В основе операционной системы Windows Server 2022 лежит надежная платформа Windows Server 2019. Она предоставляет множество инновационных возможностей для работы с тремя основными областями: безопасность, гибридная интеграция и управление Azure, а также платформа приложений. Кроме того, Windows Server 2022 Datacenter: Azure Edition позволяет использовать преимущества облака для обновления виртуальных машин и сокращения времени простоя.
Безопасность
Новые возможности обеспечения безопасности в Windows Server 2022 сочетают в себе другие возможности обеспечения безопасности Windows Server в разных областях. Это обеспечивает надежную защиту от дополнительных угроз. Расширенная многоуровневая защита в Windows Server 2022 предоставляет комплексную защиту, которая в настоящее время необходима серверам.
Сервер с защищенным ядром
Сервер с защищенным ядром обеспечивает защиту, которая позволяет предотвратить сложные атаки и может гарантировать повышенную надежность при обработке критически важных данных в некоторых отраслях, которые наиболее чувствительны к данным. Он основан на трех ключевых принципах: упрощенная безопасность, расширенная защита и профилактическая защита.
Упрощенная безопасность
При покупке оборудования у поставщика вычислительной техники для сервера с защищенным ядром вы можете быть уверены, что поставщик предоставил набор оборудования, встроенное ПО и драйверы, которые отвечают требованиям безопасности ядра. Системы Windows Server можно легко настроить в Windows Admin Center, чтобы включить функции безопасности защищенного ядра.
Расширенная защита
Серверы с защищенным ядром используют возможности оборудования, встроенного ПО и операционной системы в полном объеме, чтобы обеспечить защиту от текущих и будущих угроз. Защита, которую обеспечивает сервер с защищенным ядром, направлена на создание безопасной платформы для критически важных приложений и данных, используемых на этом сервере.
Функциональные возможности защищенного ядра охватывают следующие области:
Корень доверия оборудования
Доверенный платформенный модуль 2.0 (TPM 2.0) по умолчанию поставляется с серверами, которые могут использовать серверы с защищенным ядром. TPM 2.0 обеспечивает безопасное хранение секретных ключей и данных, например показателей производительности компонентов, загружаемых во время процесса загрузки. Этот корень доверия оборудования предоставляет защиту, обеспечиваемую такими функциями, как BitLocker, которая использует TPM 2.0 и упрощает создание рабочих процессов на основе аттестации. Эти рабочие процессы можно включить в стратегии обеспечения безопасности "Никому не доверяй".
Защита встроенного ПО
Наблюдается явный рост уязвимостей системы безопасности в пространстве встроенного ПО, обладающем высоким уровнем привилегий, а также относительная непрозрачность во встроенном ПО для традиционных антивирусных решений. Последние отчеты показывают, что платформы вредоносных программ и программ-вымогателей используют возможности встроенного ПО, повышая риск атак на встроенное ПО, которые уже были замечены в отношении корпоративных ресурсов, таких как контроллеры домена Active Directory. Благодаря поддержке процессором технологии динамического базового доверенного источника для оценки (DRTM) и защиты DMA, системы с защитой ядра изолируют от этих атак критически важную для безопасности низкоуровневую оболочку.
Безопасность на базе виртуализации (VBS)
Серверы с защитой ядра поддерживают VBS и целостность кода на основе низкоуровневой оболочки (HVCI). VBS и HVCI защищают от всего класса уязвимостей, возникающих при атаках майнинга криптовалюты, учитывая изоляцию, которую VBS обеспечивает между привилегированными частями операционной системы, такими как ядро, и остальной ее частью. VBS также предоставляет больше возможностей, которые могут включить клиенты, например функция Credential Guard, которая лучше защищает учетные данные домена.
Профилактическая защита
Функции защищенного ядра обеспечивают упреждающую защиту от многих типов атак, которые могут использовать злоумышленники, чтобы проникнуть в систему. Этот набор средств защиты также позволяет командам ИТ и SecOps эффективнее отслеживать различные области, требующие внимания.
Безопасное подключение
Транспортировка: протоколы HTTPS и TLS 1.3 по умолчанию включены в Windows Server 2022
Безопасные подключения являются основой современных взаимосвязанных систем. Протокол TLS 1.3 — это последняя версия наиболее популярной процедуры обеспечения безопасности в Интернете, которая позволяет шифровать данные для обеспечения безопасного канала связи между двумя конечными точками. Протоколы HTTPS и TLS 1.3 теперь включены по умолчанию в Windows Server 2022. Они защищают данные клиентов, подключающихся к серверу. Это позволяет отказаться от устаревших алгоритмов шифрования и повысить уровень безопасности по сравнению с более старыми версиями. Кроме того, эти протоколы предоставляют возможность шифровать максимально возможное количество подтверждений.
Безопасный клиент DNS: шифрование запросов разрешения DNS-имени с помощью клиента DNS по протоколу HTTPS
Клиент DNS в Windows Server 2022 теперь поддерживает использование клиента DNS по протоколу HTTPS (DoH), который шифрует запросы DNS по протоколу HTTPS. Это позволяет сохранять ваш трафик максимально закрытым, предотвращая перехват и изменение данных DNS. Протокол SMB: шифрование SMB AES-256 для обеспечения максимальной безопасности Windows Server теперь поддерживает наборы шифрования AES-256-GCM и AES-256-CCM для шифрования и подписывания SMB. Windows будет автоматически согласовывать этот более сложный метод шифрования при подключении к другому компьютеру, который его поддерживает. Кроме того, этот метод можно сделать обязательным с использованием в групповой политике. Windows Server по-прежнему поддерживает шифрование AES-128 для обеспечения совместимости нижнего уровня.
Протокол SMB: элементы управления шифрованием SMB в направлении с востока на запад для обмена данными между внутренними кластерами
Отказоустойчивые кластеры Windows Server теперь поддерживают гибкий контроль над шифрованием и подписыванием обмена данными внутри узлов для общих томов кластера (CSV) и уровня шины хранилища (SBL). Это означает, что при использовании Локальных дисковых пространств и вы можете шифровать и подписывать обмен данными в направлении с востока на запад в самом кластере для повышения безопасности.
SMB по QUIC
Использование протокола SMB по QUIC позволяет обновить SMB 3.1.1 в Windows Server 2022 Datacenter: Azure Edition и поддерживаемые клиенты Windows для использования протокола QUIC вместо TCP. Используя протокол SMB по QUIC вместе с TLS 1.3, пользователи и приложения могут безопасно и надежно получать доступ к данным из пограничных файловых серверов, работающих в Azure. Пользователям мобильных устройств и удаленным сотрудникам больше не нужен VPN для доступа к своим файловым серверам по протоколу SMB при использовании Windows.
Гибридные возможности Azure
Вы можете повысить эффективность и гибкость благодаря встроенным гибридным возможностям в Windows Server 2022, которые позволяют расширять центры обработки данных в Azure гораздо удобнее.
Серверы Windows с поддержкой Azure Arc
Серверы с поддержкой Azure Arc с Windows Server 2022 переносят локальные и многооблачные серверы Windows в Azure с помощью Azure Arc. Этот процесс управления предназначен для согласованного управления собственными виртуальными машинами Azure. Если компьютер с гибридной рабочей ролью, не относящийся к Azure, подключен к Azure, он становится подключенным компьютером и рассматривается как ресурс в Azure.
Windows Admin Center
К улучшениям Windows Admin Center для управления Windows Server 2022 относятся возможности составлять отчет о текущем состоянии функций защищенного ядра, упомянутых выше, а также предоставление возможности клиентам включать эти функции.
Автоматическое управление Azure — горячее исправление
Функция горячего исправления (часть службы автоматического управления Azure) поддерживается в Windows Server 2022 Datacenter: Azure Edition. Горячее исправление — это новый способ установки обновлений на новых виртуальных машинах выпуска Windows Server Azure, которым не требуется перезагрузка после установки.
Платформа приложений
Для контейнеров Windows выполнено несколько улучшений платформы. Улучшена совместимость приложений и работа с контейнерами Windows с помощью Kubernetes. Основным улучшением является уменьшение размера образа контейнера Windows на 40 %. Это позволило сократить время запуска на 30 % и повысить производительность. Теперь вы также можете запускать приложения, которые зависят от Azure Active Directory, с групповыми управляемыми учетными записями службы (gMSA), не присоединяя домен к узлу контейнера. Контейнеры Windows теперь поддерживают координатор распределенных транзакций (Майкрософт) и службу очереди сообщений (MSMQ). Есть несколько других улучшений, упрощающих работу контейнеров Windows с помощью Kubernetes. Эти улучшения включают поддержку контейнеров хост-процессов для конфигурации узла, IPv6 и постоянную реализацию политики сети с помощью Calico. Помимо улучшений платформы, предлагается обновленный инструмент Windows Admin Center, который упрощает контейнеризацию приложений .NET. После того как приложение окажется в контейнере, его можно разместить в Реестре контейнеров Azure, чтобы затем развернуть в других службах Azure, включая службу Azure Kubernetes. Благодаря поддержке процессоров Intel Ice Lake Windows Server 2022 позволяет использовать критически важные для бизнеса и крупномасштабные приложения, такие как SQL Server, которым требуется до 48 ТБ памяти и 2048 логических ядер, работающих на 64 физических сокетах. Конфиденциальные вычисления с помощью технологии Intel Secured Guard Extension (SGX) в Intel Ice Lake повышают безопасность приложений за счет изоляции приложений друг от друга в защищенной области памяти.
Вложенная виртуализация для процессоров AMD
Вложенная виртуализация — это компонент, который позволяет запускать Hyper-V в виртуальной машине (ВМ) Hyper-V. Windows Server 2022 поддерживает вложенную виртуализацию с помощью процессоров AMD, предоставляя больший выбор оборудования для вашего окружения.
Браузер Microsoft Edge
Браузер Microsoft Edge включен в состав Windows Server 2022, заменив Internet Explorer. Он создан на основе Chromium с открытым кодом и поддерживает инновации и стандарты безопасности Майкрософт. Его можно использовать с вариантами установки основных серверных элементов или сервера с возможностями рабочего стола.
Служба миграции хранилища
Улучшения службы миграции хранилища в Windows Server 2022 упрощают перенос хранилища в Windows Server или в Azure из большего числа расположений источников. Ниже приведены функции, доступные при запуске оркестратора сервера миграции хранилищ в Windows Server 2022.
Перенос локальных пользователей и групп на новый сервер.
Перенос хранилища из отказоустойчивых кластеров, перенос в отказоустойчивые кластеры и перенос между автономными серверами и отказоустойчивыми кластерами.
Перенос хранилища с сервера Linux, использующего Samba. Более простая синхронизация перенесенных общих ресурсов в Azure с помощью компонента "Синхронизация файлов Azure".
Перенос в новые сети, такие как Azure.
Перенос серверов NetApp CIFS из массивов NetApp на серверы и кластеры Windows. Регулируемая скорость восстановления хранилища.
Регулируемая пользователем скорость восстановления хранилища — это новая функция в Локальных дисковых пространствах, которая позволяет лучше контролировать процесс повторной синхронизации данных, выделяя ресурсы либо для восстановления копий данных (отказоустойчивость), либо для запуска активных рабочих нагрузок (производительность). Это позволяет повысить уровень доступности и более гибко и эффективно обслуживать кластеры.
Кэш шины хранилища с использованием дисковых пространств на отдельных серверах
Кэш шины хранилища теперь доступен для отдельных серверов. Это может значительно повысить производительность чтения и записи, сохраняя эффективность хранения и обеспечивая низкие эксплуатационные затраты. Как и в случае с реализацией Локальных дисковых пространств, эта функция связывает быстрый носитель (например, NVMe или SSD) с более медленным (например, HDD) для создания уровней. Часть более быстрого уровня носителя резервируется для кэша.
Сжатие SMB
Усовершенствование протокола SMB в Windows Server 2022 и Windows 11 позволяет пользователю или приложению сжимать файлы по мере их передачи по сети. Пользователям больше не нужно вручную сжимать ZIP-файлы для ускорения их передачи в медленных или более перегруженных сетях.