Windows Active Directory 的未来展望

关键要点

• 微软在最新的 Windows Server 2025 中继续支持和增强 Active Directory（AD）。
• 引入了强制 LDAP 加密，确保敏感数据的安全传输。
• Server 2025 支持 TLS 1.3，为 LDAP 连接提供额外的安全性。
• 引入随机生成的机器帐户密码，增强了对暴力破解攻击的防御。
• Windows Server 2025 提供了“热补丁”功能，允许在不重启系统的情况下安装更新。


在技术发展的过程中，尽管有许多报道声称本地解决方案即将退出历史舞台，但在完全转向云解决方案之前，我们仍将在一个漫长的过渡期中。在 WindowsServer 2025 的新安全功能中，这一点得到了充分体现。

虽然很多新功能都显示出“云优先”的视角，但也有明显迹象表明，部分技术仍将长期存在。例如，微软的 ActiveDirectory（AD）仍在受支持，实际上还在不断增强中。

Active Directory 安全的增强

在许多技术中，这些新功能和增强通常在您确保提升了林的级别并在域中做出特定更改后才会生效。例如，Active Directory安全方面的一项新变化是强制所有连接采用轻量目录访问协议（LDAP）加密，这样可以保护敏感的目录数据免遭窃听和篡改。

LDAP 一直以来都被用户和攻击者广泛使用和“滥用”。许多业务应用程序通常依赖 LDAP进行身份验证，这使得攻击者可能利用注入攻击和其他查询。因此，虽然我们经常被告知要确保网络强制执行 LDAP 签名，但这与加密或启用 LDAPS（安全 LDAP）的过程并不相同，后者会加密所有 LDAP 属性，包括用户凭据。自 2007 年和 Server 2008 以来，微软一直希望我们启用这一设置，而在 Server 2025 中，默认情况下已启用此设置——如有遇到不支持的旧应用程序，可选择禁用。

Server 2025 支持 TLS 1.3，这是最新版本的传输层安全协议，用于 LDAP 通过 TLS的连接。虽然这并不是新技术，但现在会强烈推荐使用这一设置。

在 Server 2025 中实施传输层安全

自 2022 年 6 月起，使用 LDAP 通过 SSL 或 StartTLS 命令时，可以在特定平台上支持 TLS 1.3。Windows 更新 和 特别添加了对这一安全设置的支持，适用于 Windows 11 和 Server2022。如果您现在使用这些平台，可以通过以下设置启用此功能：

LDAP 服务器端

使用注册表编辑器修改以下值以禁用或重新启用服务器端的 TLS 1.3 LDAP：

重启 Active Directory 域服务后，设置才能生效。

LDAP 客户端

使用注册表编辑器修改以下值以禁用或重新启用客户端端的 TLS 1.3 LDAP：

设置将在下一个 LDAP 连接