Je Windows Server 2019 pro vás to pravé?

Už nějaký ten měsíc je tady s námi Windows Server 2019, který se oproti svému předchůdci Windows Serveru 2016 zase o něco vylepšil. V článku budou představeny nové funkce a uveden detailnější popis zlepšeného zabezpečení.

windows server 2019        bezpečnost         cloudové služby        HCI

Co nového přináší Windows Server 2019

Vylepšení se dotklo zejména čtyř hlavních oblastí: hybridní cloud, bezpečnost, aplikační platforma a Hyper-Converged infrastruktura (HCI). V případě hybridního cloudu jde o větší a lepší propojení s cloudovými službami Microsoft Azure. Z pohledu bezpečnosti existuje nyní možnost implementovat více vrstev zabezpečení infrastruktury, takže jsou lépe chráněny interní prostředky organizací. Aplikační platforma doznala zlepšení v kontejnerech a síťové vrstvě. U HCI byly zlepšeny především možnosti pro Storage Spaces Direct, Storage repliku a Failover Clustering. Nově jsou také rozšířené možnosti správy systému pomocí Windows Admin Center, který by se měl stát centrálním bodem správy serverů organizací. Všechny uvedené oblasti jsou popisovány pro Long-Term Servicing Channel (LTSC) variantu operačního systému. Jde o tradiční verzi operačního systému, která nabízí novou verzi každé dva až tři roky, má standardní pětiletou podporu a dalších pět let rozšířenou podporu.

Stále těsnější propojení s cloudem

Hybridní cloud je dnes velmi častým pojmem, který znamená propojování lokálně provozovaných serverů s cloudem, a umožňuje tak přípravu dříve nemyslitelných scénářů. Windows Server 2019 přinesl těsnější propojení s Microsoft Azure, než tomu bylo v dřívější verzi systému Windows Server. Níže jsou v krátkosti uvedeny ty nejdůležitější hybridní funkce, které jsou nyní k dispozici.

Azure Site Recovery

Site Recovery jednoduše průběžně provádí zálohy disků virtuálních počítačů do Azure, aby se v případě výpadků nebo havárie v místním datacentru provedl failover, tedy spuštění virtuálních počítačů v Azure, které následně zajistí dostupnost vaší kritické infrastruktury.

Azure Backup

Microsoft Azure Recovery Services (MARS) umožní zálohovat soubory nebo system state zálohy lokálních serverů přímo do Azure. Stejně tak můžete zálohovat virtuální počítače (Hyper-V a VMware) z Data Protection Manageru (DPM) nebo Azure Backup Serveru (MABS). Uživatel neřeší prostor, nenakupuje páskové mechaniky, zálohy jsou „off-site“ a chráněny před smazáním nebo zašifrování ransomwarem.

Azure File Sync

Lokální souborový server lze přenastavit do režimu jakési místní mezipaměti, kdy se veškerá data ukládají a synchronizují do Azure. Azure pak obsahuje veškerá data, která je možné dále synchronizovat napříč několika dalšími Windows Servery a Azure Storage účtem. Zálohování je řešeno přímo v Azure a uživatel má opět o starost méně. Lokální souborový server pak může obsahovat pouze často používaná data, zbytek je pro případ potřeby k dispozici v cloudu.

Cloud witness

Pro Failover Cluster v datacentru, které organizace užívá, můžete využít Azure Storage Account, který nahradí dříve požadovaný „witness disk“ nebo „file share witness“. Tuto možnost ocení uživatelé obzvláště při využívání Multi-Site clusterů, kdy opět odpadají starosti se zajištěním dostupnosti witness disků z více odlehlých lokalit. Nastaveno za pár minut.

Azure Network Adapter

Azure Network Adapter je nové rozšíření Windows Admin Centra, které umožní snadno a během pár minut propojit místní server do Azure pomocí Point-to-Site VPN spojení. Pokud není potřeba propojit celou místní síť (nebo její část) a spojení je potřeba jen pro několik málo serverů, opět se může jednat o výhodnou konfiguraci, která funguje během jednoho odpoledne.

Nástroje pro správu z Microsoft Azure

Azure Monitor a Azure AD Connect Health Agent

Azure Monitor umožňuje odesílání protokolů/logů (nejen) z Windows Serverů a virtuálních počítačů do úložiště Log Analytics. Konsolidovaná data je pak možné prohledávat, vyhodnocovat nebo na ně adekvátně reagovat. Pro různé role serverů jsou k dispozici také agenti, díky kterým lze získat mnoho užitečných informací o vytížení, aktuálním stavu, statistikách ověřování nebo třeba e-mailové notifikace v případě detekovaných problémů, např. pro stávající AD FS (Federation Services) nebo řadiče domény. K dispozici je také agent pro zvýšenou ochranu hesel. Je-li třeba zablokovat používání některých slov nebo kombinací při změně hesel doménových uživatelů namísto programování a registrování vlastních DLL knihoven, tak se tyto kombinace jednoduše přidají do seznamu v Azure. Doménové řadiče totiž respektují politiku hesel definovanou v konfiguraci Azure tenanta.

Azure Update management

Další možností, jak centrálně konfigurovat a získat přehledy o dostupných nebo nainstalovaných aktualizacích operačního systému, je zahrnutí lokálních serverů do Azure Update managementu. Konfigurace aktualizací pro skupiny serverů, přehledy o chybějících aktualizacích a další statistiky jsou opět k dispozici na Azure portálu v přehledném zobrazení.

Zabezpečení systému v několika vrstvách

V dnešní době narůstajícího počtu kybernetických útoků (a jejich sofistikovanosti) je bezpečnostní ochrana absolutní nutností. Množství útoků a možnosti je uskutečňovat jsou způsobeny i rychlým vývojem technologií, které nemusejí být vždy úplně dokonalé a mají zranitelná místa, která hackeři postupně objevují a zneužívají. V IT světě je dnes úroveň zabezpečení nutno maximalizovat prakticky v každé oblasti – virtuální servery, síťový provoz, cloudové služby a mnoho dalších. Samozřejmě nesmíme zapomínat na social engineering, kde jsou tím nejzranitelnějším místem právě sami zaměstnanci firem. Windows Server 2019 přináší organizacím už ve svém základu robustní ochranu, kterou je možno rozšířit o další vrstvy zabezpečení. V každém případě se vždy jedná o kompromis mezi totálním zabezpečením a určitou mírou komfortu používání systému.

SMBv1 minulostí

Všichni určitě znáte nejrozsáhlejší ransomware WannaCry, který postihl mnoho firem a způsobil obrovské finanční škody. Využíval zranitelnosti SMB protokolu ve verzi 1 pro sdílení souborů a tiskáren mezi počítači. Nyní je možné být z tohoto pohledu trošku klidnější, protože ve Windows Server 2019 je tento protokol defaultně odebrán a není možné využít jeho slabin. U starších systémů je nutné nainstalovat patřičné updaty, aby byl protokol SMB1 deaktivován a nebylo možné jej použít.

Ochrana virtuálních strojů

Pro lepší představu je uveden tento scénář: útočník získá pomocí útoku „pass-the-hash“ administrátorské přihlašovací údaje pro virtuální servery. Nyní má plnou kontrolu nad virtuálním prostředím organizace a servery, kde může vložit škodlivý kód a server přeinstalovat přímo v datacentru, může ho také přenést na vzdálené úložiště a bez problému spustit a zneužít firemní data. S administrátorským přístupem jednoduše dokáže napáchat spoustu škody. Proti zneužití virtuálních strojů běžících na Hyper-V ochrání vylepšená funkce Shielded Virtual Machines a Guarded Fabric (chráněné virtuální stroje a chráněná infrastruktura). Ve chvíli, kdy uživatel vytvoří chráněný virtuální server na chráněné infrastruktuře, je Hyper-V host a samotný virtuální stroj chráněný službou Host Guardian. Tato služba poskytuje dva základní prvky ochrany – Attestation a Key Protection.

Attestation zabezpečuje spouštění chráněných virtuálních strojů pouze ověřenými Hyper-V servery, Key Protection poskytuje klíče, které jsou potřeba pro zapnutí daných virtuálních strojů a pro jejich migraci na jiné chráněné Hyper-V hosty. Vylepšením této verze operačního systému je, že lze chráněný virtuální server nastartovat, i když není Host Guardian služba k dispozici (jedná se o službu hlídající integritu zabezpečení), a to díky offline módu, který využívá uložení klíče v mezipaměti. Předpokladem však je, že chráněný server byl už alespoň jednou spuštěn při běžící službě Host Guardian a nijak se nezměnila bezpečnostní nastavení Hyper-V serveru, na kterém běží. Obrázek níže popisuje princip této ochrany.

Nově lze provozovat také Linux systémy (Ubuntu, Red Hat Enterprise Linux a SUSE Linux Enterprise Server) jako chráněné virtuální stroje. Menšího zlepšení doznaly i nástroje pro řešení problémů s chráněnými stroji, konkrétně Power- Shell Direct a VMConnect Enhanced Session Mode. Díky těmto nástrojům se lze připojit z Hyper-V serveru přímo na virtuální stroje, které nemají síťovou konektivitu.

Vylepšená ochrana proti hrozbám

Další inovací v oblasti zabezpečení je podpora Microsoft Defender for Endpoint (MDE) služby, což je podniková bezpečnostní platforma, která pomáhá předcházet pokročilým hrozbám na různých úrovních IT systémů, detekuje je a reaguje. Dříve bylo možné tuto službu využívat pouze pro Windows 10, nyní je však dostupná nativně i pro Windows Server 2019. Součástí MDE je nový Exploit Guard, který se skládá ze čtyř komponent uvedených níže. Ty jsou navrženy k ochraně zařízení před různými druhy útoků a k odhalení nezvyklého chování systému, aby tak včas zastavily napadení malwarem. Samozřejmostí je vyvážení mezi bezpečnostním rizikem a pohodlným užíváním systému.

• Attack Surface Reduction (ASR) – jedná se o sadu ovládacích prvků, které mohou podniky použít pro zabránění průniku malwaru do serveru pomocí blokace podezřele škodlivých souborů (např. soubory ze sady Office), skriptů, ransomware chování a hrozeb pocházejících z e-mailů.
• Síťová ochrana – ochrana koncového serveru před hrozbami z webu. Windows Defender SmartScreen dokáže blokovat veškerou odchozí i příchozí komunikaci procesů na nedůvěryhodné počítače nebo IP adresy.
• Kontrola přístupu ke složkám – ochrana dat před ransomwarem je dnes tím nejdůležitějším faktorem. Tato komponenta ATP blokuje nedůvěryhodné procesy snažící se přistupovat k vašim datům, které díky tomu zůstanou v bezpečí.
• Ochrana zneužití – jedná se o sadu nastavení, která zmírňuje možnost zneužití ještě neznámé zranitelnosti (nahrazuje již nepodporovaný EMET). Chrání jak samotný systém, tak i aplikace.

Všechny výše zmíněné komponenty lze konfigurovat přes integrovanou aplikaci Windows Security nebo skupinové politiky v Active Directory. Při úvaze o správě zabezpečení z centrálního bodu je pak nutností mít předplatné pro Microsoft Defender Security Center, díky kterému uživatel získává automaticky přehled o všech bezpečnostních rizicích v jedné webové konzoli.

Síťová bezpečnost

Krok vpřed k lepší bezpečnosti zaznamenala i síťová komunikace, konkrétně Softwarově definovaná síť v systému Windows Server 2019 (Software Defined Network, SDN). Jedná se o několik nových vlastností, např. šifrování virtuální sítě umožňující šifrování provozu mezi virtuálními stroji, které spolu komunikují v rámci podsítí označených jako „Encryption Enabled“. K šifrování paketů využívá zabezpečení DPLS (Datagram Transport Layer Security) ve virtuální podsíti. DTLS chrání před odposloucháváním, manipulací a paděláním prostřednictvím toho, kdo má přístup k fyzické síti. Další novou vlastností SDN je auditování firewallu. Jakmile se zapne, začne se veškerý provoz proudící přes SDN firewall, který má zapnuté auditování, zaznamenávat a ukládat. Síťovou novinkou je také Virtual Network Peering (sdružování virtuálních sítí), tato funkce vám dovolí jednoduše propojit dvě virtuální sítě, které se poté budou tvářit jako jednotná síť. Komunikace mezi virtuálními stroji ve spárovaných sítích probíhá přes páteřní sít pouze pomocí privátních IP adres. Výhodou tohoto spárování je nízká latence mezi koncovými body.

Aplikační bezpečnost

V rámci bezpečnosti je důležité také chránit infrastrukturu proti škodlivým aplikacím. S tímto problémem může pomoci Windows Defender Application Control (WDAC) a AppLocker. WDAC pomáhá zmírňovat bezpečnostní hrozby tím, že dovoluje uživatelům spouštět jen schválené aplikace nebo kód běžící v kernelu systému, je schopen blokovat nepodepsané skripty, MSI soubory a Windows PowerShell kód, který by mohl běžet v režimu omezeného jazyka. Nastavuje se pomocí skupinových politik nebo přes Microsoft Endpoint Configuration Manager konzoli. AppLocker funguje na podobném principu jako WDAC, jen má k dispozici detailnější sadu nastavení. Obsahuje nové funkce, které vám umožní vytvářet pravidla, jež povolují nebo zakazují spouštění aplikací na základě jedinečných identit souborů a určují, kteří uživatelé nebo skupiny mohou tyto aplikace spouštět.

Hlavní rozdíl mezi WDAC a AppLockerem je v typu nasazení, WDAC se hodí pro plošná nasazení, kde se plánuje kontrola aplikací především kvůli celkové bezpečnosti a v prostředí je jednotný operační systém. AppLocker se naopak hodí tam, kde je potřeba aplikovat různé nastavení na více druhů skupin uživatelů s různými operačními systémy nebo tam, kde není potřeba vynucovat aplikační kontrolu na DLL souborech či ovladačích pro operační systém.

Vylepšení aplikační platformy – kontejnery

Základem moderních aplikací jsou dnes stále častěji kontejnery. Jedná se o jakési výpočetní jednotky, které je možné snadno přenášet mezi cloudy, datovými centry a velice rychle je škálovat podle aktuální potřeby. Kontejnery jsou izolovány od operačního systému i od ostatních kontejnerů a zároveň si vystačí s omezenějšími prostředky, než by bylo potřeba pro provoz virtuálních počítačů.

Integrovaná podpora pro Kubernetes

Windows Server 2019 pokračuje ve vylepšení výpočetních, síťových a úložných systémů ze Semi-Annual Channel verzí, které jsou potřebné pro podporu Kubernetes ve Windows.

• Container Networking výrazně zlepšuje použitelnost Kubernetes ve Windows, a to díky větší odolnosti síťové platformy včetně podpory síťových pluginů v kontejneru.
• Zdroje nasazené v Kubernetes nyní využívají integrované nástroje, pomocí kterých zabezpečují síť, a chrání tak systém a služby operačních systémů Linux i Windows.

Lepší práce s kontejnery

• Vylepšená integrovaná identita – integrované ověřování systému Windows v kontejnerech je nyní jednodušší a spolehlivější, a to díky vyřešení několika omezení, která se vyskytovala v předchozích verzích operačního systému.
• Lepší kompatibilita aplikací – kontejnerizace Windows aplikací je také jednodušší. Byla zvýšena aplikační kompatibilita pro stávající image windows server core. Aplikace, které případně vyžadují další API závislosti, mají nyní k dispozici třetí základní image – windows.
• Snížená velikost a vyšší výkon – pro kontejner byla zmenšena velikost stahovaného image a místo na disku, byl také zlepšen čas potřebný pro start. Celkově je nyní práce s kontejnery svižnější.

Hyper-Converged Infrastruktura – HCI

Tajemná zkratka HCI budí v nejednom zákazníkovi smíšené emoce a otázky. Jedná se o síťové propojení fyzických serverů v jednom racku, přičemž každý z těchto serverů obsahuje jak výpočetní výkon (RAM, CPU), tak navíc i disky pro data. Disky mohou být v různých variantách a hybridních scénářích (SSD+HDD, NVMe+HDD) nebo tzv. All-Flash řešení, které obsahuje pouze SSD/NVMe disky. Díky diskům umístěným v serverech není nutné mít separovaný box s disky (SAN), který je většinou finančně náročný. Řešení lze provozovat již od dvou serverů a díky tomu je vhodné i pro menší firmy nebo pobočky velkých firem.

Storage Spaces Direct

HCI je založeno na technologii Storage Spaces Direct (S2D), kterou společnost Microsoft v posledních letech neustále vyvíjí. S každou aktualizací přichází zlepšení a nové funkce. Windows Server 2019 přináší pro S2D následující novinky.

Deduplikace a komprese pro ReFS svazky

Díky deduplikaci a kompresi dat na souborovém systému ReFS je možné nyní na disky uložit až desetkrát více dat.

Úložiště bloků s proměnnou velikostí a volitelnou kompresí maximalizuje míru úspor, zatímco architektura více vláknového zpracování zajišťuje minimální dopad na výkon. Nově podpora svazků až 64 TB a deduplikace prvních 4 TB každého souboru.

Nativní podpora pro persistentní paměti

Nově mohou být servery osazeny persistentními paměťovými moduly Intel Optane DC PM a NVDIMM-N. Tento typ paměti je využíván jako mezipaměť pro zvýšení výkonu aplikace a snížení latence až na řády mikro sekund. Tato paměť udrží data i při výpadku energie a vypnutí systému, což znamená, že je chápána i jako úložiště dat/disk. Jde o nejrychlejší typ úložiště podporovaný S2D.

Nested resiliency (vnořená odolnost) pro HCI cluster se dvěma servery

Dokáže odolat dvěma různým chybám hardwaru zároveň, a to díky zcela nové možnosti softwarově definovaného řešení RAID 5+1. Pomocí vnořené odolnosti může dvouuzlový cluster Storage Spaces Direct poskytnout neustále přístupné úložiště pro aplikace a virtuální počítače i v případě, kdy jeden server selže a zároveň selže disk v druhém serveru.

USB disk jako witness

Pro řešení clusteru se dvěma servery je nyní možnost využití USB disku pro witness. Stačí ho připojit do síťového zařízení (např. routeru). V případě pádu jednoho ze dvou serverů a obnovení serveru zpět dokáže USB jednotka říct, který server má nejaktuálnější data, a ta jsou poté synchronizována.

Historie výkonu – Windows Admin Center

Snadný přehled o využití zdrojů a výkonu díky vestavěné historii. K dispozici je více než 50 základních parametrů zahrnujících sledování výkonu procesoru, paměti, sítě a úložiště, které se automaticky shromažďují a ukládají v clusteru po dobu až jednoho roku. Není potřeba nic instalovat nebo spouštět – vše je nakonfigurováno automaticky. Vizualizaci výkonnostních dat si lze prohlédnout ve Windows Admin Centru, kde jsou již předem připravené grafy a přehledy pro monitoring.

Cluster-Aware Updating

Nově integrovaná automatická aktualizace operačních systémů serverů v clusteru pro S2D. Není potřeba manuálně updatovat jeden server po druhém a čekat na synchronizaci úložiště, než se může začít s dalším. Po nakonfigurování této funkce spolu s Windows Update Serverem lze spustit aktualizaci zcela automaticky, pak stačí už pouze sledovat její průběh.

Replikace úložiště (Storage Replica)

Replikace úložiště je technologie systému Windows Server, která umožňuje replikovat vybrané nebo všechny disky mezi servery či clustery, které jsou provozovány v různých lokalitách. Tato funkce umožňuje rychlou obnovu dat a systémů po havárii, která se může týkat jednoho racku se servery nebo celého datacentra. Jsou podporovány dva typy synchronizace:

• Synchronní replikace – replikuje data do jiných lokalit, které jsou propojeny sítí s nízkou latencí (do 5 ms). Zaručuje konzistentní stav dat v obou lokalitách, což umožňuje prakticky nulovou ztrátu dat při havárii.
• Asynchronní replikace – replikuje data na pomalejších sítích (nad 5 ms). Zaručuje identické kopie dat v obou lokalitách při havárii, nicméně již hrozí menší ztráta dat kvůli zpožděné replikaci.

Nově lze replikaci úložiště použít i ve Standard edici operačního systému, bohužel s určitými omezeními – lze replikovat pouze jeden svazek/disk a jeho velikost nesmí překročit 2 TB. Zlepšení zaznamenal replikační log, který pracuje na velmi nízké latenci na All-Flash úložištích a také se Storage Spaces Direct při replikaci mezi clustery. Novinkou v této oblasti je Test Failover, kdy je možné dočasně připojit obraz replikovaného disku na cílovém serveru nebo clusteru a podívat se na replikovaná data – jsou však dostupná pouze pro čtení.

Failover Clustering

Tato funkcionalita je v systémech Windows Server už odpradávna, nicméně s každou novou verzí systému přicházejí také zlepšení v oblasti zabezpečení a výkonu tohoto řešení. Velkou novinkou je představení tzv. Cluster Sets – jedná se o možnost rozšíření počtu a kapacity serverů v softwarově definovaném datacentru nad standardní limity clusteru. Ve své podstatě jde o seskupení několika clusterů, díky tomu je možné celkově navýšit kapacitu paměti a úložiště, které je nakonfigurováno jako sdílené pomocí role Scale-Out File Server. Získává se tím možnost online migrace mezi clustery v rámci jednoho cluster setu.

Jak přejít na Windows Server 2019

Podobně jako u předchozích verzí Windows Serveru je možné přejít na verzi 2019 následujícími cestami:

• Čistá instalace – tradiční a nejčastěji doporučovaný způsob. V případě instalace na fyzický server je pochopitelně nutné zálohovat data a konfigurace aplikací, aby bylo možné je následně obnovit a zprovoznit původní služby se stejnými nastaveními.
• In-place upgrade – pokud má organizace stávající hardware a instalaci Windows Server 2012 R2, lze provést přímou aktualizaci na Windows Server 2019. Nastavení systému a instalované role budou zachovány, ale je potřeba být připraven na případné řešení problémů s možnými dalšími aplikacemi, které po aktualizaci mohou, ale nemusejí fungovat správně.
• Migrace – některé role a služby mohou být snadno přesunuty ze starších verzí na Windows Server 2019. Lze využít např. „Storage Migration Service“ pro snadný přesun souborových serverů do Azure nebo na nový Windows Server 2019, stejně tak můžete migrovat tiskové služby, AD FS farmu a další.
• Cluster OS rolling upgrade – tento způsob vám umožní postupně aktualizovat jednotlivé servery Hyper-V clusterů s minimálními dopady na běžící virtuální počítače.

Závěr

Windows Server 2019 je rozhodně první volbou, pokud s tímto operačním systémem zákazník začíná pracovat nebo buduje infrastrukturu. Používá-li zákazník starší verze serverových operačních systémů, tak rozhodně stojí za to uvažovat o upgrade. Článek se soustřeďuje zejména na novinky a zlepšení systému, které by uživatelům a organizacím mohly pomoci k budování bezpečných a stabilních on-premise a hybridních infrastrukturních řešení.

Oldřich Šrubař
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Jan Žák
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Použité zdroje:

[ 1 ] Oficiální dokumentace Microsoft – Co je nového ve Windows Server 2019? https://docs.microsoft.com/cs-cz/windows-server/get-started-19/whats-new-19

[ 2 ] Oficiální produktová stránka Microsoft Windows Server – https://www.microsoft.com/cs-cz/windows-server

[ 3 ] Microsoft Docs – Plánování a nasazení místní Azure Active Directory ochrany heslem https://docs.microsoft.com/cs-cz/azure/active-directory/authentication/howto-password-ban-bad-on-premises-deploy

[ 4 ] Microsoft Docs – Cluster Sety – https://docs.microsoft.com/en-us/windows-server/storage/storage-spaces/cluster-sets

[ 5 ] Microsoft Tech Community (Online komunitní centrum pro spolupráci a sdílení zkušeností mezi Microsoft experty) – Proč používat chráněné VM pro řešení privilegovaného přístup ke stanicím? https://techcommunity.microsoft.com/t5/data-center-security/why-use-shielded-vms-for-your-privileged-access-workstation-paw/ba-p/372282

[ 6 ] Microsoft Docs – Přehled nasazení pro Update Management https://docs.microsoft.com/en-us/azure/automation/update-management/view-update-assessments