Bài viết này mô tả một số tính năng mới trong Windows Server 2022. Windows Server 2022 được xây dựng trên nền tảng vững chắc của Windows Server 2019 và mang đến nhiều đổi mới trên ba chủ đề chính: bảo mật, tích hợp và quản lý lai Azure và nền tảng ứng dụng. Ngoài ra, Trung tâm dữ liệu Windows Server 2022: Azure Edition giúp bạn sử dụng các lợi ích của đám mây để giữ cho máy ảo của bạn luôn được cập nhật trong khi giảm thiểu thời gian chết.
Contents
- 1 Bảo mật
- 1.1 Máy chủ lõi bảo mật
- 1.2 Kết nối an toàn
- 1.2.1 Truyền tải: HTTPS và TLS 1.3 được bật theo mặc định trên Windows Server 2022
- 1.2.2 DNS bảo mật: Yêu cầu phân giải tên DNS được mã hóa với DNS-over-HTTPS
- 1.2.3 Server Message Block (SMB): Mã hóa SMB AES-256 để có ý thức bảo mật cao nhất
- 1.2.4 SMB: East-West SMB encryption controls for internal cluster communications
- 1.2.5 SMB over QUIC
- 2 Azure hybrid capabilities
- 3 Application platform
- 4 Các key tính năng khác
Bảo mật
Các khả năng bảo mật mới trong Windows Server 2022 kết hợp các khả năng bảo mật khác trong Windows Server trên nhiều lĩnh vực để cung cấp khả năng bảo vệ chuyên sâu chống lại các mối đe dọa nâng cao. Bảo mật nhiều lớp nâng cao trong Windows Server 2022 cung cấp sự bảo vệ toàn diện mà các máy chủ cần ngày nay.
Máy chủ lõi bảo mật
Máy chủ lõi bảo mật cung cấp các biện pháp bảo vệ hữu ích chống lại các cuộc tấn công tinh vi và có thể tăng cường đảm bảo khi xử lý dữ liệu quan trọng của sứ mệnh trong một số ngành nhạy cảm nhất về dữ liệu. Nó được xây dựng dựa trên ba trụ cột chính: an ninh đơn giản hóa, bảo vệ nâng cao và phòng thủ phòng ngừa.
Bảo mật được đơn giản hóa
Khi bạn mua phần cứng từ OEM cho máy chủ lõi Bảo mật, bạn phải đảm bảo rằng OEM đã cung cấp một bộ phần cứng, chương trình cơ sở và trình điều khiển đáp ứng lời hứa lõi Bảo mật. Hệ thống Windows Server sẽ có trải nghiệm cấu hình dễ dàng trong Trung tâm quản trị Windows để kích hoạt các tính năng bảo mật của Secured-core.
Bảo vệ nâng cao
Máy chủ lõi bảo mật sử dụng phần cứng, chương trình cơ sở và hệ điều hành ở mức tối đa để bảo vệ chống lại các mối đe dọa hiện tại và trong tương lai. Các biện pháp bảo vệ được kích hoạt bởi máy chủ lõi Bảo mật được nhắm mục tiêu để tạo nền tảng an toàn cho các ứng dụng và dữ liệu quan trọng được sử dụng trên máy chủ đó. Chức năng lõi bảo mật bao gồm các lĩnh vực sau:
- Hardware root-of-trust Trusted Platform Module 2.0 (TPM 2.0) đạt tiêu chuẩn với các máy chủ có khả năng sử dụng máy chủ lõi Bảo mật. TPM 2.0 cung cấp một kho lưu trữ an toàn cho các khóa và dữ liệu nhạy cảm, chẳng hạn như các phép đo của các thành phần được tải trong quá trình khởi động. Sự tin cậy gốc phần cứng này tăng khả năng bảo vệ được cung cấp bởi các khả năng như BitLocker, sử dụng TPM 2.0 và tạo điều kiện thuận lợi cho việc tạo quy trình công việc dựa trên chứng thực có thể được kết hợp vào các chiến lược bảo mật không tin cậy.
- Firmware protection Có một sự gia tăng rõ ràng về các lỗ hổng bảo mật được báo cáo trong không gian phần mềm do các đặc quyền cao mà phần mềm chạy cùng và độ mờ tương đối của những gì xảy ra trong phần sụn so với các giải pháp chống vi-rút truyền thống. Các báo cáo gần đây cho thấy rằng các nền tảng phần mềm độc hại và ransomware đang bổ sung các khả năng phần mềm làm tăng nguy cơ tấn công phần mềm đã được nhìn thấy nhắm mục tiêu vào các tài nguyên doanh nghiệp như bộ điều khiển miền Active Directory. Sử dụng sự hỗ trợ của bộ xử lý cho công nghệ Dynamic Root of Trust of Measurement (DRTM), cùng với bảo vệ DMA, các hệ thống lõi được bảo mật cô lập hypervisor quan trọng về bảo mật khỏi các cuộc tấn công như thế này.
- Virtualization-based security (VBS) Các máy chủ lõi bảo mật hỗ trợ VBS và tính toàn vẹn của mã dựa trên siêu giám sát (HVCI). VBS và HVCI bảo vệ chống lại toàn bộ lớp lỗ hổng được sử dụng trong các cuộc tấn công khai thác tiền điện tử dựa trên sự cách ly mà VBS cung cấp giữa các phần đặc quyền của hệ điều hành như hạt nhân và phần còn lại của hệ thống. VBS cũng cung cấp nhiều khả năng hơn mà khách hàng có thể kích hoạt, chẳng hạn như Credential Guard, giúp bảo vệ thông tin đăng nhập miền tốt hơn.
Phòng ngừa phòng ngừa
Bật chức năng lõi được bảo mật giúp chủ động chống lại và phá vỡ nhiều con đường mà kẻ tấn công có thể sử dụng để khai thác hệ thống. Hệ thống phòng thủ này cũng cho phép các nhóm CNTT và SecOps tận dụng thời gian của họ tốt hơn trên nhiều lĩnh vực mà họ cần chú ý.
Kết nối an toàn
Truyền tải: HTTPS và TLS 1.3 được bật theo mặc định trên Windows Server 2022
Kết nối an toàn là trọng tâm của các hệ thống được kết nối với nhau ngày nay. Bảo mật lớp truyền tải (TLS) 1.3 là phiên bản mới nhất của giao thức bảo mật được triển khai nhiều nhất trên internet, giao thức này mã hóa dữ liệu để cung cấp kênh giao tiếp an toàn giữa hai điểm cuối. HTTPS và TLS 1.3 hiện được bật theo mặc định trên Windows Server 2022, bảo vệ dữ liệu của các máy khách đang kết nối với máy chủ. Nó giúp loại bỏ các thuật toán mật mã lỗi thời, tăng cường bảo mật so với các phiên bản cũ hơn và nhằm mục đích mã hóa càng nhiều càng tốt việc bắt tay. Tìm hiểu thêm về các phiên bản TLS được hỗ trợ và về các bộ mật mã được hỗ trợ.
DNS bảo mật: Yêu cầu phân giải tên DNS được mã hóa với DNS-over-HTTPS
DNS Client trong Windows Server 2022 hiện hỗ trợ DNS-over-HTTPS (DoH) mã hóa các truy vấn DNS bằng giao thức HTTPS. Điều này giúp giữ cho lưu lượng truy cập của bạn càng riêng tư càng tốt bằng cách ngăn chặn việc nghe trộm và dữ liệu DNS của bạn bị thao túng. Tìm hiểu thêm về cách định cấu hình máy khách DNS để sử dụng DoH.
Server Message Block (SMB): Mã hóa SMB AES-256 để có ý thức bảo mật cao nhất
Windows Server hiện hỗ trợ các bộ mật mã AES-256-GCM và AES-256-CCM để mã hóa và ký kết SMB. Windows sẽ tự động thương lượng phương pháp mật mã nâng cao hơn này khi kết nối với một máy tính khác cũng hỗ trợ nó và nó cũng có thể được ủy quyền thông qua Group Policy. Windows Server vẫn hỗ trợ AES-128 để tương thích ở mức thấp hơn.
SMB: East-West SMB encryption controls for internal cluster communications
Các cụm chuyển đổi dự phòng của Windows Server hiện hỗ trợ kiểm soát chi tiết mã hóa và ký thông tin liên lạc lưu trữ nội bộ cho các khối được chia sẻ trong cụm (CSV) và lớp bus lưu trữ (SBL). Điều này có nghĩa là khi sử dụng Storage Spaces Direct, bạn có thể quyết định mã hóa hoặc ký kết các giao tiếp đông tây trong chính cụm để bảo mật cao hơn.
SMB over QUIC
SMB qua QUIC cập nhật giao thức SMB 3.1.1 trong Trung tâm dữ liệu Windows Server 2022: Azure Edition và các ứng dụng khách Windows được hỗ trợ sử dụng giao thức QUIC thay vì TCP. Bằng cách sử dụng SMB qua QUIC cùng với TLS 1.3, người dùng và ứng dụng có thể truy cập dữ liệu một cách an toàn và đáng tin cậy từ các máy chủ tệp biên chạy trong Azure. Người dùng di động và viễn thông không còn cần VPN để truy cập máy chủ tệp của họ qua SMB khi sử dụng Windows. Thông tin thêm có thể được tìm thấy tại tài liệu SMB qua QUIC.
Azure hybrid capabilities
Bạn có thể tăng hiệu quả và sự nhanh nhẹn của mình với các khả năng kết hợp tích hợp trong Windows Server 2022 cho phép bạn mở rộng trung tâm dữ liệu của mình sang Azure dễ dàng hơn bao giờ hết.
Azure Arc enabled Windows Servers
Máy chủ hỗ trợ Azure Arc với Windows Server 2022 mang Máy chủ Windows tại chỗ và đa đám mây đến Azure với Azure Arc. Trải nghiệm quản lý này được thiết kế để phù hợp với cách bạn quản lý các máy ảo Azure gốc. Khi một máy lai được kết nối với Azure, nó sẽ trở thành một máy được kết nối và được coi như một tài nguyên trong Azure. Có thể tìm thấy thêm thông tin tại tài liệu về Azure Arc cho phép máy chủ.
Windows Admin Center
Các cải tiến đối với Trung tâm quản trị Windows để quản lý Windows Server 2022 bao gồm khả năng báo cáo trạng thái hiện tại của các tính năng lõi Bảo mật được đề cập ở trên và nếu có thể, cho phép khách hàng kích hoạt các tính năng này. Có thể tìm thấy thêm thông tin về những điều này và nhiều cải tiến khác cho Trung tâm quản trị Windows tại tài liệu Trung tâm quản trị Windows.
Azure Automanage – Hotpatch
Hotpatch, một phần của Azure Automanage, được hỗ trợ trong Trung tâm dữ liệu Windows Server 2022: Azure Edition. Hotpatching là một cách mới để cài đặt các bản cập nhật trên máy ảo Windows Server Azure Edition (VM) mới mà không yêu cầu khởi động lại sau khi cài đặt. Có thể tìm thêm thông tin tại tài liệu Azure Automanage.
Application platform
Có một số cải tiến nền tảng cho Windows Containers, bao gồm khả năng tương thích ứng dụng và trải nghiệm Windows Container với Kubernetes. Một cải tiến lớn bao gồm giảm kích thước hình ảnh Bộ chứa Windows lên đến 40%, dẫn đến thời gian khởi động nhanh hơn 30% và hiệu suất tốt hơn.
You can now also run applications that depend on Azure Active Directory with group Managed Services Accounts Giờ đây, bạn cũng có thể chạy các ứng dụng phụ thuộc vào Azure Active Directory với Tài khoản dịch vụ được quản lý theo nhóm (gMSA) mà không cần miền tham gia vào máy chủ vùng chứa và Windows Containers hiện hỗ trợ Kiểm soát giao dịch phân tán của Microsoft (MSDTC) và Microsoft Message Queuing (MSMQ).
Có một số cải tiến khác giúp đơn giản hóa trải nghiệm Windows Container với Kubernetes. Những cải tiến này bao gồm hỗ trợ cho các vùng chứa quy trình máy chủ để cấu hình nút, IPv6 và triển khai chính sách mạng nhất quán với Calico.
Ngoài những cải tiến về nền tảng, Windows Admin Center đã được cập nhật để giúp dễ dàng chứa các ứng dụng .NET. Sau khi ứng dụng ở trong vùng chứa, bạn có thể lưu trữ nó trên Azure Container Registry để sau đó triển khai nó cho các dịch vụ Azure khác, bao gồm cả Dịch vụ Azure Kubernetes.
Với sự hỗ trợ cho bộ xử lý Intel Ice Lake, Windows Server 2022 hỗ trợ các ứng dụng quy mô lớn và quan trọng đối với doanh nghiệp, chẳng hạn như SQL Server, yêu cầu bộ nhớ lên đến 48 TB và 2.048 lõi logic chạy trên 64 ổ cắm vật lý. Tính toán bí mật với Intel Secured Guard Extension (SGX) trên Intel Ice Lake cải thiện tính bảo mật của ứng dụng bằng cách cách ly các ứng dụng với nhau bằng bộ nhớ được bảo vệ.
Các key tính năng khác
Nested virtualization for AMD processors
Ảo hóa lồng nhau là một tính năng cho phép bạn chạy Hyper-V bên trong máy ảo Hyper-V (VM). Windows Server 2022 hỗ trợ ảo hóa lồng nhau bằng bộ xử lý AMD, mang đến nhiều lựa chọn phần cứng hơn cho môi trường của bạn. Có thể tìm thêm thông tin tại tài liệu ảo hóa lồng nhau.
Microsoft Edge browser
Microsoft Edge được bao gồm trong Windows Server 2022, thay thế Internet Explorer làm trình duyệt mặc định. Nó được xây dựng trên mã nguồn mở Chromium và được hỗ trợ bởi sự đổi mới và bảo mật của Microsoft. Nó có thể được sử dụng với các tùy chọn cài đặt Server Core hoặc Server với Desktop Experience và hỗ trợ HTTP / 3 sử dụng giao thức QUIC. Bạn có thể tìm thêm thông tin tại tài liệu Microsoft Edge Enterprise. Lưu ý rằng Microsoft Edge, không giống như phần còn lại của Windows Server, tuân theo Vòng đời hiện đại cho vòng đời hỗ trợ của nó. Để biết chi tiết, hãy xem tài liệu về vòng đời của Microsoft Edge.
Storage
Storage Migration Service
Các cải tiến đối với Dịch vụ di chuyển bộ nhớ trong Windows Server 2022 giúp di chuyển bộ nhớ sang Windows Server hoặc Azure từ nhiều vị trí nguồn hơn dễ dàng hơn. Dưới đây là các tính năng khả dụng khi chạy bộ điều phối Máy chủ Di chuyển Lưu trữ trên Windows Server 2022:
- Di chuyển người dùng cục bộ và nhóm sang máy chủ mới.
- Di chuyển bộ nhớ từ các cụm chuyển đổi dự phòng, di chuyển sang các cụm chuyển đổi dự phòng và di chuyển giữa các máy chủ độc lập và các cụm chuyển đổi dự phòng.
- Di chuyển bộ nhớ từ máy chủ Linux sử dụng Samba.
- Đồng bộ hóa dễ dàng hơn các chia sẻ đã di chuyển vào Azure bằng cách sử dụng Đồng bộ hóa tệp Azure.
- Di chuyển sang các mạng mới như Azure.
- Di chuyển máy chủ NetApp CIFS từ mảng NetApp FAS sang máy chủ và cụm Windows.
Adjustable storage repair speed
Tốc độ sửa chữa bộ nhớ có thể điều chỉnh của người dùng là một tính năng mới trong Storage Spaces Direct cung cấp nhiều quyền kiểm soát hơn đối với quá trình đồng bộ hóa dữ liệu bằng cách phân bổ tài nguyên để sửa chữa các bản sao dữ liệu (khả năng phục hồi) hoặc chạy khối lượng công việc đang hoạt động (hiệu suất). Điều này giúp cải thiện tính khả dụng và cho phép bạn phục vụ các cụm của mình linh hoạt và hiệu quả hơn.
Storage bus cache with Storage Spaces on standalone servers
Bộ nhớ cache bus lưu trữ hiện có sẵn cho các máy chủ độc lập. Nó có thể cải thiện đáng kể hiệu suất đọc và ghi, đồng thời duy trì hiệu quả lưu trữ và giữ cho chi phí vận hành thấp. Tương tự như cách triển khai cho Storage Spaces Direct, tính năng này liên kết phương tiện nhanh hơn (ví dụ: NVMe hoặc SSD) với phương tiện chậm hơn (ví dụ: HDD) để tạo các cấp. Một phần của tầng phương tiện nhanh hơn được dành cho bộ nhớ cache. Để tìm hiểu thêm, hãy xem Bật bộ đệm bus lưu trữ với Storage Spaces trên các máy chủ độc lập.
SMB compression
Cải tiến đối với SMB trong Windows Server 2022 và Windows 11 cho phép người dùng hoặc ứng dụng nén tệp khi họ truyền qua mạng. Người dùng không còn phải nén các tệp theo cách thủ công để truyền nhanh hơn nhiều trên các mạng chậm hơn hoặc tắc nghẽn hơn. Để biết chi tiết, hãy xem Nén SMB.
Phương Nguyễn Dịch
Nguồn tham khảo https://docs.microsoft.com/en-us/windows-server/get-started/whats-new-in-windows-server-2022