Windows Server 2022 安裝體驗與功能對比

2022-09-14 22:13:29

功能介紹

Windows Server 2022 中的新增功能

這篇文將介紹 Windows Server 2022 中的一些新增功能。Windows Server 2022 建立在 Windows Server 2019 的強大基礎之上，在三個關鍵主題上引入了許多創新：安全性、Azure 混合整合和管理以及應用程式平臺。此外，可藉助 “Windows Server 2022 Datacenter：Azure 版本”，利用雲的優勢使 VM 保持最新狀態，同時最大限度地減少停機時間。

安全性

Windows Server 2022 中的新增安全功能結合了 Windows Server 中跨多個領域的其他安全功能，以提供針對高階威脅的深度防禦和保護。Windows Server 2022 中的高階多層安全性提供了伺服器目前所需的全面保護。

安全核心伺服器

安全核心伺服器提供的保護有助於抵禦複雜的攻擊，並且在使用者處理某些資料敏感度最高的行業中的關鍵任務資料時，可以提供更多保障。它基於三大關鍵要素：簡化的安全性、高階保護和預防性防禦。

簡化的安全性

從 OEM 處購買安全核心伺服器的硬體時，可以保證 OEM 提供的一組硬體、韌體和驅動程式滿足安全核心承諾。將可以在 Windows Admin Center 中輕鬆設定 Windows Server 系統以實現安全核心的安全功能。

高階防護

安全核心伺服器最大程度地利用硬體、韌體和作業系統功能，以防範當前和未來的威脅。安全核心伺服器實現的保護旨在為該伺服器上使用的關鍵應用程式和資料建立安全平臺。安全核心功能涵蓋以下領域：

　　硬體信任根

受信任的平臺模組 2.0 （TPM 2.0）標配的伺服器可以使用安全核心伺服器。TPM 2.0 為敏感金鑰和資料（例如在啟動過程中載入的元件的度量值）提供安全儲存。此硬體信任根可增強 BitLocker 等功能提供的保護，這種保護使用 TPM 2.0，並有助於建立基於證明的工作流，這些工作流可以合併到零信任安全策略中。

　　韌體保護

由於韌體使用高許可權執行，以及韌體中發生的情況對傳統防病毒解決方案的相對不透明性，韌體空間中的安全漏洞有明顯增加的趨勢。最近的報告顯示，惡意軟體和勒索軟體平臺正在新增韌體功能，這增加了韌體攻擊的風險，並已出現針對企業資源（如 Active Directory 域控制器）的韌體攻擊。利用處理器對 “動態度量信任根（DRTM）” 技術的支援，結合 DMA 保護，安全核心系統將安全關鍵虛擬機器器監控程式與此類攻擊隔離開來。

　　基於虛擬化的安全（VBS）

安全核心伺服器支援 VBS 和基於虛擬機器器監控程式的程式碼完整性（HVCI）。由於 VBS 可實現作業系統各特權部分（例如核心和系統的其餘部分）之間的隔離，VBS 和 HVCI 可以抵禦利用各類漏洞發起的加密貨幣挖掘攻擊。VBS 還提供了其他許多客戶可利用的功能，如可以更好地保護域憑據的 Credential Guard。

　　預防性防禦

啟用安全核心功能有助於主動防禦和阻斷攻擊者可能用來攻擊系統的許多路徑。這套防禦措施還使 IT 和 SecOps 團隊能夠將時間更好地用於需要關注的諸多領域。

安全的連線傳輸：Windows Server 2022 上預設啟用 HTTPS 和 TLS 1.3

安全連線是當今互連繫統的核心。傳輸層安全性（TLS） 1.3 是 Internet 部署最廣泛的安全協定的最新版本，它對資料進行加密，以在兩個終結點之間提供安全的通道。Windows Server 2022 上現在預設啟用 HTTPS 和 TLS 1.3，旨在保護連線到伺服器的使用者端的資料。它不再使用過時的加密演演算法，提供比舊版本更高的安全性，旨在實現儘可能多的握手加密。詳細瞭解受支援的 TLS 版本和受支援的密碼套件。

安全 DNS：通過基於 HTTPS 的 DNS 實現 DNS 名稱解析請求的加密

現在，Windows Server 2022 中的 DNS 使用者端支援基於 HTTPS 的 DNS （DoH），後者使用 HTTPS 協定加密 DNS 查詢。這有助於防止竊聽和篡改你的 DNS 資料，儘可能保護流量的私密性。詳細瞭解如何設定 DNS 使用者端以使用 DoH。

伺服器訊息區塊（SMB）：SMB AES-256 加密適用於最有安全意識的使用者

Windows Server 現在支援將 AES-256-GCM 和 AES-256-CCM 加密套件用於 SMB 加密和簽名。 Windows 連線到也支援這種方法的另一臺計算機時，將自動協商這種更高階的密碼方法，也可通過組策略強制執行。Windows Server 仍支援 AES-128 來實現下層相容性。

　　SMB：針對內部群集通訊的東 - 西 SMB 加密控制

Windows Server 故障轉移群集現支援對加密和簽名群集共用卷（CSV）及儲存匯流排層（SBL）的節點記憶體儲通訊進行精細控制。這意味著，在使用儲存空間直通時，你可決定在群集本身內加密或簽名東 - 西通訊，以獲得更高的安全性。

　　基於 QUIC 的 SMB

基於 QUIC 的 SMB 更新了 “Windows Server 2022 Datacenter：Azure 版本” 中的 SMB 3.1.1 協定，且已可支援 Windows 使用者端使用 QUIC 協定而不是 TCP 協定。通過結合使用基於 QUIC 的 SMB 和 TLS 1.3，使用者和應用程式可以安全可靠地通過 Azure 中執行的邊緣檔案伺服器存取資料。在 Windows 上，移動裝置使用者和遠端辦公使用者不再需要使用 VPN 通過 SMB 來存取其檔案伺服器。有關詳細資訊，請參閱基於 QUIC 的 SMB 檔案。

　　Azure 混合功能

可以通過 Windows Server 2022 中的內建混合功能來提高效率和靈活性，從而可以比以往更輕鬆地將資料中心擴充套件到 Azure。

已啟用 Azure Arc 的 Windows Server

啟用了 Azure Arc 的 Windows Server 2022 伺服器通過使用 Azure Arc 將本地和多雲 Windows Server 引入 Azure。這種管理體驗旨在使你能夠採用與本地 Azure 虛擬機器器一致的管理方式。當混合計算機連線到 Azure 時，它將成為一臺聯網計算機，被視為 Azure 中的資源。有關詳細資訊，請參閱通過 Azure Arc 支援伺服器檔案。

　　Windows 管理中心

用於管理 Windows Server 2022 的 Windows Admin Center 的改進包括：報告上述安全核心功能的當前狀態，在適用情況下允許客戶啟用這些功能。有關這些改進以及 Windows Admin Center 更多改進的詳細資訊，請參閱 Windows Admin Center 檔案。

Azure Automanage - 熱修補程式

“Windows Server 2022 Datacenter：Azure 版本” 支援 Azure Automanage 中的熱修補程式。熱修補是在新的 Windows Server Azure Edition 虛擬機器器（VM）上安裝更新的一種新方式，安裝後無需重新啟動。有關詳細資訊，請參閱 Azure Automanage 檔案。

　　應用程式平臺

有多項針對 Windows 容器的平臺改進，包括應用程式相容性和 Kubernetes 的 Windows 容器體驗。一項重大改進包括將 Windows 容器映像大小減少多達 40%，這使啟動時間縮短 30%，從而優化了效能。

現在還可以使用組託管服務帳戶（gMSA）執行依賴於 Azure Active Directory 的應用程式，而無需將域加入容器主機，並且 Windows 容器現在支援 Microsoft 分散式事務控制（MSDTC）和 Microsoft 訊息佇列（MSMQ）。

還有其他幾項增強功能，可簡化 Kubernetes 的 Windows 容器體驗。這些增強功能包括支援將主機程序容器用於節點設定、IPv6 支援以及使用 Calico 實現一致的網路策略。

除了平臺改進之外，還更新了 Windows Admin Center，使其可以輕鬆容器化 .NET 應用程式。應用程式位於容器中後，可以將其託管在 Azure 容器登入檔上，然後將其部署到其他 Azure 服務，包括 Azure Kubernetes 服務。

由於支援 Intel Ice Lake 處理器，Windows Server 2022 可支援業務關鍵型和大型應用程式，例如 SQL Server，這些應用程式需要高達 48 TB 的記憶體和在 64 個物理插槽上執行的 2048 個邏輯核心。使用 Intel Ice Lake 上的 Intel Secured Guard Extension （SGX）進行機密計算，可以通過使用受保護的記憶體將應用程式彼此隔離，從而提高應用程式安全性。

其他關鍵功能適用於 AMD 處理器的巢狀虛擬化

巢狀虛擬化是一項功能，使你可以在 Hyper-V 虛擬機器器（VM）內執行 Hyper-V。Windows Server 2022 通過使用 AMD 處理器引入對巢狀虛擬化的支援，為環境提供更多的硬體選擇。有關詳細資訊，請參閱巢狀虛擬化檔案。

　　Microsoft Edge 瀏覽器

Windows Server 2022 中隨附了 Microsoft Edge，替代了 Internet Explorer。它建立在 Chromium 開源基礎上，並以 Microsoft 的安全性和創新為後盾。它可以與 “伺服器核心” 或“帶桌面體驗的伺服器”安裝選項一起使用。有關詳細資訊，請參閱 Microsoft Edge Enterprise 檔案。請注意，與 Windows Server 其餘部分不同，Microsoft Edge 的支援生命週期遵循新式生命週期。有關詳細資訊，請參閱 Microsoft Edge 生命週期檔案。

　　儲儲存存遷移服務

使用 Windows Server 2022 中儲存遷移服務的增強功能，可以更輕鬆地將更多源位置的儲存遷移到 Windows Server 或遷移到 Azure。下面是在 Windows Server 2022 上執行儲存遷移伺服器業務流程協調程式時可用的功能：

將本地使用者和組遷移到新伺服器。

從故障轉移群集遷移儲存、遷移到故障轉移群集，以及在獨立伺服器和故障轉移群集之間遷移。

從使用 Samba 的 Linux 伺服器遷移儲存。

使用 Azure 檔案同步更輕鬆地將已遷移的共用同步到 Azure 中。

遷移到 Azure 等新網路。

將 NetApp CIFS 伺服器從 NetApp FAS 陣列遷移到 Windows Server 和群集。

　　可調整的儲存修復速度

“使用者可調整的儲存修復速度” 是儲存空間直通的一項新功能，此功能通過將資源分配給 “修復資料副本”（復原）或 “執行活動工作負載”（效能）來更好地控制資料重新同步過程。這有助於提高可用性，並可讓你更靈活、更有效地為群集提供服務。

在獨立伺服器上使用儲存空間的儲存匯流排快取

儲存匯流排快取現在可用於獨立伺服器。它可以顯著提高讀取和寫入效能，同時保持儲存效率和較低的操作成本。與儲存空間直通的實現類似，此功能將速度較快的媒介（例如 NVMe 或 SSD）與速度較慢的媒介（例如 HDD）繫結在一起來建立層。為快取保留了部分更快的媒介層。若要了解詳細資訊，請參閱在獨立伺服器上使用儲存空間啟用儲存匯流排快取。

　　SMB 壓縮

利用 Windows Server 2022 和 Windows 11 中的 SMB 的增強功能，使用者或應用程式可以在通過網路傳輸檔案時對其進行壓縮。使用者不再需要手動壓縮檔案，就能在較慢或較擁塞的網路上更快地傳輸。有關詳細資訊，請參閱 SMB 壓縮。