Compartilhar via


Novidades no Windows Server 2025

Este artigo descreve alguns dos desenvolvimentos mais recentes no Windows Server 2025, que possui recursos avançados que melhoram a segurança, o desempenho e a flexibilidade. Com opções de armazenamento mais rápidas e a capacidade de integração com ambientes de nuvem híbrida, o gerenciamento de sua infraestrutura agora é mais simplificado. O Windows Server 2025 baseia-se na base sólida de seu antecessor e, ao mesmo tempo, apresenta uma série de aprimoramentos inovadores para se adaptar às suas necessidades.

Se você estiver interessado em experimentar os recursos mais recentes do Windows Server 2025 antes do lançamento oficial, consulte Introdução a Windows Server Insiders Preview.

Experiência de desktop e atualização

Atualizar usando o Windows Update

Você pode executar uma atualização in-loco de duas maneiras: da mídia de origem ou do Windows Update. A Microsoft oferece um recurso opcional de atualização in-loco por meio do Windows Update, conhecido como atualização de recursos. A atualização de recursos está disponível para dispositivos Windows Server 2019 e Windows Server 2022.

Ao atualizar usando o Windows Update na caixa de diálogo Configurações, você pode executar a instalação diretamente do Windows Update na área de trabalho ou usando o SConfig para Server Core. Sua organização pode preferir implementar atualizações incrementalmente e querer controlar a disponibilidade dessa atualização opcional usando a Diretiva de Grupo.

Para saber mais sobre como gerenciar a oferta de Atualizações de Recursos, consulte Gerenciar atualizações de recursos com Política de Grupo no Windows Server.

Atualização in-loco do Windows Server 2012 R2

Com o Windows Server 2025, você pode atualizar até quatro versões por vez. Você pode atualizar diretamente para o Windows Server 2025 do Windows Server 2012 R2 e posterior.

Shell da área de trabalho

Quando você entra pela primeira vez, a experiência do shell da área de trabalho está em conformidade com o estilo e a aparência do Windows 11.

Bluetooth

Agora você pode conectar mouses, teclados, fones de ouvido, dispositivos de áudio e muito mais via bluetooth no Windows Server 2025.

DTrace

O Windows Server 2025 vem equipado com o dtrace como uma ferramenta nativa. O DTrace é um utilitário de linha de comando que permite aos usuários monitorar e solucionar problemas de desempenho do sistema em tempo real. O DTrace permite que os usuários instrumentem dinamicamente o código do kernel e do espaço do usuário sem qualquer necessidade de modificar o próprio código. Essa ferramenta versátil oferece suporte a uma variedade de técnicas de coleta e análise de dados, como agregações, histogramas e rastreamento de eventos no nível do usuário. Para saber mais, consulte DTrace para obter ajuda sobre a linha de comando e DTrace no Windows para obter recursos adicionais.

E-mail e contas

Agora você pode adicionar os seguintes tipos de contas nas Configurações do Windows em Contas > Email e contas para o Windows Server 2025:

  • ID do Microsoft Entra
  • Conta da Microsoft
  • Conta corporativa ou de estudante

É importante ter em mente que a associação de domínio ainda é necessária para a maioria das situações.

Hub de Feedback

O envio de comentários ou o relatório de problemas encontrados durante o uso do Windows Server 2025 agora podem ser feitos usando o Hub de Comentários do Windows. Você pode incluir capturas de tela ou gravações do processo que causou o problema para nos ajudar a entender sua situação e compartilhar sugestões para melhorar sua experiência com o Windows. Para saber mais, consulte Explorar o Hub de Comentários.

Compactação de arquivos

O Windows Server 2025 tem um novo recurso de compactação ao compactar um item executando um clique com o botão direito do mouse chamado Compactar para. Esse recurso suporta formatos de compactação ZIP, 7z e TAR com métodos de compactação específicos para cada um.

Aplicativos fixados

A fixação das suas aplicações mais utilizadas está agora disponível através do menu Iniciar e pode ser personalizada para atender às suas necessidades. Os aplicativos fixados padrão são:

  • Configuração do Azure Arc
  • Hub de Feedback
  • Explorador de Arquivos
  • Microsoft Edge
  • Gerenciador do Servidor
  • Configurações
  • Terminal
  • Windows PowerShell

Gerenciador de Tarefas

O Windows Server 2025 usa o aplicativo Gerenciador de Tarefas moderno com material Mica em conformidade com o estilo do Windows 11.

Wi-Fi

Agora é mais fácil habilitar os recursos sem fio, pois o recurso Serviço de LAN sem fio agora está instalado por padrão. O serviço de inicialização sem fio é definido como manual e pode ser habilitado executando net start wlansvc no Prompt de Comando, no Terminal do Windows ou no PowerShell.

Terminal do Windows

O Terminal do Windows, um aplicativo multishell poderoso e eficiente para usuários de linha de comando, está disponível no Windows Server 2025. Procure por Terminal na barra de pesquisa.

Vitória

O Winget é instalado por padrão, que é uma ferramenta de linha de comando do Gerenciador de Pacotes do Windows que fornece soluções abrangentes de gerenciador de pacotes para instalar aplicativos em dispositivos Windows. Para obter mais informações, confira Usar a ferramenta winget para instalar e gerenciar aplicativos.

Segurança avançada em várias camadas

Patch rápido (versão prévia)

O Hotpatch agora está disponível para computadores Windows Server 2025 conectados ao Azure Arc quando habilitado no portal do Azure Arc. O Hotpatch permite que você aplique atualizações de segurança do sistema operacional sem precisar reiniciar sua máquina. Para saber mais, confira Patch dinâmico.

Importante

O Hotpatch habilitado para Azure Arc está atualmente em versão prévia. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Credential Guard

A partir do Windows Server 2025, o Credential Guard agora está habilitado por padrão nos dispositivos que atendem aos requisitos. Para obter mais informações sobre o Credential Guard, consulte Configurar Credential Guard.

Active Directory Domain Services

Os aprimoramentos mais recentes dos Serviços de Domínio Active Directory (AD DS) e dos Serviços de Domínio Active Directory (AD LDS) introduzem uma série de novas funcionalidades e recursos destinados a otimizar sua experiência de gerenciamento de domínio:

  • Recurso opcional de tamanho de página de banco de dados de 32k: o AD usa um banco de dados ESE (Mecanismo de Armazenamento Extensível) desde sua introdução no Windows 2000 que usa um tamanho de página de banco de dados de 8k. A decisão de design de arquitetura de 8k resultou em limitações em todo o AD que estão documentadas na Escalabilidade de Limites Máximos do AD. Um exemplo dessa limitação é um único objeto AD de registro, que não pode superar 8k bytes de tamanho. Mover para um formato de página de banco de dados 32k traz uma grande melhoria em áreas afetadas por restrições herdadas, incluindo atributos de vários valores agora são capazes de manter até ~3200 valores, o que é um aumento por um fator de 2,6.

    Novos DCs podem ser instalados com um banco de dados de página de 32k que usa LIDs (Long Value IDs) de 64 bits e é executado em "modo de página de 8k" para ter compatibilidade com versões anteriores. Um DC atualizado continua usando seu formato de banco de dados atual e 8k páginas. A migração para páginas de banco de dados de 32k é feita em toda a floresta e exige que todos os DCs na floresta tenham um banco de dados com capacidade para páginas de 32k.

  • Atualizações de esquema do AD - Três novos Arquivos de Banco de Dados de Log (LDF), que estendem o esquema, são introduzidos sch89.ldf, sch90.ldf e sch91.ldf. As atualizações de esquema equivalentes para o AD LDS estão no MS-ADAM-Upgrade3.ldf. Para saber mais sobre as atualizações de esquema anteriores, consulte Atualizações de esquema do Windows Server AD

  • Reparo de objeto do AD - Agora o AD permite que os administradores corporativos reparem objetos com os atributos essenciais SamAccountType e ObjectCategory ausentes. Os administradores corporativos podem redefinir o atributo LastLogonTimeStamp em um objeto para a hora atual. Essas operações são obtidas por meio de um novo recurso de operação de modificação RootDSE no objeto afetado chamado fixupObjectState.

  • Suporte para auditoria de vinculação de canais: os eventos 3074 e 3075 agora podem ser habilitados para vinculação de canal do protocolo LDAP. Quando a política de associação de canal é modificada para uma configuração mais segura, um administrador pode identificar dispositivos no ambiente que não dão suporte ou falham na associação de canal. Esses eventos de auditoria também estão disponíveis no Windows Server 2022 e superior via KB4520412.

  • Melhorias no algoritmo de localização DC: o algoritmo de descoberta de DC fornece nova funcionalidade com melhorias no mapeamento de nomes de domínio curtos no estilo NetBIOS para nomes de domínio no estilo DNS. Para saber mais, consulte Alterações no localizador de DC do Active Directory.

    Observação

    O Windows não usa mailslots durante operações de descoberta de DC, pois a Microsoft anunciou a substituição de WINS e mailslots para estas tecnologias herdadas.

  • Níveis funcionais de floresta e domínio: o novo nível funcional é usado para suporte geral e é necessário para o novo recurso de tamanho de página do banco de dados de 32K. O novo nível funcional é mapeado para o valor de DomainLevel 10 e ForestLevel 10 para as instalações autônomas. A Microsoft não tem planos de modernizar os níveis funcionais para o Windows Server 2019 e o Windows Server 2022. Para conduzir uma promoção autônoma e um rebaixamento de um controlador de domínio (DC), consulte Sintaxe do arquivo de resposta DCPROMO para promoção autônoma e rebaixamento de controladores de domínio.

    A Interface de programação de aplicativo (API) DsGetDcName também oferece suporte a um novo sinalizador DS_DIRECTORY_SERVICE_13_REQUIRED que permite a localização de DCs que executam o Windows Server 2025. Para saber mais sobre os níveis funcionais confira os artigos a seguir:

    Observação

    Novos conjuntos de configuração do AD LDS ou de florestas do AD são necessários para ter um nível funcional do Windows Server 2016 ou superior. A promoção de uma réplica do AD ou do AD LDS requer que o conjunto de configurações ou domínios existentes já estejam em execução com um nível funcional do Windows Server 2016 ou superior.

    A Microsoft recomenda que todos os clientes comecem a planejar agora o upgrade de seus servidores do AD e AD LDS para o Windows Server 2022 como uma preparação para a próxima versão.

  • Algoritmos aprimorados para Pesquisas de nome/Sid - Encaminhamento de Pesquisa de Nome da Autoridade de Segurança Local (LSA) e de Sid entre contas de máquina não usa mais o canal seguro Netlogon herdado. A autenticação Kerberos e o algoritmo DC Locator são usados em vez disso. Para manter a compatibilidade com os sistemas operacionais herdados, ainda é possível usar o canal seguro Netlogon como uma opção de fallback.

  • Segurança aprimorada para atributos confidenciais - DCs e instâncias do AD LDS só permitem que o LDAP adicione, pesquise e modifique operações envolvendo atributos confidenciais quando a conexão é criptografada.

  • Segurança aprimorada para senhas de conta de computador padrão - Agora o AD usa senhas de conta de computador padrão geradas de forma aleatória. Os controladores de domínio do Windows 2025 bloqueiam a configuração de senhas de conta de computador como a senha padrão do nome da conta de computador.

    Esse comportamento pode ser controlado habilitando-se a configuração de GPO Controlador de domínio: Recusar a configuração de senha de conta de computador padrão localizada em: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

    Utilitários como o ADAC (Active Directory Administrative Center), o ADUC (Active Directory Users and Computers) net computere dsmod também respeitam esse novo comportamento. Tanto o ADAC como o ADUC não permitem mais a criação de uma conta do Windows antes do 2000.

  • Suporte a Kerberos PKINIT para agilidade criptográfica: a implementação do protocolo PKINIT (Criptografia por Chave Pública para Autenticação Inicial no Kerberos) foi atualizada para permitir agilidade criptográfica, dando suporte a mais algoritmos e removendo algoritmos codificados.

  • Configuração de GPO do LAN Manager: a configuração do GPO Segurança de rede: não armazenar o valor hash do LAN Manager na próxima alteração de senha não está mais presente nem se aplica a novas versões do Windows.

  • Criptografia LDAP por padrão: toda a comunicação do cliente LDAP após uma vinculação SASL (Simple Authentication and Security Layer) usa a validação LDAP por padrão. Para saber mais sobre SASL, confira AutenticaçãoSASL.

  • Suporte LDAP para TLS 1.3: o LDAP usa a implementação SCHANNEL mais recente e tem suporte para TLS 1.3 para vinculações LDAP sobre TLS. O uso de TLS 1.3 elimina algoritmos criptográficos obsoletos, aprimora a segurança se comparado a versões mais antigas e tem como objetivo criptografar o máximo possível do handshake. Para saber mais, consulte Protocolos no TLS/SSL (SSP Schannel) e TLS Cipher Suites no Windows Server 2022.

  • Comportamento de alteração de senha herdada do SAM RPC: protocolos seguros como Kerberos são a forma preferida de trocar senhas de usuários de domínio. Em DCs, o método mais recente de alteração de senha SAM RPC SamrUnicodeChangePasswordUser4 usando AES é aceito por padrão quando chamado remotamente. Os seguintes métodos herdados do SAM RPC são bloqueados por padrão quando chamados remotamente:

    Para usuários de domínio que são membros do Grupo de usuários protegidos e para contas locais em computadores membros do domínio, todas as alterações de senha remotas por meio da interface herdada do SAM RPC são bloqueadas por padrão, incluindo SamrUnicodeChangePasswordUser4.

    Esse comportamento pode ser controlado usando a seguinte configuração de GPO (Política de Grupo):

    Configuração do Computador > Modelos Administrativos > Sistema > Gerenciador de Contas de Segurança > Configurar a política de métodos RPC de alteração de senha do SAM

  • Suporte a NUMA: o AD DS agora aproveita o hardware compatível com Acesso de memória não uniforme (NUMA) utilizando CPUs em todos os grupos de processadores. Anteriormente, o AD só usava CPUs no grupo 0. O Active Directory pode se expandir para mais de 64 núcleos.

  • Contadores de desempenho: o monitoramento e a solução de problemas de performance dos seguintes contadores agora estão disponíveis:

    • Localizador de Controladores de Domínio: contadores específicos para clientes e DC disponíveis.

    • Pesquisas LSA - Nome e pesquisas de SID através de LsaLookupNames, LsaLookupSids e APIs equivalentes. Esses contadores estão disponíveis nas SKUs de cliente e servidor.

    • Cliente LDAP: disponível no Windows Server 2022 e posterior via atualização do KB 5029250.

  • Ordem de prioridade de replicação: o AD agora permite que os administradores aumentem a prioridade de replicação calculada do sistema com um parceiro de replicação específico para um contexto de nomenclatura específico. Esse recurso permite mais flexibilidade para configurar a ordem de replicação e solucionar situações específicas.

Conta de Serviço Gerenciado Delegado

Esse novo tipo de conta permite a migração de uma conta de serviço para uma conta de serviço gerenciado delegada (dMSA). Esse tipo de conta vem com chaves gerenciadas e totalmente aleatórias, garantindo alterações mínimas no aplicativo enquanto desabilita as senhas originais da conta de serviço. Para saber mais, consulte Visão geral de contas de serviço gerenciado delegado.

LAPS (Solução de Senha de Administrador Local) do Windows

Com o Windows LAPS, as organizações gerenciam senhas de administrador local em seus computadores ingressados no domínio. Ele gera automaticamente senhas exclusivas para a conta de administrador local de cada computador, depois as armazena com segurança no AD e as atualiza com frequência. As senhas geradas automaticamente ajudam a melhorar a segurança, reduzindo o risco de invasores obterem acesso a sistemas confidenciais usando senhas comprometidas ou fáceis de adivinhar.

Foram introduzidos diversos recursos no Microsoft LAPS, que trazem as seguintes melhorias:

  • Novo recurso de gerenciamento automático de contas

    Com a atualização mais recente, os administradores de TI criam uma conta local, que é gerenciada com facilidade. Com esse recurso, você pode personalizar o nome da conta, habilitar ou desabilitar a conta e, até mesmo, randomizar o nome da conta para aumentar a segurança. Além disso, a atualização inclui integração aprimorada com as políticas de gerenciamento existentes de contas locais da Microsoft. Para saber mais sobre esse recurso, consulte Modos de gerenciamento de contas do Windows LAPS.

  • Novo recurso de detecção de reversão de imagens

    O Windows LAPS agora consegue detectar quando ocorre uma reversão de imagem. Se ocorrer uma reversão, a senha armazenada no AD pode não corresponder mais à senha armazenada localmente no dispositivo. As reversões podem produzir um "estado de rompimento", em que o administrador de TI não consegue acessar o dispositivo usando a senha persistente do Windows LAPS.

    Para resolver esse problema, foi adicionado um novo recurso que inclui um atributo do AD chamado msLAPS-CurrentPasswordVersion. Esse atributo contém um GUID aleatório gravado pelo Windows LAPS sempre que uma nova senha persiste no AD e é salva localmente. Durante cada ciclo de processamento, o GUID armazenado em msLAPS-CurrentPasswordVersion é consultado e comparado com a cópia local persistente. Se eles forem diferentes, a senha será imediatamente alternada.

    Para habilitar esse recurso, execute a versão mais recente do cmdlet Update-LapsADSchema. Depois que você fizer isso, o Windows LAPS reconhecerá o novo atributo e passará a usá-lo. Se você não executar a versão atualizada do cmdlet Update-LapsADSchema, o Windows LAPS registrará um evento de aviso 10108 no log de eventos, mas continuará funcionando normalmente em todos os outros aspectos.

    Nenhuma configuração de política é utilizada para habilitar ou configurar esse recurso. O recurso é habilitado sempre que o novo atributo de esquema é adicionado.

  • Novo recurso para senhas

    Agora, os administradores de TI podem utilizar um novo recurso no Windows LAPS para possibilitar a geração de senhas menos complexas. Um exemplo seria uma frase secreta, como EatYummyCaramelCandy, que é mais fácil de ler, lembrar e digitar, em comparação com uma senha tradicional como V3r_b4tim#963?.

    Com esse novo recurso, a configuração de política PasswordComplexity é configurada para selecionar uma das três listas de palavras de senhas diferentes, todas incluídas no Windows sem que você precise fazer um download separado. Uma nova configuração de política, chamada PassphraseLength, controla a quantidade de palavras usadas na senha.

    Quando você cria uma senha, a quantidade especificada de palavras é selecionada aleatoriamente na lista de palavras escolhida e, depois, é concatenada. Para melhorar a legibilidade, a primeira letra de cada palavra é maiúscula. Esse recurso também possibilita o backup total de senhas para o Windows Server AD ou o Microsoft Entra ID.

    As listas de senhas usadas nas três novas configurações de senha PasswordComplexity são provenientes do artigo da Electronic Frontier Foundation, "Deep Dive: EFF's New Wordlists for Random Passphrases. O arquivo Windows LAPS Passphrase Word Lists é usado sob a licença do CC-BY-3.0 Attribution e está disponível para download.

    Observação

    O Windows LAPS não permite personalizar as listas de palavras integradas nem usar listas de palavras configuradas pelo cliente.

  • Dicionário de senhas para melhorar a legibilidade

    O Windows LAPS apresenta uma nova configuração PasswordComplexity para que os administradores de TI criem senhas menos complexas. Esse recurso possibilita personalizar o LAPS para usar as quatro categorias de caracteres (letras maiúsculas, letras minúsculas, números e caracteres especiais) como a configuração de complexidade 4 existente. Entretanto, com a nova configuração de 5, os caracteres mais complexos são excluídos, o que melhora a legibilidade da senha e minimiza possíveis confusões. Por exemplo, o número "1" e a letra "I" nunca são usados com essa nova configuração.

    Quando PasswordComplexity é configurado como 5, o conjunto de caracteres do dicionário de senha padrão sofre as seguintes alterações:

    • Não use estas letras: 'I', 'O', 'Q', 'l', 'o'
    • Não use estes números: '0', '1'
    • Não use estes caracteres "especiais": ',', '.', '&', '{', '}', '[', ']', '(', ')', ';'
    • Comece a usar estes caracteres "especiais": ':', '=', '?', '*'

    O snap-in Usuários e Computadores do Active Directory (pelo Console de Gerenciamento da Microsoft) agora apresenta uma guia aprimorada do Windows LAPS. A senha do Windows LAPS agora aparece em uma nova fonte, que deixa o texto mais legível quando mostrada em texto sem formatação.

  • Suporte de PostAuthenticationAction para encerrar processos individuais

    Uma nova opção foi adicionada à configuração da Política de Grupo PostAuthenticationActions (PAA), "Redefina a senha, saia da conta gerenciada e encerre todos os processos restantes”, localizada em Configuração do Computador > Modelos Administrativos > Sistema > LAPS > Ações de Pós-autenticação.

    Essa nova opção é uma extensão da opção anterior, "Redefina a senha e saia da conta gerenciada". Depois de configurado, o PAA notifica e encerra todas as sessões de acesso interativas. Ele enumera e encerra todos os processos restantes que ainda estão em execução sob a identidade de conta local gerenciada pelo Windows LAPS. É importante observar que não há qualquer notificação antes desse encerramento.

    Além disso, a expansão do registro de eventos durante a execução da ação pós-autenticação contém insights mais detalhados sobre a operação.

Para saber mais sobre o Windows LAPS, consulte O que é o Windows LAPS?.

OpenSSH

Em versões anteriores do Windows Server, a ferramenta de conectividade OpenSSH exigia instalação manual antes do uso. O componente do lado do servidor OpenSSH é instalado por padrão no Windows Server 2025. A interface do usuário do Gerenciador do Servidor também inclui uma opção de uma etapa em Acesso SSH Remoto que habilita ou desabilita o sshd.exe serviço. Além disso, você pode adicionar usuários ao grupo Usuários do OpenSSH para permitir ou restringir o acesso aos seus dispositivos. Para saber mais, consulte Visão geral do OpenSSH para Windows.

Linha de base de segurança

Ao implementar uma linha de base de segurança personalizada, você pode estabelecer medidas de segurança desde o início para seu dispositivo ou função VM com base na postura de segurança recomendada. Essa linha de base vem equipada com mais de 350 configurações de segurança do Windows pré-configuradas que habilitam aplicar e impor configurações de segurança específicas que se alinham com as práticas recomendadas pelos padrões da Microsoft e do setor. Para saber mais, consulte Visão geral do OSConfig.

Enclaves de Segurança Baseada em Virtualização (VBS)

Um enclave VBS é um ambiente de execução confiável (TEE) baseado em software dentro do espaço de endereço de um aplicativo host. Os enclaves VBS usam a tecnologia VBS subjacente para isolar a parte confidencial de um aplicativo em uma partição segura de memória. Enclaves SBV habilitam o isolamento de cargas de trabalho confidenciais do aplicativo host e do restante do sistema.

As enclaves SBV permitem que os aplicativos protejam seus segredos, eliminando a necessidade de confiar nos administradores e protegendo contra invasores mal-intencionados. Para obter mais informações, leia a referência Win32 dos enclaves SBV.

Proteção de chaves de segurança baseada em virtualização (SBV)

A proteção de chave SBV permite que os desenvolvedores do Windows protejam chaves criptográficas usando segurança baseada em virtualização (SBV). A SBV usa o recurso de extensão de virtualização da CPU para criar um runtime isolado fora do sistema operacional normal. Quando estão em uso, as chaves SBV são isoladas em um processo seguro, permitindo que as operações de chave ocorram sem nunca expor o material da chave privada fora desse espaço. Em repouso, o material da chave privada é criptografado por uma chave TPM, que associa chaves SBV ao dispositivo. As chaves protegidas dessa maneira não podem ser despejadas da memória do processo ou exportadas em texto simples do computador de um usuário. A proteção de chave VBS ajuda a evitar ataques de exfiltração por qualquer invasor de nível de administrador. O VBS deve ser habilitado para usar a proteção de chave. Consulte Habilitar integridade de memória para obter informações sobre como habilitar o VBS.

Conectividade segura

Gerenciamento seguro de certificado

A pesquisa ou recuperação de certificados no Windows agora oferece suporte a hashes SHA-256, conforme descrito nas funções CertFindCertificateInStore e CertGetCertificateContextProperty. A autenticação do servidor TLS é mais segura no Windows e agora requer um comprimento mínimo de chave RSA de 2.048 bits. Para obter mais informações, leia Autenticação de servidor TLS: desativação de certificados RSA fracos.

SMB por QUIC

O recurso de servidor SMB sobre QUIC , que só estava disponível no Windows Server Azure Edition, agora está disponível nas versões Windows Server Standard e Windows Server Datacenter. O SMB sobre QUIC adiciona os benefícios do QUIC, que fornece conexões criptografadas de baixa latência pela internet.

Política de habilitação SMB sobre QUIC

Os administradores podem desabilitar o cliente SMB por QUIC usando Política de Grupo e o PowerShell. Para desabilitar SMB sobre QUIC usando Política de Grupo, defina a política Habilitar SMB sobre QUIC nos seguintes caminhos como Desabilitado:

  • Computer Configuration\Administrative Templates\Network\Lanman Workstation

  • Computer Configuration\Administrative Templates\Network\Lanman Server

Para desabilitar o SMB por QUIC usando o PowerShell, execute este comando em um prompt elevado do PowerShell:

Set-SmbClientConfiguration -EnableSMBQUIC $false
Assinatura SMB e auditoria de criptografia

Os administradores podem habilitar a auditoria do servidor e cliente SMB para oferecer suporte à assinatura e criptografia SMB. Se um cliente ou servidor que não seja da Microsoft não tiver suporte para criptografia ou assinatura SMB, ele poderá ser detectado. Quando um dispositivo ou software que não é da Microsoft declara que dá suporte ao SMB 3.1.1, mas não dá suporte à assinatura SMB, ele viola o requisito do protocolo de integridade de pré-autenticação SMB 3.1.1.

Você pode definir as configurações de auditoria de assinatura e criptografia SMB usando a Política de Grupo ou o PowerShell. Essas políticas podem ser alteradas nos seguintes caminhos de Política de Grupo:

  • O cliente Computer Configuration\Administrative Templates\Network\Lanman Server\Audit não oferece suporte à criptografia

  • O cliente Computer Configuration\Administrative Templates\Network\Lanman Server\Audit não oferece suporte à assinatura

  • O servidor Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit não oferece suporte à criptografia

  • O servidor Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit não oferece suporte à assinatura

Para executar essas alterações usando o PowerShell, execute esses comandos em um prompt elevado onde $true é para habilitar e $false para desabilitar essas configurações:

Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true

Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true

Os logs de eventos para essas alterações são armazenados nos seguintes caminhos do Visualizador de Eventos com sua ID de Evento fornecida.

Caminho ID do evento
Logs de serviços e aplicativos\Microsoft\Windows\SMBClient\Audit 31998
31999
Logs de serviços e aplicativos\Microsoft\Windows\SMBServer\Audit 3021
3022
Auditoria de SMB por QUIC

A auditoria de conexão de cliente SMB por QUIC captura eventos que são gravados em um log de eventos para incluir o transporte QUIC no Visualizador de Eventos. Esses logs são armazenados nos seguintes caminhos com sua ID de evento fornecida.

Caminho ID do evento
Logs de serviços e aplicativos\Microsoft\Windows\SMBClient\Connectivity 30832
Logs de serviços e aplicativos\Microsoft\Windows\SMBServer\Connectivity 1913
Controle de acesso de cliente SMB sobre QUIC

O Windows Server 2025 inclui o controle de acesso do cliente SMB sobre QUIC. O SMB sobre QUIC é uma alternativa ao TCP e RDMA que fornece conectividade segura para servidores de arquivos de borda em redes não confiáveis. O controle de acesso do cliente introduz mais controles para restringir o acesso aos seus dados usando certificados. Para saber mais, consulte Como funciona o controle de acesso do cliente.

Portas alternativas SMB

Você pode usar o cliente SMB para se conectar a portas TCP, QUIC e RDMA alternativas em vez de seus padrões IANA/IETF de 445, 5445 e 443. Portas alternativas podem ser configuradas por meio da Política de Grupo ou do PowerShell. Anteriormente, o servidor SMB no Windows exigia conexões de entrada para usar a porta registrada pela IANA TCP/445, enquanto o cliente TCP SMB só permitia conexões de saída para essa mesma porta TCP. Agora, o SMB sobre QUIC permite portas alternativas SMB onde as portas UDP/443 exigidas pelo QUIC estão disponíveis para dispositivos de servidor e cliente. Para saber mais, consulte Configurar portas SMB alternativas.

Proteção de regras de firewall SMB

Anteriormente, quando um compartilhamento era criado, as regras de firewall SMB eram configuradas automaticamente para habilitar o grupo Compartilhamento de Arquivos e Impressoras para os perfis de firewall relevantes. Agora, a criação de um compartilhamento SMB no Windows resulta na configuração automática do novo grupo de compartilhamento de arquivos e impressoras (restritivo), que não permite mais as portas NetBIOS de entrada 137-139. Para saber mais, consulte Regras de firewall atualizadas.

Criptografia SMB

Impor criptografia SMB está habilitado para todas as conexões de cliente SMB de saída. Com essa atualização, os administradores podem definir um mandato para que todos os servidores de destino ofereçam suporte a SMB 3.x e criptografia. Se um servidor não tiver esses recursos, o cliente não poderá estabelecer uma conexão.

Limitador de taxa de autenticação SMB

O limitador de taxa de autenticação SMB foi projetado para limitar o número de tentativas de autenticação que podem ser feitas dentro de um determinado período de tempo. O limitador de taxa de autenticação SMB ajuda a combater ataques de autenticação de força bruta. O serviço de servidor SMB usa o limitador de taxa de autenticação para implementar um atraso entre cada tentativa de autenticação baseada em NTLM ou PKU2U com falha e é habilitado por padrão. Para saber mais, consulte Como funciona o limitador de taxa de autenticação SMB.

Desabilitar SMB NTLM

A partir do Windows Server 2025, o cliente SMB dá suporte ao bloqueio NTLM para conexões de saída remotas. Anteriormente, o SPNEGO (Mecanismo de Negociação GSSAPI Simples e Protegido) do Windows negociava Kerberos, NTLM e outros mecanismos com o servidor de destino para determinar um pacote de segurança com suporte. Para saber mais, consulte Bloquear conexões NTLM no SMB.

Controle de dialeto SMB

Agora você pode gerenciar dialetos SMB no Windows. Quando configurado, o servidor SMB determina quais dialetos SMB 2 e SMB 3 ele negocia em comparação com o comportamento anterior correspondente apenas ao dialeto mais alto.

Assinatura de SMB

A assinatura SMB agora é necessária por padrão para todas as conexões de saída SMB, onde anteriormente só era necessária ao se conectar a compartilhamentos chamados SYSVOL e NETLOGON em controladores de domínio do AD. Para saber mais, consulte Como funciona a assinatura

Remote Mailslots

O protocolo de Slot de Email Remoto é desabilitado por padrão para SMB e para uso do protocolo de localizador DC com o Active Directory. O slot de correio remoto pode ser removido em uma versão posterior. Para saber mais, consulte Recursos que não estamos mais desenvolvendo.

Proteção de RRAS (Serviços de Roteamento e Acesso Remoto)

Por padrão, novas instalações de Serviços de Roteamento e Acesso Remoto (RRAS) não aceitam conexões VPN baseadas em protocolos PPTP e L2TP. Se necessário, você ainda poderá habilitar esses protocolos. As conexões VPN baseadas em SSTP e IKEv2 ainda são aceitas sem qualquer alteração.

As configurações existentes mantêm seu comportamento. Por exemplo, se você estiver executando o Windows Server 2019 e aceitar conexões PPTP e L2TP e atualizar para o Windows Server 2025 usando uma atualização in-loco, as conexões baseadas em L2TP e PPTP ainda serão aceitas. Essa alteração não afeta os sistemas operacionais de clientes do Windows. Para saber mais sobre como reabilitar o PPTP e o L2TP, consulte Configurar protocolos VPN.

Hyper-V, IA e desempenho

Rede Acelerada

A Rede Acelerada (AccelNet) simplifica o gerenciamento da virtualização de E/S de raiz única (SR-IOV) para máquinas virtuais (VM) hospedadas em clusters do Windows Server 2025. Esse recurso usa o caminho de dados SR-IOV de alto desempenho para reduzir a latência, o jitter e a utilização da CPU. O AccelNet também inclui uma camada de gerenciamento que lida com a verificação de pré-requisitos, a configuração do host e as configurações de desempenho da VM. Para saber mais, consulte Rede acelerada na borda (versão prévia).

Gerenciador do Hyper-V

Quando você cria uma nova VM por meio do Gerenciador do Hyper-V, a Geração 2 agora é definida como a opção padrão no Assistente para Nova Máquina Virtual.

Tradução de paginação imposta por hipervisor

A HVPT (conversão de paginação imposta pelo hipervisor) é um aprimoramento de segurança para impor a integridade das traduções de endereços lineares. O HVPT protege os dados críticos do sistema contra ataques de gravação em que o invasor grava um valor arbitrário em um local arbitrário, geralmente como resultado de um estouro de buffer. O HVPT protege tabelas de páginas que configuram estruturas de dados críticas do sistema. O HVPT inclui tudo o que já está protegido com a integridade de código protegida por hipervisor (HVCI). O HVPT é habilitado por padrão onde o suporte de hardware está disponível. O HVPT não é habilitado quando o Windows Server é executado como convidado em uma VM.

GPU-P (particionamento de GPU)

O particionamento de GPU permite que você compartilhe um dispositivo de GPU físico com várias máquinas virtuais (VMs). Em vez de alocar toda a GPU para uma única VM, o particionamento de GPU atribui frações dedicadas da GPU a cada VM. Com a alta disponibilidade da GPU do Hyper-V, uma VM da GPU é habilitada automaticamente em outro nó de cluster no caso de tempo de inatividade não planejado. A Migração ao Vivo da GPU-P fornece uma solução para mover uma VM (para tempo de inatividade planejado ou balanceamento de carga) com a GPU-P para outro nó, seja ele autônomo ou clusterizado. Para saber mais sobre o particionamento de GPU, consulte Particionamento de GPU.

Compatibilidade dinâmica do processador

O modo de compatibilidade dinâmica do processador foi atualizado para aproveitar os novos recursos do processador em um ambiente em cluster. A compatibilidade dinâmica do processador usa o número máximo de recursos do processador disponíveis em todos os servidores em um cluster. O modo melhora o desempenho em comparação com a versão anterior de compatibilidade do processador. A compatibilidade dinâmica do processador também permite que você salve seu estado entre hosts de virtualização que usam diferentes gerações de processadores. O modo de compatibilidade do processador agora fornece recursos dinâmicos aprimorados em processadores capazes de SLAT (conversão de endereços de segundo nível). Para saber mais sobre o modo de compatibilidade atualizado, consulte Modo de compatibilidade dinâmica do processador.

Grupos de trabalho

Os clusters de grupo de trabalho do Hyper-V são um tipo especial de cluster de failover do Windows Server em que os nós de cluster do Hyper-V não são membros de um domínio do Active Directory com a capacidade de migrar VMs ao vivo em um cluster de grupo de trabalho.

Network ATC

A ATC de Rede simplifica a implantação e o gerenciamento de configurações de rede para clusters do Windows Server 2025. A ATC de Rede utiliza uma abordagem baseada em intenção, em que os usuários especificam suas intenções desejadas, como gerenciamento, computação ou armazenamento para um adaptador de rede, e a implantação é automatizada com base na configuração pretendida. Essa abordagem reduz o tempo, a complexidade e os erros associados à implantação da rede do host, garante a consistência da configuração em todo o cluster e elimina o desvio de configuração. Para saber mais, consulte Implantar a rede de host com a ATC de Rede.

Escalabilidade

Com o Windows Server 2025, o Hyper-V agora dá suporte a até 4 petabytes de memória e 2.048 processadores lógicos por host. Esse aumento permite maior escalabilidade e desempenho para cargas de trabalho virtualizadas.

O Windows Server 2025 também oferece suporte a até 240 TB de memória e 2.048 processadores virtuais para VMs de geração 2, fornecendo maior flexibilidade para executar grandes cargas de trabalho. Para saber mais, consulte Planejar a escalabilidade do Hyper-V no Windows Server.

Armazenamento

Suporte à clonagem de blocos

A partir do Windows 11 24H2 e do Windows Server 2025, o Dev Drive agora oferece suporte à clonagem de blocos. Como o Dev Drive usa o formato de sistema de arquivos ReFS, o suporte à clonagem de blocos oferece benefícios significativos de desempenho ao copiar arquivos. Com a clonagem de blocos, o sistema de arquivos pode copiar um intervalo de bytes de arquivo em nome de um aplicativo como uma operação de metadados de baixo custo, em vez de executar operações caras de leitura e gravação nos dados físicos subjacentes. Isso resulta em conclusão mais rápida da cópia de arquivos, E/S reduzida para o armazenamento subjacente e capacidade de armazenamento aprimorada, permitindo que vários arquivos compartilhem os mesmos clusters lógicos. Para saber mais, consulte Clonagem de blocos no ReFS.

Dev Drive

O Dev Drive é um volume de armazenamento que visa melhorar o desempenho de cargas de trabalho cruciais do desenvolvedor. O Dev Drive utiliza a tecnologia ReFS e incorpora otimizações específicas do sistema de arquivos para oferecer maior controle sobre as configurações e a segurança do volume de armazenamento. Isso inclui a capacidade de designar confiança, definir configurações de antivírus e exercer controle administrativo sobre os filtros anexados. Para saber mais, consulte Configurar um Dev Drive no Windows 11.

NVMe

NVMe é um novo padrão para SSDs (unidades de estado sólido) rápidas. O desempenho do armazenamento NVMe foi otimizado no Windows Server 2025 com desempenho aprimorado, resultando em um aumento no IOPS e diminuição na utilização da CPU.

Compactação de réplica de armazenamento

A compactação da réplica de armazenamento reduz a quantidade de dados transferidos pela rede durante a replicação. Para saber mais sobre a compactação na Réplica de Armazenamento, consulte Visão geral da Réplica de Armazenamento.

Log Avançado da Réplica de Armazenamento

Os logs aprimorados ajudam a implementação do log da réplica de armazenamento a eliminar os custos de desempenho associados às abstrações do sistema de arquivos, levando a um melhor desempenho da replicação de blocos. Para saber mais, consulte Log avançado de réplica de armazenamento.

Desduplicação e compactação de armazenamento nativo do ReFS

A desduplicação e a compactação de armazenamento nativo do ReFS são técnicas usadas para otimizar a eficiência do armazenamento para cargas de trabalho estáticas e ativas, como servidores de arquivos ou áreas de trabalho virtuais. Para saber mais sobre a eliminação de duplicação e compactação do ReFS, consulte Otimizar o armazenamento com a eliminação de duplicação e compactação do ReFS no Azure Stack HCI.

Volumes com provisionamento dinâmico

Os volumes com provisionamento dinâmico com Espaços de Armazenamento Diretos são uma maneira de alocar recursos de armazenamento com mais eficiência e evitar a superalocação dispendiosa alocando do pool somente quando necessário em um cluster. Você também pode converter volumes fixos em thin provisioned. A conversão de volumes fixos em thin provisioned retorna qualquer armazenamento não utilizado de volta ao pool para outros volumes usarem. Para saber mais sobre volumes com provisionamento dinâmico, consulte Provisionamento dinâmico de armazenamento.

Protocolo SMB

O SMB (Server Message Block) é um dos protocolos mais utilizados em rede, que fornece uma maneira confiável de compartilhar arquivos e outros recursos entre dispositivos em sua rede. O Windows Server 2025 inclui suporte à compactação SMB para o algoritmo de compactação LZ4 padrão do setor. O LZ4 é um acréscimo ao suporte existente das PMEs para XPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1 e PATTERN_V1.

Azure Arc e híbrido

Configuração simplificada do Azure Arc

Por padrão, o Recurso Sob Demanda de configuração do Azure Arc é instalado, oferecendo uma interface de assistente amigável e um ícone da bandeja do sistema na barra de tarefas para facilitar o processo de adição de servidores ao Azure Arc. O Azure Arc estende os recursos da plataforma Azure, permitindo a criação de aplicativos e serviços que podem operar em diversos ambientes. Esses ambientes incluem data centers, edge, ambientes multicloud e fornecem maior flexibilidade. Para saber mais, consulte Conectar computadores do Windows Server ao Azure por meio da Instalação do Azure Arc.

Licenciamento pré-pago

A opção de licenciamento de assinatura paga conforme o uso do Azure Arc é uma alternativa ao licenciamento perpétuo convencional para Windows Server 2025. Com o pagamento conforme o uso, você pode implantar um dispositivo Windows Server, licenciá-lo e pagar apenas pelo valor usado. Esse recurso é facilitado por meio do Azure Arc e cobrado por meio de sua assinatura do Azure. Saiba mais sobre o licenciamento pago conforme o uso do Azure Arc.

Gerenciamento do Windows Server habilitado pelo Azure Arc

O Gerenciamento do Windows Server habilitado pelo Azure Arc oferece novos benefícios aos clientes com licenças do Windows Server que têm Software Assurances ativos ou licenças do Windows Server que são licenças de assinatura ativas. O Windows Server 2025 tem os seguintes benefícios principais:

  • Windows Admin Center no Azure Arc: o Windows Admin Center agora está integrado ao Azure Arc, permitindo que você gerencie suas instâncias do Windows Server no portal do Azure Arc. Essa integração fornece uma experiência de gerenciamento unificada para suas instâncias do Windows Server, estejam elas em execução local, na nuvem ou na borda.

  • Suporte remoto: oferece aos clientes com suporte profissional a capacidade de conceder acesso just-in-time (JIT) com transcrições de execução detalhadas e direitos de revogação.

  • Avaliação de práticas recomendadas: coleta e análise de dados do servidor para gerar problemas e diretrizes de correção e melhorias de desempenho.

  • Configuração do Azure Site Recovery: a configuração do Azure Site Recovery para garantir a continuidade dos negócios, fornece replicação e resiliência de dados para cargas de trabalho críticas.

Para saber mais sobre o Gerenciamento do Windows Server habilitado pelo Azure Arc e os benefícios disponíveis, consulte Gerenciamento do Windows Server habilitado pelo Azure Arc.

Rede definida pelo software (SDN)

SDN é uma abordagem de rede que permite que os administradores de rede gerenciem serviços de rede por meio da abstração de funcionalidades de nível inferior. A SDN permite a separação do plano de controle de rede, que é responsável por gerenciar a rede, do plano de dados, que lida com o tráfego real. Essa separação permite maior flexibilidade e programabilidade no gerenciamento de rede. A SDN fornece os seguintes benefícios no Windows Server 2025:

  • O Controlador de Rede, que é o painel de controle da SDN, agora está hospedado diretamente como serviços de Cluster de Failover nos computadores host físicos. O uso de uma função de cluster elimina a necessidade de implantar VMs, simplificando a implantação e o gerenciamento e conservando recursos.

  • A segmentação baseada em tags permite que os administradores usem marcas de serviço personalizadas para associar NSGs (Grupos de Segurança de Rede) e VMs para controle de acesso. Em vez de especificar intervalos de IP, os administradores agora podem usar rótulos simples e autoexplicativos para marcar VMs de carga de trabalho e aplicar políticas de segurança com base nessas marcas. As tags simplificam o processo de gerenciamento da segurança da rede e eliminam a necessidade de lembrar e redigitar intervalos de IP. Para saber mais, consulte Configurar grupos de segurança de rede com marcas no Windows Admin Center.

  • As políticas de rede padrão no Windows Server 2025 trazem opções de proteção semelhantes às do Azure para NSGs para cargas de trabalho implantadas por meio do Windows Admin Center. A política padrão nega todo o acesso de entrada, permitindo a abertura seletiva de portas de entrada conhecidas e permitindo o acesso de saída completo de VMs de carga de trabalho. As políticas de rede padrão garantem que as VMs de carga de trabalho sejam protegidas desde o ponto de criação. Para saber mais, confira Usar políticas de acesso à rede padrão em máquinas virtuais no Azure Stack HCI, versão 23H2.

  • O SDN Multisite fornece conectividade nativa de camada 2 e camada 3 entre aplicativos em dois locais sem nenhum componente extra. Esse recurso permite a movimentação contínua de aplicativos sem a necessidade de reconfigurar o aplicativo ou as redes. Ele também oferece gerenciamento unificado de políticas de rede para cargas de trabalho, garantindo que as políticas não precisem ser atualizadas quando uma VM de carga de trabalho for movida de um local para outro. Para saber mais, consulte O que é SDN Multisite?.

  • O desempenho dos gateways de camada 3 SDN é aprimorado, alcançando maior taxa de transferência e ciclos de CPU reduzidos. Essas melhorias são ativadas por padrão. Os usuários experimentam automaticamente um melhor desempenho quando uma conexão de camada 3 do gateway SDN é configurada por meio do PowerShell ou do Windows Admin Center.

Portabilidade de contêineres do Windows

A portabilidade é um aspecto crucial do gerenciamento de contêineres e tem a capacidade de simplificar as atualizações aplicando maior flexibilidade e compatibilidade de contêineres no Windows. A portabilidade é um recurso do Windows Server que permite aos usuários mover imagens de contêiner e seus dados associados entre diferentes hosts ou ambientes sem exigir nenhuma modificação. Os usuários podem criar uma imagem de contêiner em um host e, em seguida, implantá-la em outro host sem ter que se preocupar com problemas de compatibilidade. Para saber mais, consulte Portabilidade para contêineres.

Programa Windows Server Insider

O Programa Windows Server Insider fornece acesso antecipado às versões mais recentes do sistema operacional Windows para uma comunidade de entusiastas. Como membro, você pode estar entre os primeiros a experimentar novas ideias e conceitos que a Microsoft está desenvolvendo. Depois de se registrar como membro, você pode optar por participar de diferentes canais de lançamento acessando o Programa Windows Insider do Windows Update.

Confira também