Novità di Windows Server 2022

Si applica a: Windows Server 2022

Questo articolo descrive alcune delle nuove funzionalità di Windows Server 2022. Windows Server 2022 si basa sulla solida base di Windows Server 2019 e offre molte innovazioni su tre temi chiave: sicurezza, integrazione e gestione ibride di Azure e piattaforma applicativa. Inoltre, Windows Server 2022 Datacenter: Azure Edition consente di usare i vantaggi del cloud per mantenere aggiornate le macchine virtuali riducendo al minimo i tempi di inattività.

Sicurezza

Le nuove funzionalità di sicurezza di Windows Server 2022 combinano altre funzionalità di sicurezza in Windows Server in più aree per fornire una protezione avanzata dalle minacce avanzate. Sicurezza multi-livello avanzata in Windows Server 2022 offre la protezione completa di cui i server hanno attualmente bisogno.

Server con core protetto

L'hardware server con core protetto certificato di un partner OEM offre protezioni di sicurezza aggiuntive utili contro attacchi sofisticati. Ciò può offrire maggiori garanzie durante la gestione dei dati cruciali in alcuni dei settori più sensibili ai dati. Un server con core protetto usa funzionalità hardware, firmware e driver per abilitare funzionalità avanzate Windows di sicurezza di Server. Molte di queste funzionalità sono disponibili Windows PC con core protetti e sono ora disponibili anche con hardware server con core protetti e Windows Server 2022. Per altre informazioni sul server con core protetto, vedere Server con core protetti.

Radice di attendibilità hardware

Trusted Platform Module chip crittografici sicuri di Trusted Platform Module 2.0 (TPM 2.0) forniscono un archivio sicuro basato su hardware per le chiavi crittografiche sensibili e i dati, incluse le misurazioni dell'integrità dei sistemi. TPM 2.0 può verificare che il server sia stato avviato con codice legittimo e possa essere considerato attendibile dalla successiva esecuzione del codice. Questa funzionalità è nota come radice di attendibilità hardware e viene usata da funzionalità quali la crittografia unità BitLocker.

Protezione del firmware

Il firmware viene eseguito con privilegi elevati ed è spesso invisibile alle soluzioni antivirus tradizionali, causando un aumento del numero di attacchi basati su firmware. I processori server con core protetti supportano la misurazione e la verifica dei processi di avvio con la tecnologia DRTM (Dynamic Root of Trust for Measurement) e l'isolamento dell'accesso dei driver alla memoria con protezione DMA (Direct Memory Access).

Avvio protetto UEFI

L'avvio protetto UEFI è uno standard di sicurezza che protegge i server da rootkit dannosi. L'avvio protetto garantisce che il server avvia solo firmware e software considerati attendibili dal produttore dell'hardware. All'avvio del server, il firmware controlla la firma di ogni componente di avvio, inclusi i driver del firmware e il sistema operativo. Se le firme sono valide, il server viene avviato e il firmware concede il controllo al sistema operativo.

Sicurezza basata sulla virtualizzazione (VBS)

I server con core protetti supportano la sicurezza basata sulla virtualizzazione (VBS) e l'integrità del codice basata su hypervisor (HVCI). VBS usa le funzionalità di virtualizzazione hardware per creare e isolare un'area di memoria sicura dal normale sistema operativo, proteggendo da un'intera classe di vulnerabilità usate negli attacchi di data mining. VBS consente anche l'uso di Credential Guard, in cui le credenziali utente e i segreti vengono archiviati in un contenitore virtuale a cui il sistema operativo non può accedere direttamente.

HVCI usa VBS per rafforzare significativamente l'applicazione dei criteri di integrità del codice, inclusa l'integrità della modalità kernel che controlla tutti i driver e i file binari in modalità kernel in un ambiente virtualizzato prima dell'avvio, impedendo il caricamento di driver non firmati o file di sistema nella memoria di sistema.

Kernel Data Protection (KDP) fornisce la protezione della memoria di sola lettura della memoria del kernel contenente dati non eseguibili in cui le pagine di memoria sono protette da Hypervisor. KDP protegge le strutture chiave nel runtime Windows Defender Protezione del sistema da eventuali manomissioni.

Proteggere la connettività

Trasporto: HTTPS e TLS 1.3 abilitati per impostazione predefinita in Windows Server 2022

Le connessioni sicure sono alla base degli attuali sistemi interconnessi. Transport Layer Security (TLS) 1.3 è la versione più recente del protocollo di sicurezza più distribuito di Internet, che crittografa i dati per fornire un canale di comunicazione sicuro tra due endpoint. HTTPS e TLS 1.3 sono ora abilitati per impostazione predefinita in Windows Server 2022, proteggendo i dati dei client che si connettono al server. Elimina gli algoritmi di crittografia obsoleti, migliora la sicurezza rispetto alle versioni precedenti e mira a crittografare la maggior parte dell'handshake possibile. Altre informazioni sulle versioni di TLS supportate e sui pacchetti di crittografia supportati.

Anche se TLS 1.3 nel livello del protocollo è ora abilitato per impostazione predefinita, anche le applicazioni e i servizi devono supportarlo attivamente. Per altre informazioni, vedere la documentazione relativa a tali applicazioni e servizi. Il blog sulla sicurezza Microsoft contiene maggiori dettagli nel post Taking Transport Layer Security (TLS) to the next level with TLS 1.3 (Passaggio di TLS al livello successivo con TLS 1.3).

DNS sicuro: richieste di risoluzione dei nomi DNS crittografate con DNS su HTTPS

Il client DNS in Windows Server 2022 supporta ora DNS-over-HTTPS (DoH) che crittografa le query DNS usando il protocollo HTTPS. Ciò consente di mantenere il traffico il più privato possibile impedendo intercettazioni e la manipolazione dei dati DNS. Altre informazioni sulla configurazione del client DNS per l'uso di DoH.

Server Message Block (SMB): crittografia SMB AES-256 per la maggiore sicurezza

Windows Server supporta ora i pacchetti di crittografia AES-256-GCM e AES-256-CCM per la crittografia SMB. Windows negozierà automaticamente questo metodo di crittografia più avanzato quando ci si connette a un altro computer che lo supporta e può anche essere obbligatorio tramite Criteri di gruppo. Windows Server supporta ancora AES-128 per la compatibilità di livello inferiore. La firma AES-128-GMAC ora accelera anche le prestazioni di firma.

SMB: East-West di crittografia SMB per le comunicazioni interne del cluster

Windows i cluster di failover del server supportano ora il controllo granulare della crittografia e della firma delle comunicazioni di archiviazione all'interno dei nodi per i volumi condivisi cluster e il livello del bus di archiviazione( SBL). Ciò significa che quando si usa Spazi di archiviazione Direct, è possibile decidere di crittografare o firmare le comunicazioni east-west all'interno del cluster stesso per una maggiore sicurezza.

Crittografia SMB diretta e RDMA

SMB diretto e RDMA forniscono un'infrastruttura di rete a larghezza di banda elevata e a bassa latenza per carichi di lavoro come Spazi di archiviazione Direct, replica Archiviazione, Hyper-V, file server di scalabilità orizzontale e SQL Server. SMB diretto in Windows Server 2022 supporta ora la crittografia. In precedenza, l'abilitazione della crittografia SMB disabilitava il posizionamento diretto dei dati; Si tratta di un'operazione intenzionale, ma con un impatto significativo sulle prestazioni. I dati vengono ora crittografati prima del posizionamento dei dati, con una riduzione delle prestazioni durante l'aggiunta della privacy dei pacchetti protetti AES-128 e AES-256.

Per altre informazioni su crittografia SMB, accelerazione della firma, RDMA sicuro e supporto del cluster, vedere Miglioramenti della sicurezza SMB.

SMB su QUIC

SMB su QUIC aggiorna il protocollo SMB 3.1.1 in Windows Server 2022 Datacenter: Azure Edition e i client Windows supportati per l'uso del protocollo QUIC invece di TCP. Usando SMB su QUIC insieme a TLS 1.3, utenti e applicazioni possono accedere in modo sicuro e affidabile ai dati dai file server perimetrali in esecuzione in Azure. Gli utenti di dispositivi mobili e di telecomunicazione non necessitano più di una VPN per accedere ai file server tramite SMB quando sono Windows. Altre informazioni sono disponibili nella documentazione di SMB su QUIC.

Funzionalità ibride di Azure

È possibile aumentare l'efficienza e l'agilità con funzionalità ibride integrate in Windows Server 2022 che consentono di estendere i data center ad Azure più facilmente che mai.

Azure Arc server Windows abilitati

Azure Arc server abilitati con Windows Server 2022 porta i server Windows locali e multi-cloud in Azure con Azure Arc. Questa esperienza di gestione è progettata per essere coerente con la modalità di gestione delle macchine virtuali native di Azure. Quando una macchina virtuale ibrida viene connessa ad Azure, diventa una macchina virtuale connessa e viene considerata come una risorsa in Azure. Per altre informazioni, vedere la documentazione Azure Arc server.

Windows Admin Center

I miglioramenti apportati all'interfaccia di amministrazione di Windows per gestire Windows Server 2022 includono funzionalità per segnalare lo stato corrente delle funzionalità di base protette citate in precedenza e, se applicabile, consentire ai clienti di abilitare le funzionalità. Altre informazioni su questi e molti altri miglioramenti a Windows admin center sono disponibili nella documentazione Windows admin center.

Gestione automatica di Azure - Hotpatch

La funzionalità hotpatch, Gestione automatica di Azure, è supportata in Windows Server 2022 Datacenter: Azure Edition. La funzionalità di hotpatching è un nuovo modo per installare gli aggiornamenti nelle nuove macchine virtuali (VM) dell'edizione azure di Windows Server che non richiedono un riavvio dopo l'installazione. Altre informazioni sono disponibili nella documentazione Gestione automatica di Azure.

Piattaforma applicativa

Esistono diversi miglioramenti della piattaforma per i contenitori Windows, tra cui la compatibilità delle applicazioni e l'esperienza Windows container con Kubernetes. Un miglioramento importante include la riduzione delle dimensioni dell'immagine del contenitore Windows fino al 40%, con un tempo di avvio più rapido del 30% e prestazioni migliori.

È ora possibile eseguire anche applicazioni che dipendono da Azure Active Directory con account del servizio gestito del gruppo (gMSA) senza aggiunta a un dominio all'host contenitore e i contenitori Windows ora supportano Microsoft Distributed Transaction Control (MSDTC) e Microsoft Message Queuing (MSMQ).

Esistono diversi altri miglioramenti che semplificano l'esperienza Windows contenitore con Kubernetes. Questi miglioramenti includono il supporto per i contenitori di processi host per la configurazione del nodo, IPv6 e l'implementazione coerente dei criteri di rete con Calico.

Oltre ai miglioramenti apportati alla piattaforma, Windows'interfaccia di amministrazione è stata aggiornata per semplificare la containerizzazione delle applicazioni .NET. Quando l'applicazione si trova in un contenitore, è possibile ospitarla in Registro Azure Container per distribuirla in altri servizi di Azure, tra cui servizio Azure Kubernetes.

Con il supporto per processori Intel Ice Lake, Windows Server 2022 supporta applicazioni aziendali critiche e su larga scala, ad esempio SQL Server, che richiedono fino a 48 TB di memoria e 2.048 core logici in esecuzione su 64 socket fisici. Il confidential computing con Intel Secured Guard Extension (SGX) su Intel Ice Lake migliora la sicurezza delle applicazioni isolando le applicazioni l'una dall'altra con la memoria protetta.

Altre funzionalità chiave

Virtualizzazione annidata per processori AMD

La virtualizzazione annidata è una funzionalità che consente di eseguire Hyper-V all'interno di una macchina virtuale (VM) Hyper-V. Windows Server 2022 offre il supporto per la virtualizzazione annidata tramite processori AMD, offrendo più opzioni di hardware per gli ambienti. Altre informazioni sono disponibili nella documentazione sulla virtualizzazione annidata.

Browser Microsoft Edge

Microsoft Edge è incluso in Windows Server 2022, sostituendo Internet Explorer. Si basa sul modello Chromium open source supportato dalla sicurezza e dall'innovazione Microsoft. Può essere usato con le opzioni di installazione Server con Esperienza desktop. Altre informazioni sono disponibili nella documentazione Microsoft Edge Enterprise. Si noti Microsoft Edge, a differenza del resto Windows Server, segue il ciclo di vita moderno per il ciclo di vita del supporto. Per informazioni dettagliate, vedere la documentazione Microsoft Edge ciclo di vita.

Prestazioni di rete

Miglioramenti delle prestazioni UDP

UDP sta diventando un protocollo molto diffuso che trasporta sempre più traffico di rete a causa della crescente diffusione di protocolli di streaming e giochi personalizzati (UDP) e RTP. Il protocollo QUIC, basato su UDP, porta le prestazioni di UDP a un livello pari a TCP. In modo significativo, Windows Server 2022 include l'offload della segmentazione UDP (USO). USO sposta la maggior parte del lavoro necessario per inviare pacchetti UDP dalla CPU all'hardware specializzato della scheda di rete. Uso complementare è UDP Receive Side Coalescing (UDP RSC), che unesce pacchetti e riduce l'utilizzo della CPU per l'elaborazione UDP. Inoltre, sono stati apportati centinaia di miglioramenti al percorso dati UDP sia per la trasmissione che per la ricezione. Windows Server 2022 e Windows 11 hanno entrambe questa nuova funzionalità.

Miglioramenti delle prestazioni delle connessioni TCP

Windows Server 2022 usa TCP HyStart++ per ridurre la perdita di pacchetti durante l'avvio della connessione (in particolare nelle reti ad alta velocità) e RACK per ridurre i timeout di ritrasmissione (RTO). Queste funzionalità sono abilitate nello stack di trasporto per impostazione predefinita e offrono un flusso di dati di rete più fluido con prestazioni migliori a velocità elevate. Windows Server 2022 e Windows 11 hanno entrambe questa nuova funzionalità.

Miglioramenti del commutatore virtuale Hyper-V

I commutatori virtuali in Hyper-V sono stati migliorati con receive segment coalescing (RSC) aggiornato. Ciò consente alla rete hypervisor di coalescere i pacchetti ed elaborarsi come un segmento più grande. I cicli della CPU vengono ridotti e i segmenti rimangono uniti nell'intero percorso dati fino a quando non vengono elaborati dall'applicazione prevista. Ciò significa migliorare le prestazioni sia del traffico di rete da un host esterno, ricevuto da una scheda di interfaccia di rete virtuale, sia da una scheda di interfaccia di rete virtuale a un'altra scheda di interfaccia di rete virtuale nello stesso host.

Archiviazione

Servizio di migrazione della risorsa di archiviazione

I miglioramenti apportati Archiviazione Migration Service in Windows Server 2022 semplificano la migrazione dell'archiviazione a Windows Server o ad Azure da più posizioni di origine. Di seguito sono disponibili le funzionalità disponibili quando si esegue l'agente di orchestrazione Archiviazione Migration Server in Windows Server 2022:

  • Eseguire la migrazione di utenti e gruppi locali al nuovo server.
  • Eseguire la migrazione dell'archiviazione dai cluster di failover, la migrazione a cluster di failover e la migrazione tra server autonomi e cluster di failover.
  • Eseguire la migrazione dell'archiviazione da un server Linux che usa Samba.
  • Sincronizzare più facilmente le condivisioni migrate in Azure usando Sincronizzazione file di Azure.
  • Eseguire la migrazione a nuove reti, ad esempio Azure.
  • Eseguire la migrazione di server CIFS NetApp da array FAS NetApp Windows server e cluster.

Velocità di ripristino dell'archiviazione regolabile

La velocità di ripristino dell'archiviazione regolabile dall'utente è una nuova funzionalità di Spazi di archiviazione Direct che offre un maggiore controllo sul processo di risincronizzazione dei dati allocando le risorse per ripristinare le copie dei dati (resilienza) o eseguire carichi di lavoro attivi (prestazioni). Ciò consente di migliorare la disponibilità e di gestire i cluster in modo più flessibile ed efficiente.

Ripristino e risincronizzazione più veloci

Archiviazione ripristino e risincronizzazione dopo eventi come il riavvio dei nodi e gli errori del disco sono ora due volte più veloci. Le riparazioni hanno una minore varianza nel tempo, quindi è possibile essere più sicuri del tempo necessario per le riparazioni, operazione che è stata ottenuta aggiungendo maggiore granularità al rilevamento dei dati. In questo modo si spostano solo i dati che devono essere spostati e si riducono le risorse di sistema usate e il tempo impiegato.

Archiviazione cache del bus con Spazi di archiviazione nei server autonomi

Archiviazione cache del bus è ora disponibile per i server autonomi. Può migliorare significativamente le prestazioni di lettura e scrittura, mantenendo al tempo stesso l'efficienza di archiviazione e mantenendo bassi i costi operativi. Analogamente all'implementazione di Spazi di archiviazione Direct, questa funzionalità associa supporti più veloci (ad esempio, NVMe o SSD) a supporti più lenti (ad esempio HDD) per creare livelli. Una parte del livello multimediale più veloce è riservata alla cache. Per altre informazioni, vedere Abilitare la cache del bus di archiviazione Spazi di archiviazione nei server autonomi.

Snapshot a livello di file ReFS

Microsoft Resilient File System (ReFS) include ora la possibilità di eseguire snapshot dei file usando un'operazione rapida sui metadati. Gli snapshot sono diversi dalla clonazione di blocchi ReFS in quanto i cloni sono scrivibili, mentre gli snapshot sono di sola lettura. Questa funzionalità è particolarmente utile negli scenari di backup di macchine virtuali con file VHD/VHDX. Gli snapshot ReFS sono univoci perché hanno un tempo costante indipendentemente dalle dimensioni del file. Il supporto per gli snapshot è disponibile in ReFSUtil o come API.

Compressione SMB

Il miglioramento di SMB in Windows Server 2022 e Windows 11 consente a un utente o a un'applicazione di comprimere i file durante il trasferimento in rete. Gli utenti non devono più comprimere manualmente i file per trasferire molto più velocemente le reti più lente o congestionate. Per informazioni dettagliate, vedere Compressione SMB.