15.1 C
New York

Có gì mới trong Windows Server 2022

Published:

Bài viết này cho bạn biết một số tính năng mới trong Windows Server 2022. Windows Server 2022 được xây dựng trên nền tảng vững chắc của Windows Server 2019 và mang đến nhiều đổi mới trên ba chủ đề chính: bảo mật, tích hợp và quản lý Azure và nền tảng ứng dụng. Ngoài ra, Trung tâm dữ liệu Windows Server 2022: Azure Edition giúp bạn sử dụng các lợi ích của đám mây để giữ cho máy ảo của bạn luôn được cập nhật trong khi giảm thiểu downtime.

Bảo mật

Các khả năng bảo mật mới trong Windows Server 2022 kết hợp các khả năng bảo mật khác trong Windows Server trên nhiều lĩnh vực để cung cấp khả năng bảo vệ chuyên sâu chống lại các mối đe dọa nâng cao. Bảo mật nhiều lớp nâng cao trong Windows Server 2022 cung cấp sự bảo vệ toàn diện mà các máy chủ.

Secured-core

Phần cứng máy chủ Secured-core được chứng nhận từ đối tác OEM cung cấp các biện pháp bảo vệ an ninh bổ sung hữu ích chống lại các cuộc tấn công tinh vi. Điều này có thể tăng cường đảm bảo khi xử lý dữ liệu quan trọng của sứ mệnh trong một số ngành nhạy cảm với dữ liệu. Máy chủ Secured-core sử dụng khả năng bảo mật của phần cứng, chương trình cơ sở và trình điều khiển để kích hoạt các tính năng bảo mật nâng cao của Windows Server. Nhiều tính năng này khả dụng trong PC Secured-core của Windows và hiện cũng có sẵn với phần cứng máy chủ lõi bảo mật và Windows Server 2022.Tại thời điểm viết bài này, tiện ích mở rộng Windows Admin Center dành cho máy chủ Secured-core yêu cầu bạn sử dụng nguồn cấp dữ liệu cho tiện ích Windows Admin Center “nội bộ”. Phiên bản hiện tại của tiện ích không bao gồm cấu hình và chức năng Secured-core.
Sau khi định cấu hình URL tiện ích mở rộng “nội bộ”, bạn sẽ thấy một tùy chọn mới cho tiện ích mở rộng Bảo mật (phiên bản sau được liệt kê).
Windows Admin Center Insiders feed extensions URL on Windows server 2022
Windows Admin Center Insiders feed extensions URL on Windows server 2022
Trên cấu hình máy chủ Secured-core, bạn có thể bật các tính năng còn thiếu được hỗ trợ trên máy chủ Windows Server 2022 của mình. Lưu ý, ảnh chụp màn hình dưới đây được chụp từ máy ảo Windows Server 2022 và nó bị thiếu một số phần cứng cơ bản để triển khai đầy đủ.
Hãy xem xét các thành phần riêng lẻ của máy chủ Secured-core. Bao gồm:
  • HVI
  • Boot DMA Protection
  • System Guard
  • Secure Boot
  • VBS
  • TPM 2.0

Gốc tin cậy phần cứng

Các chip xử lý mật mã bảo mật Trusted Platform Module 2.0 (TPM 2.0) cung cấp một kho lưu trữ an toàn dựa trên phần cứng cho các khóa và dữ liệu nhạy cảm như mật khẩu, bao gồm cả các phép đo tính toàn vẹn của hệ thống. TPM 2.0 có thể xác minh rằng máy chủ đã được khởi động bằng mã hợp pháp và có thể được tin cậy để thực thi mã tiếp theo.

Bảo vệ chương trình cơ sở

Phần mềm cơ sở thực thi với các đặc quyền cao và thường vô hình đối với các giải pháp chống vi-rút truyền thống, điều này đã dẫn đến sự gia tăng số lượng các cuộc tấn công dựa trên phần mềm cơ sở. Bộ xử lý máy chủ Secured-core hỗ trợ đo lường và xác minh các quy trình khởi động với công nghệ Dynamic Root of Trust for Measurement (DRTM) và cách ly quyền truy cập của trình điều khiển vào bộ nhớ với tính năng bảo vệ Truy cập Bộ nhớ Trực tiếp – Direct Memory Access (DMA) .

Khởi động an toàn UEFI

Khởi động an toàn UEFI là một tiêu chuẩn bảo mật bảo vệ máy chủ của bạn khỏi các rootkit độc hại. Khởi động an toàn đảm bảo máy chủ chỉ khởi động phần chứng thực và phần mềm được nhà sản xuất phần cứng tin cậy. Khi máy chủ được khởi động, chương trình cơ sở sẽ kiểm tra chữ ký của từng thành phần khởi động bao gồm trình điều khiển, chương trình cơ sở và hệ điều hành. Nếu chữ ký hợp lệ, máy chủ sẽ khởi động và phần chứng thực và cấp quyền kiểm soát cho hệ điều hành.

Bảo mật dựa trên ảo hóa (VBS)

Các máy chủ Secured-core hỗ trợ bảo mật dựa trên ảo hóa – Virtualization-based Security (VBS) và toàn vẹn mã dựa trên siêu giám sát (HVCI). VBS sử dụng các tính năng ảo hóa phần cứng để tạo và cô lập vùng bộ nhớ an toàn khỏi hệ điều hành thông thường, bảo vệ và chống lại toàn bộ các lỗ hổng được sử dụng trong các cuộc tấn công khai thác tiền điện tử. VBS cũng cho phép sử dụng Credential Guard, nơi thông tin đăng nhập và mã bí mật của người dùng được lưu trữ trong một vùng chứa ảo mà hệ điều hành không thể truy cập trực tiếp.HVCI sử dụng VBS để tăng cường đáng kể việc thực thi chính sách toàn vẹn các mã, bao gồm tính toàn vẹn của chế độ hạt nhân để kiểm tra tất cả các trình điều khiển ở chế độ hạt nhân và mã nhị phân trong môi trường ảo hóa trước khi chúng được khởi động. Việc này ngăn không cho các trình điều khiển chưa được ký hoặc tệp hệ thống được tải vào bộ nhớ hệ thống.Bảo vệ dữ liệu hạt nhân (KDP) cung cấp khả năng bảo vệ bộ nhớ chỉ đọc của bộ nhớ chứa dữ liệu không thể thực thi, trong đó các trang bộ nhớ được bảo vệ bởi Hypervisor. KDP bảo vệ các cấu trúc chính trong thời gian chạy của Bộ bảo vệ Hệ thống Windows Defender khỏi bị giả mạo.

Kết nối an toàn

Giao thức: HTTPS và TLS 1.3 được bật theo mặc định trên Windows Server 2022

Kết nối an toàn là trọng tâm của các hệ thống được kết nối với nhau ngày nay. Bảo mật lớp truyền tải (TLS) 1.3 là phiên bản mới nhất của giao thức bảo mật được triển khai nhiều nhất trên internet, nó mã hóa dữ liệu để cung cấp một kênh giao tiếp an toàn giữa hai điểm. HTTPS và TLS 1.3 hiện được bật theo mặc định trên Windows Server 2022, bảo vệ dữ liệu của các máy khách đang kết nối với máy chủ. Nó giúp loại bỏ các thuật toán lỗi thời, tăng cường bảo mật so với các phiên bản cũ hơn và nhằm mục đích mã hóa càng nhiều các kết nối.Mặc dù TLS 1.3 trong lớp giao thức hiện đã được bật theo mặc định, các ứng dụng và dịch vụ cũng cần tích cực hỗ trợ nó. Vui lòng xem tài liệu cho các ứng dụng và dịch vụ đó để biết thêm thông tin.

DNS bảo mật: Yêu cầu phân giải DNS được mã hóa với DNS-over-HTTPS

DNS Client trong Windows Server 2022 hiện hỗ trợ DNS-over-HTTPS (DoH) mã hóa các truy vấn DNS bằng giao thức HTTPS. Điều này giúp giữ cho lưu lượng truy cập của bạn càng riêng tư càng tốt bằng cách ngăn chặn việc nghe trộm và dữ liệu DNS của bạn bị thao túng.

Server Message Block (SMB): Mã hóa SMB AES-256 để có ý thức bảo mật cao nhất

Windows Server hiện hỗ trợ bộ mã hóa AES-256-GCM và AES-256-CCM cho SMB. Windows sẽ tự động “thương lượng” phương pháp nâng cao này khi kết nối với một máy tính khác cũng hỗ trợ nó và nó cũng có thể được ủy quyền thông qua Group Policy. Windows Server vẫn hỗ trợ AES-128 để tương thích ở mức thấp hơn. Việc liên kết AES-128-GMAC giờ đây cũng tăng tốc hiệu suất.

SMB: Kiểm soát mã hóa SMB cho giao tiếp nội bộ theo cụm

Ngoài ra còn có các cải tiến bảo mật trong Cụm máy chủ chuyển đổi dự phòng Windows – Windows Failover Server Cluster (WFSC) vì giờ đây bạn có thể mã hóa các kết nối lưu trữ nội bộ giữa nút cho Khối được chia sẻ trong cụm sử dụng WFSC. Ngoài ra, khi sử dụng Storage Spaces Direct (S2D), bạn có thể bật mã hóa cho các cụm máy chủ nội bộ theo hướng để có được sự bảo mật tối ưu cho truyền dữ liệu.

Mã hóa SMB Direct và RDMA

SMB Direct và RDMA cung cấp băng thông cao, kết cấu mạng có độ trễ thấp cho các khối lượng công việc như Storage Spaces Direct, Storage Replica, Hyper-V, Scale-out File Server và SQL Server. SMB Direct trong Windows Server 2022 hiện đã được hỗ trợ mã hóa. Trước đây, việc kích hoạt mã hóa SMB đã vô hiệu hóa vị trí dữ liệu trực tiếp; điều này là cố ý, nhưng đã ảnh hưởng nghiêm trọng đến hiệu suất. Giờ đây, dữ liệu được mã hóa trước khi đặt dữ liệu, dẫn đến việc giảm hiệu suất ít hơn nhiều trong khi bổ sung thêm tính riêng tư của gói được bảo vệ AES-128 và AES-256.

SMB trên QUIC

SMB qua QUIC cập nhật giao thức SMB 3.1.1 trong Windows Server Datacenter 2022: Azure Edition và các ứng dụng khách được hỗ trợ sử dụng giao thức QUIC thay vì TCP. Bằng cách sử dụng SMB thông qua QUIC cùng với TLS 1.3, người dùng và ứng dụng có thể truy cập dữ liệu một cách an toàn và đáng tin cậy từ các máy chủ tệp chạy trong Azure. Người dùng di động và viễn thông không còn cần VPN để truy cập máy chủ tệp của họ qua SMB khi sử dụng Windows.

Hệ thống lai

Bạn có thể tăng hiệu quả và linh động của mình với các khả năng kết hợp và tích hợp trong Windows Server 2022 cho phép bạn mở rộng trung tâm dữ liệu của mình sang Azure dễ dàng hơn bao giờ hết.

Máy chủ Windows Azure Arc

Một trong những vấn đề đau đầu đối với các quản trị viên là có nhiều giao diện quản lý, quy trình, giải pháp và các công cụ khác cần thiết để quản lý toàn bộ tài nguyên doanh nghiệp. Ngoài ra, các quy trình và công cụ này thậm chí có thể trở nên khác biệt hơn giữa môi trường local và môi trường cloud.Microsoft Arc giúp giảm bớt thách thức này bằng cách cho phép các tổ chức mở rộng quy mô của Trình quản lý tài nguyên Azure – Azure Resource Manager (ARM) sang các môi trường local. Azure Resource Manager (ARM) kiểm soát và tự động hóa các tài nguyên trên môi trường Azure. Với Azure Arc, các tổ chức có thể quản lý và kiểm soát các tài nguyên tại chỗ của mình(máy ảo Windows, Linux, VMware vSphere và thậm chí cả các tài nguyên đám mây khác) từ giao diện quản lý Azure.Tài nguyên local được quản lý bằng Azure Arc cũng giống như được quản lý trong Azure. Các đối tượng này nhận được định danh như tài nguyên Azure và được tổ chức như cách sử dụng Resource Groups. Do đó, các tổ chức sẽ có thể quản lý các phiên bản Windows Server 2022 tại chỗ và được lưu trữ trên đám mây của họ theo cách giống nhau và sử dụng các quy trình và công cụ giống nhau.

Trung tâm quản trị Windows

Chúng ta đã nói nhiều về chức năng của Trung tâm quản trị Windows, bao gồm các tính năng mới khác của Windows Server 2022 vì nhiều tính năng trong số này được giới thiệu bằng cách sử dụng Trung tâm quản trị Windows. Công cụ Trung tâm quản trị Windows là cách hiện đại để quản lý Máy chủ Windows. Nó được phát hành song song với Windows Server 2019 và Microsoft đã và đang thực hiện những cải tiến ổn định cho công cụ này kể từ đó.
Không có công cụ bảng điều khiển bảng điều khiển MSC rườm rà nào để ghi nhớ hoặc cài đặt. Khi bạn đã cài đặt Windows Admin Center ở chế độ Gateway, nó cho phép một máy trạm/máy chủ quản lý quản lý nhiều Máy chủ Windows từ xa, tất cả trong một giao diện web hiện đại và đơn giản.Trung tâm quản trị Windows dành cho Windows Server 2022 không được tích hợp vào Server 2022 theo mặc định. Tuy nhiên, nó có sẵn để tải xuống miễn phí từ trang Đánh giá của Microsoft. Mặc dù Trung tâm quản trị Windows không phải là mới với Windows Server 2022, nhưng sự thay đổi và cải tiến của nó kể từ Windows Server 2019 làm tăng sức mạnh của nó trên Windows Server 2022.

Azure Automanage – Hotpatch

Hotpatch, một phần của Azure Automanage, được hỗ trợ trong Trung tâm dữ liệu Windows Server 2022: Azure Edition. Hotpatching là một cách mới để cài đặt các bản cập nhật trên máy ảo Windows Server Azure Edition (VM) mới mà không yêu cầu khởi động lại sau khi cài đặt.

Nền tảng ứng dụng

Có một số cải tiến nền tảng cho Windows Containers, bao gồm khả năng tương thích ứng dụng và trải nghiệm Windows Container với Kubernetes. Một cải tiến lớn bao gồm giảm kích thước Image Bộ chứa Windows lên đến 40%, dẫn đến thời gian khởi động nhanh hơn 30% và hiệu suất tốt hơn.Giờ đây, bạn cũng có thể chạy các ứng dụng phụ thuộc vào Azure Active Directory với Tài khoản dịch vụ được quản lý theo nhóm – group Managed Services Accounts (gMSA) mà không cần miền tham gia vào máy chủ container. Ngoài ra, các vùng chứa trong Windows Server 2022 hiện hỗ trợ Kiểm soát giao dịch phân tán của Microsoft – Microsoft Distributed Transaction Control (MSDTC) và Microsoft Message Queuing (MSMQ).Có một số cải tiến khác giúp đơn giản hóa trải nghiệm Windows Container với Kubernetes. Những cải tiến này bao gồm hỗ trợ cho các máy chủ Containers để cấu hình các nút, IPv6 và triển khai chính sách mạng nhất quán với Calico.Ngoài những cải tiến về nền tảng, Windows Admin Center đã được cập nhật để giúp dễ dàng chứa các ứng dụng .NET. Sau khi ứng dụng ở trong containers, bạn có thể lưu trữ nó trên Azure Container Registry để sau đó triển khai nó cho các dịch vụ Azure khác, bao gồm cả dịch vụ Azure Kubernetes.Với sự hỗ trợ cho bộ xử lý Intel Ice Lake, Windows Server 2022 hỗ trợ các ứng dụng quy mô lớn và quan trọng đối với doanh nghiệp, chẳng hạn như SQL Server, yêu cầu bộ nhớ lên đến 48 TB và 2.048 nhân logic chạy trên 64 cpu vật lý. Bảo mật với Intel Secured Guard Extension (SGX) trên Intel Ice Lake cải thiện tính bảo mật của ứng dụng bằng cách cách ly các ứng dụng với nhau bằng bộ nhớ được bảo vệ.

Các tính năng chính khác

Nested virtualization cho bộ xử lý AMD

Nested virtualization là một tính năng cho phép bạn chạy Hyper-V bên trong máy ảo Hyper-V (VM). Windows Server 2022 hỗ trợ ảo hóa lồng nhau bằng bộ xử lý AMD, mang đến nhiều lựa chọn phần cứng hơn cho môi trường của bạn.

Trình duyệt Microsoft Edge

Microsoft Edge được cài đặt trong Windows Server 2022, thay thế cho “cụ cố” Internet Explorer. Nó được xây dựng trên mã nguồn mở Chromium và được đổi mới và cập nhật bảo mật từ Microsoft. Nó có thể được sử dụng với tùy chọn cài đặt Server with Desktop Experience. Bạn có thể tìm thêm thông tin tại tài liệu Microsoft Edge Enterprise . Lưu ý rằng Microsoft Edge, không giống như phần còn lại của Windows Server, tuân theo Vòng đời hiện đại cho vòng đời hỗ trợ của nó.

Hiệu suất mạng

Microsoft đã thực hiện nhiều cải tiến hiệu suất mạng khác nhau trên toàn bộ hệ thống. Những cải tiến mới này bao gồm:
  • Cải tiến hiệu suất UDP – bao gồm UDP Segmentation Offload (USO), UDP Receive Side Scaling UDP và đường dẫn dữ liệu UDP được cải thiện.
  • Cải tiến hiệu suất TCP – Windows Server 2022 sử dụng TCP HyStart ++, RACK và luồng dữ liệu mạng mượt mà hơn.
  • Cải tiến công tắc ảo Hyper-V – Cân nhắc phân đoạn nhận nâng cao (RSC), cải thiện hiệu suất trong cả lưu lượng mạng từ máy chủ bên ngoài và được NIC nhận và từ NIC nhận đến NIC ảo khác.

Lưu trữ

Dịch vụ di chuyển bộ nhớ

Các cải tiến đối với Storage Migration Service trong Windows Server 2022 giúp di chuyển bộ nhớ sang Windows Server hoặc Azure từ nhiều vị trí nguồn hơn dễ dàng hơn. Dưới đây là các tính năng khả dụng khi chạy bộ điều phối Storage Migration Server trên Windows Server 2022:
  • Di chuyển người dùng cục bộ và nhóm sang máy chủ mới
  • Di chuyển bộ nhớ từ:
  • cụm dự phòng
  • di chuyển sang dự phòng
  • di chuyển giữa các máy chủ độc lập và cụm dự phòng
  • Di chuyển chia sẻ Linux Samba
  • Đồng bộ hóa các chia sẻ đã di chuyển vào Azure bằng cách sử dụng Azure File Sync
  • Di chuyển sang các mạng mới như Azure
  • Di chuyển máy chủ NetApp CIFS từ mảng NetApp FAS
Cung cấp nhiều quyền kiểm soát hơn đối với quá trình đồng bộ hóa dữ liệu bằng cách phân bổ tài nguyên để sửa chữa các bản sao dữ liệu (khả năng phục hồi) hoặc chạy khối lượng công việc đang hoạt động (hiệu suất). Điều này giúp cải thiện tính khả dụng và cho phép bạn phục vụ các cụm của mình linh hoạt và hiệu quả hơn.

Sửa chữa nhanh hơn và đồng bộ hóa

Việc sửa chữa bộ nhớ và đồng bộ hóa lại sau các sự kiện như khởi động “nóng” và lỗi đĩa nhanh hơn gấp đôi. Thời gian thực hiện sửa chữa ít sai lệch hơn nên bạn có thể chắc chắn hơn về thời gian sửa chữa, điều này đã đạt được thông qua việc thêm chi tiết vào theo dõi dữ liệu. Điều này chỉ di chuyển dữ liệu cần di chuyển và giảm tài nguyên hệ thống được sử dụng và thời gian thực hiện.

Bộ nhớ đệm bus với Storage Spaces trên các máy chủ độc lập

Bộ nhớ cache bus lưu trữ hiện có sẵn cho các máy chủ độc lập. Nó có thể cải thiện đáng kể hiệu suất đọc và ghi, đồng thời duy trì hiệu quả lưu trữ và giữ cho chi phí vận hành thấp. Tương tự như cách triển khai của nó cho Storage Spaces Direct, tính năng này liên kết phương tiện nhanh hơn (ví dụ: NVMe hoặc SSD) với phương tiện chậm hơn (ví dụ: HDD) để tạo các cấp. Một phần của tầng phương tiện nhanh hơn được dành cho bộ nhớ cache.

ReFS file-level snapshots

Hệ thống tệp có khả năng phục hồi – Microsoft’s Resilient File System (ReFS) của Microsoft hiện bao gồm khả năng snapshots nhanh tệp bằng thao tác siêu dữ liệu. Snapshots với khối ReFS ở chỗ các bản sao có thể ghi được, trong khi snapshots khác ở chế độ chỉ đọc. Chức năng này đặc biệt hữu ích trong các tình huống sao lưu máy ảo với các tệp VHD hoặc VHDX. Snapshots ReFS độc đáo ở chỗ, chúng có thể cập nhật dữ liệu liên tục bất kể kích thước tệp. Snapshots ReFS có sẵn trong ReFSUtil hoặc dưới dạng API.

Nén SMB

Cải tiến đối với SMB trong Windows Server 2022 và Windows 11 cho phép người dùng hoặc ứng dụng nén tệp khi họ truyền qua mạng. Người dùng không còn phải nén các tệp theo cách thủ công để truyền nhanh hơn trên các mạng có tốc độ chậm hơn hoặc dễ tắc nghẽn hơn..

Related articles

Đối tác

Recent articles