Windows Server 2025 jest w wersji PREVIEW. Ostateczny wygląd oraz zestaw funkcji, może się różnić od bieżącej wersji.
W tym wpisie przedstawię najważniejsze nowości, związane z Windows Server 2025. Oferuje zaawansowane funkcje poprawiające bezpieczeństwo, wydajność i elastyczność. Dzięki szybszym opcjom przechowywania i możliwości integracji z hybrydowymi środowiskami chmurowymi zarządzanie infrastrukturą będzie jeszcze wydajniejsze. Przewidywany termin udostępnienia Windows Server 2025 wraz z System Center 2025 to jesień 2024 roku. Tutaj znajdziesz nagranie z instalacji Windows Server 2025.
Co nowego?
Active Directory Domain Services
Najnowsza odsłona usług domenowych Active Directory (AD DS) i Active Directory Lightweight Domain Services (AD LDS) wprowadzają szereg nowych funkcjonalności:
- Opcjonalna funkcja rozmiaru strony bazy danych 32k (32k database page size optional feature) – AD używa bazy danych Extensible Storage Engine (ESE) od czasu jej wprowadzenia w systemie Windows 2000, używa rozmiaru strony bazy danych 8k. Decyzja o projekcie architektonicznym 8k spowodowała ograniczenia w całym AD, które są udokumentowane w AD Maximum Limits Scalability. Przykładem tego ograniczenia jest pojedynczy obiekt rekordu AD, którego rozmiar nie może przekraczać 8k bajtów. Przejście na format strony bazy danych 32k oferuje ogromną poprawę w obszarach objętych starszymi ograniczeniami, w tym atrybuty wielowartościowe są teraz w stanie przechowywać do ~3200 wartości, co stanowi wzrost o współczynnik 2,6. Nowe kontrolery domeny można zainstalować z bazą danych stron 32k, która używa 64-bitowych identyfikatorów długich wartości (LID) i działa w „trybie strony 8k” w celu zapewnienia zgodności z poprzednimi wersjami. Uaktualniony kontroler domeny nadal używa swojego obecnego formatu bazy danych i stron 8k. Przejście na bazę danych o rozmiarze 32 tys. stron odbywa się na poziomie całego lasu i wymaga, aby wszystkie kontrolery domeny w lesie miały bazę danych obsługującą 32 tys. stron.
- Aktualizacje schematu AD (AD schema updates) – wprowadzono trzy nowe pliki bazy danych dziennika (LDF), które rozszerzają schemat AD: sch89.ldf, sch90.ldf i sch91.ldf. Odpowiednie aktualizacje schematu AD LDS znajdują się w pliku MS-ADAM-Upgrade3.ldf. Aby dowiedzieć się więcej o poprzednich aktualizacjach schematu, zobacz Aktualizacje schematu AD dla systemu Windows Server.
- Naprawa obiektów AD (AD object repair) – AD pozwala teraz administratorom przedsiębiorstw naprawiać obiekty z brakującymi atrybutami rdzeniowymi SamAccountType i ObjectCategory. Administratorzy przedsiębiorstw mogą zresetować atrybut LastLogonTimeStamp obiektu do bieżącego czasu. Operacje te są wykonywane za pomocą nowej funkcji RootDSE modyfikującej operację na dotkniętym obiekcie o nazwie fixupObjectState.
- Obsługa audytu powiązań kanałów (Channel binding audit support) – zdarzenia 3074 i 3075 można teraz włączyć dla powiązań kanałów Lightweight Directory Access Protocol (LDAP). Gdy zasady powiązań kanałów zostały zmodyfikowane na bezpieczniejsze ustawienie, administrator może identyfikować urządzenia w środowisku, które nie obsługują lub nie przechodzą walidacji powiązań kanałów. Te zdarzenia audytu są również dostępne w systemie Windows Server 2022 i nowszych za pośrednictwem KB4520412.
- Ulepszenia algorytmu lokalizacji DC (DC-location algorithm improvements) – algorytm wykrywania DC zapewnia nową funkcjonalność z ulepszeniami mapowania krótkich nazw domen w stylu NetBIOS na nazwy domen w stylu DNS. Aby dowiedzieć się więcej, zobacz Zmiany lokalizatora DC w usłudze Active Directory.
- Poziomy funkcjonalne lasu i domeny (Forest and Domain Functional Levels) – nowy poziom funkcjonalny jest używany do ogólnej obsługi i jest wymagany dla nowej funkcji rozmiaru strony bazy danych 32K. Nowy poziom funkcjonalny jest mapowany na wartość DomainLevel 10 i ForestLevel 10 dla instalacji bezobsługowych. Firma Microsoft nie planuje modernizacji poziomów funkcjonalnych dla systemów Windows Server 2019 i Windows Server 2022. Aby wykonać bezobsługową promocję i degradację kontrolera domeny (DC), zobacz składnię pliku odpowiedzi DCPROMO dotyczącą bezobsługowej promocji i degradacji kontrolerów domeny.
- Nowe lasy AD lub zestawy konfiguracji AD LDS muszą mieć poziom funkcjonalny systemu Windows Server 2016 lub wyższy. Promocja repliki AD lub AD LDS wymaga, aby istniejąca domena lub zestaw konfiguracji działały już z poziomem funkcjonalnym systemu Windows Server 2016 lub wyższym. Microsoft zaleca, aby wszyscy klienci zaczęli już teraz planować uaktualnienie swoich serwerów AD i AD LDS do systemu Windows Server 2022 w celu przygotowania się do następnej wersji.
- Ulepszone algorytmy wyszukiwania nazw/identyfikatorów SID (Improved algorithms for Name/Sid Lookups) – przekazywanie nazw i identyfikatorów SID między kontami maszyn nie korzysta już ze starszego bezpiecznego kanału Netlogon. Zamiast tego używane są uwierzytelnianie Kerberos i algorytm DC Locator. Aby zachować zgodność ze starszymi systemami operacyjnymi, nadal można używać bezpiecznego kanału Netlogon jako opcji zapasowej.
- Lepsze zabezpieczenia poufnych atrybutów – kontrolery domen i wystąpienia usług AD LDS zezwalają na operacje dodawania, wyszukiwania i modyfikowania LDAP obejmujące poufne atrybuty tylko wtedy, gdy połączenie jest szyfrowane. Ulepszone zabezpieczenia domyślnych haseł kont komputerów — AD używa teraz losowo generowanych domyślnych haseł kont komputerów. Kontrolery domeny systemu Windows 2025 blokują ustawianie haseł kont komputerów na domyślne hasło nazwy konta komputera. To zachowanie można kontrolować, włączając ustawienie GPO Kontroler domeny: Odmów ustawienia domyślnego hasła konta komputera znajdujące się w: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Opcje zabezpieczeń (Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options). Narzędzia takie jak Centrum administracyjne usługi Active Directory (Active Directory Administrative Center) (ADAC), Użytkownicy i komputery usługi Active Directory (ADUC), komputer sieciowy i dsmod również honorują to nowe zachowanie. Zarówno ADAC, jak i ADUC nie pozwalają już tworzyć kont Windows w wersji starszej niż 2k.
- Kerberos AES SHA256 i SHA384 – implementacja protokołu Kerberos została zaktualizowana w celu obsługi silniejszych mechanizmów szyfrowania i podpisywania ze wsparciem dla RFC 8009 poprzez dodanie algorytmów SHA-256 i SHA-384. Protokół RC4 został wycofany i przeniesiony na listę szyfrów niebędących w użyciu.
- Obsługa protokołu Kerberos PKINIT w celu zwiększenia elastyczności kryptograficznej – implementacja protokołu Kerberos Public Key Cryptography for Initial Authentication in Kerberos (PKINIT) została zaktualizowana w celu zapewnienia większej elastyczności kryptograficznej poprzez obsługę większej liczby algorytmów i usunięcie zakodowanych na stałe algorytmów.
- Domyślne szyfrowanie LDAP – cała komunikacja klienta LDAP po powiązaniu Simple Authentication and Security Layer (SASL) domyślnie wykorzystuje uszczelnienie LDAP.
- Obsługa LDAP dla TLS 1.3 – LDAP korzysta z najnowszej implementacji SCHANNEL i obsługuje TLS 1.3 dla LDAP przez połączenia TLS. Korzystanie z TLS 1.3 eliminuje przestarzałe algorytmy kryptograficzne, zwiększa bezpieczeństwo i ma na celu szyfrowanie jak największej części uzgadniania.
- Obsługa NUMA – AD DS korzysta teraz ze sprzętu obsługującego Non-uniform Memory Access (NUMA), wykorzystując procesory CPU we wszystkich grupach procesorów. Wcześniej AD używał tylko procesorów CPU w grupie 0. Active Directory może rozszerzyć się poza 64 rdzenie.
- Liczniki wydajności — teraz dostępne jest monitorowanie i rozwiązywanie problemów dotyczących wydajności następujących liczników:
- DC Locator – dostępne są liczniki specyficzne dla klienta i DC.
- LSA Lookups – wyszukiwanie nazw i SID za pomocą LsaLookupNames, LsaLookupSids i równoważnych interfejsów API. Liczniki te są dostępne zarówno w SKU klienta, jak i serwera.
- LDAP Client – dostępne w systemie Windows Server 2022 i nowszych za pośrednictwem aktualizacji KB 5029250.
- Kolejność priorytetów replikacji – AD pozwala teraz administratorom zwiększyć obliczony przez system priorytet replikacji z konkretnym partnerem dla konkretnego kontekstu nazewnictwa. Ta funkcja pozwala na większą elastyczność w konfigurowaniu kolejności replikacji w celu rozwiązania konkretnych scenariuszy.
Azure Arc
Domyślnie instalowana jest funkcja Azure Arc Setup Feature-on-Demand. Oferuje przyjazny dla użytkownika interfejs kreatora i ikonę na pasku zadań, aby ułatwić proces dodawania serwerów do Azure Arc. Azure Arc rozszerza możliwości platformy Azure, umożliwiając tworzenie aplikacji i usług, które mogą działać w różnych środowiskach. Obejmują one centra danych, edge, środowiska multicloud i zapewniają większą elastyczność. Aby dowiedzieć się więcej, zobacz Łączenie maszyn Windows Server z platformą Azure za pośrednictwem Azure Arc Setup.
Bluetooth
W systemie Windows Server 2025 można teraz podłączać myszy, klawiatury, zestawy słuchawkowe, urządzenia audio i inne urządzenia za pomocą technologii Bluetooth.
Strażnik poświadczeń
Od Windows Server 2025, Strażnik poświadczeń (Credential Guard) jest teraz domyślnie włączony na urządzeniach, które spełniają wymagania. Aby uzyskać więcej informacji o Credential Guard, zobacz Konfigurowanie Credential Guard.
Desktop Shell
Gdy logujesz się po raz pierwszy, wygląd i styl pulpitu jest zgodny ze stylem i wyglądem systemu Windows 11.
Delegowane konto usługi zarządzanej
Ten nowy typ konta umożliwia migrację z konta usługi do delegowanego konta usługi zarządzanej (dMSA). Ten typ konta jest dostarczany z zarządzanymi i w pełni losowymi kluczami, zapewniając minimalne zmiany aplikacji, jednocześnie wyłączając oryginalne hasła konta usługi. Aby dowiedzieć się więcej, zobacz Delegated Managed Service Accounts overview (Omówienie delegowanych kont usługi zarządzanej).
DTrace
Windows Server 2025 jest wyposażony w dtrace jako natywne narzędzie. DTrace to narzędzie wiersza poleceń, które umożliwia użytkownikom monitorowanie i rozwiązywanie problemów z wydajnością systemu w czasie rzeczywistym. DTrace umożliwia użytkownikom dynamiczną instrumentację zarówno kodu jądra, jak i kodu przestrzeni użytkownika bez konieczności modyfikowania samego kodu. To wszechstronne narzędzie obsługuje szereg technik gromadzenia i analizy danych, takich jak agregacje, histogramy i śledzenie zdarzeń na poziomie użytkownika. Aby dowiedzieć się więcej, zobacz DTrace w celu uzyskania pomocy wiersza poleceń i DTrace w systemie Windows w celu uzyskania dodatkowych możliwości.
Email i konta
Teraz możesz dodać następujące konta w Ustawieniach > Konta > Poczta e-mail i konta dla systemu Windows Server 2025:
- Microsoft Entra ID
- Konto Microsoft
- Konto służbowe lub szkolne
Ważne jest, aby pamiętać, że dołączenie do domeny jest nadal wymagane w większości sytuacji.
Centrum opinii
Przesyłanie opinii lub zgłaszanie problemów napotkanych podczas korzystania z systemu Windows Server 2025 można teraz wykonać za pomocą Centrum opinii systemu Windows. Możesz dołączyć zrzuty ekranu lub nagrania procesu, który spowodował problem, aby pomóc nam zrozumieć Twoją sytuację i podzielić się sugestiami dotyczącymi ulepszenia środowiska systemu Windows. Aby dowiedzieć się więcej, zobacz Eksploruj Centrum opinii.
Kompresowanie plików
Kompilacja 26040 ma nową funkcję, podczas kompresji elementu poprzez kliknięcie prawym przyciskiem myszy o nazwie Compress to. Ta funkcja obsługuje formaty kompresji ZIP, 7z i TAR ze specyficznymi metodami kompresji dla każdego z nich.
Przypięte aplikacje
Przypinanie najczęściej używanych aplikacji jest teraz dostępne w menu Start i można je dostosować do swoich potrzeb. Od wersji 26085 domyślnie przypięte aplikacje to:
- Azure Arc Setup
- Feedback Hub
- File Explorer
- Microsoft Edge
- Server Manager
- Settings
- Terminal
- Windows PowerShell
Server Message Block
Server Message Block (SMB) to jeden z najczęściej używanych protokołów w sieciach, zapewniający niezawodny sposób udostępniania plików i innych zasobów między urządzeniami w sieci. Windows Server 2025 oferuje następujące możliwości SMB.
Od kompilacji 26090 wprowadzono kolejny zestaw zmian protokołu SMB w celu wyłączenia QUIC, podpisywania i szyfrowania.
Wyłączanie protokołu SMB przez QUIC
Administratorzy mogą wyłączyć SMB przez klienta QUIC za pomocą Group Policy i PowerShell. Aby wyłączyć SMB przez QUIC za pomocą Group Policy, ustaw zasady Enable SMB over QUIC w tych ścieżkach na Disabled.
- Computer Configuration\Administrative Templates\Network\Lanman Workstation
- Computer Configuration\Administrative Templates\Network\Lanman Server
Aby wyłączyć protokół SMB przez QUIC za pomocą programu PowerShell, uruchom to polecenie w wierszu poleceń programu PowerShell z podwyższonymi uprawnieniami:
1 |
Set-SmbClientConfiguration -EnableSMBQUIC $false |
Audyt podpisywania i szyfrowania SMB
Administratorzy mogą włączyć audyt serwera i klienta SMB w celu obsługi podpisywania i szyfrowania SMB. Jeśli klient lub serwer innej firmy nie obsługuje szyfrowania lub podpisywania SMB, można go wykryć. Jeśli urządzenie lub oprogramowanie innej firmy twierdzi, że obsługuje SMB 3.1.1, ale nie obsługuje podpisywania SMB, narusza to wymóg protokołu integralności wstępnego uwierzytelniania SMB 3.1.1.
Możesz skonfigurować ustawienia podpisywania i szyfrowania SMB za pomocą Group Policy lub PowerShell. Zasady te można zmienić w następujących ścieżkach Group Policy:
1 |
<strong>Computer Configuration\Administrative Templates\Network\Lanman Server\Audit client does not support encryption</strong> |
1 |
<strong>Computer Configuration\Administrative Templates\Network\Lanman Server\Audit client does not support signing</strong> |
1 |
<strong>Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit server does not support encryption</strong> |
1 |
<strong>Computer Configuration\Administrative Templates\Network\Lanman Workstation\Audit server does not support signing</strong> |
Aby wprowadzić te zmiany za pomocą programu PowerShell, uruchom następujące polecenia w wierszu poleceń z podwyższonym poziomem uprawnień, gdzie $true służy do włączania, a $false do wyłączania tych ustawień:
1 |
Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true<br>Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true<br><br>Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true<br>Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true |
Rejestry zdarzeń dla tych zmian są przechowywane w następujących ścieżkach Podglądu zdarzeń wraz z podanymi identyfikatorami zdarzeń.
Path | Event ID |
---|---|
Applications and Services Logs\Microsoft\Windows\SMBClient\Audit | 31998 31999 |
Applications and Services Logs\Microsoft\Windows\SMBServer\Audit | 3021 3022 |
SMB przez audyt QUIC
Audytowanie połączeń klienta SMB przez QUIC przechwytuje zdarzenia, które są zapisywane w dzienniku zdarzeń, aby uwzględnić transport QUIC w Podglądzie zdarzeń. Te dzienniki są przechowywane w następujących ścieżkach z podanym identyfikatorem zdarzenia.
Path | Event ID |
---|---|
Applications and Services Logs\Microsoft\Windows\SMBClient\Connectivity | 30832 |
Applications and Services Logs\Microsoft\Windows\SMBServer\Connectivity | 1913 |
Funkcja serwera SMB przez QUIC, która była dostępna tylko w systemie Windows Server Azure Edition, jest teraz dostępna zarówno w wersji Windows Server Standard, jak i Windows Server Datacenter. SMB przez QUIC dodaje zalety protokołu QUIC, który zapewnia szyfrowane połączenia o niskim opóźnieniu przez Internet.
Wcześniej serwer SMB w systemie Windows wymagał, aby połączenia przychodzące korzystały z portu TCP/445 zarejestrowanego przez IANA, podczas gdy klient SMB TCP zezwalał tylko na połączenia wychodzące do tego samego portu TCP. Teraz SMB przez QUIC umożliwia alternatywne porty SMB, w których porty UDP/443 wymagane przez QUIC są dostępne zarówno dla urządzeń serwerowych, jak i klienckich. Aby dowiedzieć się więcej, zobacz Konfigurowanie alternatywnych portów SMB.
Inną funkcją wprowadzoną do protokołu SMB przez QUIC jest kontrola dostępu klienta, która jest alternatywą dla protokołów TCP i RDMA, zapewniającą bezpieczną łączność z serwerami plików brzegowych przez niezaufane sieci. Aby dowiedzieć się więcej, zobacz Jak działa kontrola dostępu klienta.
Wcześniej, gdy tworzony był udział, reguły zapory SMB były automatycznie konfigurowane, aby włączyć grupę „Udostępnianie plików i drukarek” dla odpowiednich profili zapory. Teraz utworzenie udziału SMB w systemie Windows powoduje automatyczną konfigurację nowej grupy „Udostępnianie plików i drukarek (ograniczające)”, która nie zezwala już na przychodzące porty NetBIOS 137-139. Aby dowiedzieć się więcej, zobacz Zaktualizowane reguły zapory.
Kompilacja 25997
Wprowadzono aktualizację wymuszającą szyfrowanie SMB dla wszystkich wychodzących połączeń klientów SMB. Dzięki tej aktualizacji administratorzy mogą ustawić nakaz, aby wszystkie serwery docelowe obsługiwały SMB 3.x i szyfrowanie. Jeśli serwer nie ma tych możliwości, klient nie może nawiązać połączenia.
Również w kompilacji 25997 domyślnie włączony jest ogranicznik szybkości uwierzytelniania SMB, który ogranicza liczbę prób uwierzytelniania, jakie można wykonać w określonym przedziale czasowym. Aby dowiedzieć się więcej, zobacz Jak działa ogranicznik szybkości uwierzytelniania SMB.
Kompilacja 25951
Począwszy od kompilacji 25951 klient SMB obsługuje blokowanie NTLM dla zdalnych połączeń wychodzących. Wcześniej mechanizm negocjacji Simple and Protected GSSAPI (SPNEGO) systemu Windows negocjował Kerberos, NTLM i inne mechanizmy z serwerem docelowym w celu ustalenia obsługiwanego pakietu zabezpieczeń. Aby dowiedzieć się więcej, zobacz Blokowanie połączeń NTLM w SMB.
Nowa funkcja w kompilacji 25951 umożliwia zarządzanie dialektami SMB w systemie Windows, w którym serwer SMB kontroluje teraz, które dialekty SMB 2 i SMB 3 negocjuje w porównaniu do poprzedniego zachowania, które odpowiadało tylko najwyższemu dialektowi.
Począwszy od kompilacji 25931, podpisywanie SMB jest teraz wymagane domyślnie dla wszystkich połączeń wychodzących SMB, podczas gdy wcześniej było wymagane tylko podczas łączenia się z udziałami o nazwie SYSVOL i NETLOGON na kontrolerach domeny AD. Aby dowiedzieć się więcej, zobacz Jak działa podpisywanie.
Protokół Remote Mailslot jest domyślnie wyłączony od kompilacji 25314 i może zostać usunięty w późniejszej wersji. Aby dowiedzieć się więcej, zobacz Funkcje, których już nie rozwijamy.
Kompresja SMB dodaje obsługę standardowego algorytmu kompresji LZ4 w branży, oprócz istniejącej obsługi XPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1 i PATTERN_V1.
Ulepszony dziennik repliki pamięci masowej
Enhanced Logs pomaga implementacji dziennika Storage Replica wyeliminować koszty wydajności związane z abstrakcjami systemu plików, co prowadzi do poprawy wydajności replikacji bloków. Aby dowiedzieć się więcej, zobacz Storage Replica Enhanced Log.
Task Manager
W wersji 26040 zastosowano nowoczesną aplikację Menedżer zadań, dostosowaną do stylu systemu Windows 11.
Wi-Fi
Teraz włączanie funkcji bezprzewodowych jest łatwiejsze, ponieważ funkcja Wireless LAN Service jest teraz instalowana domyślnie. Usługa ta jest ustawiona na ręczną i można ją włączyć, uruchamiając net start wlansvc. Polecenie to zadziała z wiersza poleceń, terminala Windows lub PowerShell.
Przenośność kontenerów Windows
Kluczowym aspektem zarządzania kontenerami jest przenośność. Umożliwia użytkownikom przenoszenie obrazów kontenerów i powiązanych z nimi danych między różnymi hostami lub środowiskami bez konieczności wprowadzania jakichkolwiek modyfikacji. Użytkownicy mogą utworzyć obraz kontenera na jednym hoście, a następnie wdrożyć go na innym hoście. Nie trzeba przy tym martwić się o problemy ze zgodnością. Aby dowiedzieć się więcej, zobacz Przenośność kontenerów.
Windows Insider Program
Program Windows Insider zapewnia wczesny dostęp do najnowszych wydań systemu operacyjnego Windows dla społeczności entuzjastów. Jako członek możesz być wśród pierwszych, którzy wypróbują nowe pomysły i koncepcje rozwijane przez Microsoft. Jako tester możesz zdecydować się na udział w różnych kanałach wydań, przechodząc do Start > Ustawienia > Windows Update > Windows Insider Program.
Rozwiązanie dotyczące hasła administratora lokalnego systemu Windows (LAPS)
Windows LAPS pomaga organizacjom zarządzać hasłami administratorów lokalnych na komputerach dołączonych do domeny. Automatycznie generuje unikalne hasła dla konta administratora lokalnego każdego komputera, przechowuje je bezpiecznie w AD i regularnie aktualizuje. Pomaga to poprawić bezpieczeństwo, zmniejszając ryzyko, że atakujący uzyskają dostęp do wrażliwych systemów, używając zhakowanych lub łatwych do odgadnięcia haseł.
W systemie Microsoft LAPS wprowadzono kilka funkcji, które przynoszą następujące udoskonalenia:
Nowa funkcja automatycznego zarządzania kontem
Najnowsza aktualizacja pozwala administratorom IT na łatwe tworzenie zarządzanych kont lokalnych. Dzięki tej funkcji możesz dostosować nazwę konta, włączyć lub wyłączyć konto, a nawet losowo zmienić nazwę konta w celu zwiększenia bezpieczeństwa. Ponadto aktualizacja obejmuje ulepszoną integrację z istniejącymi zasadami zarządzania kontami lokalnymi firmy Microsoft. Aby dowiedzieć się więcej o tej funkcji, zobacz Tryby zarządzania kontami Windows LAPS.
Nowa funkcja wykrywania cofania obrazu
System Windows LAPS wykrywa teraz, kiedy następuje wycofanie obrazu. Jeśli nastąpi wycofanie, hasło przechowywane w usłudze AD może już nie być zgodne z hasłem przechowywanym lokalnie na urządzeniu. Wycofania mogą skutkować „stanem rozdarcia”, w którym administrator IT nie jest w stanie zalogować się do urządzenia przy użyciu utrwalonego hasła systemu Windows LAPS.
Aby rozwiązać ten problem, dodano nową funkcję, która obejmuje atrybut usługi AD o nazwie msLAPS-CurrentPasswordVersion. Ten atrybut zawiera losowy identyfikator GUID zapisywany przez system Windows LAPS za każdym razem, gdy nowe hasło jest utrwalane w usłudze AD i zapisywane lokalnie. Podczas każdego cyklu przetwarzania identyfikator GUID przechowywany w usłudze msLAPS-CurrentPasswordVersion jest sprawdzany i porównywany z lokalnie utrwaloną kopią. Jeśli są różne, hasło jest natychmiast zmieniane.
Aby włączyć tę funkcję, konieczne jest uruchomienie najnowszej wersji polecenia cmdlet Update-LapsADSchema. Po zakończeniu działania system Windows LAPS rozpoznaje nowy atrybut i zaczyna go używać. Jeśli nie uruchomisz zaktualizowanej wersji polecenia cmdlet Update-LapsADSchema, system Windows LAPS rejestruje zdarzenie ostrzegawcze 10108 w dzienniku zdarzeń, ale nadal działa normalnie pod każdym innym względem.
Nowa funkcja hasła
Administratorzy IT mogą teraz korzystać z nowej funkcji w systemie Windows LAPS, która umożliwia generowanie mniej złożonych haseł.
Umożliwia również skonfigurowanie ustawienia zasad PasswordComplexity w celu wybrania jednej z trzech różnych list słów hasła, bez konieczności oddzielnego pobierania. Nowe ustawienie zasad o nazwie PassphraseLength kontroluje liczbę słów używanych w haśle.
Podczas tworzenia hasła określona liczba słów jest losowo wybierana z wybranej listy słów i łączona. Pierwsza litera każdego słowa jest pisana wielką literą w celu zwiększenia czytelności. Ta funkcja w pełni obsługuje również tworzenie kopii zapasowych haseł do Windows Server AD lub Microsoft Entra ID.
Listy słów hasła używane w trzech nowych ustawieniach hasła PasswordComplexity pochodzą z artykułu Electronic Frontier Foundation, „Deep Dive: EFF’s New Wordlists for Random Passphrases”. Windows LAPS Passphrase Word Lists jest licencjonowany na podstawie licencji CC-BY-3.0 Attribution i jest dostępny do pobrania.
System Windows LAPS nie pozwala na dostosowywanie wbudowanych list słów ani na korzystanie z list skonfigurowanych przez użytkownika.
Ulepszona czytelność słownika haseł
Windows LAPS wprowadza nowe ustawienie PasswordComplexity, które umożliwia administratorom IT tworzenie mniej złożonych haseł. Umożliwia dostosowanie LAPS do używania wszystkich czterech kategorii znaków (wielkie litery, małe litery, cyfry i znaki specjalne). Podobnie jak istniejące ustawienie złożoności 4. Jednak przy nowym ustawieniu 5 bardziej złożone znaki są wykluczane, aby zwiększyć czytelność hasła i zminimalizować zamieszanie. Na przykład cyfra „1” i litera „I” nigdy nie są używane w nowym ustawieniu.
Gdy PasswordComplexity jest skonfigurowane na 5, w domyślnym zestawie znaków słownika haseł wprowadzane są następujące zmiany:
- Nie używaj następujących liter: 'I’, 'O’, 'Q’, 'l’, 'o’
- Nie używaj następujących cyfr: '0′, '1′
- Nie używaj następujących „specjalnych” znaków: ’,’, ’.’, '&’, '{’, ’}’, '[’, ’]’, '(’, ’)’, ’;’
- Zacznij używać następujących „specjalnych” znaków: ’:’, '=’, ’?’, '*’
- Przystawka Użytkownicy i komputery usługi Active Directory (za pośrednictwem konsoli Microsoft Management Console) zawiera teraz ulepszoną kartę Windows LAPS. Hasło systemu Windows LAPS jest teraz wyświetlane w nowej czcionce, która zwiększa jego czytelność (zwykły tekst).
Obsługa PostAuthenticationAction w celu zakończenia poszczególnych procesów
Dodano nową opcję do ustawienia PostAuthenticationActions (PAA) Group Policy. „Resetuj hasło, wyloguj konto zarządzane i zakończ wszystkie pozostałe procesy” ( „Reset the password, sign out the managed account, and terminate any remaining processes„). Opcja ta znajduje się w Computer Configuration -> Administrative Templates -> System -> LAPS -> Post-authentication actions.
Ta nowa opcja jest rozszerzeniem poprzedniej opcji „Resetuj hasło i wyloguj konto zarządzane”. Po skonfigurowaniu PAA powiadamia, a następnie kończy wszystkie interaktywne sesje logowania. Wylicza i kończy wszystkie pozostałe procesy, które nadal działają w ramach tożsamości konta lokalnego zarządzanego przez Windows LAPS. Ważne jest, aby pamiętać, że żadne powiadomienie nie poprzedza tego zakończenia.
Ponadto rozszerzenie zdarzeń rejestrowania podczas wykonywania post-authentication-action zapewnia głębszy wgląd w operację.
Windows Update
Nowa wersja systemu Windows Server umożliwia organizacjom instalowanie poprawek zabezpieczeń bez konieczności ponownego uruchamiania serwerów. Pozostałe aktualizacje nadal będą wymagały ponownego uruchomienia systemu.
Windows Terminal
Windows Terminal, potężna i wydajna aplikacja multishell dla użytkowników wiersza poleceń, jest dostępna w tej kompilacji. Wyszukaj „Terminal” w pasku wyszukiwania.
Winget
Winget jest to narzędzie wiersza poleceń Windows Package Manager, zapewnia menedżera pakietów do instalowania aplikacji na urządzeniach z systemem Windows. Aby dowiedzieć się więcej, zobacz Użyj narzędzia winget do instalowania i zarządzania aplikacjami.
Podsumowanie
Nowy WIndows Server wnosi mnóstwo nowych usprawnień. Po 24 latach (a nawet 25-ciu) zmienia się również AD, które teraz będzie miało więcej możliwości. Część rzeczy zabrana z GNU/Linux (jak to MS). Zobaczymy jaki będzie ostateczny kształt tego systemu. Mam nadzieję, że Windows Server 2025 będzie działał jednak lepiej niż Windows 11. Najnowszy system desktopowy na zupełnie nowym komputerze z konkretnym środkiem, często bez powodu na chwilę się zawiesza…
Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.
Link do formularza tutaj: https://beitadmin.pl/pomysly
Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).