Windows server 2022 apžvalga ir naujovės


Windows 2022 apžvalga ir naujovės

 

Microsoft paskelbė apie naujos Windows server 2022 operacinės sistemos, skirtos serveriams, išleidimą. Naujoji operacinė sistema sukurta Windows Server 2019 pagrindu ir tai galima pavadinti operacinės sistemos evoliucija, kuri prasidėjo dar nuo Windows server 2016, kuomet buvo sustiprintas saugumas, atsirado hibridinės debesų kompiuterijos galimybės, taip pat patobulintas didžiausių vietinių taikomųjų programų palaikymas. 

Bacloud komanda kviečia apžvelgti ir susipažinti su naujomis Windows server 2022 galimybėmis, kurios pristatomos su šia naujausia operacine sistema.

Saugumas

Naujosios Windows Server 2022 saugumo galimybės apjungia visas prieš tai buvusias Windows serverio saugumo galimybes įvairiose srityse, kad būtų užtikrinta nuodugni apsauga nuo pažangių grėsmių. Išplėstinė daugiasluoksnė Windows Server 2022 sauga užtikrina visapusišką serverių apsaugą nuo naujausio tipo atakų.

Saugaus branduolio serveris

Sertifikuota saugaus pagrindinio serverio aparatinė įranga iš partnerio OEM (original equipment manufacturer – originalios įrangos gamintojo) suteikia papildomų apsaugos priemonių, naudingų prieš sudėtingas atakas. Tai gali užtikrinti didesnį patikimumą tvarkant ypatingos svarbos duomenis jautriausiose duomenų apsaugai pramonės šakose. Saugiame pagrindiniame serveryje naudojamos aparatinės įrangos, programinės įrangos ir tvarkyklių galimybės, kad būtų įjungtos išplėstinės Windows serverio saugumo funkcijos. Daugelis šių funkcijų yra įdiegtos Windows Secured-core PCs asmeniniuose kompiuteriuose, o dabar jas galima naudoti ir saugių branduolio serverių aparatinėje įrangoje bei Windows Server 2022.

Aparatinės įrangos pasitikėjimo pagrindas

Patikimos platformos modulio 2.0 (TPM 2.0) saugios kriptoprocesorių mikroschemos yra saugi aparatine įranga pagrįsta konfidencialių kriptografinių raktų ir duomenų, įskaitant sistemų vientisumo matavimus, saugykla. TPM 2.0 gali patikrinti, ar serveris buvo paleistas su teisėtu kodu ir ar juo galima pasitikėti vėliau vykdant kodą. Ši funkcija vadinama aparatinės įrangos pasitikėjimo pagrindu (hardware root-of-trust) ir naudojama tokiose sistemose kaip BitLocker disko šifravimas (BitLocker drive encryption).

Programinės įrangos apsauga

Gamintojo programinė įranga (Firmware), kuriai suteiktos didelės veikimo teisės, dažnai tampa nematoma tradicinėms antivirusinėms programoms, todėl padaugėjo į šią programinę įrangą nukreiptų atakų. Saugaus branduolio serverių procesoriai palaiko įkrovos procesų matavimą ir tikrinimą naudojant dinaminę pasitikėjimo pagrindo matavimo (Dynamic Root of Trust for Measurement (DRTM) technologiją ir tvarkyklių prieigos prie atminties izoliavimą naudojant tiesioginės prieigos prie atminties (Direct Memory Access (DMA) apsaugą.

Virtualizacija pagrįstas saugumas (VBS)

Saugaus branduolio serveriai palaiko virtualizacija pagrįstą saugumą (VBS) ir hipervizoriumi pagrįstą kodo vientisumą (HVCI). VBS naudoja aparatinės įrangos virtualizavimo funkcijas, kad sukurtų ir izoliuotų saugią atminties sritį nuo įprastos operacinės sistemos ir taip apsisaugotų nuo atakų, kurios vyksta kriptovaliutų kasyboje. VBS taip pat galima naudoti funkciją Credential Guard, kai naudotojo įgaliojimai ir slapta informacija yra saugomi virtualioje talpykloje, kurios operacinė sistema negali tiesiogiai pasiekti.

HVCI naudoja VBS, kad gerokai sustiprintų kodo vientisumo politikos įgyvendinimą, įskaitant branduolio režimo vientisumą, kuris tikrina visas branduolio rėžimo tvarkykles ir dvejetainius failus virtualizuotoje aplinkoje prieš juos paleidžiant, neleisdamas į sistemos atmintį įkelti nežinomų tvarkyklių ar sistemos failų.

Saugus ryšys

HTTPS ir TLS 1.3 įjungti pagal nutylėjimą Windows Server 2022

Saugūs ryšiai yra šiuolaikinių tarpusavyje sujungtų sistemų pagrindas. Transport Layer Security (TLS) 1.3 - tai naujausia labiausiai paplitusio interneto saugumo protokolo versija, kuria šifruojami duomenys, kad būtų užtikrintas saugus ryšio kanalas tarp dviejų galinių taškų. Windows Server 2022 serveryje pagal numatytuosius nustatymus įjungtas HTTPS ir TLS 1.3 – taip apsaugomi prie serverio prisijungiančių klientų duomenys. Atsisakoma pasenusių kriptografinių algoritmų, padidinamas senesnių versijų saugumas ir siekiama užšifruoti kuo didesnę handshake signalo dalį. Sužinokite daugiau apie palaikomas TLS versijas (supported TLS versions) ir palaikomus šifrų rinkinius (supported cipher suites).

Saugus DNS: Užšifruotos DNS vardų perskyrimo užklausos naudojant DNS-over-HTTPS

Windows Server 2022 DNS klientas nuo šiol palaiko DNS-over-HTTPS (DoH), kuris šifruoja DNS užklausas naudodamas HTTPS protokolą. Tai padeda užtikrinti, kad jūsų duomenų srautas būtų kuo privatesnis, nes neleidžia pasiklausyti ir manipuliuoti DNS duomenimis. Sužinokite daugiau apie tai, kaip sukonfigūruoti DNS klientą DoH naudojimui (configuring the DNS client).

Serverio pranešimų blokas (SMB): SMB AES-256 šifravimas, kad būtų užtikrintas didžiausias saugumas

Windows serveris nuo šiol palaiko AES-256-GCM ir AES-256-CCM kriptografinius rinkinius SMB šifravimui. Jungiantis prie nuotolinio kompiuterio, kuris taip pat palaiko šį šifravimo metodą, Windows automatiškai naudos būtent naująjį šifravimą, be to, jį galima nustatyti per grupės politiką (group policy). Windows serveris vis dar palaiko AES-128, kad būtų užtikrintas žemesnio lygio suderinamumas. AES-128-GMAC pasirašymas dabar taip pat pagreitina pasirašymo procesą.

SMB:Rytų-Vakarų SMB šifravimo kontrolė vidiniams klasterio ryšiams

Windows serverių klasteriuose su persijungimu įvykus trikdžiams dabar palaikomas detalus saugyklos vidinių ryšių šifravimo ir pasirašymo valdymas klasterio bendrųjų tomų (Cluster Shared Volumes – CSV) ir saugyklos magistralės sluoksnio (storage bus layer – SBL) atveju. Tai reiškia, kad naudodami Storage Spaces Direct galite nuspręsti šifruoti arba pasirašyti rytų-vakarų ryšius pačiame klasteryje, kad užtikrintumėte didesnį saugumą.

SMB Direct ir RDMA šifravimas

SMB Direct ir RDMA užtikrina didelio pralaidumo ir mažo vėlinimo tinklo struktūrą tokioms darbo apkrovoms kaip Storage Spaces Direct, Storage Replica, Hyper-V, Scale-out File Server ir SQL Server. Windows Server 2022 sistemoje SMB Direct dabar palaikomas šifravimas. Anksčiau, įjungus SMB šifravimą, tiesioginis duomenų talpinimas buvo išjungtas; tai buvo daroma sąmoningai, tačiau turėjo didelės įtakos našumui. Dabar duomenys užšifruojami prieš juos patalpinant, todėl kur kas mažiau pablogėja našumas, kartu užtikrinamas AES-128 ir AES-256 apsaugotas paketų privatumas.

Daugiau informacijos apie SMB šifravimą, pasirašymo spartinimą, saugią RDMA ir klasterių palaikymą rasite: SMB security enhancements.

SMB over QUIC

SMB over QUIC atnaujino SMB 3.1.1 protokolą sistemoje Windows Server 2022 Datacenter: Azure Edition ir palaikomuose Windows klientuose vietoje TCP protokolo naudojamas QUIC protokolas. Naudodami SMB over QUIC kartu su TLS 1.3, naudotojai ir programos gali saugiai ir patikimai pasiekti duomenis iš Azure veikiančių kraštinių failų serverių. Mobiliųjų ir nuotoliniu būdu dirbančių naudotojų, norinčių pasiekti failų serverius per SMB, kai jie naudoja Windows, nebereikia VPN. Daugiau informacijos rasite: SMB over QUIC documentation.

Azure hibridinės galimybės

Efektyvumą ir mobilumą galite padidinti naudodami Windows Server 2022 įdiegtas hibridines galimybes, leidžiančias išplėsti duomenų centrus į Azure lengviau nei bet kada anksčiau.

Azure Arc Windows serveriuose

Windows Server 2022 serveriai su Azure Arc  suteikia galimybę vietinius ir kelių debesų Windows serverius perkelti į Azure su Azure Arc. Ši valdymo patirtis sukurta taip, kad atitiktų tai, kaip valdote vietines Azure virtualias mašinas. Kai hibridinis kompiuteris prijungiamas prie Azure, jis tampa prijungtu kompiuteriu ir Azure laikomas ištekliu. Daugiau informacijos galima rasti: Azure Arc enables servers documentation.

Windows administravimo centras

Į Windows administravimo centro patobulinimus, skirtus Windows Server 2022 valdymui, įtrauktos funkcijos, leidžiančios pateikti ataskaitas apie esamą anksčiau minėtų saugaus branduolio funkcijų būseną ir, jei reikia, leisti klientams įjungti šias funkcijas. Daugiau informacijos apie šiuos ir daugelį kitų Windows administravimo centro patobulinimų galima rasti: Windows Admin Center documentation.

Azure automatinis valdymas – Hotpatch

Hotpatch, dalis Azure Automanage, palaikoma Windows Server 2022 Datacenter: Azure Edition. Hotpatching yra naujas būdas įdiegti atnaujinimus į naujas Windows Server Azure Edition virtualias mašinas (VM), kurias įdiegus nereikia perkrauti kompiuterio. Daugiau informacijos rasite: Azure Automanage documentation.

Papildomų programų platforma

Windows Containers platformoje yra keletas patobulinimų, įskaitant programų suderinamumą ir Windows Container patirtį su Kubernetes. Pagrindinis patobulinimas – iki 40% sumažintas Windows Container atvaizdo dydis, todėl 30% sutrumpėja paleidimo laikas bei atitinkamai padidėja našumas.

Dabar taip pat galite paleisti programas, kurios integruotos į Azure Active Directory su grupės valdomų paslaugų paskyromis (gMSA), neprisijungdami prie domeno konteinerių savininkų, o Windows Containers dabar palaiko Microsoft Distributed Transaction Control (MSDTC) ir Microsoft Message Queuing (MSMQ).

Yra ir keletas kitų patobulinimų, kurie supaprastina Windows Container patirtį su Kubernetes. Tarp šių patobulinimų – mazgų konfigūravimo, IPv6 ir nuoseklaus tinklo politikos įgyvendinimo su Calico palaikymas.

Atnaujintas Windows Admin Center palengvina .NET programų talpinimą. Kai programa yra konteineryje, galite ją talpinti Azure konteinerių registre ir tada įdiegti kitose Azure paslaugose, įskaitant Azure Kubernetes paslaugą.

Kitos svarbios funkcijos

Įterptinis virtualizavimas AMD procesoriams

Įterptinė virtualizacija – tai funkcija, leidžianti Hyper-V naudoti Hyper-V virtualioje mašinoje (VM). Windows Server 2022 palaiko įterptinę virtualizaciją naudojant AMD procesorius, todėl jums suteikiama daugiau techninės įrangos pasirinkimo galimybių. Daugiau informacijos rasite įterptosios virtualizacijos dokumentacijoje (nested virtualization documentation).

Tinklo veikimas

UDP našumo patobulinimai

UDP tampa labai populiariu protokolu, kuriuo perduodama vis daugiau tinklo duomenų srauto. QUIC protokolas, sukurtas UDP pagrindu, padidina UDP našumą iki TCP lygio. Svarbu tai, kad į Windows Server 2022 įdiegta UDP segmentavimo perkrovos (Segmentation Offload – USO) funkcija. USO didžiąją dalį UDP paketams siųsti reikalingo darbo perkelia iš centrinio procesoriaus (CPU) į specializuotą tinklo adapterio įrangą. USO papildo UDP priėmimo pusės koalescenciją  (UDP RSC (Receive Side Coalescing), kuri sujungia paketus ir sumažina procesoriaus naudojimą UDP apdorojimui. Be to, atlikti šimtai patobulinimų UDP duomenų perdavimo ir gavimo kelyje. Šią naują funkciją turi ir Windows Server 2022, ir Windows 11.

TCP našumo patobulinimai

Windows Server 2022 naudoja TCP HyStart++, kad sumažintų paketų praradimą pradedant ryšį (ypač didelės spartos tinkluose), ir RACK, kad sumažintų pakartotinio perdavimo laiką (Retransmit TimeOuts – RTO). Šios funkcijos pagal numatytuosius nustatymus įjungtos transporto sluoksnyje ir užtikrina sklandesnį tinklo duomenų srautą ir geresnį našumą esant dideliam greičiui. Šią naują funkciją turi ir Windows Server 2022, ir Windows 11.

Hyper-V virtualizacijos valdymo patobulinimai

Virtualiuose Hyper-V šakotuvuose įdiegta atnaujinta Receive Segment Coalescing (RSC) funkcija. Ji leidžia šakotuvo tinklui sujungti paketus ir apdoroti juos kaip vieną didesnį segmentą. Sumažinamas procesoriaus (CPU) ciklų skaičius, o segmentai lieka sujungti visame duomenų kelyje, kol juos apdoroja numatyta programa. Tai reiškia, kad pagerėjo tinklo duomenų srauto, gaunamo iš išorinio kompiuterio į virtualųjį NIC ir iš virtualiojo NIC į kitą to paties kompiuterio virtualųjį NIC, našumas.

Saugykla

Saugyklos perkėlimo paslauga

Windows Server 2022 saugyklos perkėlimo paslaugos (storage migration service) patobulinimai palengvina saugyklos perkėlimą į Windows Server arba Azure iš daugiau lokacijų. Toliau pateikiamos funkcijos, kuriomis galima naudotis paleidus saugyklos perkėlimo serverio (storage migration server) organizatorių sistemoje Windows Server 2022:

● Perkelti vietinius naudotojus ir grupes į naująjį serverį.

● Perkelti saugyklą iš ir į gedimų įveikimo klasterius bei migruoti tarp atskirų serverių ir gedimų įveikimo klasterių.

● Perkelti saugyklą iš Linux serverio, kuriame naudojama Samba.

● Lengviau sinchronizuoti perkeltus ir pasidalintus dokumentus į Azure naudojant Azure File Sync.

● Perkėlimas į naujus tinklus, pvz., Azure.

● Perkelti NetApp CIFS serverius iš NetApp FAS masyvų į Windows serverius ir klasterius.

Reguliuojamas saugyklos taisymo greitis

Reguliuojamas saugyklos taisymo greitis (user adjustable storage repair speed) – tai nauja Storage Spaces Direct funkcija, leidžianti geriau kontroliuoti duomenų pakartotinio sinchronizavimo procesą, skiriant išteklius duomenų kopijoms taisyti (atsparumas) arba aktyvioms darbo apkrovoms paleisti (našumas). Tai padeda pagerinti prieinamumą ir leidžia lanksčiau bei efektyviau aptarnauti klasterius.

Diskų prievado spartinančioji atmintinė su Storage Spaces atskiruose serveriuose

Diskų prievado spartinančioji atmintinė dabar prieinama atskiriems serveriams. Ji gali gerokai pagerinti skaitymo ir rašymo našumą, išlaikant saugyklos efektyvumą ir mažus eksploatacinius kaštus. Panašiai kaip ir Storage Spaces Direct, ši funkcija susieja greitesnes laikmenas (pvz., NVMe arba SSD) su lėtesnėmis laikmenomis (pvz., HDD), kad būtų sukurtos pakopos. Greitesnės laikmenos pakopos dalis rezervuojama talpyklai. Norėdami sužinoti daugiau skaitykite: Enable storage bus cache with Storage Spaces on standalone servers.

SMB glaudinimas

Windows Server 2022 ir Windows 11 SMB patobulinimas leidžia vartotojui arba programai glaudinti tinkle perduodamus failus. Vartotojams nebereikia rankiniu būdu glaudinti failų, norint greičiau perduoduoti lėtesniuose ar labiau apkrautuose tinkluose. Išsamesnę informaciją rasite skyriuje SMB glaudinimas (SMB Compression).

Pabaigai

 

Naujoji Windows server 2022 versija suteikia galybę atnaujinimų, kurie neatsiejami nuo šiandieninio verslo. Vienas svarbiausių akcentų - tai saugumas, į kurį atkreipiamas ypatingas dėmesys. Kaip žinome, dauguma atakų yra nukreiptos būtent į Windows operacinių sistemų programinę įrangą ir vartotojus.Panašu jog Microsoft atkreipė į tai dėmesį ir siekia sistemos veikimo patikimumo, geresnės integracijos su išorinėmis sistemom



Tuesday, November 9, 2021

« Back