Windows Server 2022 – cicha premiera

1 września 2021 roku bez zwyczajowego rozgłosu Microsoft wprowadził na rynek kolejne wydanie Windows Server – 2022. Najważniejsze zmiany w produkcie kładą nacisk przede wszystkim na bezpieczeństwo.

Nowe funkcje

Wymieńmy kluczowe nowości, które pojawiły się w systemie:

Zaawansowane wielowarstwowe zabezpieczenia

Nowe funkcje zabezpieczeń w Windows Server 2022 łączą inne funkcje zabezpieczeń systemu Windows Server w wielu obszarach, zapewniając  dzięki temu dogłębną ochronę przed zagrożeniami. Zaawansowane zabezpieczenia wielowarstwowe w Windows Server 2022  tworzą kompleksową ochronę, której potrzebują serwery.

Secured-core server

Certyfikowany sprzęt serwerowy z rdzeniem zabezpieczonym od partnera OEM dostarcza dodatkowe zabezpieczenia przydatne w przypadku zaawansowanych ataków. W efekcie otrzymujemy większą pewność podczas obsługi danych o znaczeniu krytycznym w branżach z najbardziej wrażliwymi danymi. Serwer z zabezpieczonym rdzeniem wykorzystuje możliwości sprzętu, oprogramowania układowego i sterowników, aby włączyć zaawansowane funkcje zabezpieczeń systemu Windows Server. Z wielu z tych funkcji można korzystać na komputerach z systemem Windows Secured-core;  obecnie są dostępne również ze sprzętem serwerowym z zabezpieczonym rdzeniem i Windows Server 2022.

Hardware root-of-trust

Bezpieczne chipy z procesorem kryptograficznym Trusted Platform Module 2.0 (TPM 2.0) zapewniają bezpieczne, sprzętowe przechowywanie wrażliwych kluczy kryptograficznych i danych, w tym pomiarów integralności systemów. Moduł TPM 2.0 może zweryfikować, czy serwer został uruchomiony z prawidłowym kodem i czy można mu zaufać przez kolejne wykonanie kodu. Praktykę tę nazywa się sprzętową podstawą zaufania – używają  jej funkcje takie jak szyfrowanie dysków BitLocker.

Ochrona oprogramowania

Wykonywane z wysokimi uprawnieniami oprogramowanie układowe często jest niewidoczne dla tradycyjnych rozwiązań antywirusowych, co prowadzi do wzrostu liczby przeprowadzanych ataków. Procesory serwerowe z zabezpieczonymi rdzeniami obsługują pomiary i weryfikację procesów rozruchu dzięki technologii Dynamic Root of Trust for Measurement (DRTM) oraz – za pomocą ochrony Direct Memory Access (DMA) –  izolację dostępu sterowników do pamięci.

Bezpieczeństwo oparte na wirtualizacji (VBS)

Serwery z zabezpieczonym rdzeniem obsługują zabezpieczenia oparte na wirtualizacji (VBS) oraz integralność kodu bazującą na hiperwizorze (HVCI). VBS wykorzystuje funkcje wirtualizacji sprzętu do tworzenia i izolowania bezpiecznego regionu pamięci od normalnego systemu operacyjnego, chroniąc przed całą klasą luk wykorzystywanych w atakach na kopanie kryptowalut. Umożliwia również korzystanie z funkcji Credential Guard, w której poświadczenia użytkownika i klucze tajne przechowuje się w wirtualnym kontenerze, do którego system operacyjny nie ma bezpośredniego dostępu.

HVCI wykorzystuje VBS do znacznego wzmocnienia egzekwowania zasad integralności kodu, w tym integralności trybu jądra, która sprawdza wszystkie sterowniki i pliki binarne w środowisku zwirtualizowanym przed ich uruchomieniem, zapobiegając załadowaniu niepodpisanych sterowników lub plików systemowych do pamięci systemowej.

Bezpieczna łączność

Transport: HTTPS i TLS 1.3 włączone domyślnie w systemie Windows Server 2022

Bezpieczne połączenia są sercem połączonych ze sobą systemów. Transport Layer Security (TLS) 1.3 to najnowsza wersja najczęściej stosowanego w Internecie protokołu bezpieczeństwa, który szyfruje dane w celu zapewnienia bezpiecznego kanału komunikacji między dwoma punktami końcowymi. HTTPS i TLS 1.3 w systemie Windows Server 2022 są teraz domyślnie włączone, chroniąc dane klientów łączących się z serwerem. Eliminują przestarzałe algorytmy kryptograficzne, zwiększają bezpieczeństwo w stosunku do starszych wersji i  szyfrują  jak największą  część uścisków dłoni.

Bezpieczny DNS to szyfrowane żądania rozpoznawania nazw DNS za pomocą DNS-over-HTTPS.

Klient DNS w systemie Windows Server 2022 obsługuje teraz usługę DNS-over-HTTPS (DoH), która szyfruje zapytania DNS przy użyciu protokołu HTTPS. Pomaga to zachować jak największą prywatność ruchu, zapobiegając podsłuchiwaniu i manipulowaniu danymi DNS.

Server Message Block (SMB): szyfrowanie SMB AES-256 dla najbardziej świadomych bezpieczeństwa

Windows Server 2022 obsługuje pakiety kryptograficzne AES-256-GCM i AES-256-CCM do szyfrowania SMB. System Windows automatycznie negocjuje tę bardziej zaawansowaną metodę szyfrowania podczas łączenia się z innym komputerem, który również ją obsługuje, a także może  ją narzucić za pomocą zasad grupy. Windows Server nadal  stosuje standard AES-128 w celu zapewnienia zgodności z niższym poziomem. Podpisywanie AES-128-GMAC przyspiesza również wydajność podpisywania.

Szyfrowanie SMB Direct i RDMA

SMB Direct i RDMA zapewniają wysoką przepustowość sieci szkieletowej o małych opóźnieniach dla obciążeń, takich jak Storage Spaces Direct, Storage Replica, Hyper-V, Scale-out File Server i SQL Server. SMB Direct w systemie Windows Server 2022 obsługuje szyfrowanie. Wcześniej włączenie szyfrowania SMB wyłączało bezpośrednie umieszczanie danych; było to zamierzone działanie, ale poważnie i ujemnie wpłynęło na wydajność. Obecnie  dane są szyfrowane przed umieszczeniem, co prowadzi do znacznie mniejszej degradacji wydajności przy jednoczesnym dodaniu ochrony prywatności pakietów AES-128 i AES-256.

Protokół SMB przez QUIC aktualizuje protokół SMB 3.1.1 w systemie Windows Server 2022

Korzystając z protokołu SMB over QUIC wraz z protokołem TLS 1.3, użytkownicy i aplikacje mogą bezpiecznie i niezawodnie uzyskiwać dostęp do danych z serwerów plików brzegowych działających na platformie Azure. Użytkownicy mobilni i telepracownicy nie potrzebują już VPN, aby uzyskać dostęp do swoich serwerów plików przez SMB w systemie Windows.

Możliwości hybrydowe platformy Azure

Wbudowane funkcje hybrydowe w Windows Server 2022 umożliwiają łatwiejsze niż kiedykolwiek rozszerzanie centrów danych na platformę Azure oraz zwiększają wydajność i elastyczność.

Serwery Windows z obsługą Azure Arc

Dzięki usłudze Azure Arc serwery obsługujące platformę Azure Arc z systemem Windows Server 2022 przenoszą lokalne i działające w wielu chmurach serwery Windows na platformę Azure. To środowisko zostało zaprojektowane tak, aby było spójne ze sposobem zarządzania natywnymi maszynami wirtualnymi Azure. Gdy maszyna hybrydowa jest połączona z  chmurą , staje się maszyną połączoną i jest traktowana jako zasób w  Azure. Więcej informacji można znaleźć w dokumentacji dotyczącej serwerów Azure Arc.

Centrum administracyjne systemu Windows

Ulepszenia programu Windows Admin Center służące do zarządzania systemem Windows Server 2022 obejmują funkcje raportowania bieżącego stanu wymienionych powyżej funkcji Secured-core oraz w stosownych przypadkach umożliwiają klientom ich włączanie. Więcej informacji na temat tych oraz wielu innych ulepszeń Windows Admin Center można znaleźć w odpowiedniej dokumentacji.

Azure Automanage — łata na gorąco

Hotpatch, część usługi Azure Automanage, jest obsługiwana w Windows Server 2022 Datacenter: Azure Edition. Poprawianie na gorąco to nowy sposób instalowania aktualizacji na nowych maszynach wirtualnych (VM) systemu Windows Server Azure Edition, który nie wymaga ponownego uruchomienia po instalacji. Więcej informacji można znaleźć w dokumentacji usługi Azure Automanage.

Platforma aplikacyjna

Istnieje kilka ulepszeń platformy dla kontenerów systemu Windows, w tym m.in. zgodność aplikacji i środowisko kontenera systemu Windows z Kubernetes. Znacząca poprawa obejmuje zmniejszenie rozmiaru obrazu Windows Container nawet o 40%, co skutkuje szybszym o 30% czasem uruchamiania oraz lepszą wydajnością.

Aplikacje zależne od Azure Active Directory można uruchamiać również z kontami usług zarządzanych przez grupę (gMSA) bez dołączania domeny do hosta kontenera.  Kontenery systemu Windows obsługują teraz Microsoft Distributed Transaction Control (MSDTC) i Microsoft Message Queuing (MSMQ).

Istnieje kilka dodatkowych ulepszeń, które upraszczają środowisko Windows Container z Kubernetes. Obejmują one obsługę kontenerów procesów hosta do konfiguracji węzłów, protokołu IPv6 i spójnej implementacji zasad sieciowych za pomocą Calico.

Oprócz ulepszeń platformy zaktualizowano Windows Admin Center, ułatwiając  konteneryzację aplikacji .NET. Gdy aplikacja znajdzie się w kontenerze, można  ją hostować w Azure Container Registry, aby następnie wdrożyć w innych usługach platformy Azure, w tym w Azure Kubernetes Service.

Dzięki obsłudze procesorów Intel Ice Lake system Windows Server 2022 obsługuje aplikacje o znaczeniu krytycznym dla firmy  oraz duże  programy, takie jak SQL Server, które wymagają do 48 TB pamięci i 2048 rdzeni logicznych działających na 64 gniazdach fizycznych. Poufne przetwarzanie z Intel Secured Guard Extension (SGX) w Intel Ice Lake poprawia bezpieczeństwo aplikacji, izolując je od siebie za pomocą chronionej pamięci.

Zagnieżdżona wirtualizacja dla procesorów AMD

Wirtualizacja zagnieżdżona to funkcja, która umożliwia uruchamianie Hyper-V wewnątrz maszyny wirtualnej Hyper-V (VM). Windows Server 2022 zapewnia obsługę zagnieżdżonej wirtualizacji przy użyciu procesorów AMD,  dostarczając większy wybór sprzętu dla  posiadanych środowisk. Więcej informacji można znaleźć w dokumentacji zagnieżdżonej wirtualizacji.

Przeglądarka Microsoft Edge

Przeglądarka Microsoft Edge jest dołączona do systemu Windows Server 2022, zastępując Internet Explorer.  Opiera się na otwartym źródle Chromium i wspierają  ją zabezpieczenia i innowacje firmy Microsoft. Może być używana z opcjami instalacji Server with Desktop Experience. Więcej informacji można znaleźć w dokumentacji Microsoft Edge Enterprise. Należy pamiętać, że Microsoft Edge, w przeciwieństwie do reszty systemu Windows Server, jest zgodna z nowoczesnym cyklem życia wsparcia technicznego. Szczegółowe informacje można znaleźć w dokumentacji cyklu życia.

Poprawa wydajności UDP

UDP staje się obecnie bardzo popularnym protokołem przenoszącym coraz większy ruch sieciowy. Rosnąca popularność protokołów RTP i niestandardowych (UDP) przesyłania strumieniowego i gier oraz Protokół QUIC, zbudowany na bazie UDP, zapewniają wydajność UDP na poziomie porównywalnym z TCP. Co istotne, system Windows Server 2022 obejmuje odciążanie segmentacji UDP (USO). USO przenosi większość pracy wymaganej do wysyłania pakietów UDP z procesora na wyspecjalizowany sprzęt karty sieciowej. Uzupełnieniem USO jest UDP Receive Side Coalescing (UDP RSC), który łączy pakiety i zmniejsza użycie procesora do przetwarzania UDP. Wprowadzono ponadto setki ulepszeń w ścieżce danych UDP; zarówno nadawania, jak i odbioru. Windows Server 2022 i Windows 11 posiadają tę nową funkcję.

Ulepszenia wydajności TCP

Aby zmniejszyć utratę pakietów podczas uruchamiania połączenia (zwłaszcza w sieciach o dużej szybkości), system Windows Server 2022 używa protokołu TCP HyStart++ oraz RACK, aby zmniejszyć limity czasu ponownego przesyłania (RTO). Te funkcje są domyślnie włączone w stosie transportowym i zapewniają płynniejszy przepływ danych w sieci z lepszą wydajnością przy dużych prędkościach. Windows Server 2022 i Windows 11 posiadają tę nową funkcję.

Ulepszenia przełączników wirtualnych Hyper-V

Przełączniki wirtualne w Hyper-V zostały wzbogacone o zaktualizowaną funkcję łączenia segmentów odbioru (RSC). Dzięki tej funkcji  sieć hiperwizora może łączyć pakiety i przetwarzać je jako jeden większy segment. Cykle procesora są skrócone, a segmenty pozostaną połączone w całej ścieżce danych, dopóki nie przetworzy  ich zamierzona aplikacja. Oznacza to lepszą wydajność zarówno w ruchu sieciowym z hosta zewnętrznego, odbieranego przez wirtualną kartę sieciową, jak i z wirtualnej karty sieciowej do innej wirtualnej karty sieciowej na tym samym hoście.

Pamięć masowa

Usługa migracji pamięci masowej

Udoskonalenia usługi migracji magazynu w systemie Windows Server 2022 ułatwiają migrację magazynu do systemu Windows Server lub na platformę Azure z większej liczby lokalizacji źródłowych. Oto funkcje dostępne podczas uruchamiania koordynatora serwera migracji magazynu w systemie Windows Server 2022:

• Przenoszenie lokalnych użytkowników i grupy na nowy serwer
• Migracja pamięci  masowej  z klastrów pracy awaryjnej, migracja  do klastrów pracy awaryjnej i migracja między serwerami autonomicznymi i klastrami pracy awaryjnej
• Przenoszenie pamięci masowej z serwera Linux korzystającego z Samby
• Łatwiejsza synchronizacja zmigrowanych  udziałów  na platformie Azure przy użyciu Azure File Sync
• Przeprowadzanie migracji  do nowych sieci, takich jak platforma Azure
• Migracja serwerów NetApp CIFS z macierzy NetApp FAS do serwerów i klastrów Windows

Regulowana prędkość naprawy magazynu

Szybkość naprawy magazynu regulowana przez użytkownika to nowa funkcja w Storage Space Direct, która zapewnia większą kontrolę nad procesem ponownej synchronizacji danych poprzez przydzielanie zasobów do naprawy ich kopii (odporność) lub uruchamiania aktywnych obciążeń (wydajność). Pomaga to poprawić dostępność oraz umożliwia bardziej elastyczną i wydajną obsługę klastrów.

Kompresja SMB

Ulepszenie SMB w systemach Windows Server 2022 i Windows 11 pozwala użytkownikowi lub aplikacji kompresować pliki podczas przesyłania ich przez sieć. Użytkownicy nie muszą już ręcznie zipować plików, aby przesyłać je znacznie szybciej w wolniejszych lub bardziej przeciążonych sieciach.

Wraz z udostępnieniem nowej wersji swojego flagowego systemu Microsoft zmienia sposób ich wydawania. Nie będzie już wydań półrocznych. Ukazywać będą się tylko wersje LTCS systemu Windows Server. Wszystkie z nich będą miały dziesięcioletnie wsparcie (5 lat wsparcia podstawowego i 5 lat przedłużonego).