d84b2451c84 [MS-SPNG]: Introduction | Microsoft Learn]</ref> 以确定受支持的安全包。
:* SMB 方言控件
:现在可以在 Windows 中管理 SMB 方言。<ref>[https://learn.microsoft.com/zh-cn/windows-server/storage/file-server/manage-smb-dialects?tabs=powershell 在 Windows 和 Windows Server 2025 中管理 SMB 方言 | Microsoft Learn]</ref> 配置后, SMB 服务器会确定与之前的行为相比协商的是哪些 SMB 2 和 SMB 3 方言, 并且仅匹配最高级方言。
:* SMB 签名
:默认情况下, 所有 SMB 出站连接都需要 SMB 签名。 以前, 只有在连接到 Active Directory DC 上名为 '''SYSVOL''' 和 '''NETLOGON''' 的共享时才需要此要求。
:* 远程 Mailslot
:远程 Mailslot 协议默认处于禁用状态, 以将 SMB 和 DC 定位器与 Active Directory 配合使用。 远程 Mailslot 可能会在后续版本中被移除。
:* 路由和远程访问服务强化
:默认情况下, 新的路由和远程访问服务 (RRAS) 安装不接受基于 PPTP 和 L2TP 的 VPN 连接。 如有必要, 仍可以启用这些协议。 仍接受基于 SSTP 和 IKEv2 的 VPN 连接, 无需进行任何更改。
:现有配置会保留其行为。 例如,如果运行 [[OS:Windows Server 2019|Windows Server 2019]] 并接受 PPTP 和 L2TP 连接, 并且使用就地升级升级到 Windows Server 2025, 则仍接受基于 L2TP 和 PPTP 的连接。 此更改不会影响 [[OS:Windows 11|Windows 客户端作系统]]。
:* IPsec 默认密钥协议更改
:对于使用计算机证书进行身份验证的 IPsec 连接, 默认密钥模块已更改为 IKEv1 和 IKEv2。 对于其他身份验证方法, 默认的 AuthIP 和 IKEv1 保持不变。 这适用于 Windows Server 2025 和 [[OS:Windows 11 版本 24H2|Windows 11 24H2 客户端]]。 在注册表路径 <code>HKLM:\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters</code> 中, 值为 <code>IpsecRestoreLegacyKeyMod</code> 项利用新序列 IKEv2 和 IKEv1。 值 '''1''' 使用先前序列、 AuthIP 和 IKEv1。 若要还原到以前的行为, 请使用新的默认密钥协议序列在系统上添加以下注册表项 (需要配合 PowerShell 使用), 需要重新启动才能使更改生效:
:<code>New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters" -Name "IpsecRestoreLegacyKeyMod" -PropertyType "DWORD" -Value 1</code>。
===Hyper-V、 AI 和性能===
===Hyper-V、 AI 和性能===