Säkerhet
De nya säkerhetsfunktionerna i Windows Server 2022 kombinerar andra säkerhetsfunktioner i Windows Server över flera områden för att ge ett djupgående skydd mot avancerade hot. Avancerad säkerhet i flera lager i Windows Server 2022 ger det omfattande skydd som servrar behöver idag.
Server med säker kärna
Certifierad Secured-core serverhårdvara från en OEM-partner ger ytterligare säkerhetsskydd som är användbara mot sofistikerade attacker. Detta kan ge ökad säkerhet vid hantering av verksamhetskritiska data i några av de mest datakänsliga branscherna. En Secured-core-server använder maskinvara, inbyggd programvara och drivrutiner för att aktivera avancerade säkerhetsfunktioner i Windows Server. Många av dessa funktioner finns i Windows Secured-core-datorer och är nu också tillgängliga med Secured-core-serverhårdvara och Windows Server 2022.
Tillitsgrundande maskinvara
TPM 2.0 (Trusted Platform Module 2.0) är ett säkert kryptoprocessorchip som ger en säker, maskinvarubaserad lagringsplats för känsliga kryptografiska nycklar och data, inklusive mätningar av systemintegritet. TPM 2.0 kan verifiera att servern har startats med legitim kod och att den är pålitlig vid efterföljande kodexekvering. Detta är känt som en hårdvarurot av förtroende och används av funktioner som BitLocker-enhetskryptering.
Skydd av inbyggd programvara
Firmware exekveras med höga privilegier och är ofta osynlig för traditionella antiviruslösningar, vilket har lett till en ökning av antalet firmware-baserade attacker. Secured-core serverprocessorer stöder mätning och verifiering av startprocesser med DRTM-teknik (Dynamic Root of Trust for Measurement) och isolering av drivrutinsåtkomst till minne med DMA-skydd (Direct Memory Access).
Virtualiseringsbaserad säkerhet (VBS)
Secured-core-servrar stöder virtualiseringsbaserad säkerhet (VBS) och hypervisorbaserad kodintegritet (HVCI). VBS använder virtualiseringsfunktioner för maskinvara för att skapa och isolera en säker minnesregion från det normala operativsystemet, vilket skyddar mot en hel klass av sårbarheter som används vid mining-attacker av kryptovalutor. VBS gör det också möjligt att använda Credential Guard, där användaruppgifter och hemligheter lagras i en virtuell behållare som operativsystemet inte kan komma åt direkt. HVCI använder VBS för att avsevärt stärka tillämpningen av kodintegritetspolicyn, inklusive kernel mode integrity som kontrollerar alla drivrutiner och binära filer i kernel mode i en virtualiserad miljö innan de startas, vilket förhindrar att osignerade drivrutiner eller systemfiler laddas in i systemminnet.
Säkra anslutningar
Säkra anslutningar är kärnan i dagens sammankopplade system. Transport Layer Security (TLS) 1.3 är den senaste versionen av internets mest använda säkerhetsprotokoll, som krypterar data för att skapa en säker kommunikationskanal mellan två slutpunkter. HTTPS och TLS 1.3 är nu aktiverade som standard på Windows Server 2022 och skyddar data från klienter som ansluter till servern. Den eliminerar föråldrade kryptografiska algoritmer, förbättrar säkerheten jämfört med äldre versioner och syftar till att kryptera så mycket av handskakningen som möjligt. Läs mer om TLS-versioner som stöds och om chiffersviter som stöds.
Säker DNS: Krypterade DNS-namnupplösningsförfrågningar med DNS-over-HTTPS
DNS Client i Windows Server 2022 har nu stöd för DNS-over-HTTPS (DoH) som krypterar DNS-förfrågningar med HTTPS-protokollet. Detta bidrar till att hålla din trafik så privat som möjligt genom att förhindra avlyssning och att dina DNS-data manipuleras. Läs mer om hur du konfigurerar DNS-klienten så att den använder DoH.
Server Message Block (SMB): SMB AES-256-kryptering för de mest säkerhetsmedvetna
Windows Server stöder nu krypteringssviterna AES-256-GCM och AES-256-CCM för SMB-kryptering. Windows kommer automatiskt att förhandla om denna mer avancerade krypteringsmetod vid anslutning till en annan dator som också stöder den, och den kan också aktiveras via grupprinciper. Windows Server stöder fortfarande AES-128 för kompatibilitet på lägre nivå. AES-128-GMAC-signering accelererar nu också signeringshastigheten.
SMB: Öst-västliga SMB-krypteringskontroller för intern klusterkommunikation
Windows Server failover-kluster har nu stöd för detaljerad kontroll av kryptering och signering av lagringskommunikation inom noden för Cluster Shared Volumes (CSV) och lagringsbusslagret (SBL). Det innebär att när du använder Storage Spaces Direct kan du välja att kryptera eller signera öst-västlig kommunikation inom själva klustret för högre säkerhet.
SMB Direct- och RDMA-kryptering
SMB Direct och RDMA tillhandahåller nätverk med hög bandbredd och låg latens för arbetsbelastningar som Storage Spaces Direct, Storage Replica, Hyper-V, Scale-out File Server och SQL Server. SMB Direct i Windows Server 2022 har nu stöd för kryptering. Tidigare har SMB-kryptering inaktiverat direkt dataplacering; detta var avsiktligt, men påverkade prestandan allvarligt. Nu krypteras data före placering, vilket leder till mycket mindre prestandaförsämring samtidigt som AES-128- och AES-256-skyddad paketsekretess läggs till.
SMB över QUIC
SMB över QUIC uppdaterar SMB 3.1.1-protokollet i Windows Server 2022 Datacenter: Azure Edition och Windows-klienter som stöds för att använda QUIC-protokollet istället för TCP. Genom att använda SMB over QUIC tillsammans med TLS 1.3 kan användare och program på ett säkert och tillförlitligt sätt komma åt data från edge-filservrar som körs i Azure. Mobila användare och distansarbetare behöver inte längre VPN för att komma åt sina filservrar via SMB när de använder Windows. Mer information finns i dokumentationen för SMB over QUIC.
Hybridfunktioner i Azure
Du kan öka din effektivitet och smidighet med inbyggda hybridfunktioner i Windows Server 2022 som gör att du kan utöka dina datacenter till Azure enklare än någonsin tidigare.
Azure Arc-aktiverade Windows-servrar
Azure Arc-aktiverade servrar med Windows Server 2022 tar lokala Windows-servrar och Windows-servrar i flera moln till Azure med Azure Arc. Denna hanteringsupplevelse är utformad för att överensstämma med hur du hanterar inbyggda virtuella Azure-maskiner. När en hybridmaskin är ansluten till Azure blir den en ansluten maskin och behandlas som en resurs i Azure. Mer information finns i dokumentationen för Azure Arc-aktiverade servrar.
Administrationscenter för Windows
Förbättringar av Windows Admin Center för att hantera Windows Server 2022 inkluderar funktioner för att både rapportera om den aktuella statusen för Secured-core-funktionerna som nämns ovan, och i förekommande fall låta kunderna aktivera funktionerna. Mer information om dessa och många andra förbättringar av Windows Admin Center finns i dokumentationen för Windows Admin Center.
Azure Automanage - Hotpatch
Hotpatch, en del av Azure Automanage, stöds i Windows Server 2022 Datacenter: Azure Edition. Hotpatching är ett nytt sätt att installera uppdateringar på nya virtuella datorer (VM) för Windows Server Azure Edition som inte kräver en omstart efter installationen. Mer information finns i dokumentationen för Azure Automanage.
