Windows Server 2022: новые функции

22 июня 2022

ОС Windows Server 2022 создавалась на базе надежной площадки Windows Server 2019. Используя эту операционную систему, Вы сможете работать с такими сферами как безопасность, комбинированная интеграция, платформа программ, регулирование сервиса Azure. А Windows Server 2022 Datacenter: Azure Edition поможет обновлять облачные устройства, уменьшать нерабочее время.

В статье читайте об основных нововведениях в функционале Windows Server 2022.

Защита

Современные подходы в безопасности Windows Server 2022 включают основные функции защиты Windows Server в других сферах. Таким образом, гарантируется надежность и защищенность от различных угроз. Операционная система обладает всесторонней многоуровневой защитой, в которой нуждаются сейчас сервера.

Серверное ядро с повышенным уровнем защиты

Оборудование имеет защищенное ядро, прошло сертификацию в компании OEM, гарантирует безопасность от самых хитрых атак злоумышленников. Особенно это актуально в организациях, где безопасность и сохранение личной информации в приоритете. Сервер с ядром высокого уровня защиты совмещает функциональные возможности оборудования, вмонтированного ПО, драйверов, что активирует детальный функционал безопасности Windows Server. Большинство опций есть на устройствах Windows с безопасным ядром, сейчас они включены при эксплуатации надежного оборудования Windows Server 2022.

Безопасное хранение криптографических ключей

Системы криптопроцессоров доверенного блока 2.0 (TPM 2.0) под защитой, что предполагает надежную сохранность конфиденциальных криптографических ключей, в том числе показателей единства систем. С TPM 2.0 Вы убедитесь в запуске сервера с актуальным кодом и возможности его доверить при очередном создании кода. Такая опция именуется корнем доверия устройств, ее использует функция шифрования диска BitLocker.

Высокая безопасность вмонтированного ПО

Встроенное ПО зачастую является незаметным для стандартных антивирусов, в связи с этим атаки по этой схеме возросли. В процессорах с надежным яром можно измерять и проверять загрузки посредством методологии DRTM, обособленности входа драйверов благодаря методу безопасности DMA.

Защита серверов от подозрительного ПО

Безопасное скачивание UEFI защищает серверы от программ-вредителей rootkit. При безопасной загрузке есть гарантия того, что сервер импортирует лишь встроенное программное обеспечение, уполномоченное для разработчика оборудования. Когда запускается сервер вмонтированные программы проверяют подписи всех элементов загрузки в том числе драйверы встроенных систем. При актуальности подписей происходит загрузка сервера, ОС перенимает управление от встроенного ПО.

Виртуализация (VBS), как важный признак безопасности

Серверы с надежным ядром работают на технологиях с виртуализацией (VBS), с сохранением единства кода на базе гипервизора (HVCI). VBS применяет аппаратную виртуализацию. Это позволяет создать, отделить безопасную часть памяти от стандартной ОС. Так предотвращаются уязвимости, которые применяются для взломов в криптобизнесе. С помощью VBS реализуется технология Credential Guard для хранения учетной информации конфиденциальных данных в виртуальном хранилище, ведь у ОС к нему нет прямого доступа. Гипервизору HVCI нужна VBS для проверки совокупности кода, неразделимости системы ядра. В этом случае проверяются драйверы, двоичные файлы перед тем, как они запускаются в VR пространстве, в процессе происходит недопущение импорта драйверов без подписи, системной информации в память системы. Безопасность данных ядра (KDP) помогает защищать память ядра для чтения данных, которые не исполняются с защищенными HVCI секторами памяти. Таким способом защищаются важные схемы пространства System Guard в Windows Defender от незаконного преобразования.

TLS для безопасного подсоединения

Transport Layer Security (TLS) 1.3 – самый свежий вариант протокола безопасности в Сети, предназначенный для шифрования данных и для безопасного соединения двух конечных устройств. HTTPS и TLS 1.3 изначально входят в комплект Windows Server 2022. Эти протоколы служат как защита клиентских данных, подключаемых к серверу. Методика является современной, пришедшая на смену устаревшим видам шифрования с высоким уровнем надежности. Они также позволяют осуществлять шифрование огромного количества подтверждений.

Поддержка клиента DNS по HTTPS (DoH)

Запросы разрешения имени DNS отныне шифруются безопасно через клиента DNS согласно протоколу HTTPS. В Windows Server 2022 клиент DNS кодирует запрос по HTTPS (DoH). Такая опция защитит ваши данные, предотвратит хищение, изменение трафика DNS.

Надежное шифрование SMB AES-256

Наборы AES-256-GCM и AES-256-CCM предназначены для шифрования SMB. Windows автоматически координирует это шифрование во время подсоединения к ПК, который его поддерживает. В Windows Server, как и раньше, есть поддержка шифрования AES-128 для сочетаемости с предыдущими версиями. С AES-128-GMAC увеличивается продуктивность подписания.

Компоненты контроля шифрования SMB Восток-Запад

Регулирование шифрования SMB позволит обмениваться информацией среди внутренних кластеров. Стойкие к отказам кластеры Windows Server имеют маневренный контроль шифрования, также легко контролировать подписание обмена данными в середине узлов для общих томов кластера (CSV) и уровня шины хранения (SBL). Из этого следует, когда Вы используете локальные дисковые хранилища вам доступно шифрование и подписывание обмена данными в кластере по курсу с востока на запад, при этом увеличивается безопасность.

Шифрование по SMB Direct и RDMA

Со стандартом SMB Direct и RDMA обеспечивается сетевая система с минимальным перерывом для рабочих нагрузок (локальные дисковые хранилища, Hyper-V, изменяющийся файловый сервер, SQL Server). В Windows Server 2022 с возможностью SMB Direct доступно шифрование. Ранее, при активации шифрования SMB размещение данных напрямую выключалось, что оказывало влияние на продуктивность. Сейчас шифрование происходит до того, как данные разместятся, производительность уменьшается незначительно при сохранении секретности пакетов, которые защищаются посредством AES-128 и AES-256.

SMB через протокол QUIC

SMB через QUIC обновляет SMB 3.1.1 в Windows Server 2022 Datacenter: Azure Edition, клиенты Windows, которые поддерживаются. В этом случае применяется QUIC, а не TCP. SMB через QUIC можно использовать в совокупности с TLS 1.3, так пользователям, программам открывается возможность надежного получения доступа к данным из серверов в Azure. Если вы работаете из мобильного телефона или удаленно, вам не нужен VPN для подсоединения к серверам по SMB в Windows.

Функционал Azure гибридного типа

Windows Server 2022 имеет встроенный гибридный функционал. Это означает повышение продуктивности, гибкости благодаря расширению центров обработки данных в Azure.

Поддержка Azure Arc

Серверы, которые поддерживают Azure Arc перемещают с Windows Server 2022 локальные, многооблачные серверы Windows в облачную платформу Azure. Благодаря этой процедуре происходит слаженное управление своими устройствами Azure. ПК с гибридными возможностями, который не относится к Azure, присоединенный к Azure, является подключенным устройством и выступает в качестве ресурса в Azure.

Центр администрирования Windows.

В Windows Admin Center можно создавать отчет о том, как выстроен функционал ядра в Windows Server 2022

Горячее восстановление

Такая возможность доступна в Windows Server 2022 Datacenter: Azure Edition. Горячее исправление представляет собой настройку восстановлений на новых облачных компьютерах Windows Server Azure Edition. После установки перезагружать устройство не нужно.

Платформа программ

Сочетаемость программ теперь усовершенствована, улучшилось взаимодействие с контейнерами Windows посредством Kubernetes. Главное нововведение – образ контейнера по объему сократился на 40%. В итоге, уменьшился запуск по времени на 30%, увеличилась продуктивность. Вам доступно открытие программ, которые зависят от Azure Active Directory с групповыми учетными записями (gMSA) без подключения домена к узлу контейнера. В контейнерах Windows появилась поддержка координатора назначенных действий (Майкрософт), сервиса очереди уведомлений (MSMQ). Среди прочих нововведений – контейнеры хост-процессов для комбинации узла, IPv6, внедрение принципов сети благодаря Calico.

С Windows Admin Center контейнеризация программ .NET становится лучше и проще. После появления программ в контейнере, приложение можно размещать в Реестре контейнеров Azure. Потом оно разворачивается в других сервисах Azure, в том числе Kubernetes. Windows Server 2022 включает процессоры Intel Ice Lake, что открывает возможность пользоваться масштабными и существенными для бизнеса программами. Например, применять в работе SQL Serverили похожие приложения с требующейся памятью до 48 ТБ, 2048 логическими ядрами, которые работают на 64 сокетах. Засекреченные расчеты по методике Intel Secured Guard Extension (SGX) в Intel Ice Lake увеличивают защиту программ из-за отделения их в защищенной ячейке памяти.

Прочие важные особенности

• приложенная виртуализация, позволяющая включать Hyper-V на виртуальных устройствах. В Windows Server 2022 есть поддержка приложенной виртуализации благодаря процессорам AMD;
• в Windows Server 2022 встроен браузер Microsoft Edge вместо Internet Explorer. В браузере имеются все необходимые нормы безопасности от Microsoft;
• повышенная производительность UDP и TCP протокола. QUIC, который создан на базе UDP увеличивает уровень продуктивности и приравнивается до TCP. Windows Server 2022 разгружает разделение UDP (USO). Возможности снижения потери пакетов во время старта соединения изначально содержатся в транспортном стеке. Таким образом, плавно и в то же время быстрее происходит сетевой трафик. Эта опция есть в Windows Server 2022 и в Windows 11;
• улучшенный функционал коммутатора Hyper-V. А именно добавлена новая функция соединения секторов (RSC). Сеть гипервизора работает с пакетами, как с одним блоком, что уменьшает цикличность процессора.
• упрощенный процесс миграции хранилища. В Windows Server 2022 отныне легко можно осуществлять перенос хранилища в Windows Server или в Azure среди большого разнообразия построения источников.
Основные функции, которыми можно воспользоваться во время открытия оркестратора сервера переноса хранилищ в Windows Server 2022:
• миграция локальных устройств на новый сервер;
• перенос хранилища из/в отказоустойчивые кластеры, между отдельными серверами;
• миграция с сервера Linux, применяющий Samba;
• упрощенная синхронизация мигрированных ресурсов в Azure посредством элемента "Синхронизация файлов Azure";
• миграция в новые сети, например Azure;
• перенос сервера NetApp CIFS на серверы и кластеры Windows из массивов NetApp;
• изменение скорости обновления хранилища регулируемое. Новая возможность в локальных дисках, позволяющая эффективно управлять последующей синхронизацией данных. Так повышается доступность, можно гибко, эффективно работать с кластерами;
• высокая скорость обновления и последующей синхронизации. Восстановление хранилища происходит быстро. Это касается повторной синхронизации после перезагрузки узла, трудностей с диском. Благодаря повышению детализации во время мониторинга данных вам будет известна точная длительность операций исправления.
• Кэшированные данные шины хранилища доступны на отдельных серверах. В этом случае существенно повышается продуктивность чтения, записи с обеспечением низких эксплуатационных издержек. Опция позволяет соединять скоростной диск (NVMe или SSD) с неторопливым (HDD), для генерации уровней;
• мгновенные воспроизведения файлов по схеме ReFS. Resilient File System (ReFS) содержит функции генерации мгновенных изображений файлов посредством быстрых действий с метаданными. Опция имеет отличия от получения клонов секторов ReFS тем, что клоны можно записывать, а мгновенные снимки можно лишь «читать». Мгновенный снимок ReFS оригинальный тем, что занимает всегда одно и то же время, и не важно, какой размер файла. Мгновенные снимки поддерживаются в ReFSUtil либо в формате API.
• Сокращение размеров файлов SMB. Улучшенный протокол SMB в Windows Server 2022 и Windows 11 поможет сокращать размер файлов в процессе сетевой передачи. Ручное сжатие ZIP-файла уже не потребуется для увеличения скорости в медлительном либо в загруженном трафике.