Myslíme aj za zákazníka.

Myslíme aj za zákazníka.

Windows Server 2016 – novinky I.

Spoločnosť Microsoft po niekoľkých rokoch vývoja a verejného testovania (prvú testovaciu verziu vydali 1. októbra 2014) oznámila 26. septembra 2016 na konferencii Microsoft Ignite ďalšiu verziu svojho operačného systému pre servery – Windows Server 2016 s verejnou dostupnosťou od 15. októbra 2016. Keďže sa jedná o podobný technologický skok, ako sa udial pri príchode Windows Server 2012, radi by sme Vám predstavili niekoľko hlavných noviniek v tomto systéme.

Windows Server 2016 – novinky I.

Dátum: 31.10.2016

Licencovanie

Rovnako ako predchádzajúca verzia je Windows Server 2016 ponúkaný v niekoľkých základných edíciách:

  • Essentials – pre zákazníkov do 25 používateľov a 50 zariadení.
  • Standard – pre zákazníkov s malou hustotou virtualizácie (malým počtom virtuálnych serverov) resp. bez virtualizácie. Stále je možné prevádzkovať dve OS prostredia (OSE), ale zároveň dochádza k obmedzeniu používania nových funkcionalít.
  • Datacenter – pre prostredia s vysokou hustotou virtualizácie, keďže je možné prevádzkovať neobmedzený počet OS prostredí (OSE). Len pre túto edíciu sú prístupné nové funkcionality:
    •  kryptované virtuálne stroje (shielded virtual machine)
    •  storage spaces direct
    •  storage replica
    •  softvérovo definované siete

Najdôležitejšia a pre zákazníkov nepríjemná zmena nastala v spôsobe licencovania edícií Standard a Datacenter. Pri týchto edíciách pristúpila spoločnosť Microsoft k zmene. Nelicencuje sa už počet fyzických pätíc procesora, ale licencujú sa fyzické jadrá všetkých procesorov v danom systéme. Pre jeden systém je potrebné zakúpiť minimálne 16 ks licencie pre jadro (core license) danej edície, s tým, že každý fyzický procesor musí mať zalicencovaných minimálne 8 ks licencie pre jadro. Napríklad zákazník musí zalicencovať všetky jadrá v dvojprocesorovom systéme, minimálne však 16 ks pre celý takýto systém. Keďže sa tieto edície predávajú v balíkoch po 2ks licencie pre jadro, je potrebné pre každý systém zakúpiť minimálne 8 ks týchto balíkov.

Bezpečnosť

V súčasnej dobe sú na spoločnosti realizované útoky zamerané buď na ich dáta (vlády, konkurencia) alebo za účelom poškodenia dobrého mena resp. znemožnenie prevádzky (ransomware). Tieto útoky sú realizované prevažne cez kompromitáciu prístupov alebo zneužitie neopravených chýb v daných systémoch. Najcitlivejšie a potencionálne najnebezpečnejšie sú prístupy administrátorov, kde v prípade kompromitácie účtu získa útočník prístup do celého prostredia. Spoločnosť Microsoft v novej verzii svojich operačných systémov zaviedla bezpečnostné opatrenia, ktoré si v skratke predstavíme. Začnime vývojom aplikácii. Pre nové verzie aplikácií je možné použiť Control Flow Guard.

Je to nová vlastnosť Windows Servera, ktorá zabraňuje zneužitiu chýb, ako napríklad pretečenie zásobníka, nasadením prísnych obmedzení na oblasti pamäte, z ktorých môže aplikácia spúšťať vykonávaný kód. Jedná sa o rozšírenie technológii ako je /GS, DEP a ASLR. Prejdime na aktívne ochrany, ktoré má Windows Server 2016 integrované:

  • Device Guard je kombinácia hardvérových a softvérových bezpečnostných vlastností, ktoré uzamknú dané zariadenie tak, že umožní spustenie a prevádzku len dôveryhodným aplikáciám definovaných v integritných politikách.

  • Credential Guard používa virtualizáciu (kvôli izolácii od zvyšného OS) a bezpečnostné vlastnosti OS (Secure Boot) na izolovanie a ochranu prístupových údajov (NTLM password hashes, Kerberos Ticket Granting Tickets a doménové prístupové údaje) v takzvanej izolovanej LSA. V predchádzajúcich verziách boli tieto prístupové údaje uložené v pamäti procesu Local Security Authority (LSA) a po získaní prístupu na server boli ľahko získateľné. Vo Windows Serveri 2016 proces LSA slúži len na komunikáciu s izolovaným LSA.

  • Windows Defender, ktorý slúži na ochranu proti známym malware-om, je štandardné zapnutý.

Časť o bezpečnosti zakončíme dvoma spôsobmi ako zabezpečiť obmedzenie administrátorských práv na potrebné časy (Privileged Access Management) a na presne potrebné úkony (Just Enough Administration).

Privileged Access Management (PAM) je nová funkčnosť v AD DS a v Microsoft Identity Manager-i (MIM). PAM oddeľuje účty s privilegovaným prístupom od existujúceho AD prostredia. Ak má byt privilegovaný účet použitý, musí byť o toto použitie požiadané (MIM portál, REST API alebo PowerShell) a musí byť schválené. Schválené povolenie je časovo obmedzené a zároveň auditované.

Just Enough Administration (JAE) je sada nástrojov pre PowerShell, ktorá definuje zoznam príkazov pre privilegované prístupy a koncové zariadenia, na ktorých má administrátor práva tieto príkazy využiť.

Radi by sme v tejto časti zmienili produkt, ktorý síce nie je novinkou vo Windows Server 2016, ale dopĺňa vyššie spomenuté vlastnosti OS. Jedná sa o produkt Microsoft Advanced Threat Analytics. Tento produkt odhaľuje sofistikované útoky pomocou analýzy správania a strojového učenia. Dokáže odhaliť neštandardné správania užívateľa, známe útoky (Pass-the-Ticket, Pass-the-Hash, Overpass-the-Hash, Forged PAC, Remote execution, Golden Ticket, Skeleton key malware a podobne) a konfiguračné problémy. 

V rámci bezpečnosti spoločnosť Microsoft priniesla aj ďalšiu novinku - kryptované virtuálne stroje. Tej sa budeme venovať v ďalšej časti nášho oboznámenia sa s novinkami vo Windows Server 2016.

 


Prečítajte si tiež: 

Windows Server 2016 – novinky II.