Novidades no Windows Server 2022

Aplica-se a: Windows Server 2022

Este artigo descreve alguns dos novos recursos do Windows Server 2022. O Windows Server 2022 é baseado nos sólidos alicerces do Windows Server 2019 e traz muitas inovações sobre três temas principais: segurança, integração híbrida e gerenciamento do Azure e plataforma de aplicativos. Além disso, o Windows Server 2022 Datacenter: Azure Edition ajuda você a usar os benefícios da nuvem para manter suas VMs atualizadas, minimizando o tempo de inatividade.

Segurança

Os novos recursos de segurança no Windows Server 2022 combinam outros recursos de segurança no Windows Server de várias áreas para fornecer proteção com defesa profunda contra ameaças avançadas. A segurança avançada em várias camadas no Windows Server 2022 fornece a proteção abrangente de que os servidores precisam atualmente.

Servidor de núcleo seguro

Hardware de servidor de núcleo seguro certificado de um parceiro OEM fornece proteções de segurança adicionais que são úteis contra ataques sofisticados. Isso pode fornecer mais confiabilidade ao manipular dados críticos em alguns dos setores com maior presença de dados confidenciais. Um servidor de núcleo seguro usa funcionalidades de hardware, firmware e driver para habilitar recursos avançados de segurança do Windows Server. Muitos desses recursos estão disponíveis em PCs do Windows de núcleo seguro e agora também estão disponíveis com hardware de servidor de núcleo seguro e com o Windows Server 2022. Para obter mais informações sobre o Servidor de núcleo seguro, consulte Servidor de núcleo seguro.

Raiz de confiança do hardware

Os chips de processador de criptografia seguros TPM 2.0 (Trusted Platform Module 2.0) fornecem um armazenamento seguro baseado em hardware para dados e chaves criptográficas confidenciais, incluindo medidas de integridade do sistema. O TPM 2.0 pode verificar se o servidor foi iniciado com código legítimo e se é confiável pela execução de código subsequente. Isso é conhecido como raiz de confiança de hardware e é usado por recursos como criptografia de unidade de disco BitLocker.

Proteção de firmware

O firmware é executado com altos privilégios e geralmente é invisível para soluções antivírus tradicionais, o que leva a um aumento no número de ataques baseados em firmware. Os processadores de servidor de núcleo seguro dão suporte à medição e à verificação de processos de inicialização com a tecnologia DRTM (Raiz Dinâmica de Confiança para Medida) e isolamento do acesso do driver à memória com proteção de DMA (Acesso Direto à Memória).

Inicialização segura UEFI

A inicialização segura da UEFI é um padrão de segurança que protege seus servidores contra rootkits mal-intencionados. A inicialização segura garante que o servidor inicialize somente firmware e software de confiança do fabricante do hardware. Quando o servidor é iniciado, o firmware verifica a assinatura de cada componente de inicialização, incluindo drivers de firmware e o sistema operacional. Se as assinaturas forem válidas, o servidor será inicializado e o firmware passará o controle para o sistema operacional.

Segurança baseada em virtualização (VBS)

Os servidores de núcleo seguro dão suporte à VBS (segurança baseada em virtualização) e à HVCI (integridade de código baseada em hipervisor). O VBS usa recursos de virtualização de hardware para criar e isolar uma região segura de memória do sistema operacional normal, protegendo contra uma classe inteira de vulnerabilidades usadas em ataques de mineração de criptografia. O VBS também permite o uso do Credential Guard, em que as credenciais e os segredos do usuário são armazenados em um contêiner virtual que o sistema operacional não pode acessar diretamente.

O HVCI usa o VBS para fortalecer significativamente a imposição da política de integridade de código, incluindo a integridade do modo kernel, que verifica todos os drivers e binários do modo kernel em um ambiente virtualizado antes de serem iniciados, impedindo que arquivos do sistema ou drivers não assinados sejam carregados na memória do sistema.

A KDP (Proteção de Dados de Kernel) fornece proteção de memória somente leitura da memória do kernel que contém dados não executáveis em que as páginas de memória são protegidas pelo hipervisor. A KDP impede que estruturas de chave no runtime do Windows Defender System Guard sejam adulteradas.

Conectividade segura

Transporte: HTTPS e TLS 1.3 habilitados por padrão no Windows Server 2022

As conexões seguras estão no centro dos sistemas interconectados de hoje. O protocolo TLS 1.3 é a versão mais recente do protocolo de segurança mais implantado da Internet, que criptografa dados para fornecer um canal de comunicação seguro entre dois pontos de extremidade. Agora, o HTTPS com TLS 1.3 está habilitado por padrão no Windows Server 2022, protegendo os dados de clientes que se conectam ao servidor. Ele elimina algoritmos criptográficos obsoletos, aprimora a segurança em relação a versões mais antigas e tem como objetivo criptografar o máximo possível do handshake. Saiba mais sobre as versões do TLS com suporte e sobre os pacotes de codificação com suporte.

Embora o TLS 1.3 na camada de protocolo agora seja habilitado por padrão, os aplicativos e serviços também precisam dar suporte a ele ativamente. Confira a documentação desses aplicativos e serviços para obter mais informações. Veja mais detalhes sobre isso no blog da Segurança da Microsoft na postagem Como levar o protocolo TLS (Transport Layer Security) para o próximo nível com o TLS 1.3.

DNS seguro: solicitações de resolução de nome DNS criptografadas com DNS sobre HTTPS

O Cliente DNS no Windows Server 2022 agora dá suporte ao DoH (DNS sobre HTTPS), que criptografa consultas DNS usando o protocolo HTTPS. Isso ajuda a manter o tráfego o mais privado possível, impedindo a escuta e a manipulação dos dados de DNS. Saiba mais sobre como configurar o cliente DNS para usar o DoH.

Protocolo SMB: criptografia SMB AES-256 para os mais atentos à segurança

O Windows Server agora dá suporte aos pacotes criptográficos AES-256-GCM e AES-256-CCM para criptografia SMB. O Windows negociará automaticamente esse método de codificação mais avançado ao se conectar a outro computador também compatível com ele. Esse método também poderá ser imposto por meio de Política de Grupo. O Windows Server ainda dá suporte a AES-128 para compatibilidade de nível inferior. A assinatura do AES-128-GMAC agora também acelera o desempenho de assinatura.

SMB: controles de criptografia SMB Leste-Oeste para comunicações internas do cluster

Agora, os clusters de failover do Windows Server dão suporte ao controle granular de criptografar e assinar comunicações de armazenamento dentro dos nós para CSVs (Volumes Compartilhados Clusterizados) e a SBL (camada de barramento de armazenamento). Isso significa que, ao usar o Espaços de Armazenamento Diretos, você pode optar por criptografar ou assinar as comunicações leste-oeste dentro do próprio cluster para maior segurança.

Criptografia SMB Direct e RDMA

O SMB Direct e o RDMA fornecem uma malha de rede com alta largura de banda e baixa latência para cargas de trabalho como os Espaços de Armazenamento Diretos, a Réplica de Armazenamento, o Hyper-V, o Servidor de Arquivos de Escalabilidade Horizontal e o SQL Server. Agora, o SMB Direct no Windows Server 2022 dá suporte à criptografia. Anteriormente, a habilitação da criptografia SMB desabilitava o posicionamento direto de dados. Isso era intencional, mas afetava gravemente o desempenho. Agora, os dados são criptografados antes do posicionamento, levando a uma degradação de desempenho muito menor ao adicionar a privacidade de pacote protegido AES-128 e AES-256.

Mais informações sobre criptografia SMB, aceleração de assinatura, RDMA seguro e suporte a cluster podem ser encontradas em Aprimoramentos de segurança SMB.

SMB por QUIC

O SMB sobre QUIC atualiza o protocolo SMB 3.1.1 no datacenter do Windows Server 2022: Azure Edition e nos clientes Windows com suporte para usar o protocolo QUIC em vez do TCP. Usando o SMB sobre QUIC junto com o TLS 1.3, os usuários e aplicativos podem acessar dados de maneira segura e confiável de servidores de arquivos de borda em execução no Azure. Usuários móveis e de telecomutação não precisam mais de uma VPN para acessar seus servidores de arquivos por SMB quando estão Windows. Mais informações podem ser encontradas na documentação do SMB sobre QUIC.

Funcionalidades híbridas do Azure

Você pode aumentar sua eficiência e agilidade com recursos híbridos integrados no Windows Server 2022 que permitem estender seus data centers para o Azure com mais facilidade do que nunca.

Windows Servers habilitados para o Azure Arc

Servidores habilitados para o Azure Arc com o Windows Server 2022 trazem Windows Servers locais e de várias nuvens para o Azure com o Azure Arc. Essa experiência de gerenciamento foi projetada para ser consistente com a maneira como você gerencia máquinas virtuais nativas do Azure. Quando um computador híbrido é conectado ao Azure, ele se torna um computador conectado e é tratado como um recurso no Azure. Mais informações podem ser encontradas na documentação Azure Arc habilita servidores.

Windows Admin Center

Aprimoramentos no Windows Admin Center para gerenciar o Windows Server 2022 incluem funcionalidades para relatar o estado atual dos recursos de núcleo seguro mencionados acima e, quando aplicável, permitir que os clientes habilitam os recursos. Mais informações sobre esses e muitos outros aprimoramentos no Windows Admin Center podem ser encontradas na documentação do Windows Admin Center.

Gerenciamento Automatizado do Azure – Patch dinâmico

O Patch dinâmico, que faz parte do Gerenciamento Automatizado do Azure, tem suporte no Windows Server 2022 Datacenter: Azure Edition. A aplicação de patch dinâmica é uma nova maneira de instalar atualizações em novas VMs (máquinas virtuais) do Windows Server Azure Edition que não exigem uma reinicialização após a instalação. Mais informações podem ser encontradas na documentação dp Gerenciamento Automatizado do Azure.

Plataforma de aplicativos

Há vários aprimoramentos de plataforma para contêineres Windows, incluindo a compatibilidade do aplicativo e a experiência de Contêiner do Windows com o Kubernetes. Um aprimoramento importante inclui a redução do tamanho da imagem do Contêiner do Windows em até 40%, o que leva a um tempo de inicialização 30% mais rápido e um melhor desempenho.

Agora, você também pode executar aplicativos que dependem do Azure Active Directory com gMSA (Contas de Serviços Gerenciados de grupo) sem ingressar no domínio do host de contêiner, e os Contêineres do Windows agora têm suporte do MSDTC (Microsoft Distributed Transaction Control) e do MSMQ (Microsoft Message Queuing).

Há vários outros aprimoramentos que simplificam a experiência de Contêiner do Windows com o Kubernetes. Esses aprimoramentos incluem suporte para contêineres de processo de host para configuração de nó, IPv6 e implementação de política de rede consistente com o Calico.

Além dos aprimoramentos da plataforma, o Windows Admin Center foi atualizado para facilitar a conteinerização de aplicativos .NET. Depois que o aplicativo está em um contêiner, você pode hospedá-lo no Registro de Contêiner do Azure para implantá-lo em outros serviços do Azure, incluindo o Serviço de Kubernetes do Azure.

Com suporte para processadores Intel Ice Lake, o Windows Server 2022 dá suporte a aplicativos comercialmente críticos e de grande escala, como o SQL Server, que exigem até 48 TB de memória e 2.048 núcleos lógicos em execução em 64 soquetes físicos. A computação confidencial com o SGX (Secured Guard Extension) da Intel no Intel Ice Lake aumenta a segurança do aplicativo, isolando os aplicativos uns dos outros com memória protegida.

Outros recursos principais

Virtualização aninhada para processadores AMD

A virtualização aninhada é um recurso que permite executar o Hyper-V em uma VM (máquina virtual) do Hyper-V. O Windows Server 2022 dá suporte à virtualização aninhada usando processadores AMD, dando mais opções de hardware para seus ambientes. É possível encontrar mais informações na documentação da virtualização aninhada.

Navegador Microsoft Edge

O Microsoft Edge está incluído no Windows Server 2022, substituindo o Internet Explorer. Ele se baseia em Chromium de software livre e tem suporte da segurança e da inovação da Microsoft. Ele pode ser usado com as opções de instalação Servidor com Experiência Desktop. Mais informações podem ser encontradas na documentação do Microsoft Edge Enterprise. Observe que o Microsoft Edge, diferente do restante do Windows Server, segue o Ciclo de Vida Moderno para seu ciclo de vida de suporte. Para obter detalhes, confira a documentação sobre o ciclo de vida do Microsoft Edge.

Desempenho de rede

Aprimoramentos no desempenho do UDP

O UDP está se tornando um protocolo muito popular que transporta cada vez mais tráfego de rede devido à crescente popularidade dos protocolos de streaming e jogos personalizados (UDP) e RTP. O protocolo QUIC, criado com base no UDP, equipara o nível de desempenho do UDP ao do TCP. Vale ressaltar que o Windows Server 2022 inclui o USO (Descarregamento de Segmentação UDP). O USO move a maior parte do trabalho necessário para enviar pacotes UDP da CPU para o hardware especializado do adaptador de rede. Complementando o USO, temos o UDP RSC (UDP Receive Side Coalescing), que une pacotes e reduz o uso da CPU para processamento do UDP. Além disso, também fizemos centenas de aprimoramentos no caminho de dados do UDP para transmitir e receber. O Windows Server 2022 e o Windows 11 têm essa nova funcionalidade.

Aprimoramentos de desempenho de TCP

O Windows Server 2022 usa o TCP HyStart++ para reduzir a perda de pacotes durante a início da conexão (especialmente em redes de alta velocidade) e RACK para reduzir o RTO (Tempo Limite de Retransmissão). Esses recursos são habilitados por padrão na pilha de transporte e fornecem um fluxo de dados de rede mais suave com melhor desempenho em altas velocidades. O Windows Server 2022 e o Windows 11 têm essa nova funcionalidade.

Aprimoramentos no comutador virtual do Hyper-V

Os comutadores virtuais no Hyper-V foram aprimorados com o RSC (Receive Segment Coalescing) atualizado. Isso permite que a rede do hipervisor una pacotes e os processe como um segmento maior. Os ciclos de CPU são reduzidos e os segmentos permanecerão unidos por todo o caminho de dados até que sejam processados pelo aplicativo pretendido. Isso significa um desempenho aprimorado no tráfego de rede de um host externo, recebido por uma NIC virtual, bem como de uma NIC virtual para outra NIC virtual no mesmo host.

Armazenamento

Serviço de Migração de Armazenamento

Aprimoramentos no Serviço de Migração de Armazenamento no Windows Server 2022 facilitam a migração do armazenamento para o Windows Server ou para o Azure de mais locais de origem. Estes são os recursos disponíveis ao executar o orquestrador do Servidor de Migração de Armazenamento no Windows Server 2022:

  • Migrar usuários e grupos locais para o novo servidor.
  • Migrar o armazenamento de clusters de failover, migrar para clusters de failover e migrar entre servidores autônomos e clusters de failover.
  • Migrar o armazenamento de um servidor Linux que usa o Samba.
  • Sincronizar mais facilmente compartilhamentos migrados ao Azure usando a Sincronização de Arquivos do Azure.
  • Migrar para novas redes, como o Azure.
  • Migrar servidores do NetApp CIFS das matrizes do NetApp FAS para servidores e clusters do Windows.

Velocidade de reparo de armazenamento ajustável

A velocidade de reparo do armazenamento ajustável pelo usuário é um novo recurso dos Espaços de Armazenamento Diretos que oferece mais controle sobre o processo de ressincronização de dados, alocando recursos para reparar cópias de dados (resiliência) ou executar cargas de trabalho ativas (desempenho). Isso ajuda a aprimorar a disponibilidade e permite que você atenda seus clusters de maneira mais flexível e eficiente.

Reparo e ressincronização mais rápidos

O reparo e a ressincronização do armazenamento após eventos como reinicializações de nó e falhas de disco agora são duas vezes mais rápidos. Os reparos têm menos variação no tempo de duração para que você possa ter mais certeza de quanto tempo os reparos levarão. Esse recurso foi obtido por meio da adição de mais granularidade ao acompanhamento de dados. Isso move apenas os dados que precisam ser movidos e reduz os recursos do sistema usados e o tempo de duração.

Cache do barramento de armazenamento com Espaços de Armazenamento em servidores autônomos

O cache do barramento de armazenamento está disponível para servidores autônomos. Ele pode aprimorar significativamente o desempenho de leitura e gravação, mantendo a eficiência do armazenamento e mantendo os custos operacionais baixos. Semelhante à sua implementação para os Espaços de Armazenamento Diretos, esse recurso une uma mídia mais rápida (por exemplo, NVMe ou SSD) com uma mídia mais lenta (por exemplo, HDD) para criar camadas. Uma parte da camada de mídia mais rápida é reservada para o cache. Para saber mais, confira Habilitar um cache do barramento de armazenamento usando Espaços de Armazenamento em servidores autônomos.

Instantâneos no nível de arquivo ReFS

O ReFS (Sistema de Arquivos Resiliente) da Microsoft agora inclui a capacidade de criar instantâneos de arquivos usando uma operação rápida de metadados. Os instantâneos são diferentes da clonagem de bloco ReFS, uma vez que os clones são graváveis, enquanto os instantâneos são somente leitura. Essa funcionalidade é especialmente útil em cenários de backup de máquina virtual com arquivos VHD/VHDX. Os instantâneos do ReFS são exclusivos, pois eles levam um tempo constante independentemente do tamanho do arquivo. O suporte para instantâneos está disponível em ReFSUtil ou como uma API.

Compactação do SMB

O aprimoramento do SMB no Windows Server 2022 e no Windows 11 permite que um usuário ou aplicativo compacte arquivos conforme eles são transferidos pela rede. Os usuários não precisam mais compactar manualmente os arquivos para serem transferidos muito mais rapidamente em redes mais lentas ou mais congestionadas. Para obter detalhes, confira compactação SMB.