Partilhar via

Novidades no Windows Server 2025

Este artigo descreve alguns dos desenvolvimentos mais recentes no Windows Server 2025, que possui recursos avançados que melhoram a segurança, o desempenho e a flexibilidade. Com opções de armazenamento mais rápidas e a capacidade de integração com ambientes de nuvem híbrida, o gerenciamento de sua infraestrutura agora é mais simplificado. O Windows Server 2025 baseia-se na base forte de seu antecessor e apresenta uma série de aprimoramentos inovadores para se adaptar às suas necessidades.

Experiência de desktop e atualização

Explore as opções de atualização e a experiência no desktop.

Atualizar usando o Windows Update

Você pode executar uma atualização no local a partir da mídia de origem ou do Windows Update. A Microsoft oferece um recurso opcional de atualização no local por meio do Windows Update, que é conhecido como uma atualização de funcionalidade. A atualização de recursos está disponível para dispositivos Windows Server 2019 e Windows Server 2022.

Ao atualizar usando o Windows Update na caixa de diálogo Configurações, você pode realizar a instalação diretamente do Windows Update no desktop ou usando SConfig para o Server Core. Sua organização pode preferir implementar atualizações incrementalmente e deseja controlar a disponibilidade dessa atualização opcional usando a Política de Grupo.

Para saber mais sobre como gerenciar a oferta de atualizações de recursos, consulte Gerenciar atualizações de recursos com a Política de Grupo no Windows Server.

Atualização in-loco do Windows Server 2012 R2

Com o Windows Server 2025, você pode atualizar até quatro versões por vez. Você pode atualizar diretamente para o Windows Server 2025 do Windows Server 2012 R2 e posterior.

Shell da área de trabalho

Quando você entra pela primeira vez, a experiência do shell da área de trabalho está em conformidade com o estilo e a aparência do Windows 11.

Bluetooth

Agora você pode conectar mouses, teclados, headsets, dispositivos de áudio e muito mais via Bluetooth no Windows Server 2025.

DTrace

O Windows Server 2025 vem equipado com o dtrace como uma ferramenta nativa. O DTrace é um utilitário de linha de comando que permite aos usuários monitorar e solucionar problemas de desempenho do sistema em tempo real. Com o DTrace, você pode instrumentar dinamicamente o kernel e o código de espaço do usuário sem a necessidade de modificar o próprio código. Essa ferramenta versátil oferece suporte a uma variedade de técnicas de coleta e análise de dados, como agregações, histogramas e rastreamento de eventos no nível do usuário. Para saber mais, consulte DTrace para obter ajuda de linha de comando e DTrace no Windows para outros recursos.

E-mail e contas

Agora você pode adicionar os seguintes tipos de contas em Configurações do Windows em Contas>contas de email & para o Windows Server 2025:

  • ID do Microsoft Entra
  • Conta da Microsoft
  • Conta corporativa ou de estudante

A junção de domínio ainda é necessária para a maioria das situações.

Hub de Feedback

Para enviar comentários ou relatar problemas encontrados ao usar o Windows Server 2025, use o Hub de Comentários do Windows. Inclua capturas de tela ou gravações do processo que causou o problema para nos ajudar a entender sua situação e compartilhar sugestões para aprimorar sua experiência no Windows. Para saber mais, consulte Explorar o Hub de Comentários.

Compactação de arquivo

O Windows Server 2025 tem um novo recurso de compactação. Para compactar um item, clique com o botão direito do mouse e selecione Compactar para. Esse recurso dá suporte a ZIP, 7ze formatos de compactação TAR com métodos de compactação específicos para cada um deles.

Aplicativos fixados

A fixação das suas aplicações mais utilizadas está agora disponível no menu Iniciar e pode ser personalizada para atender às suas necessidades. Os aplicativos fixados padrão são:

  • Configuração do Azure Arc
  • Hub de Feedback
  • Explorador de Arquivos
  • Microsoft Edge
  • Gerenciador do Servidor
  • Configurações
  • Terminal
  • Windows PowerShell

Gerenciador de Tarefas

O Windows Server 2025 usa o aplicativo Gerenciador de Tarefas moderno com material Mica que se adéqua ao estilo do Windows 11.

Wi-Fi

Agora é mais fácil habilitar recursos sem fio porque o recurso serviço de LAN sem fio agora está instalado por padrão. O serviço de inicialização sem fio é definido como manual. Para habilitá-lo, execute net start wlansvc no prompt de comando, no Terminal do Windows ou no PowerShell.

Terminal do Windows

O Terminal do Windows, um aplicativo multishell poderoso e eficiente para usuários de linha de comando, está disponível no Windows Server 2025. Pesquise Terminal na barra de busca.

Vitória

O WinGet é instalado por padrão, que é uma ferramenta do Gerenciador de Pacotes do Windows de linha de comando que fornece soluções abrangentes do gerenciador de pacotes para instalar aplicativos em dispositivos Windows. Para saber mais, consulte Usar a ferramenta WinGet para instalar e gerenciar aplicativos.

Segurança avançada de várias camadas

Saiba mais sobre segurança no Windows 2025.

Hotpatch (versão prévia)

O Hotpatch agora está disponível para máquinas Windows Server 2025 conectadas ao Azure Arc, depois que o Hotpatch é habilitado no portal do Azure Arc. Você pode usar o Hotpatch para aplicar atualizações de segurança do sistema operacional sem reiniciar o computador. Para saber mais, confira Patch dinâmico.

Importante

O Hotpatch habilitado para Azure Arc está atualmente em versão prévia. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Credential Guard

A partir do Windows Server 2025, o Credential Guard agora está habilitado por padrão nos dispositivos que atendem aos requisitos. Para obter mais informações sobre o Credential Guard, consulte Configurar Credential Guard.

Active Directory Domain Services

Os aprimoramentos mais recentes dos Serviços de Domínio Active Directory (AD DS) e dos Serviços de Domínio Active Directory (AD LDS) introduzem uma série de novas funcionalidades e recursos destinados a otimizar sua experiência de gerenciamento de domínio:

  • Recurso opcional de tamanho de página de banco de dados de 32k:: o Active Directory usa um banco de dados ESE (Mecanismo de Armazenamento Extensível) desde sua introdução no Windows 2000 que usa um tamanho de página de banco de dados de 8k. A decisão de design de arquitetura relacionada ao 8k resultou em limitações em todo o Active Directory, as quais estão documentadas em limites máximos do Active Directory: escalabilidade. Um exemplo dessa limitação é um único registro do objeto Active Directory, que não pode exceder o tamanho de 8k bytes. Migrar para um formato de página de banco de dados 32k oferece uma grande melhoria nas áreas afetadas pelas restrições herdadas. Os atributos multivalorizados agora podem conter até aproximadamente 3.200 valores, o que é um aumento em um fator de 2,6.

    Você pode instalar novos controladores de domínio (DCs) com um banco de dados de página de 32k que usa LIDs (Long Value IDs) de 64 bits e é executado em modo de página de 8k para ter compatibilidade com versões anteriores. Um DC atualizado continua usando seu formato de banco de dados atual e 8k páginas. A migração para um banco de dados de 32k páginas é realizada em toda a floresta e requer que todos os DCs na floresta possuam um banco de dados compatível com 32k páginas.

  • atualizações de esquema do Active Directory: são introduzidos três novos arquivos de banco de dados de log que estendem o esquema do Active Directory: sch89.ldf, sch90.ldfe sch91.ldf. As atualizações de esquema equivalentes para o AD LDS estão no MS-ADAM-Upgrade3.ldf. Para saber mais sobre atualizações de esquema anteriores, consulte atualizações de esquema do Windows Server Active Directory.

  • Reparação do objeto do Active Directory: os administradores empresariais agora podem reparar objetos com os atributos principais ausentes SamAccountType e ObjectCategory. Os administradores corporativos podem redefinir o atributo LastLogonTimeStamp em um objeto para a hora atual. Essas operações são obtidas por meio de um novo recurso de operação de modificação RootDSE no objeto afetado chamado fixupObjectState.

  • Suporte à auditoria de associação de canal: agora você pode habilitar os eventos 3074 e 3075 para associação de canal LDAP (Lightweight Directory Access Protocol). Quando a política de associação de canal é modificada para uma configuração mais segura, um administrador pode identificar dispositivos no ambiente que não dão suporte ou falham na associação de canal. Esses eventos de auditoria também estão disponíveis no Windows Server 2022 e superior via KB4520412.

  • Melhorias no algoritmo de localização DC: o algoritmo de descoberta de DC fornece nova funcionalidade com melhorias no mapeamento de nomes de domínio curtos no estilo NetBIOS para nomes de domínio no estilo DNS. Para saber mais, consulte Localizando controladores de domínio no Windows e no Windows Server.

    Observação

    O Windows não usa mailslots durante operações de descoberta de DC, pois a Microsoft anunciou a substituição de WINS e mailslots para estas tecnologias herdadas.

  • Níveis funcionais de floresta e domínio: o novo nível funcional é usado para suporte geral e é necessário para o novo recurso de tamanho de página do banco de dados de 32K. O novo nível funcional mapeia os valores de DomainLevel 10 e ForestLevel 10 para instalações sem supervisão. A Microsoft não tem planos de modernizar os níveis funcionais para o Windows Server 2019 e o Windows Server 2022. Para conduzir uma promoção autônoma e um rebaixamento de um DC, consulte Sintaxe do arquivo de resposta DCPROMO para promoção autônoma e rebaixamento de controladores de domínio.

    A API DsGetDcName também dá suporte ao novo sinalizador que permite a localização de DCs executando o Windows Server 2025. Para saber mais sobre os níveis funcionais confira os artigos a seguir:

    Observação

    Novas florestas do Active Directory ou conjuntos de configuração do AD LDS devem ter um nível funcional do Windows Server 2016 ou posterior. A promoção de uma réplica do Active Directory ou do AD LDS requer que o domínio ou conjunto de configuração existente já esteja em execução com um nível funcional do Windows Server 2016 ou posterior.

    A Microsoft recomenda que todos os clientes comecem a planejar agora atualizar seus servidores Active Directory e AD LDS para o Windows Server 2022 em preparação para a próxima versão.

  • Algoritmos aprimorados para Pesquisas de nome/SID: encaminhamento de Pesquisa de Nome da autoridade de segurança local (LSA) e de SID entre contas de máquina não usa mais o canal seguro Netlogon herdado. Em vez disso, a autenticação Kerberos e o algoritmo do Localizador de DC são usados. Para manter a compatibilidade com os sistemas operacionais herdados, ainda é possível usar o canal seguro Netlogon como uma opção de fallback.

  • Segurança aprimorada para atributos confidenciais: os DCs e as instâncias do AD LDS permitem apenas que o LDAP adicione, pesquise e modifique operações que envolvam atributos confidenciais quando a conexão é criptografada.

  • Segurança aprimorada para senhas de conta de computador padrão: o Active Directory agora usa senhas de conta de computador padrão geradas aleatoriamente. Os controladores de domínio do Windows 2025 bloqueiam a configuração de senhas de conta de computador como a senha padrão do nome da conta de computador.

    Para controlar esse comportamento, habilite a configuração de GPO (Objeto de Política de Grupo) Controlador de domínio: recusar configuração de senha de conta de computador padrão localizada em Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança.

    Utilitários como O ADAC (Active Directory Administrative Center), ADUC (Usuários e Computadores do Active Directory), net computere dsmod também respeitam esse novo comportamento. O ADAC e o ADUC não permitem mais a criação de uma conta pré-Windows 2000.

  • Suporte do Kerberos PKINIT para a agilidade criptográfica: A implementação do protocolo de Criptografia de Chave Pública para Autenticação Inicial no Kerberos (PKINIT) foi atualizada para permitir agilidade criptográfica, ampliando o suporte a mais algoritmos e removendo algoritmos codificados.

  • Configuração de GPO do LAN Manager: a configuração do GPO Segurança de rede: não armazenar o valor hash do LAN Manager na próxima alteração de senha não está mais presente nem se aplica a novas versões do Windows.

  • Criptografia LDAP por padrão: toda a comunicação do cliente LDAP após uma vinculação da Camada de Segurança e Autenticação Simples (SASL) usa a validação LDAP por padrão. Para saber mais sobre SASL, confira AutenticaçãoSASL.

  • suporte LDAP para TLS (Transport Layer Security) 1.3: O LDAP usa a implementação SCHANNEL mais recente e dá suporte ao TLS 1.3 para LDAP em conexões TLS. O uso do TLS 1.3 elimina algoritmos criptográficos obsoletos e aprimora a segurança em versões mais antigas. O TLS 1.3 visa criptografar o máximo possível do handshake. Para saber mais, consulte Protocolos no TLS/SSL (SSP Schannel) e TLS Cipher Suites no Windows Server 2022.

  • Comportamento de alteração de senha de chamada de procedimento remoto (RPC) do Gerenciador de Contas de Segurança (SAM) legado: Protocolos seguros como Kerberos são a maneira preferida de alterar senhas de usuários de domínio. Em DCs, o método de alteração de senha SAM RPC mais recente samrUnicodeChangePasswordUser4 usando o AES (Advanced Encryption Standard) é aceito por padrão quando é chamado remotamente. Os seguintes métodos herdados do SAM RPC são bloqueados por padrão quando são chamados remotamente:

    Para usuários de domínio que são membros do grupo Usuários Protegidos e para contas locais em computadores membros do domínio, todas as alterações de senha remota por meio da interface herdada do SAM RPC são bloqueadas por padrão, incluindo SamrUnicodeChangePasswordUser4.

    Para controlar esse comportamento, use a seguinte configuração de GPO:

    Configuração do Computador>Modelos Administrativos>Sistema>Gerenciador de Contas de Segurança>Configurar a política de métodos RPC de alteração de senha do SAM

  • suporte a NUMA (Acesso à Memória Não Uniforme): o AD DS agora aproveita o hardware compatível com NUMA usando CPUs em todos os grupos de processadores. Anteriormente, o Active Directory só usaria CPUs no grupo 0. O Active Directory pode se expandir para mais de 64 núcleos.

  • Contadores de desempenho: Monitoramento e solução de problemas do desempenho dos seguintes contadores agora estão disponíveis:

    • Localizador DC: Contadores específicos para clientes e DCs estão disponíveis.
    • Pesquisas de LSA: Pesquisas de Nome e SID por meio de LsaLookupNames, LsaLookupSids e APIs equivalentes. Esses contadores estão disponíveis em versões de cliente e servidor.
    • Cliente LDAP: disponível no Windows Server 2022 e posterior por meio da atualização KB 5029250.

  • Ordem de prioridade de replicação : Os administradores agora podem aumentar a prioridade de replicação, calculada pelo sistema, com um parceiro de replicação específico para um contexto de nomes específico. Esse recurso permite mais flexibilidade para configurar a ordem de replicação e solucionar situações específicas.

Conta de Serviço Gerenciado Delegado

Esse novo tipo de conta permite a migração de uma conta de serviço para uma conta de serviço gerenciado delegada (dMSA). Esse tipo de conta vem com chaves gerenciadas e totalmente aleatórias para garantir alterações mínimas no aplicativo enquanto as senhas da conta de serviço original estão desabilitadas. Para saber mais, consulte Visão geral de contas de serviço gerenciado delegado.

Solução de senha do administrador local do Windows

A Solução de Senha do Administrador Local do Windows (LAPS) ajuda as organizações a gerenciar senhas de administrador local em seus computadores que fazem parte do domínio. Ele gera automaticamente senhas exclusivas para a conta de administrador local de cada computador. Em seguida, armazena-os com segurança no Active Directory e os atualiza regularmente. As senhas geradas automaticamente ajudam a melhorar a segurança. Eles reduzem o risco de invasores obterem acesso a sistemas confidenciais usando senhas comprometidas ou facilmente adivinhadas.

Vários recursos novos no Microsoft LAPS apresentam as seguintes melhorias:

  • Nova funcionalidade de gerenciamento automático de contas: os administradores de TI agora podem criar uma conta local gerenciada com facilidade. Com esse recurso, você pode personalizar o nome da conta e habilitar ou desabilitar a conta. Você pode até mesmo randomizar o nome da conta para segurança aprimorada. A atualização também inclui uma integração aprimorada com as políticas de gerenciamento de conta local existentes da Microsoft. Para saber mais sobre esse recurso, consulte Modos de gerenciamento de contas do Windows LAPS.

  • Detecção de reversão de nova imagem: o Windows LAPS agora detecta quando ocorre uma reversão de imagem. Se ocorrer uma reversão, a senha armazenada no Active Directory poderá não corresponder mais à senha armazenada localmente no dispositivo. As reversões podem resultar em um estado instável. Nesse caso, o administrador de TI não consegue entrar no dispositivo usando a senha persistente do Windows LAPS.

    Para resolver esse problema, foi adicionado um novo recurso que inclui um atributo do Active Directory chamado msLAPS-CurrentPasswordVersion. Esse atributo contém um GUID (identificador global exclusivo) aleatório escrito pelo Windows LAPS sempre que uma nova senha é mantida no Active Directory e salva localmente. Durante cada ciclo de processamento, o GUID armazenado em msLAPS-CurrentPasswordVersion é consultado e comparado com a cópia persistente localmente. Se eles forem diferentes, a senha será imediatamente alternada.

    Para habilitar esse recurso, execute a versão mais recente do cmdlet Update-LapsADSchema. Em seguida, o Windows LAPS reconhece o novo atributo e começa a usá-lo. Se você não executar a versão atualizada do cmdlet Update-LapsADSchema, o Windows LAPS registrará um evento de aviso 10108 no log de eventos, mas continuará funcionando normalmente em todos os outros aspectos.

    Nenhuma configuração de política é utilizada para habilitar ou configurar esse recurso. O recurso é sempre habilitado depois que o novo atributo de esquema é adicionado.

  • Nova frase secreta: os administradores de TI agora podem usar um novo recurso no Windows LAPS que permite a geração de frases secretas menos complexas. Um exemplo é uma senha, como EatYummyCaramelCandy. Essa frase é mais fácil de ler, lembrar e digitar em comparação com uma senha tradicional como V3r_b4tim#963?.

    Com esse novo recurso, você pode definir a configuração de política PasswordComplexity para selecionar uma das três listas de palavras diferentes para frases secretas. Todas as listas são incluídas no Windows e não exigem um download separado. Uma nova configuração de política chamada PassphraseLength controla o número de palavras usadas na frase secreta.

    Quando você cria uma frase secreta, o número especificado de palavras é selecionado aleatoriamente na lista de palavras escolhida e concatenadas. Para melhorar a legibilidade, a primeira letra de cada palavra é maiúscula. Esse recurso também dá suporte total ao backup de senhas no Active Directory ou na ID do Microsoft Entra.

    As listas de senhas usadas nas três novas configurações de senha PasswordComplexity são provenientes do artigo da Electronic Frontier Foundation, " Deep Dive: EFF's New Wordlists for Random Passphrases. O arquivo Windows LAPS Passphrase Word Lists é usado sob a licença de atribuição CC-BY-3.0 e está disponível para download.

    Observação

    O Windows LAPS não permite a personalização das listas de palavras internas ou o uso de listas de palavras configuradas pelo cliente.

  • Dicionário de Senhas com Legibilidade Aprimorada: O Windows LAPS introduz uma nova configuração de PasswordComplexity que permite aos administradores de TI criar senhas menos complexas. Você pode usar esse recurso para personalizar o LAPS para usar todas as quatro categorias de caracteres (letras maiúsculas, letras minúsculas, números e caracteres especiais), como a configuração de complexidade existente de 4. Com a nova configuração de 5, os caracteres mais complexos são excluídos para aprimorar a legibilidade da senha e minimizar a confusão. Por exemplo, o numeral 1 e a letra I nunca são usados com a nova configuração.

    Quando PasswordComplexity é configurado para 5, as seguintes alterações são feitas no conjunto de caracteres de dicionário de senha padrão:

    • Não use: As letras I, O, Q, l, o
    • Não use: os números 0, 1
    • Não use: Os caracteres especiais ,, ., &, {, }, [, ], (, ), ;
    • Use: Os caracteres especiais :, =, ?, *

    O snap-in do ADUC (por meio do Console de Gerenciamento da Microsoft) agora apresenta uma guia aprimorada do Windows LAPS. A senha do Windows LAPS agora aparece em uma nova fonte que aprimora sua legibilidade quando aparece em texto sem formatação.

  • Suporte à ação pós-autenticação para encerrar processos individuais: uma nova opção é adicionada à configuração de Política de Grupo (PAA) de ações de pós-autenticação, Reset the password, sign out the managed account, and terminate any remaining processes, localizada em Configuração de Computador>Modelos Administrativos>Sistema>LAPS>Ações pós-autenticação.

    Essa nova opção é uma extensão da opção anterior, Reset the password and log off the managed account. Após a configuração, o PAA notifica e encerra as sessões de entrada interativas. Ele enumera e encerra todos os processos restantes que ainda estão em execução sob a identidade da conta local gerenciada pelo Windows LAPS. Nenhuma notificação precede essa terminação.

    A expansão dos eventos de registro em log durante a execução da PAA fornece insights mais profundos sobre a operação.

Para saber mais sobre o Windows LAPS, consulte O que é o Windows LAPS?.

OpenSSH

Em versões anteriores do Windows Server, a ferramenta de conectividade OpenSSH exigia instalação manual antes do uso. O componente do lado do servidor OpenSSH é instalado por padrão no Windows Server 2025. A interface do usuário do Gerenciador do Servidor também inclui uma opção de uma etapa em Acesso SSH Remoto que habilita ou desabilita o sshd.exe serviço. Além disso, você pode adicionar usuários ao grupo Usuários do OpenSSH para permitir ou restringir o acesso aos seus dispositivos. Para saber mais, consulte Visão geral do OpenSSH para Windows.

Linha de base de segurança

Ao implementar uma linha de base de segurança personalizada, você pode estabelecer medidas de segurança desde o início para seu dispositivo ou função VM com base na postura de segurança recomendada. Essa linha de base vem equipada com mais de 350 configurações de segurança pré-configuradas do Windows. Você pode usar as configurações para aplicar e impor configurações de segurança específicas que se alinham às práticas recomendadas pela Microsoft e pelos padrões do setor. Para saber mais, consulte Visão geral do OSConfig.

Enclaves de segurança baseados em virtualização

Um enclave de segurança baseada em virtualização (VBS) é um ambiente de execução confiável baseado em software dentro do espaço de endereçamento de um aplicativo host. Os enclaves VBS usam a tecnologia VBS subjacente para isolar a parte confidencial de um aplicativo em uma partição segura de memória. Enclaves SBV habilitam o isolamento de cargas de trabalho confidenciais do aplicativo host e do restante do sistema.

As enclaves SBV permitem que os aplicativos protejam seus segredos, eliminando a necessidade de confiar nos administradores e protegendo contra invasores mal-intencionados. Para obter mais informações, leia a referência Win32 dos enclaves SBV.

Proteção de chave de segurança baseada em virtualização

A proteção de chave VBS permite que os desenvolvedores do Windows protejam chaves criptográficas usando VBS. A SBV usa o recurso de extensão de virtualização da CPU para criar um runtime isolado fora do sistema operacional normal.

Quando em uso, as chaves VBS são isoladas em um processo seguro. Operações de chave podem ocorrer sem expor o material da chave privada fora desse espaço. Em repouso, o material da chave privada é criptografado por uma chave TPM, que associa chaves SBV ao dispositivo. As chaves protegidas dessa maneira não podem ser despejadas da memória do processo ou exportadas em texto simples do computador de um usuário.

A proteção de chave VBS ajuda a evitar ataques de exfiltração por qualquer invasor de nível de administrador. O VBS deve ser habilitado para usar a proteção de chave. Para obter informações sobre como habilitar o VBS, consulte Habilitar a integridade de memória.

Conectividade segura

As seções a seguir discutem a segurança das conexões.

Gerenciamento seguro de certificado

A pesquisa ou recuperação de certificados no Windows agora dá suporte a hashes SHA-256, conforme descrito nas funções CertFindCertificateInStore e CertGetCertificateContextProperty. A autenticação de servidor TLS é mais segura no Windows e agora requer um comprimento mínimo de chave RSA de 2.048 bits. Para obter mais informações, leia Autenticação de servidor TLS: desativação de certificados RSA fracos.

SMB por QUIC

O recurso de servidor SMB sobre QUIC , que só estava disponível no Windows Server Azure Edition, agora está disponível nas versões Windows Server Standard e Windows Server Datacenter. O SMB sobre QUIC adiciona os benefícios do QUIC, que fornece conexões criptografadas de baixa latência pela internet.

Política de habilitação SMB sobre QUIC

Os administradores podem desabilitar o cliente SMB sobre QUIC por meio da Política de Grupo e do PowerShell. Para desabilitar o SMB por QUIC usando a Política de Grupo, defina a política Habilitar SMB por QUIC nos seguintes caminhos como Desabilitada:

  • Configuração do Computador\Modelos Administrativos\Rede\Trabalhador Lanman
  • Configuração do Computador\Modelos Administrativos\Rede\Servidor Lanman

Para desabilitar o SMB no QUIC usando o PowerShell, execute este comando em um prompt do PowerShell com privilégios elevados:

Set-SmbClientConfiguration -EnableSMBQUIC $false
Assinatura SMB e auditoria de criptografia

Os administradores podem habilitar a auditoria do servidor e cliente SMB para oferecer suporte à assinatura e criptografia SMB. Se um cliente ou servidor que não seja da Microsoft não tiver suporte para criptografia ou assinatura SMB, ele poderá ser detectado. Quando um dispositivo ou software que não é da Microsoft declara que dá suporte ao SMB 3.1.1, mas não dá suporte à assinatura SMB, ele viola o requisito do protocolo de integridade de pré-autenticação SMB 3.1.1.

Você pode definir as configurações de assinatura e auditoria de criptografia do SMB usando a Política de Grupo ou o PowerShell. Você pode alterar essas políticas nos seguintes caminhos de Política de Grupo:

  • O cliente Computer Configuration\Administrative Templates\Network\Lanman Server\Audit não oferece suporte à criptografia
  • O cliente Computer Configuration\Administrative Templates\Network\Lanman Server\Audit não oferece suporte à assinatura
  • O servidor Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit não oferece suporte à criptografia
  • O servidor Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit não oferece suporte à assinatura

Para executar essas alterações usando o PowerShell, execute estes comandos em um prompt com privilégios elevados em que $true habilita e $false desabilita estas configurações:

Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true

Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true

Os logs de eventos dessas alterações são armazenados nos seguintes caminhos do Visualizador de Eventos com sua ID de Evento específica.

Caminho ID do evento
Logs de serviços e aplicativos\Microsoft\Windows\SMBClient\Audit 31998
31999
Logs de serviços e aplicativos\Microsoft\Windows\SMBServer\Audit 3021
3022
Auditoria de SMB por QUIC

A auditoria de conexão de cliente SMB por QUIC captura eventos que são gravados em um log de eventos para incluir o transporte QUIC no Visualizador de Eventos. Esses logs são armazenados nos seguintes caminhos com sua ID de Evento específica.

Caminho ID do evento
Logs de serviços e aplicativos\Microsoft\Windows\SMBClient\Connectivity 30832
Logs de serviços e aplicativos\Microsoft\Windows\SMBServer\Connectivity 1913
Controle de acesso de cliente SMB sobre QUIC

O Windows Server 2025 inclui o controle de acesso do cliente para SMB sobre QUIC. O SMB sobre QUIC é uma alternativa ao TCP e RDMA que fornece conectividade segura para servidores de arquivos de borda em redes não confiáveis. O controle de acesso do cliente introduz mais controles para restringir o acesso aos seus dados usando certificados. Para saber mais, consulte Como funciona o controle de acesso do cliente.

Portas alternativas SMB

Você pode usar o cliente SMB para se conectar a portas TCP, QUIC e RDMA alternativas em vez de seus padrões IANA/IETF de 445, 5445 e 443. Você pode configurar portas alternativas por meio da Política de Grupo ou do PowerShell. Anteriormente, o servidor SMB no Windows exigia que as conexões de entrada usassem a porta TCP/445 registrada pela IANA, enquanto o cliente SMB via TCP permitia apenas conexões de saída para essa mesma porta TCP. Agora, o SMB sobre QUIC permite portas alternativas SMB onde as portas UDP/443 exigidas pelo QUIC estão disponíveis para dispositivos de servidor e cliente. Para saber mais, consulte Configurar portas SMB alternativas.

Fortalecimento da regra de firewall SMB

Anteriormente, quando um compartilhamento era criado, as regras de firewall SMB eram configuradas automaticamente para habilitar o grupo Compartilhamento de Arquivos e Impressoras para os perfis de firewall relevantes. Agora, a criação de um compartilhamento SMB no Windows resulta na configuração automática do novo grupo Compartilhamento de arquivos e impressoras (restritivo), que não permite mais as portas NetBIOS de entrada 137-139. Para saber mais, consulte Regras de firewall atualizadas.

Criptografia SMB

Impor criptografia SMB está habilitado para todas as conexões de cliente SMB de saída. Com essa atualização, os administradores podem definir um mandato para que todos os servidores de destino ofereçam suporte a SMB 3.x e criptografia. Se um servidor não tiver esses recursos, o cliente não poderá estabelecer uma conexão.

Limitador de taxa de autenticação SMB

O limitador de taxa de autenticação SMB limita o número de tentativas de autenticação em um determinado período de tempo. O limitador de taxa de autenticação SMB ajuda a combater ataques de autenticação de força bruta. O serviço de servidor SMB usa o limitador de taxa de autenticação para implementar um atraso de 2 segundos entre cada tentativa de autenticação com base em NTLM ou PKU2U com falha. O serviço está habilitado por padrão. Para saber mais, consulte Como funciona o limitador de taxa de autenticação SMB.

Desabilitar SMB NTLM

A partir do Windows Server 2025, o cliente SMB dá suporte ao bloqueio NTLM para conexões de saída remotas. Anteriormente, o SPNEGO (Mecanismo de Negociação GSSAPI Simples e Protegido) do Windows negociava Kerberos, NTLM e outros mecanismos com o servidor de destino para determinar um pacote de segurança com suporte. Para saber mais, consulte Bloquear conexões NTLM no SMB.

Controle de dialeto SMB

Agora você pode gerenciar dialetos SMB no Windows. Quando configurado, o servidor SMB determina quais dialetos SMB 2 e SMB 3 ele negocia em comparação com o comportamento anterior e corresponde apenas ao dialeto mais alto.

Assinatura de SMB

A assinatura SMB agora é necessária por padrão para todas as conexões de saída SMB. Anteriormente, era necessário apenas quando você se conectava a compartilhamentos chamados SYSVOL e NETLOGON em DCs do Active Directory. Para saber mais, consulte Como funciona a assinatura

Mailslot remoto

O protocolo Mailslot remoto é desabilitado por padrão para SMB e para uso do protocolo de Localização de DC com o Active Directory. O slot de correio remoto pode ser removido em uma versão posterior. Para saber mais, consulte Recursos que não estamos mais desenvolvendo.

Reforço dos Serviços de Roteamento e Acesso Remoto

Por padrão, novas instalações do RRAS (Serviços de Roteamento e Acesso Remoto) não aceitam conexões VPN com base em PPTP e L2TP. Você ainda pode habilitar esses protocolos, se necessário. As conexões VPN baseadas em SSTP e IKEv2 ainda são aceitas sem nenhuma alteração.

As configurações existentes mantêm seu comportamento. Por exemplo, se você executar o Windows Server 2019 e aceitar conexões PPTP e L2TP, e atualizar para o Windows Server 2025 com uma atualização no local, as conexões baseadas em L2TP e PPTP continuam sendo aceitas. Essa alteração não afeta os sistemas operacionais cliente Windows. Para saber mais sobre como reativar PPTP e L2TP, consulte Configurar protocolos VPN.

Hyper-V, IA e desempenho

As seções a seguir discutem o desempenho, a IA e o Hyper-V.

Rede Acelerada

A AccelNet (Rede Acelerada) simplifica o gerenciamento da virtualização de E/S raiz única (SR-IOV) para VMs (máquinas virtuais) hospedadas em clusters do Windows Server 2025. Esse recurso usa o caminho de dados SR-IOV de alto desempenho para reduzir a latência, o jitter e a utilização da CPU. O AccelNet também inclui uma camada de gerenciamento que lida com a verificação de pré-requisitos, a configuração do host e as configurações de desempenho da VM. Para saber mais, consulte Rede acelerada na borda (versão prévia).

Gerenciador do Hyper-V

Quando usuários criam uma nova máquina virtual por meio do Gerenciador do Hyper-V, a Geração 2 agora é definida como a opção padrão no Assistente para Nova Máquina Virtual.

Tradução de paginação imposta por hipervisor

A HVPT (conversão de paginação imposta pelo hipervisor) é um aprimoramento de segurança para impor a integridade das traduções de endereços lineares. O HVPT protege dados críticos do sistema contra ataques write-what-where, em que o invasor grava um valor arbitrário em um local arbitrário, geralmente como resultado de um estouro de buffer. O HVPT protege tabelas de páginas que configuram estruturas de dados críticas do sistema. O HVPT inclui tudo o que já está protegido com a integridade de código protegida por hipervisor (HVCI). O HVPT é habilitado por padrão, em que o suporte a hardware está disponível. O HVPT não é habilitado quando o Windows Server é executado como convidado em uma VM.

Particionamento de GPU

Você pode compartilhar um dispositivo de GPU físico com várias VMs usando o particionamento de GPU. Em vez de alocar toda a GPU para uma única VM, o particionamento de GPU (GPU-P) atribui frações dedicadas da GPU a cada VM. Com a alta disponibilidade GPU-P do Hyper-V, uma VM GPU-P será habilitada automaticamente em outro nó do cluster se houver uma interrupção não planejada.

A Migração ao Vivo da GPU-P fornece uma solução para mover uma VM (para tempo de inatividade planejado ou balanceamento de carga) com a GPU-P para outro nó, seja ele autônomo ou clusterizado. Para saber mais sobre o particionamento de GPU, consulte Particionamento de GPU.

Compatibilidade dinâmica do processador

O modo de compatibilidade do processador dinâmico é atualizado para aproveitar os novos recursos do processador em um ambiente clusterizado. A compatibilidade dinâmica do processador usa o número máximo de recursos de processador disponíveis em todos os servidores em um cluster. O modo melhora o desempenho em comparação com a versão anterior de compatibilidade do processador.

Você também pode usar a compatibilidade dinâmica do processador para salvar seu estado entre hosts de virtualização que usam diferentes gerações de processadores. O modo de compatibilidade do processador agora fornece recursos dinâmicos aprimorados em processadores capazes de tradução de endereço de segundo nível. Para saber mais sobre o modo de compatibilidade atualizado, consulte Modo de compatibilidade dinâmica do processador.

Grupos de trabalho

Clusters de grupo de trabalho Hyper-V são um tipo especial de Cluster de Failover no Windows Server em que os nós de cluster Hyper-V não são membros de um domínio do Active Directory, mas têm a capacidade de migrar VMs ao vivo dentro de um cluster de grupo de trabalho.

Network ATC

A ATC de Rede simplifica a implantação e o gerenciamento de configurações de rede para clusters do Windows Server 2025. A Network ATC utiliza uma abordagem baseada em intentos, em que os usuários especificam seus intentos, como gerenciamento, computação ou armazenamento de um adaptador de rede. A implantação é automatizada com base na configuração pretendida.

Essa abordagem reduz o tempo, a complexidade e os erros associados à implantação de rede de host. Ele assegura a consistência de configuração no cluster e também elimina o desvio de configuração. Para saber mais, consulte Implantar a rede de host com a ATC de Rede.

Escalabilidade

Com o Windows Server 2025, o Hyper-V agora dá suporte a até 4 petabytes de memória e 2.048 processadores lógicos por host. Esse aumento permite maior escalabilidade e desempenho para cargas de trabalho virtualizadas.

O Windows Server 2025 também oferece suporte a até 240 TB de memória e 2.048 processadores virtuais para VMs de geração 2, fornecendo maior flexibilidade para executar grandes cargas de trabalho. Para saber mais, consulte Planejar a escalabilidade do Hyper-V no Windows Server.

Armazenamento

As seções a seguir descrevem as atualizações de armazenamento.

Suporte à clonagem de blocos

Dev Drive agora dá suporte à clonagem de blocos a partir do Windows 11 24H2 e do Windows Server 2025. Como a Unidade de Desenvolvimento usa o formato ReFS (Sistema de Arquivos Resiliente), o suporte à clonagem de blocos oferece benefícios significativos de desempenho ao copiar arquivos. Com a clonagem de blocos, o sistema de arquivos pode copiar um intervalo de bytes de arquivo para um aplicativo como uma operação de metadados de baixo custo em vez de executar operações caras de leitura e gravação para os dados físicos subjacentes.

O resultado é uma conclusão mais rápida da cópia de arquivo, redução de E/S para o armazenamento subjacente e capacidade de armazenamento aprimorada, permitindo que vários arquivos compartilhem os mesmos clusters lógicos. Para saber mais, consulte Clonagem de blocos no ReFS.

Dev Drive

O Dev Drive é um volume de armazenamento que visa melhorar o desempenho de cargas de trabalho cruciais do desenvolvedor. O Dev Drive utiliza a tecnologia ReFS e incorpora otimizações específicas do sistema de arquivos para oferecer maior controle sobre as configurações e a segurança do volume de armazenamento. Os administradores agora têm a capacidade de designar a confiança, definir configurações de antivírus e exercer controle administrativo sobre filtros anexados. Para saber mais, consulte Configurar um Dev Drive no Windows 11.

NVMe

NVMe é um novo padrão para unidades de estado sólido rápido. O desempenho do armazenamento NVMe é otimizado no Windows Server 2025. O resultado é um melhor desempenho com um aumento no IOPS e uma diminuição na utilização da CPU.

Compactação de réplica de armazenamento

A compactação de Réplicas de Armazenamento reduz a quantidade de dados transferidos pela rede durante a replicação. Para saber mais sobre a compactação na Réplica de Armazenamento, consulte Visão Geral da Réplica de Armazenamento.

Log Avançado da Réplica de Armazenamento

O Log Avançado da Réplica de Armazenamento ajuda na implementação do log para eliminar os custos de desempenho associados às abstrações do sistema de arquivos. O desempenho da replicação de blocos é aprimorado. Para saber mais, consulte Log avançado de réplica de armazenamento.

Desduplicação e compactação de armazenamento nativo do ReFS

A desduplicação e a compactação do armazenamento nativo do ReFS são técnicas usadas para otimizar a eficiência do armazenamento para cargas de trabalho, tanto estáticas quanto ativas, como servidores de arquivos ou desktops virtuais. Para saber mais sobre eliminação de duplicação e compactação do ReFS, consulte Otimizar o armazenamento com eliminação de duplicação e compactação do ReFS no Azure Local.

Volumes com provisionamento dinâmico

Os volumes com provisionamento dinâmico com Espaços de Armazenamento Diretos são uma maneira de alocar recursos de armazenamento com mais eficiência e evitar a superalocação dispendiosa alocando do pool somente quando necessário em um cluster. Você também pode converter volumes fixos em thin provisioned. A conversão de volumes fixos em thin provisioned retorna qualquer armazenamento não utilizado de volta ao pool para outros volumes usarem. Para saber mais sobre volumes com provisionamento dinâmico, consulte Provisionamento dinâmico de armazenamento.

Protocolo SMB

O SMB (Server Message Block) é um dos protocolos mais usados na rede. O SMB fornece uma maneira confiável de compartilhar arquivos e outros recursos entre dispositivos em sua rede. O Windows Server 2025 inclui suporte à compactação SMB para o algoritmo de compactação LZ4 padrão do setor. O LZ4 é além do suporte existente do SMB para XPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1 e PATTERN_V1.

Azure Arc e híbrido

As seções a seguir discutem o Azure Arc e as configurações híbridas.

Configuração simplificada do Azure Arc

A Instalação do Azure Arc é um recurso sob demanda, portanto, ele é instalado por padrão. Uma interface do assistente amigável e um ícone de bandeja do sistema na barra de tarefas ajudam a facilitar o processo de adição de servidores ao Azure Arc. O Azure Arc estende os recursos da plataforma do Azure para que você possa criar aplicativos e serviços que possam operar em ambientes diversos. Esses ambientes incluem datacenters, a borda e ambientes multinuvem e fornecem maior flexibilidade. Para saber mais, consulte Conectar computadores do Windows Server ao Azure por meio da Instalação do Azure Arc.

Licenciamento pré-pago

A opção de licenciamento de assinatura paga conforme o uso do Azure Arc é uma alternativa ao licenciamento perpétuo convencional para o Windows Server 2025. Com a opção pagamento conforme o uso, você pode implantar um dispositivo Windows Server, licencia-lo e pagar apenas pelo uso. Esse recurso é facilitado por meio do Azure Arc e cobrado por meio de sua assinatura do Azure. Para saber mais, consulte licenciamento pago conforme o uso do Azure Arc.

Gerenciamento do Windows Server habilitado pelo Azure Arc

O Gerenciamento do Windows Server habilitado pelo Azure Arc oferece novos benefícios aos clientes com licenças do Windows Server que têm licenças ativas do Software Assurance ou do Windows Server que são licenças de assinatura ativas. O Windows Server 2025 tem os seguintes benefícios principais:

  • Windows Admin Center no Azure Arc: integra o Azure Arc ao Windows Admin Center para que você possa gerenciar suas instâncias do Windows Server no portal do Azure Arc. Essa integração fornece uma experiência de gerenciamento unificada para suas instâncias do Windows Server, estejam elas em execução local, na nuvem ou na borda.
  • Suporte remoto: oferece aos clientes suporte profissional, permitindo conceder acesso em tempo real com transcrições de execução detalhadas e direitos de revogação.
  • Avaliação de Práticas Recomendadas: a coleta e análise de dados do servidor identificam problemas, fornecem diretrizes de correção e resultam em melhorias de desempenho.
  • configuração do Azure Site Recovery: a configuração do Azure Site Recovery garante a continuidade dos negócios e fornece replicação e resiliência de dados para cargas de trabalho críticas.

Para saber mais sobre o Gerenciamento do Windows Server habilitado pelo Azure Arc e os benefícios disponíveis, consulte Gerenciamento do Windows Server habilitado pelo Azure Arc.

Rede Software-Defined

Software-Defined Networking (SDN) é uma abordagem de rede que os administradores de rede podem usar para gerenciar serviços de rede por meio da abstração da funcionalidade de nível inferior. O SDN permite a separação do plano de controle de rede, que gerencia a rede, do plano de dados, que manipula o tráfego. Essa separação permite maior flexibilidade e programabilidade no gerenciamento de rede. A SDN fornece os seguintes benefícios no Windows Server 2025:

  • Controlador de rede: Este plano de controle para SDN agora está hospedado diretamente como serviços de Cluster de Failover nas máquinas host físicas. O uso de uma função de cluster elimina a necessidade de implantar VMs, o que simplifica a implantação e o gerenciamento e conserva recursos.
  • Segmentação baseada em tags : os administradores podem usar tags de serviço personalizadaspara associar NSGs (grupos de segurança de rede) e VMs para controle de acesso. Em vez de especificar intervalos de IP, os administradores agora podem usar rótulos simples e autoexplicativos para marcar VMs de carga de trabalho e aplicar políticas de segurança com base nessas marcas. As tags simplificam o processo de gerenciamento da segurança da rede e eliminam a necessidade de lembrar e redigitar intervalos de IP. Para saber mais, consulte Configurar grupos de segurança de rede com marcas no Windows Admin Center.
  • Políticas de rede padrão no Windows Server 2025: essas políticas trazem opções de proteção semelhantes ao Azure para NSGs para cargas de trabalho implantadas por meio do Windows Admin Center. A política padrão nega todo o acesso de entrada, permitindo a abertura seletiva de portas de entrada conhecidas e permitindo o acesso de saída completo de VMs de carga de trabalho. As políticas de rede padrão garantem que as VMs de carga de trabalho sejam protegidas do ponto de criação. Para saber mais, consulte Usar políticas de acesso à rede padrão em máquinas virtuais no Azure Local, versão 23H2.
  • Multissite SDN: Este recurso oferece conectividade nativa de rede nas camadas 2 e 3 entre aplicativos em dois locais, sem necessidade de componentes extras. Com o SDN Multisite, os aplicativos podem se mover perfeitamente sem a necessidade de reconfigurar o aplicativo ou as redes. Ele também oferece gerenciamento unificado de políticas de rede para cargas de trabalho para que você não precise atualizar políticas quando uma VM de carga de trabalho passa de um local para outro. Para saber mais, consulte O que é SDN Multisite?.
  • desempenho aprimorado de gateways da camada 3 do SDN: gateways de camada 3 atingem maior taxa de transferência e ciclos de CPU reduzidos. Essas melhorias são ativadas por padrão. Os usuários experimentam automaticamente um melhor desempenho quando uma conexão de camada 3 do gateway SDN é configurada por meio do PowerShell ou do Windows Admin Center.

Portabilidade de contêineres do Windows

A portabilidade é um aspecto crucial do gerenciamento de contêineres e tem a capacidade de simplificar as atualizações aplicando maior flexibilidade e compatibilidade de contêineres no Windows.

A portabilidade é um recurso do Windows Server que os usuários podem empregar para mover imagens de contêiner e seus dados associados, entre diferentes hosts ou ambientes sem a necessidade de modificações. Os usuários podem criar uma imagem de contêiner em um host e, em seguida, implantá-la em outro host sem ter que se preocupar com problemas de compatibilidade. Para saber mais, consulte Portabilidade para contêineres.

Programa Windows Server Insider

O Programa Windows Server Insider fornece acesso antecipado às versões mais recentes do sistema operacional Windows para uma comunidade de entusiastas. Como membro, você está entre os primeiros a experimentar novas ideias e conceitos que a Microsoft está desenvolvendo. Depois de se registrar como membro, você pode participar de diferentes canais de lançamento. Acesse Iniciar>Configurações>Windows Update>Programa Windows Insider.

Conteúdo relacionado

Discussões da comunidade do Windows Server Insider