Nouveautés de Windows Server 2022

Sécurité

Les nouvelles fonctionnalités de sécurité de Windows Server 2022 combinent d'autres fonctionnalités de sécurité de Windows Server dans différents domaines afin de fournir une défense en profondeur contre les menaces avancées. La sécurité multicouche avancée de Windows Server 2022 offre la protection complète dont les serveurs ont actuellement besoin.

Serveur Secured-core

Le matériel de serveur à noyau sécurisé certifié provenant d’un partenaire OEM fournit des protections de sécurité supplémentaires qui sont utiles contre les attaques sophistiquées. Il peut fournir des garanties accrues lors du traitement des données critiques dans certains secteurs sensibles. Un serveur à noyau sécurisé utilise des fonctions de matériel, de microprogramme et de pilote pour activer les fonctionnalités avancées de sécurité Windows Server. La plupart de ces fonctionnalités sont disponibles dans les PC à noyau sécurisé Windows et sont désormais également disponibles avec le matériel de serveur à noyau sécurisé et Windows Server 2022. Pour plus d’informations sur les serveurs à noyau sécurisé, consultez Serveur à noyau sécurisé.

Racine de confiance matérielle

Les puces de processeur de chiffrement sécurisé du module de plateforme sécurisée 2.0 (TPM 2.0) fournissent un magasin matériel sécurisé pour les clés de chiffrement et les données sensibles, dont les mesures d’intégrité des systèmes. TPM 2.0 peut vérifier que le serveur a été démarré avec un code légitime et qu’il peut être approuvé par l’exécution de code suivante. Il s’agit là d’une racine de confiance matérielle qui est utilisée par des fonctionnalités telles que le chiffrement de lecteur BitLocker.

Protection des microprogrammes

Le microprogramme s’exécute avec des privilèges élevés et est souvent invisible pour les solutions antivirus classiques, ce qui a entraîné une augmentation du nombre d’attaques basées sur le microprogramme. Les processeurs de serveur à noyau sécurisé prennent en charge la mesure et la vérification des processus de démarrage avec la technologie DRTM (Dynamic Root of Trust for Measurement) et l’isolation de l’accès du pilote à la mémoire avec la protection de l’accès direct à la mémoire (DMA).

Démarrage sécurisé UEFI

Le démarrage sécurisé UEFI est une norme de sécurité qui protège vos serveurs contre les rootkits malveillants. Le démarrage sécurisé garantit que le serveur démarre uniquement les microprogrammes et logiciels approuvés par le fabricant du matériel. Lorsque le serveur est démarré, le microprogramme vérifie la signature de chaque composant de démarrage, y compris les pilotes du microprogramme et le système d’exploitation. Si les signatures sont valides, le serveur démarre et le microprogramme donne le contrôle au système d’exploitation.

Sécurité basée sur la virtualisation (VBS)

Les serveurs à noyau sécurisé prennent en charge la sécurité basée sur la virtualisation (VBS) et l’intégrité du code appliquée par l’hyperviseur (HVCI). VBS utilise des fonctionnalités de virtualisation matérielle pour créer et isoler une région sécurisée de mémoire du système d’exploitation normal, en assurant une protection contre toute une classe de vulnérabilités utilisée dans les attaques d’exploration de la cryptomonnaie. VBS permet également l’utilisation de Credential Guard, où les informations d’identification de l’utilisateur et les secrets sont stockés dans un conteneur virtuel auquel le système d’exploitation ne peut pas accéder directement.

HVCI utilise VBS pour renforcer de manière significative l’application de la stratégie d’intégrité du code, notamment l’intégrité du mode noyau, qui vérifie tous les fichiers binaires et pilotes en mode noyau dans un environnement virtualisé avant de les démarrer, empêchant ainsi le chargement des fichiers système ou pilotes non signés dans la mémoire système.

La protection des données du noyau (KDP, kernel data protection) fournit une protection en lecture seule de la mémoire du noyau contenant des données non exécutables où les pages mémoire sont protégées par l’hyperviseur. KDP protège les structures clés du runtime Windows Defender System Guard de la falsification.

Connectivité sécurisée

Transport : HTTPS et TLS 1.3 activés par défaut sur Windows Server 2022

Les connexions sécurisées sont au cœur des systèmes interconnectés d’aujourd'hui. Transport Layer Security (TLS) 1.3 est la dernière version du protocole de sécurité le plus déployé sur Internet, qui chiffre les données pour fournir un canal de communication sécurisé entre deux points de terminaison. HTTPS et TLS 1.3 sont désormais activés par défaut sur Windows Server 2022, protégeant ainsi les données des clients qui se connectent au serveur. Ils éliminent les algorithmes de chiffrement obsolètes, améliorent la sécurité par rapport aux anciennes versions, et visent à chiffrer la plus grande partie possible de la négociation. Découvrez-en plus sur les versions prises en charge de TLS ainsi que sur les suites de chiffrement prises en charge.

Même si TLS 1.3 dans la couche de protocole est maintenant activé par défaut, les applications et services doivent également le prendre en charge activement. Pour plus d’informations, consultez la documentation de ces applications et services. Le blog sur la Sécurité Microsoft est plus détaillé dans le billet Taking Transport Layer Security (TLS) to the next level with TLS 1.3.

DNS sécurisé : demandes de résolution de noms DNS chiffrées avec DNS-over-HTTPS

Le client DNS de Windows Server 2022 prend désormais en charge DNS-over-HTTPS (DoH) qui chiffre les requêtes DNS à l'aide du protocole HTTPS. Cela permet d'assurer la confidentialité de votre trafic en empêchant l'écoute clandestine et la manipulation de vos données DNS. Pour plus d'informations, consultez Configurer le client DNS pour utiliser DoH.

Server Message Block (SMB) : chiffrement SMB AES-256 pour les plus soucieux de la sécurité

Windows Server prend désormais en charge les suites de chiffrement AES-256-GCM et AES-256-CCM pour le chiffrement SMB. Windows négocie automatiquement cette méthode de chiffrement plus avancée lors de la connexion à un autre ordinateur qui la prend aussi en charge, et elle peut également être imposée par le biais d'une stratégie de groupe. Windows Server prend toujours en charge AES-128 pour la compatibilité descendante. La signature AES-128-GMAC accélère désormais aussi les performances de signature.

SMB : contrôles de chiffrement SMB est-ouest pour les communications internes aux clusters

Les clusters de basculement Windows Server prennent désormais en charge le contrôle précis du chiffrement et de la signature des communications de stockage intra-nœud pour les volumes partagés de cluster (CSV) et la couche de bus de stockage (SBL). Cela signifie que lorsque vous utilisez les espaces de stockage direct, vous pouvez décider de chiffrer ou de signer les communications est-ouest au sein du cluster lui-même pour une sécurité accrue.

Chiffrement SMB Direct et RDMA

SMB Direct et RDMA fournissent une bande passante élevée ainsi qu’une infrastructure réseau à faible latence pour les charges de travail comme celles relatives aux espaces de stockage direct, aux réplicas de stockage, à Hyper-V, aux serveurs de fichiers avec montée en puissance parallèle et à SQL Server. Dans Windows Server 2022, SMB Direct prend désormais en charge le chiffrement. Auparavant, l’activation du chiffrement SMB désactivait le placement direct des données. Ceci était intentionnel, mais impactait sérieusement les performances. Désormais, les données sont chiffrées avant leur placement, ce qui entraîne une dégradation bien moins importante des performances, tout en ajoutant la confidentialité des paquets protégés par AES-128 et AES-256.

Pour plus d’informations sur le chiffrement SMB, l’accélération de signature, la fonctionnalité RDMA sécurisée et la prise en charge des clusters, consultez Améliorations en matière de sécurité SMB.

SMB sur QUIC

SMB sur QUIC met à jour le protocole SMB 3.1.1 dans Windows Server 2022 Datacenter: Azure Edition et les clients Windows pris en charge pour utiliser le protocole QUIC au lieu de TCP. Lorsqu'ils utilisent SMB sur QUIC avec TLS 1.3, les utilisateurs et les applications disposent d'un accès sécurisé et fiable aux données des serveurs de fichiers Edge exécutés dans Azure. Les utilisateurs mobiles et les télétravailleurs n'ont plus besoin d'un VPN pour accéder à leurs serveurs de fichiers via SMB sous Windows. Pour plus d'informations, consultez la documentation relative à SMB sur QUIC.

Fonctionnalités hybrides Azure

Vous pouvez accroître votre efficacité et votre agilité grâce aux fonctionnalités hybrides intégrées dans Windows Server 2022, et celles-ci vous permettent d'étendre plus facilement que jamais vos centres de données à Azure.

Serveurs Windows avec Azure Arc

Les serveurs avec Azure Arc dotés de Windows Server 2022 permettent de transférer les serveurs Windows locaux et multiclouds vers Azure avec Azure Arc. Cette expérience de gestion a été conçue pour être cohérente avec la façon dont vous gérez les machines virtuelles Azure natives. Quand une machine hybride est connectée à Azure, elle devient une machine connectée et est traitée comme une ressource dans Azure. Pour plus d'informations, consultez la documentation relative aux serveurs avec Azure Arc.

Windows Admin Center

Parmi les améliorations apportées à Windows Admin Center pour gérer Windows Server 2022 figurent des fonctionnalités qui permettent à la fois de signaler l'état actuel des fonctionnalités Secured-core mentionnées ci-dessus et, le cas échéant, d'autoriser les clients à activer ces fonctionnalités. Pour plus d'informations sur ces améliorations ainsi que sur de nombreuses autres améliorations apportées à Windows Admin Center, consultez la documentation relative à Windows Admin Center.

Azure Automanage - Hotpatch

Hotpatch (Mise à jour corrective à chaud), qui fait partie d'Azure Automanage, est pris en charge dans Windows Server 2022 Datacenter: Azure Edition. La mise à jour corrective à chaud est une nouvelle façon d’installer les mises à jour sur les nouvelles machines virtuelles Windows Server Azure Edition, qui ne nécessite pas de redémarrage après l’installation. Pour plus d'informations, consultez la documentation relative à Azure Automanage.

Plateforme d’application

Plusieurs améliorations de plateforme ont été apportées pour les instances de Windows Container, notamment la compatibilité des applications et l'expérience Windows Container avec Kubernetes. L'une des principales améliorations est la réduction de la taille de l'image Windows Container (jusqu'à 40 %), ce qui permet un démarrage 30 % plus rapide et offre de meilleures performances.

De plus, vous pouvez désormais exécuter des applications qui dépendent d'Azure Active Directory avec des comptes de service administré par groupe (gMSA) sans joindre le domaine de l'hôte du conteneur, et les instances de Windows Container prennent maintenant en charge MSDTC (Microsoft Distributed Transaction Control) et MSMQ (Microsoft Message Queuing).

Plusieurs autres améliorations simplifient l'expérience Windows Container avec Kubernetes. Parmi ces améliorations figurent la prise en charge des conteneurs hôte-processus pour la configuration des nœuds, IPv6, et l'implémentation cohérente de la stratégie réseau avec Calico.

Outre les améliorations de plateforme, Windows Admin Center a été mis à jour pour faciliter la conteneurisation des applications .NET. Une fois l'application dans un conteneur, vous pouvez l'héberger sur Azure Container Registry pour ensuite la déployer sur d'autres services Azure, comme Azure Kubernetes Service.

Grâce à la prise en charge des processeurs Intel Ice Lake, Windows Server 2022 prend en charge les applications critiques et à grande échelle, telles que SQL Server, qui nécessitent jusqu'à 48 To de mémoire et 2 048 cœurs logiques exécutés sur 64 sockets physiques. L'informatique confidentielle avec Intel Secured Guard Extension (SGX) sur Intel Ice Lake améliore la sécurité des applications en les isolant les unes des autres avec une mémoire protégée.

Autres fonctionnalités clés

Virtualisation imbriquée pour les processeurs AMD

La virtualisation imbriquée est une fonctionnalité qui vous permet d’exécuter Hyper-V à l’intérieur d’une machine virtuelle (VM) Hyper-V. Windows Server 2022 prend en charge la virtualisation imbriquée à l'aide de processeurs AMD, offrant ainsi plus de choix de matériel pour vos environnements. Pour plus d'informations, consultez la documentation relative à la virtualisation imbriquée.

Navigateur Microsoft Edge

Microsoft Edge est inclus dans Windows Server 2022, en remplacement d'Internet Explorer. Il repose sur Chromium open source et s'appuie sur la sécurité et l'innovation de Microsoft. Il peut être utilisé avec les options d’installation Serveur avec Expérience utilisateur. Pour plus d'informations, consultez la documentation relative à Microsoft Edge Enterprise. Notez que Microsoft Edge, contrairement aux autres fonctionnalités de Windows Server, suit la politique moderne de cycle de vie. Pour plus d'informations, consultez la documentation relative au cycle de vie de Microsoft Edge.

Performances réseau

Améliorations des performances UDP

UDP est en train de devenir un protocole très répandu qui transporte de plus en plus de trafic réseau en raison de la popularité croissante des protocoles de streaming et de jeu (UDP) RTP et personnalisés. Le protocole QUIC, basé sur UDP, mets les performances d’UDP au même niveau que TCP. Point important : Windows Server 2022 comprend le déchargement segmentation UDP (USO). Le déchargement segmentation UDP transfère la majeure partie du travail nécessaire pour envoyer des paquets UDP du processeur vers le matériel spécialisé de la carte réseau. La fonctionnalité UDP RSC (Receive Side Coalescing) vient en complément du déchargement segmentation UDP. Celle-ci permet de fusionner les paquets et de réduire l’utilisation du processeur pour le traitement UDP. En outre, nous avons également apporté plusieurs centaines d’améliorations au chemin des données UDP, aussi bien au niveau de la transmission que de la réception. Windows Server 2022 et Windows 11 disposent tous les deux de cette nouvelle fonctionnalité.

Améliorations des performances de TCP

Windows Server 2022 utilise TCP HyStart++ pour réduire la perte de paquets pendant le démarrage de la connexion (surtout dans les réseaux à haut débit), et RACK pour réduire les délais d’attente de retransmission (RTO). Ces fonctionnalités sont activées par défaut dans la pile de transport, et elles fournissent un flux de données réseau plus régulier, avec de meilleures performances à des débits élevés. Windows Server 2022 et Windows 11 disposent tous les deux de cette nouvelle fonctionnalité.

Améliorations apportées au commutateur virtuel Hyper-V

Dans Hyper-V, les commutateurs virtuels ont été améliorés à l’aide d’une nouvelle fonctionnalité RSC (Receive Segment Coalescing). Celle-ci permet au réseau de l’hyperviseur de fusionner les paquets et de les traiter comme un seul et même segment. Le nombre de cycles processeur est réduit et les segments resteront fusionnés pour l’ensemble du chemin de données, jusqu’à ce qu’ils soient traités par l’application prévue. Cela permet d’améliorer les performances du trafic réseau envoyé par un hôte externe et reçu par une carte réseau virtuelle, ainsi que le trafic envoyé par une carte réseau virtuelle et reçu par une autre carte réseau virtuelle présente sur le même hôte.

Stockage

Service de migration de stockage

Les améliorations apportées au service de migration du stockage dans Windows Server 2022 facilitent la migration du stockage vers Windows Server ou Azure depuis un plus grand nombre d'emplacements sources. Les fonctionnalités disponibles lors de l'exécution de l'orchestrateur du serveur de migration du stockage sur Windows Server 2022 sont les suivantes :

• Migrer des groupes et utilisateurs locaux vers le nouveau serveur
• Migrer le stockage à partir de clusters de basculement, migrer vers des clusters de basculement, et migrer entre des serveurs autonomes et des clusters de basculement
• Migrer le stockage à partir d'un serveur Linux qui utilise Samba
• Synchroniser plus facilement des partages migrés dans Azure à l’aide d’Azure File Sync
• Migrer vers de nouveaux réseaux comme Azure
• Migrer des serveurs CIFS NetApp entre des groupes NetApp FAS et des serveurs et clusters Windows

Vitesse de réparation du stockage réglable

La vitesse de réparation du stockage réglable par l'utilisateur est une nouvelle fonctionnalité des espaces de stockage direct qui offre un meilleur contrôle sur le processus de resynchronisation des données en allouant des ressources pour réparer des copies de données (résilience) ou pour exécuter les charges de travail actives (performances). Cela contribue à améliorer la disponibilité et vous permet de gérer vos clusters de manière plus flexible et plus efficace.

Réparation et resynchronisation plus rapides

La réparation et la resynchronisation du stockage après des événements tels que les redémarrages de nœuds et les défaillances de disque sont maintenant deux fois plus rapides. Les durées des réparations varient moins pour vous permettre de mieux savoir le temps qu’elles vont prendre, ce qui a été accompli en ajoutant plus de précision dans le suivi des données. Cela déplace uniquement les données qui doivent être déplacées et réduit les ressources système utilisées et le temps nécessaire.

Cache de bus de stockage avec espaces de stockage sur des serveurs autonomes

Le cache de bus de stockage est désormais disponible pour les serveurs autonomes. Il améliore considérablement les performances de lecture et d'écriture, tout en maintenant l'efficacité du stockage et en réduisant les coûts opérationnels. À l'instar de son implémentation pour espaces de stockage direct, cette fonctionnalité associe des supports plus rapides (par exemple, NVMe ou SSD) à des supports plus lents (par exemple, HDD) pour créer des niveaux. Une partie du niveau le plus rapide est réservée au cache. Pour plus d'informations, consultez Activer le cache de bus de stockage avec espaces de stockage sur des serveurs autonomes.

Instantanés au niveau du fichier ReFS

Le système ReFS (Resilient File System) de Microsoft offre désormais la possibilité de faire des instantanés de fichiers avec une opération de métadonnées rapide. Les instantanés sont différents du clonage de blocs ReFS en cela que les clones sont accessibles en écriture, tandis que les instantanés sont en lecture seule. Cette fonctionnalité est particulièrement utile dans les scénarios de sauvegarde de machines virtuelles avec les fichiers VHD/VHDX. Les instantanés ReFS sont uniques parce qu’ils prennent le même temps, quelle que soit la taille des fichiers. La prise en charge des instantanés est disponible dans ReFSUtil ou en tant qu’API.

Compression SMB

L'amélioration de SMB sur Windows Server 2022 et Windows 11 permet à un utilisateur ou à une application de compresser les fichiers lors de leur transfert sur le réseau. Les utilisateurs n'ont plus à compresser manuellement les fichiers afin de les transférer plus rapidement sur les réseaux lents ou encombrés. Pour plus d'informations, consultez Compression SMB.

Nombre: 1 Licence

Langue: Français