Este articulo describe algunas de las características nuevas en Windows Server 2022. Windows Server 2022 está construido en las fuertes y sólidas bases de Windows Server 2019 y trae muchas innovaciones en tres tópicos importantes: seguridad, integración y gestión con Azure hybrid y plataforma de aplicaciones. También, Windows Server 2022 Datacenter: Azure Edition ayuda a usar los beneficios de la nube para mantener sus máquinas virtuales actualizadas a la vez que minimiza los downtimes.
Seguridad
Las nuevas capacidades de seguridad en Microsoft Windows Server 2022 combina otras características de seguridad en Windows Server a través de múltiples áreas a fin de proveer una defensa en profundidad (defese-in-depth) contra ataques de intrusión avanzada. La seguridad multi-layer avanzada en Windows Server 2022 entrega la protección que los servidores necesitan hoy.
Secured-core server
El hardware de servidor certificado como Certified Secured-core proveniente de un partner OEM provee seguridad de protección adicional muy útil contra ataques sofisticados. Esto provee un incremento en las garantías durante el manejo de datos críticos para la misión, en algunos casos datos sensibles de la industria. Un Secured-core server utiliza una combinación de hardware, firmware y drivers que habilitan las características se seguridad avanzada de Windows Server. Muchas de estas capacidades están disponibles en Windows Secured-core PCs y ahora también lo están hardware Secured-core server y Windows Server 2022.
Hardware root-of-trust
Trusted Platfform Module 2.0 (TPM 2.0) es un crypto-procesador seguro, un chip que almacena llaves criptográficas y datos sensibles, incluyendo sistemas de medición de integridad. TPM 2.0, puede verificar que el servidor ha sido inicializado con un código legítimo y puede confiar en la ejecución de código subsecuente. Esto es conocido como un hardware root-of-trust y es usado por características cono BitLocker drive encryption.
Protección de Firmware
El firmware se ejecuta con altos privilegios y es comúnmente invisible a las soluciones de antivirus tradicionales, esto ha permitido un aumento en el número de ataques basados en firmware. El procesador Secure-core server soporta la medición y verificación de los procesos de booteo con Dynamic Root of Trust for Measurement (DRTM) technology y aislamiento el acceso de driver a memoria con Direct Memory Access (DMA) protection.
UEFI secure boot
UEFI secure boot es una seguridad estándar que protege tus servidores de rootkits maliciosos. Secure boot asegura que el servidor arranque solo firmware y software de confianza para el fabricante del hardware. Cuando el servidor es iniciado, el firmware chequea la firma de cada componente de arranque incluyendo el firmware de driver en el sistema operativo. Si la firma es válida, el servidor arranca y el firmware obtiene entrega el control a el sistema operativo.
Virtualization-based security
Secured-core servers soporta virtualization-based security (VBS) e hypervisor-based code integrity (HVCI). VBS usa las capacidades de virtualización del hardware para crear una región de memoria aislada y segura del sistema operativo, protegiendo contra una entera clase de vulnerabilidades usada en ataques de minería de criptomonedas. VBS también permite el uso de Credential Guard, donde las credenciales de usuario y secretos son almacenadas en un contenedor virtual que el sistema operativo no puede acceder directamente.
HVCI usa VBS para fortalecer significativamente las políticas de integridad de código, incluyendo la integridad del kernel mode que verifica todos los drivers y binarios virtualizados en el kernel mode antes de ser inicializados, previniendo así controlador no firmado o sistemas de archivos cargados en memoria.
Kernel Data Protection (KDP) provee protección de memoria de solo lectura del kernel, data no-ejecutable de páginas de memoria son protegidas por Hypervisor. KDP protege estructuras claves en el Windows Defender System Guard runtime de ser modificado o vulnerados.
Conectividad segura
Transporte: HTTPS y TLS 1.3 habilitado por defecto en Windows Server 2022
Las conexiones seguras son el corazón de los sistemas interconectados de hoy. Transport Layer Security (TLS) 1.3 es la última versión del protocolo de seguridad más desplegado de internet, el cual encripta los datos para proveer un canal de comunicación seguro entre dos puntos. HTPPS y TLS 1.3 son ahora habilitados por defecto en Windows Server 2022, protegiendo los datos de clientes conectados al servidor. Eso elimina los algoritmos criptográficos obsoletos, mejora la seguridad de versiones más antiguas y cifra mucho mejor los hadshake como sea posible.
DNS Seguro: solicitudes de resolución de nombre DNS encriptadas con DNS-over-HTTPS
Clientes DNS en Windows Server 2022 ahora soportan DNS-over-HTTPS (DoH), DoH encripta las consultas DNS usando el protocolo HTTPS. Esto ayuda a conservar el tráfico tan privado como sea posible para prevenir técnicas de eavesdropping y que los datos DNS sean manipulados.
Server Message Block (SMB): Encriptado SMB AES-256 para mayor seguridad
Windows Server ahora soporta la suite criptográfica AES-256-GCM y AES-256-CCM para SMB. Windows automáticamente va a negociar su cifrado más avanzado cuando conecte con otro computador que también lo soporte. Windows Server aun soporta AES-128 para propósitos de retrocompatibilidad.
SMB: Control de encriptado para comunicaciones internas de clústeres East-West SMB
Los clústeres failover de Windows Server ahora soportan un control granular del encriptado y firma entre comunicación de nodos para CSV (Cluster Shared Volumes) y la capa de almacenamiento (SBL). Esto quiere decir que cuando se use Storage Spaces Direct, puedes decidir encriptar o firmar comunicaciones east-west con el clúster mismo para mayor seguridad.
SMB Direct y encriptado RDMA
SMB direct y RDMA suplen anchos de banda altos, fabrican redes de baja latencia para cargas de trabajo como Storage spaces Direct, Storage Replica, Hyper-V, Scale-out File Server, y SQL Server. Ahora SMB Direct en Windows Server 2022 soporta encriptación. Anteriormente, al habilitar el cifrado SMB deshabilitaba direct data placement; esto fue intencional, sin embargo, el impacto de performance era alto. Ahora los datos son cifrados antes dejando lejos la degradación de servicios por rendimiento, mientras se agrega AES-128 y AES-256 para proteger la privacidad de los paquetes.
SMB sobre QUIC
SMB sobre QUIC actualiza el protocolo SMB 3.1.1 en Windows Server 2022 Datacenter: Azure Edition y permite clientes Windows el uso de protocolo QUIC en lugar de TCP. El uso de SMB sobre QUIC con TLS 1.3, los usuarios y aplicaciones pueden acceder con seguridad a data almacenada en servidores de archivos que corren en Azure. Los usuarios móviles y tele conmutadores no necesitan más de una VPN para acceder a sus servidores de archivo sobre SMB en Windows.
Características Azure Hybrid
Puedes incrementar tu eficiencia y agilidad con las características built-in hybrid en Windows Server que permiten extender tu data center a Azure más fácilmente que nunca.
Azure Arc habilitado Windows Server
Azure Arc permite a servidores con Windows Server 2022 trabajar con on-premise y multi-cloud Windows Server en Azure con Azure Arc. Esta experiencia de gestión está diseñada para ser consistente con como tu gestionas nativamente las máquinas virtuales de Azure. Cuando una maquina hybrid es conectada a Azure, esta se convierte en una maquina y es tratada como un recurso en Azure.
Windows Admin Center
Mejoras a Windows Admin Center para gestionar Windows Server 2022, incluyen capacidades tanto para reporte en el estado actual del secured-core, y donde sea aplicable. Permite a clientes habilitar características.
Azure Automanage – Hotpatch
Hotpatch, parte de Azure Automanage, es soportado en Windows Server 2022 Datacenter: Azure Edition. Hotpatching es una nueva forma para instalar actualizaciones en nuevo Windows Server Azure Edition VMs que no requiere reiniciar luego de la instalación.
Plataforma de aplicación
Hay muchas mejoras de plataformas para Windows Containers, incluyendo experiencia de compatibilidad de aplicación y los contenedores con Kubernets. Una importante mejora incluye la reducción del tamaño de los contenedores hasta un 40%, lo cual permitió incrementar la velocidad de inicialización en un 30% y mejor performance.
Puede también ejecutar aplicaciones que dependen de Azure Active Directory con grupos de cuentas de servicios manejados (gMSA) sin unirse a un dominio, y Windows Container ahora soporta Microsoft Distributed Transaction Control (MSDTC) y Microsoft Message Queuing (MSMQ).
Existen otras mejoras que simplifican la experiencia Windows Container con Kubernetes. Estas mejoras incluyen soporte para procesos host container por nodo, IPv6 e implementación de políticas de red consistentes con Calico.
Adicionalmente a las mejoras de plataforma, Windws Admin Center ha sido actualizado para hacer fácil la contenerizacion de aplicaciones .NET. Una vez que la aplicación está en un contenedor, puedes hospedarla en Azure Container Registry para entonces desplegar a otro servicio Azure, incluyendo Azure Kubernetes Service.
Con el soporte para Intel Ice Lake processor, Windows Server 2022 soporta aplicaciones a gran escala y de negocio crítico, como SQL Server, que requiere hasta 48 TB de memoria y 2.048 cores lógicos en 64 sockets físicos. Computación confidencial con Intel Secured Guard Extension (SGX) en Intel Ice Lake mejora la seguridad de aplicación ya que aísla las aplicaciones unas de otras con memoria protegida.
