Windows server что позволяет



Новые возможности Windows Server 2022

Область применения: Windows Server 2022

В этой статье описаны некоторые новые функции Windows Server 2022. В основе операционной системы Windows Server 2022 лежит надежная платформа Windows Server 2019. Она предоставляет множество инновационных возможностей для работы с тремя основными областями: безопасность, гибридная интеграция и управление Azure, а также платформа приложений. Кроме того, Windows Server 2022 Datacenter: Azure Edition позволяет использовать преимущества облака для обновления виртуальных машин и сокращения времени простоя.

Безопасность

Новые возможности обеспечения безопасности в Windows Server 2022 сочетают в себе другие возможности обеспечения безопасности Windows Server в разных областях. Это обеспечивает надежную защиту от дополнительных угроз. Расширенная многоуровневая защита в Windows Server 2022 предоставляет комплексную защиту, которая в настоящее время необходима серверам.

Сервер с защищенным ядром

Сертифицированное серверное оборудование с защищенным ядром от партнера OEM обеспечивает дополнительную защиту от изощренных атак. Это помогает обеспечить повышенную надежность при работе с критически важными данными в некоторых отраслях, где важна конфиденциальность данных. Сервер с защищенным ядром использует возможности оборудования, встроенного ПО и драйверов для включения расширенных функций безопасности Windows Server. Многие из этих функций доступны на компьютерах Windows с защищенным ядром, а теперь также доступны при использовании серверного оборудования с защищенным ядром и Windows Server 2022. Дополнительные сведения о сервере с защищенным ядром см. в этой статье.

Корень доверия оборудования

Защищенные микросхемы криптопроцессоров доверенного платформенного модуля 2.0 (TPM 2.0) обеспечивают безопасное аппаратное хранилище конфиденциальных криптографических ключей и данных, включая результаты измерений целостности системы. TPM 2.0 позволяет убедиться, что сервер запущен с допустимым кодом и может быть доверенным при последующем выполнении кода. Эта возможность называется корнем доверия оборудования и используется такими функциями, как шифрование диска BitLocker.

Защита встроенного ПО

Встроенное ПО работает с высокими привилегиями и часто невидимо для традиционных антивирусных решений, что привело к увеличению количества атак с соответствующим направлением. Серверные процессоры с защищенным ядром поддерживают возможности измерения и проверки процессов загрузки с помощью технологии DRTM и изоляции доступа драйверов к памяти с помощью технологии защиты DMA.

Безопасная загрузка UEFI

Безопасная загрузка UEFI — это стандарт безопасности, защищающий серверы от вредоносных программ rootkit. Безопасная загрузка гарантирует, что сервер загружает только встроенное ПО и программное обеспечение, доверенное для производителя оборудования. При запуске сервера встроенное ПО проверяет подпись каждого компонента загрузки, включая драйверы встроенного ПО и ОС. Если подписи действительны, сервер загружается, а встроенное ПО предоставляет управление операционной системе.

Безопасность на базе виртуализации (VBS)

Серверы с защищенным ядром поддерживают технологии защиты на основе виртуализации (VBS) и обеспечения целостности кода на основе гипервизора (HVCI). VBS использует функции аппаратной виртуализации для создания и изоляции безопасной области памяти от обычной операционной системы, защищая от целого класса уязвимостей, используемых в атаках майнинга криптовалюты. VBS также позволяет применять Credential Guard, чтобы учетные данные и секреты пользователя хранились в виртуальном контейнере, к которому операционная система не может получить доступ напрямую.

HVCI использует VBS для значительного усиления соблюдения политики целостности кода, включая целостность режима ядра, которая проверяет все драйверы режима ядра и двоичные файлы в виртуализированной среде перед их запуском, предотвращая загрузку неподписанных драйверов или системных файлов в системную память.

Защита данных ядра (KDP) обеспечивает защиту памяти ядра только для чтения с неисполняемыми данными, где страницы памяти защищены гипервизором. KDP защищает ключевые структуры среды выполнения System Guard в Защитнике Windows от несанкционированного изменения.

Безопасное подключение

Транспортировка: протоколы HTTPS и TLS 1.3 по умолчанию включены в Windows Server 2022

Безопасные подключения являются основой современных взаимосвязанных систем. Transport Layer Security (TLS) 1.3 — это последняя версия наиболее распространенного протокола безопасности в Интернете, который шифрует данные для обеспечения безопасного канала связи между двумя конечными точками. Протоколы HTTPS и TLS 1.3 теперь включены по умолчанию в Windows Server 2022. Они защищают данные клиентов, подключающихся к серверу. Это позволяет отказаться от устаревших алгоритмов шифрования и повысить уровень безопасности по сравнению с более старыми версиями. Кроме того, эти протоколы предоставляют возможность шифровать максимально возможное количество подтверждений. Дополнительные сведения о поддерживаемых версиях TLS и наборах шифров.

Хотя TLS 1.3 на уровне протоколов теперь включен по умолчанию, приложения и службы также должны его активно поддерживать. Дополнительные сведения см. в документации для этих приложений и служб. Более подробные сведения можно найти в записи блога Майкрософт по безопасности: Вывод протокола Transport Layer Security (TLS) на новый уровень с версией TLS 1.3.

Безопасный клиент DNS: шифрование запросов разрешения DNS-имени с помощью клиента DNS по протоколу HTTPS

Клиент DNS в Windows Server 2022 теперь поддерживает использование клиента DNS по протоколу HTTPS (DoH), который шифрует запросы DNS по протоколу HTTPS. Это позволяет сохранять ваш трафик максимально закрытым, предотвращая перехват и изменение данных DNS. Дополнительные сведения о настройке DNS-клиента для использования DoH.

Протокол SMB: шифрование SMB AES-256 для обеспечения максимальной безопасности

Windows Server теперь поддерживает наборы шифрования AES-256-GCM и AES-256-CCM для шифрования SMB. Windows будет автоматически согласовывать этот более сложный метод шифрования при подключении к другому компьютеру, который его поддерживает. Кроме того, этот метод можно сделать обязательным с использованием в групповой политике. Windows Server по-прежнему поддерживает шифрование AES-128 для обеспечения совместимости нижнего уровня. Процесс AES-128-GMAC теперь также повышает производительность подписывания.

Протокол SMB: элементы управления шифрованием SMB в направлении с востока на запад для обмена данными между внутренними кластерами

Отказоустойчивые кластеры Windows Server теперь поддерживают гибкий контроль над шифрованием и подписыванием обмена данными внутри узлов для общих томов кластера (CSV) и уровня шины хранилища (SBL). Это означает, что при использовании Локальных дисковых пространств и вы можете шифровать и подписывать обмен данными в направлении с востока на запад в самом кластере для повышения безопасности.

Шифрование SMB Direct и RDMA

SMB Direct и RDMA предоставляют высокую пропускную способность, сетевую структуру с низкой задержкой для рабочих нагрузок, таких как Локальные дисковые пространства, реплика хранилища, Hyper-V, масштабируемый файловый сервер и SQL Server. Функция SMB Direct в Windows Server 2022 теперь поддерживает шифрование. Раньше при включении шифрования SMB функция прямого размещения данных отключалась. Это было сделано намеренно. Однако это серьезно влияло на производительность. Теперь шифрование данных выполняется до их размещения, благодаря чему происходит относительно небольшое снижение производительности при обеспечении конфиденциальности пакетов, защищаемых с помощью AES-128 и AES-256.

Дополнительные сведения о шифровании SMB, ускорении подписывания, защите RDMA и поддержке кластеров см. в статье Улучшения безопасности SMB.

SMB по QUIC

Использование протокола SMB по QUIC позволяет обновить SMB 3.1.1 в Windows Server 2022 Datacenter: Azure Edition и поддерживаемые клиенты Windows для использования протокола QUIC вместо TCP. Используя протокол SMB по QUIC вместе с TLS 1.3, пользователи и приложения могут безопасно и надежно получать доступ к данным из пограничных файловых серверов, работающих в Azure. Пользователям мобильных устройств и удаленным сотрудникам больше не нужен VPN для доступа к своим файловым серверам по протоколу SMB при использовании Windows. Дополнительные сведения см. в документации по SMB по QUIC.

Гибридные возможности Azure

Вы можете повысить эффективность и гибкость благодаря встроенным гибридным возможностям в Windows Server 2022, которые позволяют расширять центры обработки данных в Azure гораздо удобнее.

Серверы Windows с поддержкой Azure Arc

Серверы с поддержкой Azure Arc с Windows Server 2022 переносят локальные и многооблачные серверы Windows в Azure с помощью Azure Arc. Этот процесс управления предназначен для согласованного управления собственными виртуальными машинами Azure. Если компьютер с гибридной рабочей ролью, не относящийся к Azure, подключен к Azure, он становится подключенным компьютером и рассматривается как ресурс в Azure. Дополнительные сведения см. в документации по серверам с поддержкой Azure Arc.

Windows Admin Center;

К улучшениям Windows Admin Center для управления Windows Server 2022 относятся возможности составлять отчет о текущем состоянии функций защищенного ядра, упомянутых выше, а также предоставление возможности клиентам включать эти функции. Дополнительные сведения об этих и многих других улучшениях в Windows Admin Center см. в этой документации.

Автоматическое управление Azure — горячее исправление

Функция горячего исправления (часть службы автоматического управления Azure) поддерживается в Windows Server 2022 Datacenter: Azure Edition. Горячее исправление — это новый способ установки обновлений на новых виртуальных машинах Windows Server Azure Edition, который не требует перезагрузки после установки. Дополнительные сведения см. в документации по службе автоматического управления.

Платформа приложений

Для контейнеров Windows выполнено несколько улучшений платформы. Улучшена совместимость приложений и работа с контейнерами Windows с помощью Kubernetes. Основным улучшением является уменьшение размера образа контейнера Windows на 40 %. Это позволило сократить время запуска на 30 % и повысить производительность.

Теперь вы также можете запускать приложения, которые зависят от Azure Active Directory, с групповыми управляемыми учетными записями службы (gMSA), не присоединяя домен к узлу контейнера. Контейнеры Windows теперь поддерживают координатор распределенных транзакций (Майкрософт) и службу очереди сообщений (MSMQ).

Есть несколько других улучшений, упрощающих работу контейнеров Windows с помощью Kubernetes. Эти улучшения включают поддержку контейнеров хост-процессов для конфигурации узла, IPv6 и постоянную реализацию политики сети с помощью Calico.

Помимо улучшений платформы, предлагается обновленный инструмент Windows Admin Center, который упрощает контейнеризацию приложений .NET. После того как приложение окажется в контейнере, его можно разместить в Реестре контейнеров Azure, чтобы затем развернуть в других службах Azure, включая службу Azure Kubernetes.

Благодаря поддержке процессоров Intel Ice Lake Windows Server 2022 позволяет использовать критически важные для бизнеса и крупномасштабные приложения, такие как SQL Server, которым требуется до 48 ТБ памяти и 2048 логических ядер, работающих на 64 физических сокетах. Конфиденциальные вычисления с помощью технологии Intel Secured Guard Extension (SGX) в Intel Ice Lake повышают безопасность приложений за счет изоляции приложений друг от друга в защищенной области памяти.

Другие ключевые особенности

Вложенная виртуализация для процессоров AMD

Вложенная виртуализация — это компонент, который позволяет запускать Hyper-V в виртуальной машине (ВМ) Hyper-V. Windows Server 2022 поддерживает вложенную виртуализацию с помощью процессоров AMD, предоставляя больший выбор оборудования для вашего окружения. Дополнительные сведения см. в документации по вложенной виртуализации.

Браузер Microsoft Edge

Браузер Microsoft Edge включен в состав Windows Server 2022, заменив Internet Explorer. Он создан на основе Chromium с открытым кодом и поддерживает инновации и стандарты безопасности Майкрософт. Его можно использовать с вариантами установки основных сервера с возможностями рабочего стола. Дополнительные сведения можно найти в документации по корпоративной версии Microsoft Edge. Обратите внимание, что в отношении Microsoft Edge, в отличие от других компонентов Windows Server, действует современная политика жизненного цикла. Дополнительные сведения см. в документации по жизненному циклу Microsoft Edge.

Производительность сети

Повышение производительности UDP

UDP становится очень популярным протоколом, по которому передается все больше и больше сетевого трафика. Это связано с растущей популярностью протокола RTP и настраиваемых (UDP) игровых протоколов и протоколов потоковой передачи. Протокол QUIC, созданный на основе протокола UDP, повышает производительность UDP до уровня возможностей TCP. Важно отметить, что Windows Server 2022 реализует разгрузку сегментации UDP (USO). USO переносит большую часть работы, необходимой для отправки пакетов UDP, с ЦП на специализированное оборудование сетевого адаптера. Хваленый метод USO включает функцию объединения на стороне приема UDP (UDP RSC), которая объединяет пакеты и снижает использование ЦП для обработки UDP. Кроме того, мы внесли сотни улучшений в путь передачи данных UDP, как для передачи, так и для приема. Windows Server 2022 и Windows 11 уже включают эту новую возможность.

Повышенная производительность TCP

Windows Server 2022 использует TCP HyStart++ для уменьшения потери пакетов при запуске соединения (особенно в высокоскоростных сетях) и RACK для уменьшения времени ожидания повторной передачи (RTO). Эти функции включены в транспортном стеке по умолчанию и обеспечивают более плавный сетевой поток данных с лучшей производительностью на высоких скоростях. Windows Server 2022 и Windows 11 уже включают эту новую возможность.

Улучшение виртуального коммутатора Hyper-V

Виртуальные коммутаторы в Hyper-V дополнены обновленной функцией объединения полученных сегментов (RSC). Это позволяет сети гипервизора объединить и обрабатывать пакеты как один большой сегмент. Это значительно сокращает количество циклов процессора. Сегменты остаются объединенными во всем пути данных до тех пор, пока они не будут обработаны предполагаемым приложением. Это повышает производительность обоих сетевых трафиков с внешнего узла, полученных виртуальным сетевым адаптером, а также между виртуальными сетевыми адаптерами на одном и том же узле.

Служба хранилища

Служба миграции хранилища

Улучшения службы миграции хранилища в Windows Server 2022 упрощают перенос хранилища в Windows Server или в Azure из большего числа расположений источников. Ниже приведены функции, доступные при запуске оркестратора сервера миграции хранилищ в Windows Server 2022.

  • Перенос локальных пользователей и групп на новый сервер.
  • Перенос хранилища из отказоустойчивых кластеров, перенос в отказоустойчивые кластеры и перенос между автономными серверами и отказоустойчивыми кластерами.
  • Перенос хранилища с сервера Linux, использующего Samba.
  • Более простая синхронизация перенесенных общих ресурсов в Azure с помощью компонента «Синхронизация файлов Azure».
  • Перенос в новые сети, такие как Azure.
  • Перенос серверов NetApp CIFS из массивов NetApp на серверы и кластеры Windows.

Регулируемая скорость восстановления хранилища

Регулируемая пользователем скорость восстановления хранилища — это новая функция в Локальных дисковых пространствах, которая позволяет лучше контролировать процесс повторной синхронизации данных, выделяя ресурсы либо для восстановления копий данных (отказоустойчивость), либо для запуска активных рабочих нагрузок (производительность). Это позволяет повысить уровень доступности и более гибко и эффективно обслуживать кластеры.

Более быстрое восстановление и повторная синхронизация

Восстановление хранилища и повторная синхронизация после таких событий, как перезагрузка узла и сбой диска, стали в два раза быстрее. Для восстановления обеспечивается меньшее отклонение по времени, поэтому вы будете знать более точную длительность операций исправления, что достигается за счет увеличения детализации при отслеживании данных. При этом перемещаются только необходимые данные и сокращается количество используемых системных ресурсов и время.

Кэш шины хранилища с использованием дисковых пространств на отдельных серверах

Кэш шины хранилища теперь доступен для отдельных серверов. Это может значительно повысить производительность чтения и записи, сохраняя эффективность хранения и обеспечивая низкие эксплуатационные затраты. Как и в случае с реализацией Локальных дисковых пространств, эта функция связывает быстрый носитель (например, NVMe или SSD) с более медленным (например, HDD) для создания уровней. Часть более быстрого уровня носителя резервируется для кэша. Дополнительные сведения см. в статье Включение кэша шины хранилища с использованием дисковых пространств на отдельных серверах.

Моментальные снимки на уровне файлов ReFS

Система Resilient File System (ReFS) корпорации Майкрософт теперь поддерживает возможность создания моментальных снимков файлов с использованием быстрой операции с метаданными. Моментальные снимки отличаются от клонирования блоков ReFS в том, что клоны доступны для записи, а моментальные снимки доступны только для чтения. Эта функция особенно полезна в сценариях резервного копирования виртуальных машин с VHD/VHDX-файлами. Моментальные снимки ReFS уникальны в том смысле, что они занимают константное время независимо от размера файла. Поддержка моментальных снимков доступна в ReFSUtil или в виде API.

Сжатие SMB

Усовершенствование протокола SMB в Windows Server 2022 и Windows 11 позволяет пользователю или приложению сжимать файлы по мере их передачи по сети. Пользователям больше не нужно вручную сжимать ZIP-файлы для ускорения их передачи в медленных или более перегруженных сетях. Дополнительные сведения см. в документации по сжатию SMB.

Источник

You may also like...