Nouveautés de Windows Server 2025

Cet article décrit certaines des évolutions récentes de Windows Server 2025, qui propose des fonctionnalités avancées améliorant la sécurité, les performances et la flexibilité. Grâce à des options de stockage plus rapides et la possibilité de s’intégrer à des environnements de cloud hybride, la gestion de votre infrastructure est désormais plus simplifiée. Windows Server 2025 s’appuie sur les bases solides de son prédécesseur tout en introduisant une gamme d’améliorations innovantes pour s’adapter à vos besoins.

Si vous souhaitez essayer les dernières fonctionnalités de Windows Server 2025 avant leur sortie officielle, veuillez consulter la rubrique Bien démarrer avec la préversion de Windows Server Insiders.

Nouveautés

Les nouvelles fonctionnalités ci-dessous sont spécifiques à Windows Server uniquement avec l’expérience utilisateur. Il est nécessaire d’avoir à la fois les appareils physiques exécutant le système d’exploitation et les pilotes appropriés facilement disponibles.

Accélération réseau

La mise en réseau accélérée (AccelNet) simplifie la gestion de la virtualisation d’E/S racine unique (SR-IOV) pour les machines virtuelles hébergées sur des clusters Windows Server 2025. Cette fonctionnalité utilise le chemin de données SR-IOV hautes performances pour réduire la latence, la gigue et l’utilisation du processeur. AccelNet inclut également une couche de gestion qui gère la vérification des prérequis, la configuration de l’hôte et les paramètres de performances des machines virtuelles.

Services de domaine Active Directory

Les dernières améliorations apportées aux services de domaine Active Directory (AD DS) et aux services de domaine Active Directory légers (AD LDS) proposent une série de nouvelles fonctionnalités et capacités visant à optimiser votre expérience de gestion de domaine.

• Fonctionnalité optionnelle de taille de page de base de données 32k - AD utilise une base de données Extensible Storage Engine (ESE) depuis son introduction dans Windows 2000, qui utilise une taille de page de base de données de 8k. La décision de conception architecturale de 8k a entraîné des limitations dans AD, qui sont documentées dans AD Maximum Limits Scalability (Limites maximales d'évolutivité d'AD). Un exemple de cette limitation est l'objet AD à enregistrement unique, dont la taille ne peut excéder 8 000 octets. Le passage à un format de page de base de données de 32k offre une amélioration considérable dans les domaines affectés par les restrictions héritées, notamment les attributs à valeurs multiples qui peuvent désormais contenir jusqu'à 3200 valeurs, soit une augmentation d'un facteur de 2,6.

  Les nouveaux DC peuvent être installés avec une base de données de 32 000 pages qui utilise des Long Value IDs (LID) de 64 bits et fonctionne en mode « 8 000 pages » pour assurer la compatibilité avec les versions précédentes. Un DC mis à niveau continue d'utiliser son format de base de données actuel et ses pages de 8k. Le passage à une base de données 32 k se fait à l'échelle de la forêt et nécessite que tous les DC de la forêt disposent d'une base de données 32k.

• Mise à jour du schéma AD - Trois nouveaux fichiers de base de données de journaux (LDF) sont introduits et étendent le schéma AD, sch89.ldf, sch90.ldf et sch91.ldf. Les mises à jour de schéma équivalentes AD LDS se trouvent dans MS-ADAM-Upgrade3.ldf. Pour en savoir plus sur les précédentes mises à jour du schéma, consultez les Mises à jour du schéma de Windows Server AD

• Réparation d’objets AD : AD permet désormais aux administrateurs d’entreprise de réparer des objets dont les attributs de base SamAccountType et ObjectCategory sont manquants. Les administrateurs d’entreprise peuvent réinitialiser l’attribut LastLogonTimeStamp sur un objet à l’heure actuelle. Ces opérations sont effectuées grâce à une nouvelle fonctionnalité de modification d’opération RootDSE sur l’objet concerné appelé fixupObjectState.

• Support d'audit de liaison de chaîne - Les événements 3074 et 3075 peuvent désormais être activés pour la liaison de chaîne LDAP (Lightweight Directory Access Protocol). Lorsque la stratégie de liaison de canal est modifiée en un paramètre plus sécurisé, un administrateur peut identifier les appareils dans l’environnement qui ne prennent pas en charge ou échouent la liaison de canal. Ces événements d'audit sont également disponibles dans Windows Server 2022 et versions ultérieures via KB4520412.

• Améliorations de l'algorithme de localisation DC - L'algorithme de découverte DC offre de nouvelles fonctionnalités avec des améliorations du mappage des noms de domaine courts de type NetBIOS vers les noms de domaine de type DNS. Pour en savoir plus, consultez les modifications apportées au localisateur DC d'Active Directory.

  Remarque

  Windows n'utilise pas les mailslots pendant les opérations de découverte de DC car Microsoft a annoncé l'abandon de WINS et des mailslots pour ces technologies héritées.

• Niveaux fonctionnels de la forêt et du domaine - Le nouveau niveau fonctionnel est utilisé pour le support général et est requis pour la nouvelle fonctionnalité de taille de page de base de données de 32K. Le nouveau niveau fonctionnel correspond aux valeurs DomainLevel 10 et ForestLevel 10 pour les installations sans surveillance. Microsoft n’a pas l’intention de modifier les niveaux fonctionnels pour Windows Server 2019 et Windows Server 2022. Pour effectuer une promotion et une rétrogradation sans surveillance d'un contrôleur de domaine (DC), reportez-vous à la syntaxe du fichier de réponse DCPROMO pour la promotion et la rétrogradation sans surveillance des contrôleurs de domaine.

  L’interface de programmation d’application (API) DsGetDcName prend également en charge un nouvel indicateur DS_DIRECTORY_SERVICE_13_REQUIRED qui permet de localiser les contrôleurs de domaine exécutant Windows Server 2025. Vous trouverez plus d'informations sur les niveaux fonctionnels dans les articles suivants :

  • Niveaux fonctionnels de domaine et de forêt

  • Augmenter le niveau fonctionnel de domaine

  • Augmenter le niveau fonctionnel de forêt

  Remarque

  De nouvelles forêts AD ou ensembles de configuration AD LDS doivent avoir un niveau fonctionnel de Windows Server 2016 ou supérieur. La promotion d’un réplica AD ou AD LDS nécessite que le domaine ou le jeu de configuration existant fonctionne déjà avec un niveau fonctionnel de Windows Server 2016 ou supérieur.

  Microsoft recommande à tous les clients de commencer à planifier la mise à niveau de leurs serveurs AD et AD LDS vers Windows Server 2022 en préparation de la prochaine version.

• Algorithmes améliorés pour les recherches de noms/SID : le transfert du nom de l’autorité de sécurité locale (LSA) et de la recherche de SID entre les comptes de machine n’utilise plus l’ancien canal sécurisé Netlogon. On utilise désormais, l’authentification Kerberos et l’algorithme du localisateur de contrôleurs de domaine. Pour maintenir la compatibilité avec les systèmes d’exploitation hérités, il est toujours possible d’utiliser le canal sécurisé Netlogon comme option de secours.

• Sécurité améliorée pour les attributs confidentiels : les instances DCS et AD LDS autorisent uniquement LDAP à ajouter, rechercher et modifier des opérations impliquant des attributs confidentiels lorsque la connexion est chiffrée.

• Sécurité améliorée pour les mots de passe par défaut des comptes ordinateur : AD utilise désormais des mots de passe par défaut des comptes ordinateur générés de manière aléatoire. Les contrôleurs de domaine Windows 2025 empêchent de définir les mots de passe des comptes ordinateur comme mots de passe par défaut du nom du compte ordinateur.

  Ce comportement peut être contrôlé en activant le paramètre GPO Contrôleur de domaine : Refuser de définir le mot de passe par défaut du compte de l'ordinateur qui se trouve dans : Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité

  Des utilitaires comme Active Directory Administrative Center (ADAC), Utilisateurs et ordinateurs Active Directory (ADUC), net computer et dsmod respecte également ce nouveau comportement. ADAC et ADUC n’autorisent plus la création d’un compte Windows pré-2k.

• Support de Kerberos PKINIT pour l'agilité cryptographique - L'implémentation du protocole Kerberos Public Key Cryptography for Initial Authentication in Kerberos (PKINIT) est mise à jour pour permettre l'agilité cryptographique en supportant plus d'algorithmes et en supprimant les algorithmes codés en dur.

• Paramètre GPO Gestionnaire de réseau local - Paramètre GPO Sécurité du réseau : Ne pas stocker la valeur de hachage du gestionnaire de réseau local lors du prochain changement de mot de passe n'est plus présent ni applicable aux nouvelles versions de Windows.

• Chiffrement LDAP par défaut - Toutes les communications des clients LDAP après une liaison SASL (Simple Authentication and Security Layer) utilisent le chiffrement LDAP par défaut. Pour en savoir plus sur SASL, consultez Authentification SASL.

• Support LDAP pour TLS 1.3 - LDAP utilise la dernière implémentation de SCHANNEL et supporte TLS 1.3 pour les connexions LDAP sur TLS. L’utilisation de TLS 1.3 élimine les algorithmes de chiffrement obsolètes, améliore la sécurité par rapport aux anciennes versions, et vise à chiffrer la plus grande partie possible de l’établissement d’une liaison. Pour en savoir plus, consultez la section Protocoles TLS/SSL (Schannel SSP) et Suites de chiffrement TLS dans Windows Server 2022.

• Comportement de changement de mot de passe SAM RPC hérité - Les protocoles sécurisés tels que Kerberos sont le moyen privilégié de changer les mots de passe des utilisateurs de domaine. Sur les DC, la dernière méthode de changement de mot de passe SAM RPC SamrUnicodeChangePasswordUser4 utilisant AES est acceptée par défaut lorsqu'elle est appelée à distance. Les méthodes RPC SAM héritées suivantes sont bloquées par défaut lorsqu’elles sont appelées à distance :

  • SamrChangePasswordUser

  • SamrOemChangePasswordUser2

  • SamrUnicodeChangePasswordUser2

  Pour les utilisateurs du domaine qui sont membres du groupe Protected Users et pour les comptes locaux sur les ordinateurs membres du domaine, tous les changements de mot de passe à distance via l'ancienne interface SAM RPC sont bloqués par défaut, y compris SamrUnicodeChangePasswordUser4.

  Ce comportement peut être contrôlé à l'aide du paramètre suivant de l'objet de stratégie de groupe (GPO) :

  Configuration de l'ordinateur > Modèles d'administration > Système > Gestionnaire de comptes de sécurité > Configurer la stratégie de méthodes RPC de changement de mot de passe SAM

• Support NUMA - AD DS tire désormais parti du matériel NUMA (Non-uniform Memory Access) en utilisant les processeurs de tous les groupes de processeurs. Auparavant, AD n’utiliserait que des processeurs dans le groupe 0. Active Directory peut s'étendre au-delà de 64 cœurs.

• Compteurs de performance - La surveillance et le dépannage des performances des compteurs suivants sont désormais disponibles :

  • DC Locator - Des compteurs spécifiques aux clients et aux DC sont disponibles.

  • Recherches LSA - Recherche de noms et de SID par le biais des API LsaLookupNames, LsaLookupSids et autres API équivalentes. Ces compteurs sont disponibles pour les UGS client et serveur.

  • Client LDAP - Disponible à partir de Windows Server 2022 via la mise à jour KB 5029250.

• Ordre de priorité de réplication - AD permet désormais aux administrateurs d'augmenter la priorité de réplication calculée par le système avec un partenaire de réplication particulier pour un contexte de dénomination particulier. Cette fonctionnalité permet une plus grande flexibilité dans la configuration de l’ordre de réplication pour répondre à des scénarios spécifiques.

Azure Arc

Par défaut, la fonctionnalité d'installation d'Azure Arc à la demande est installée. Elle propose une interface d'assistance conviviale et une icône située dans la barre des tâches pour faciliter le processus d'ajout de serveurs à Azure Arc. Azure Arc étend les capacités de la plateforme Azure en permettant la création d'applications et de services capables de fonctionner dans divers environnements. Cela inclut les centres de données, Edge, les environnements multi-cloud et offre une flexibilité accrue. Pour plus d’informations, consultez Connecter des machines Windows Server à Azure via le programme d’installation d’Azure Arc.

Prise en charge du clonage de blocs

À partir de Windows 11 24H2 et Windows Server 2025, le lecteur de développement prend désormais en charge le clonage par blocs. Comme Dev Drive utilise le format de système de fichiers ReFS, la prise en charge du clonage par bloc offre des avantages significatifs en termes de performances lors de la copie de fichiers. Avec le clonage par bloc, le système de fichiers peut copier une plage d'octets de fichiers pour le compte d'une application en tant qu'opération de métadonnées peu coûteuse, plutôt que d'effectuer des opérations de lecture et d'écriture coûteuses sur les données physiques sous-jacentes. Cela permet d'accélérer la copie des fichiers, de réduire les E/S vers le stockage sous-jacent et d'améliorer la capacité de stockage en permettant à plusieurs fichiers de partager les mêmes clusters logiques. Pour en savoir plus, consultez la section Clonage de blocs sur ReFS.

Bluetooth

Vous pouvez désormais connecter des souris, des claviers, des casques, des périphériques audio et plus encore via Bluetooth dans Windows Server 2025.

Credential Guard

À partir de Windows Server 2025, Credential Guard est désormais activé par défaut sur les appareils qui remplissent les conditions requises. Pour plus d’informations sur Credential Guard, voir Configurer Credential Guard.

Environnement de Bureau

Lors de votre première connexion, l’environnement de Bureau offre une expérience conforme au style et à l’apparence de Windows 11.

Compte de Service Managé Délégué

Ce nouveau type de compte permet la migration d’un compte de service vers un Compte de Service Managé délégué (dMSA). Ce type de compte est livré avec des clés gérées et entièrement aléatoires assurant un minimum de changements dans les applications tout en désactivant les mots de passe de compte de service d’origine. Pour en savoir plus, consultez Vue d’ensemble des Comptes de Service Managé Délégué.

Dev Drive

Dev Drive est un volume de stockage qui vise à améliorer les performances des charges de travail cruciales des développeurs. Dev Drive utilise la technologie ReFS et intègre des optimisations spécifiques du système de fichiers afin d'offrir un meilleur contrôle sur les paramètres et la sécurité du volume de stockage. Il est notamment possible de désigner la confiance, de configurer les paramètres antivirus et d'exercer un contrôle administratif sur les filtres attachés. Pour en savoir plus, consultez la section Configurer un lecteur de développement sous Windows 11.

DTrace

Windows Server 2025 est équipé de dtrace en tant qu’outil natif. DTrace est une utilitaire en ligne de commande qui permet aux utilisateurs de surveiller et de dépanner les performances de leur système en temps réel. DTrace permet aux utilisateurs d’instrumenter dynamiquement à la fois le noyau et le code espace utilisateur sans avoir besoin de modifier le code lui-même. Cet outil polyvalent prend en charge une gamme de techniques de collecte et d’analyse de données, telles que les agrégations, les histogrammes et le traçage des événements au niveau utilisateur. Pour en savoir plus, consultez DTrace pour obtenir de l’aide en ligne de commande et DTrace sur Windows pour d’autres fonctionnalités.

E-mail & comptes

Vous pouvez désormais ajouter les comptes suivants dans Paramètres > Comptes > Courrier électronique & comptes pour Windows Server 2025 :

• Microsoft Entra ID
• Compte Microsoft
• Compte professionnel ou scolaire

Il est important de garder à l’esprit que la jonction de domaine est toujours requise pour la plupart des situations.

Hub de commentaires

Envoyer des commentaires ou signaler des problèmes rencontrés lors de l’utilisation de Windows Server 2025 peut désormais être effectué en utilisant le Hub de commentaires Windows. Vous pouvez inclure des captures d’écran ou des enregistrements du processus ayant causé le problème pour nous aider à comprendre votre situation et partager des suggestions pour améliorer votre expérience Windows. Pour en savoir plus, consultez la section Explorer le Hub de commentaires.

Compression de fichiers

La Build 26040 comporte une nouvelle fonctionnalité de compression lors de la compression d’un élément en effectuant un clic droit appelé Compresser vers. Cette fonctionnalité prend en charge les formats de compression ZIP, 7z et TAR avec des méthodes de compression spécifiques pour chacun d’eux.

Gestionnaire Hyper-V

Lorsque les utilisateurs créent une machine virtuelle via le Gestionnaire Hyper-V, la génération 2 est désormais définie comme option par défaut dans l’Assistant Nouvelle machine virtuelle.

Traduction de pagination appliquée à l’hyperviseur

La traduction de pagination appliquée à l’hyperviseur (HVPT) est une amélioration de la sécurité pour appliquer l’intégrité des traductions d’adresses linéaires. HVPT protège les données système critiques contre les attaques d’écriture-what-where où l’attaquant écrit une valeur arbitraire dans un emplacement arbitraire, souvent en raison d’un dépassement de mémoire tampon. HVPT protège les tables de pages qui configurent les structures de données système critiques. HVPT inclut tout ce qui est déjà sécurisé avec l’intégrité du code protégée par hyperviseur (HVCI). HVPT est activé par défaut lorsque la prise en charge matérielle est disponible. HVPT n’est pas activé lorsque Windows Server s’exécute en tant qu’invité dans une machine virtuelle.

Network ATC

Network ATC simplifie le déploiement et la gestion des configurations réseau pour les clusters Windows Server 2025. Il utilise une approche basée sur l’intention, où les utilisateurs spécifient leurs intentions souhaitées, telles que la gestion, le calcul ou le stockage d’une carte réseau, et le déploiement est automatisé en fonction de la configuration prévue. Cette approche réduit le temps, la complexité et les erreurs associés au déploiement de mise en réseau hôte, garantit la cohérence de la configuration sur le cluster et élimine la dérive de la configuration. Pour plus d’informations, consultez Déployer la mise en réseau de l’hôte avec Network ATC.

NVMe

NVMe est une nouvelle norme pour les disques SSD rapides. Découvrez l’optimisation NVMe dans Windows Server 2025 avec des performances améliorées, pour une augmentation des IOPS et une réduction de l’utilisation du processeur.

OpenSSH

Dans les versions antérieures de Windows Server, l’outil de connectivité OpenSSH devait être installé manuellement avant d’être utilisé. À partir de la build 26080, le composant côté serveur OpenSSH est installé par défaut dans Windows Server 2025. L’interface utilisateur du gestionnaire de serveur inclut également une option en un clic sous Accès SSH distant qui active ou désactive le service sshd.exe. En outre, vous pouvez ajouter des utilisateurs au groupe Utilisateurs OpenSSH pour autoriser ou restreindre l’accès à vos appareils. Pour en savoir plus, consultez Vue d’ensemble d’OpenSSH pour Windows.

Applications épinglées

Vous pouvez désormais épingler vos applications les plus utilisées via le menu Démarrer et personnaliser selon vos besoins. À partir de la version 26085, les applications épinglées par défaut sont actuellement :

• Installation d’Azure Arc
• Hub de commentaires
• Explorateur de fichiers
• Microsoft Edge
• Gestionnaire de serveur
• Paramètres
• Terminal
• Windows PowerShell

Accès à distance

Par défaut, les nouvelles configurations des services de routage et d’accès à distance (RRAS) n’acceptent pas les connexions VPN basées sur les protocoles PPTP et L2TP. Vous pouvez toujours activer ces protocoles si nécessaire. Les connexions VPN basées sur SSTP et IKEv2 sont toujours acceptées sans aucun changement.

Les configurations existantes conservent leur comportement. Par exemple, si vous utilisez Windows Server 2019 et que vous acceptez les connexions PPTP et L2TP, après une mise à jour vers Windows Server 2025 à l’aide d’une mise à jour sur place, les connexions basées sur L2TP et PPTP sont toujours acceptées. Cette modification n’affecte pas les systèmes d’exploitation des clients Windows. Pour en savoir plus sur la manière de réactiver PPTP et L2TP, voir Configurer les protocoles VPN.

Gestion sécurisée des certificats

La recherche ou la récupération de certificats sur Windows prend désormais en charge les hachages SHA-256, comme décrit dans les fonctions CertFindCertificateInStore et CertGetCertificateContextProperty. L’authentification de serveur TLS est plus sécurisée sur Windows et nécessite désormais une longueur minimale de clé RSA de 2048 bits. Pour en savoir plus, lisez Authentification de serveur TLS : obsolescence des certificats RSA faibles.

Base de référence de la sécurité

En appliquant une base de référence de sécurité personnalisée, vous pouvez établir des mesures de sécurité dès le départ pour le rôle de votre appareil ou machine virtuelle en fonction de la posture de sécurité recommandée. Cette base de référence dispose de plus de 350 paramètres de sécurité Windows préconfigurés qui vous permettent de mettre en œuvre et d’appliquer des paramètres de sécurité spécifiques, alignés sur les meilleures pratiques recommandées par Microsoft et les normes du secteur. Pour plus d’informations, consultez Présentation d'OSConfig.

Protocole SMB

Server Message Block (SMB) est l'un des protocoles les plus utilisés dans la mise en réseau, car il fournit un moyen fiable de partager des fichiers et d'autres ressources entre les appareils de votre réseau. Windows Server 2025 apporte les fonctionnalités SMB suivantes.

À partir de la build 26090, une autre série de modifications du protocole SMB est introduite pour désactiver QUIC, la signature et le chiffrement.

• Désactivation du SMB sur QUIC

  Les administrateurs peuvent désactiver le client SMB sur QUIC par le biais de la stratégie de groupe et de PowerShell. Pour désactiver SMB sur QUIC à l’aide de la stratégie de groupe, définissez la stratégie Activer SMB sur QUIC dans ces chemins d’accès sur Désactivé.

  • Configuration de l’ordinateur\Modèles d’administration\Réseau\Station de travail Lanman

  • Configuration de l’ordinateur\Modèles d’administration\Réseau\Serveur Lanman

  Pour désactiver SMB sur QUIC à l’aide de PowerShell, exécutez cette commande dans une invite PowerShell avec élévation de privilèges :

  Set-SmbClientConfiguration -EnableSMBQUIC $false
  

• Audit de la signature et du chiffrement SMB

  Les administrateurs peuvent activer l’audit du serveur et du client SMB pour la prise en charge de la signature et du chiffrement SMB. Si un client ou un serveur tiers ne prend pas en charge le chiffrement ou la signature SMB, il peut être détecté. Lorsque votre appareil ou logiciel tiers indique qu’il prend en charge SMB 3.1.1, mais ne prend pas en charge la signature SMB, il enfreint les exigences du protocole Intégrité de préauthentification de SMB 3.1.1.

  Vous pouvez configurer des paramètres d’audit de la signature et du chiffrement SMB à l’aide de la stratégie de groupe ou de PowerShell. Ces stratégies peuvent être modifiées dans les chemins d’accès suivants de la stratégie de groupe :

  • Configuration de l’ordinateur\Modèles d’administration\Réseau\Serveur Lanman\Le client d’audit ne prend pas en charge le chiffrement

  • Configuration de l’ordinateur\Modèles d’administration\Réseau\Serveur Lanman\Le client d’audit ne prend pas en charge la signature

  • Configuration de l’ordinateur\Modèles d’administration\Réseau\Station de travail Lanman\Le serveur d’audit ne prend pas en charge le chiffrement

  • Configuration de l’ordinateur\Modèles d’administration\Réseau\Station de travail Lanman\Le serveur d’audit ne prend pas en charge la signature

  Pour effectuer ces modifications à l’aide de PowerShell, exécutez ces commandes dans une invite avec élévation de privilèges où $true permet d’activer ces paramètres et $false de les désactiver :

  Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
  Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true
  
  Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
  Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true
  

  Les journaux d’événements relatifs à ces modifications sont stockés dans les chemins d’accès suivants de l’observateur d’événements, avec l’ID d’événement qui leur a été attribué.

  Chemin d’accès	ID événement
  Journaux des applications et des services\Microsoft\Windows\SMBClient\Audit	31998 31999
  Journaux des applications et des services\Microsoft\Windows\SMBServer\Audit	3021 3022

• Audit de SMB sur QUIC

  L’audit de la connexion client SMB sur QUIC capture des événements qui sont écrits dans un journal d’événements pour inclure le transport QUIC dans l’observateur d’événements. Ces journaux sont stockés dans les chemins suivants avec l’ID d’événement qui leur a été attribué.

  Chemin d’accès	ID événement
  Journaux des applications et des services\Microsoft\Windows\SMBClient\Connectivité	30832
  Journaux des applications et des services\Microsoft\Windows\SMBServer\Connectivité	1913

• La fonctionnalité SMB sur QUIC du serveur, qui n’était disponible que dans l’édition Azure de Windows Server, est désormais disponible dans les versions Windows Server Standard et Windows Server Datacenter. SMB sur QUIC ajoute les avantages de QUIC, qui fournit des connexions chiffrées à faible latence sur Internet.

  Auparavant, le serveur SMB sous Windows obligeait les connexions entrantes à utiliser le port TCP/445 enregistré auprès de l'IANA, tandis que le client TCP SMB n'autorisait que les connexions sortantes vers ce même port TCP. À présent, SMB sur QUIC permet d’utiliser d’autres ports SMB là où les ports UDP/443 mandatés par QUIC sont disponibles pour le serveur et les appareils clients. Pour en savoir plus, veuillez consulter la section Configurer des ports SMB alternatifs.

  Une autre fonctionnalité introduite dans SMB sur QUIC est le contrôle d’accès client, qui est une alternative à TCP et RDMA qui fournit une connectivité sécurisée aux serveurs de fichiers de périphérie sur des réseaux non fiables. Pour en savoir plus, veuillez consulter la section Fonctionnement du contrôle d’accès client.

• Auparavant, lorsqu'un partage était créé, les règles de pare-feu SMB étaient automatiquement configurées pour activer le groupe « Partage de fichiers et d'imprimantes » pour les profils de pare-feu concernés. À présent, la création d’un partage SMB dans Windows entraîne la configuration automatique du nouveau groupe « Partage de fichiers et d’imprimantes (restrictif) », qui n’autorise plus les ports NetBIOS entrants 137-139. Pour en savoir plus, veuillez consulter la section Règles de pare-feu mises à jour.

• À compter de la build 25997, une mise à jour est effectuée pour appliquer le chiffrement SMB à toutes les connexions clients SMB sortantes. Grâce à cette mise à jour, les administrateurs peuvent définir un mandat que tous les serveurs de destination prennent en charge SMB 3.x et le chiffrement. Si un serveur ne dispose pas de ces fonctionnalités, le client ne peut pas établir de connexion.

• En outre, dans la build 25997, le limiteur d’authentifications SMB, qui limite le nombre de tentatives d’authentification pouvant être effectuées dans un certain laps de temps, est activé par défaut. Pour en savoir plus, veuillez consulter la section Fonctionnement du limiteur de débit d’authentification SMB.

• À partir de la build 25951, le client SMB prend en charge le blocage NTLM pour les connexions sortantes distantes. Auparavant, le mécanisme de négociation DSGS-API simple et protégé (SPNEGO) négociait Kerberos, NTLM et d’autres mécanismes avec le serveur de destination pour déterminer un package de sécurité pris en charge. Pour en savoir plus, veuillez consulter la section Bloquer les connexions NTLM sur SMB.

• Une nouvelle fonctionnalité dans la version 25951 vous permet de gérer les dialectes SMB dans Windows où le serveur SMB contrôle désormais les dialectes SMB 2 et SMB 3 qu’il négocie par rapport au comportement précédent qui correspondait uniquement au dialecte le plus élevé.

• À partir de la version 25931, la signature SMB est désormais requise par défaut pour toutes les connexions sortantes SMB alors qu’auparavant elle était uniquement requise lors de la connexion à des partages nommés SYSVOL et NETLOGON sur les contrôleurs de domaine AD. Pour en savoir plus, veuillez consulter la section Fonctionnement de la signature.

• Le protocole Remote Mailslot est désactivé par défaut à partir de la version 25314 et peut être supprimé dans une version ultérieure. Pour en savoir plus, veuillez consulter la section Fonctionnalités que nous ne développons plus.

• La compression SMB ajoute la prise en charge de l'algorithme de compression standard LZ4, en plus de la prise en charge existante de XPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1 et PATTERN_V1.

Mise en réseau SDN (Software Defined Networking)

SDN est une approche de la mise en réseau qui permet aux administrateurs réseau de gérer les services réseau via l’abstraction des fonctionnalités de bas niveau. SDN permet la séparation du plan de contrôle réseau, qui est responsable de la gestion du réseau, du plan de données, qui gère le trafic réel. Cette séparation permet une flexibilité et une programmabilité accrues dans la gestion du réseau. SDN offre les avantages suivants dans Windows Server 2025 :

• Le contrôleur de réseau, qui est le plan de contrôle pour SDN, est désormais hébergé directement en tant que services de cluster de basculement sur les machines hôtes physiques. Cela élimine la nécessité de déployer des machines virtuelles, de simplifier le déploiement et la gestion tout en conservant les ressources.

• La segmentation basée sur des balises permet aux administrateurs d’utiliser des balises de service personnalisées pour associer des groupes de sécurité réseau (NSG) et des machines virtuelles pour le contrôle d’accès. Au lieu de spécifier des plages d’adresses IP, les administrateurs peuvent désormais utiliser des étiquettes simples et explicites pour baliser des machines virtuelles de charge de travail et appliquer des stratégies de sécurité basées sur ces balises. Cela simplifie le processus de gestion de la sécurité réseau et élimine la nécessité de mémoriser et de retyper des plages d’adresses IP. Pour plus d’informations, consultez Configurer des groupes de sécurité réseau avec des balises dans Windows Admin Center.

• Les stratégies réseau par défaut dans Windows Server 2025 apportent des options de protection de type Azure aux groupes de sécurité réseau pour les charges de travail déployées via Windows Admin Center. La stratégie par défaut refuse tout accès entrant, ce qui autorise l’ouverture sélective de ports entrants connus tout en autorisant l’accès sortant complet à partir de machines virtuelles de charge de travail. Cela garantit que les machines virtuelles de charge de travail sont sécurisées à partir du point de création. Pour plus d’informations, consultez Utiliser les stratégies d’accès réseau par défaut sur les machines virtuelles sur Azure Stack HCI, version 23H2.

• SDN Multisite fournit une connectivité native de couche 2 et de couche 3 entre les applications entre deux emplacements sans composants supplémentaires. Cette fonctionnalité permet un déplacement transparent des applications sans avoir à reconfigurer l’application ou les réseaux. Il offre également une gestion unifiée des stratégies réseau pour les charges de travail, ce qui garantit que les stratégies n’ont pas besoin d’être mises à jour lorsqu’une machine virtuelle de charge de travail passe d’un emplacement à un autre. Pour en savoir plus, consultez Qu’est-ce que SDN Multisite ?.

• Les performances des passerelles SDN Layer 3 ont été améliorées, atteignant un débit plus élevé et des cycles processeur réduits. Ces améliorations sont activées par défaut. Les utilisateurs connaissent automatiquement de meilleures performances lorsqu’une connexion de passerelle SDN couche 3 est configurée via PowerShell ou Windows Admin Center.

Journal amélioré de réplica de stockage

Les journaux améliorés aident l’implémentation de Storage Replica à éliminer les coûts de performance associés aux abstractions du système de fichiers, conduisant à une amélioration des performances de réplication des blocs. Pour en savoir plus, veuillez consulter la section Journal amélioré de Storage Replica.

Gestionnaire des tâches

La build 26040 arbore désormais l'application moderne Gestionnaire des tâches avec un matériau mica conforme au style de Windows 11.

Enclaves VBS (Virtualization Based Security)

Une enclave VBS est un environnement d'exécution de confiance (TEE) basé sur un logiciel à l'intérieur de l'espace d'adressage d'une application hôte. Les enclaves VBS utilisent la technologie VBS sous-jacente pour isoler la partie sensible d'une application dans une partition sécurisée de la mémoire. Les enclaves VBS permettent d'isoler les charges de travail sensibles à la fois de l'application hôte et du reste du système.

Les enclaves VBS permettent aux applications de protéger leurs secrets en supprimant le besoin de faire confiance aux administrateurs et en renforçant la protection contre les attaquants malveillants. Pour plus d'informations, lisez la référence des enclaves VBS Win32.

Protection des clés de sécurité basée sur la virtualisation (VBS)

La protection des clés VBS permet aux développeurs Windows de sécuriser les clés cryptographiques à l’aide de la sécurité basée sur la virtualisation (VBS). VBS utilise la capacité d’extension de virtualisation du processeur pour créer un temps d’exécution isolé en dehors du système d’exploitation normal. Lorsqu’elles sont utilisées, les clés VBS sont isolées dans un processus sécurisé, ce qui permet d’effectuer des opérations sur les clés sans exposer le matériel de la clé privée en dehors de cet espace. Au repos, les clés privées sont chiffrées par une clé TPM, qui lie les clés VBS à l'appareil. Les clés ainsi protégées ne peuvent pas être extraites de la mémoire du processus ou exportées en texte clair à partir de la machine d'un utilisateur, ce qui empêche les attaques d'exfiltration par tout attaquant de niveau administrateur. VBS doit être activé pour utiliser la protection par clé. Consultez la section Activer l’intégrité de la mémoire pour plus d’informations sur l’activation de VBS.

Wi-Fi

Il est à présent plus facile d’activer les capacités sans fil car la fonctionnalité du service LAN sans fil est désormais installée par défaut. Le service de démarrage sans fil est réglé sur manuel et peut être activé en exécutant net start wlansvc dans l'invite de commande, le terminal Windows ou PowerShell.

Portabilité des conteneurs Windows

La portabilité constitue un aspect crucial de la gestion des conteneurs et permet de simplifier les mises à niveau en améliorant la flexibilité et la compatibilité des conteneurs dans Windows. La portabilité est une fonctionnalité de Windows Server Annual Channel pour les hôtes de conteneurs qui permet aux utilisateurs de déplacer des images de conteneurs, ainsi que leurs données associées, entre différents hôtes ou environnements sans nécessiter de modifications. Les utilisateurs peuvent créer une image conteneur sur un hôte, puis la déployer sur un autre hôte sans se soucier des problèmes de compatibilité. Pour en savoir plus, consultez Portabilité pour les conteneurs.

Programme Windows Insider

Le programme Windows Insider offre un accès anticipé aux dernières versions du système d'exploitation Windows pour une communauté de passionnés. En tant que membre, vous pouvez faire parti des premiers à essayer les nouvelles idées et concepts développés par Microsoft. Après vous être enregistré en tant que membre, vous pouvez choisir de participer à différents canaux de publication en allant dans Démarrer > Paramètres > Mise à jour Windows > Programme Windows Insider.

Solution de mot de passe d'administrateur local Windows (LAPS)

Windows LAPS aide les organisations à gérer les mots de passe des administrateurs locaux sur leurs ordinateurs reliés à un domaine. Il génère automatiquement des mots de passe uniques pour le compte d'administrateur local de chaque ordinateur, les stocke en toute sécurité dans AD et les met à jour régulièrement. Cela permet d'améliorer la sécurité en réduisant le risque que des attaquants accèdent à des systèmes sensibles en utilisant des mots de passe compromis ou faciles à deviner.

Plusieurs fonctionnalités ont été introduites dans Microsoft LAPS, qui apportent les améliorations suivantes :

• Nouvelle fonction de gestion automatique des comptes

  La dernière mise à jour permet aux administrateurs informatiques de créer facilement un compte local géré. Grâce à cette fonctionnalité, vous pouvez personnaliser le nom du compte, activer ou désactiver le compte, et même rendre aléatoire le nom du compte pour une sécurité accrue. De plus, la mise à jour comprend une intégration améliorée avec les stratégies de gestion des comptes locaux existantes de Microsoft. Pour en savoir plus sur cette fonctionnalité, consultez les modes de gestion des comptes Windows LAPS.

• Nouvelle fonction de détection du retour en arrière de l'image

  Windows LAPS détecte désormais lorsqu'un retour en arrière de l'image se produit. Si un retour en arrière se produit, le mot de passe stocké dans AD peut ne plus correspondre au mot de passe stocké localement sur l'appareil. Les retours en arrière peuvent entraîner un « état de déchirement » dans lequel l'administrateur informatique est incapable de se connecter à l'appareil à l'aide du mot de passe Windows LAPS persistant.

  Pour résoudre ce problème, une nouvelle fonctionnalité a été ajoutée qui inclut un attribut AD appelé msLAPS-CurrentPasswordVersion. Cet attribut contient un GUID aléatoire écrit par Windows LAPS chaque fois qu'un nouveau mot de passe est conservé dans AD et enregistré localement. Au cours de chaque cycle de traitement, le GUID stocké dans msLAPS-CurrentPasswordVersion est interrogé et comparé à la copie conservée localement. S'ils sont différents, le mot de passe est immédiatement modifié.

  Pour activer cette fonctionnalité, il est nécessaire d'exécuter la dernière version de la cmdlet Update-LapsADSchema. Une fois cette opération terminée, Windows LAPS reconnaît le nouvel attribut et commence à l'utiliser. Si vous n'exécutez pas la version mise à jour de la cmdlet Update-LapsADSchema, Windows LAPS enregistre un événement d'avertissement 10108 dans le journal des événements, mais continue à fonctionner normalement à tous les autres égards.

  Aucun paramètre de stratégie n'est utilisé pour activer ou configurer cette fonctionnalité. La fonctionnalité est toujours activée une fois que le nouvel attribut de schéma est ajouté.

• Nouvelle fonction de phrase d'authentification

  Les administrateurs informatiques peuvent désormais utiliser une nouvelle fonctionnalité de Windows LAPS qui permet de générer des phrases de passe moins complexes. Par exemple, une phrase mot de passe comme « JeMangeDesBonbonsDelicieux », qui est plus facile à lire, à retenir et à taper qu'un mot de passe traditionnel du type « V3r_b4tim#963? ».

  Cette nouvelle fonctionnalité permet également de configurer le paramètre de stratégie PasswordComplexity pour sélectionner l'une des trois listes de mots de passe différentes, qui sont toutes incluses dans Windows sans nécessiter de téléchargement séparé. Un nouveau paramètre de stratégie appelé PassphraseLength contrôle le nombre de mots utilisés dans la phrase de passe.

  Lorsque vous créez une phrase de passe, le nombre de mots spécifié est sélectionné au hasard dans la liste de mots choisie et concaténé. La première lettre de chaque mot est mise en majuscule pour améliorer la lisibilité. Cette fonction prend également en charge la sauvegarde des mots de passe dans Windows Server AD ou Microsoft Entra ID.

  Les listes de mots de passe utilisées dans les trois nouveaux paramètres de phrase de passe de PasswordComplexity proviennent de l’article de l’Electronic Frontier Foundation intitulé Deep Dive : EFF’s New Wordlists for Random Passphrases. La liste de mots de passe Windows LAPS est placée sous la licence CC-BY-3.0 Attribution et peut être téléchargée.

  Remarque

  Windows LAPS ne permet pas de personnaliser les listes de mots intégrées ni d'utiliser des listes de mots configurées par le client.

• Amélioration de la lisibilité du dictionnaire de mots de passe

  Windows LAPS introduit un nouveau paramètre PasswordComplexity qui permet aux administrateurs informatiques de créer des mots de passe moins complexes. Cette fonction vous permet de personnaliser LAPS afin d'utiliser les quatre catégories de caractères (lettres majuscules, lettres minuscules, chiffres et caractères spéciaux) comme le paramètre de complexité existant de 4. Toutefois, avec le nouveau paramètre de 5, les caractères les plus complexes sont exclus afin d'améliorer la lisibilité des mots de passe et de réduire les risques de confusion. Par exemple, le chiffre « 1 » et la lettre « I » ne sont jamais utilisés avec la nouvelle configuration.

  Lorsque PasswordComplexity est configuré sur 5, les modifications suivantes sont apportées au jeu de caractères du dictionnaire de mots de passe par défaut :

  1. N'utilisez pas les lettres suivantes : I, O, Q, l et o.
  2. N'utilisez pas les chiffres suivants : 0 et 1
  3. N'utilisez pas les caractères spéciaux suivants : ',', '.', '&', '{', '}', '[', ']', '(', ')', ';'
  4. Commencez à utiliser ces caractères spéciaux : ':', '=', '?', '*'

  Le snap-in Utilisateurs et ordinateurs d'Active Directory (via Microsoft Management Console) comporte désormais un onglet Windows LAPS amélioré. Le mot de passe Windows LAPS est désormais affiché dans une nouvelle police qui améliore sa lisibilité lorsqu'il est affiché en texte clair.

• Support PostAuthenticationAction pour l'arrêt des processus individuels

  Une nouvelle option est ajoutée au paramètre de stratégie de groupe PostAuthenticationActions (PAA), « Réinitialiser le mot de passe, déconnecter le compte géré et terminer tous les processus restants » situé dans Configuration de l'ordinateur >Modèles d'administration >Système > LAPS > Post-authentication actions.

  Cette nouvelle option est une extension de l'option précédente « Réinitialiser le mot de passe et déconnecter le compte géré ». Une fois configuré, l'AAP notifie et met fin à toutes les sessions de connexion interactives. Il énumère et termine tous les processus encore en cours d'exécution sous l'identité du compte local géré par Windows LAPS. Il est important de noter qu'aucune notification ne précède cette interruption.

  En outre, l'extension des événements de journal pendant l'exécution de l'action post-authentification permet de mieux comprendre l'opération.

Pour en savoir plus sur Windows LAPS, consultez Qu'est-ce que Windows LAPS?

Terminal Windows

Windows Terminal, une application multi-environnement puissante et efficace pour les utilisateurs de ligne de commande, est disponible dans cette version. Recherchez « Terminal » dans la barre de recherche.

Winget

Winget est installé par défaut, il s’agit d’un un outil en ligne de commandes qui permet d’interagir avec le gestionnaire de paquets Windows Package Manager et qui fournit des solutions complètes de gestion de package pour installer des applications sur les appareils Windows. Pour plus d’informations, veuillez consulter la section Utiliser l’outil Winget pour installer et gérer des applications.

Accélération réseau

La mise en réseau accélérée simplifie la gestion de la virtualisation d’E/S racine unique (SR-IOV) pour les machines virtuelles hébergées sur des clusters Windows Server 2025. Cette fonctionnalité utilise le chemin de données SR-IOV hautes performances pour réduire la latence, la gigue et l’utilisation du processeur. La mise en réseau accélérée ajoute également une couche de gestion qui gère la vérification des prérequis, la configuration de l’hôte et les paramètres de performances des machines virtuelles.

Voir aussi

• Discussions de la communauté Windows Server Insiders