Windows Server 2019中的十大安全改進

此新版本的Windows Server提供了許多對Windows Server 2016版本的大量安全增強功能，包括用於監視勒索軟件和其他惡意軟件的工具，並監視局部攻擊。被利用。

Windows Server 2019“加入” Windows 10 1809，通過為服務器管理員添加一些非常有用的Windows安全增強功能。 Windows Server 2019帶有桌面體驗選項是Windows Server系列的下一個長期服務分支（LTSB）版本。對於那些在沒有GUI（用戶界面）的服務器上工作的那些不舒服的人，這將是Windows Server的版本，應該選擇作為遠程桌面服務器和Exchange 2019的基礎。

那些熟悉Windows Server 2016的人會發現Windows Server 2019非常熟悉。但是，不僅如此，一些安全性增強功能還使Windows Server 2019成為首選選擇。這是對安全功能或管理功能的最重要改進，這些功能將使與安全有關的任務變得更加簡單。

升級到位

與Windows 10平台不同，您需要一個許可證才能從Windows Server 2016升級到Windows Server 2019。完全支持了從Windows Server 2016遷移到Windows Server 2019，除了Essential Essentials不再包含在Windows Server 2019中。

安全修復

Windows Server 2019和Server具有桌面體驗選項，該選項也可以接收到Windows Server 2016之類的安全修復程序。但是，Windows 10台式機收到的每半年都不會收到定期功能。相反，它會每月獲得安全修復。 Windows Server Core還發布了一個沒有圖形接口的選項，每六個月都會收到計劃更新。您應該將服務器核心與新的Windows管理中心配對以管理服務器。

.NET更新

與Windows 10 1809一起，Windows Server 2019將收到其.NET更新作為單獨的軟件包，可以獨立於Windows操作系統安裝或刪除。正如.NET博客上指出的那樣，它為用戶提供了安裝.NET框架更新的靈活性，並允許Microsoft通過修復程序更好地滿足客戶的關鍵需求。網絡框架是獨立的。您可以選擇，然後檢查並安裝獨立的.NET更新，以確保與Exchange 2019或其他企業應用程序流的兼容性。

高級威脅保護（ATP）

另一個新功能是高級威脅保護 - ATP，該功能最初出現在Windows 10上，目前正在移植到Windows Server平台。通過添加Azure安全中心許可證，用戶現在可以監視攻擊者和操作以擴展服務器上的攻擊範圍。監視並記錄大量攻擊和使用PowerShell訪問系統的訪問。

Windows Defender ATP利用後衛

那些部署Windows 10的人可能熟悉Windows Defender ATP為操作系統帶來的安全改進。在Windows Server 2019上，服務器入侵預防已添加到服務器中。 Windows Defender利用後衛的任務是“鎖定”設備以對抗各種向量攻擊。

1. 攻擊表面降低（ASR）是通過阻止可疑的惡意文件（專門創建了專門製作的辦公室文件）來防止惡意軟件進入計算機的一系列控制動作。 ，腳本，範圍擴展，勒索軟件和威脅通過電子郵件。
2. 網絡保護添加端點保護，通過通過Windows Defender SmartScreen阻止將數據從設備發送到服務器或不信任的IP地址的任何過程來避免基於Web的威脅。
3. 勒索軟件保護由Access文件夾訪問提供，該工具通過阻止訪問受保護文件夾使用的不可靠流程來保護敏感數據免受勒索軟件的軟件。可以對此進行編輯和調整以添加用戶想要保護的文件夾。
4. 利用保護是一組最小化漏洞的剝削的動作，可以配置以保護您的系統和應用程序。這取代了不再使用的增強緩解體驗工具包（EMET）。
5. 代碼完整性策略在Windows Server 2016中發布的很難實現，因此Windows Defender應用程序控制現在包括默認代碼完整性，允許SQL Server之類的應用程序阻止已知的可執行文件。

改善了軟件定義網絡的安全性

在Windows Server 2019中，已改進了軟件定義的網絡，以創建與Azure Network Watcher相同的分類格式的防火牆記錄。 Hyper-V服務器會創建日誌，然後可以使用許多支持日誌文件格式的工具來分析。 Windows Server 2019通過將訪問控制列表應用於連接到虛擬子網和其他結構的虛擬機（VMS）來集成鎖定Windows Server 2016虛擬網絡安全性的能力。 Windows Server 2019允許您通過將ACL添加到適當的子網中來限制訪問。使用Windows Server 2019，您可以使用虛擬網絡加密來防止數據轉發時盜竊和數據欺詐。

屏蔽VM的改進

使用屏蔽的VM（受保護的虛擬機）設置安全的分支機構時，您可以通過設置主機監護服務來備份和處理，確保您不會失去對主機監護服務的訪問。離線水平。這樣可以確保您可以設置第二個URL組作為Hyper-V服務器的備份，如果主要主機監護人服務無法訪問，則可以嘗試。

Windows Server 2019增加了對VMConnect增強式會話模式的支持，並且PowerShell Direct Direct可以更輕鬆地對受保護的虛擬機進行故障排除。當在運行Windows Server 2019或Windows Server版本1803或更高版本的Hyper-V服務器上保護虛擬機時，這些功能會自動激活（Windows Server 2019帶有台式機體驗選項或Windows Server Core）。

Linux支持

在Azure中，Linux是最常用的平台。 Windows Server 2019完全支持Ubuntu，Red Hat Enterprise Linux和Suse Linux Enterprise Server在受保護的虛擬機內部。 Microsoft正在將其開發為Linux保護工具，而不是競爭對手。最近，Microsoft加入了開放發明網絡（OIN），該網絡致力於保護Linux和其他開源軟件程序免受專利相關風險的影響。通過參與該項目，微軟允許Linux社區使用60,000個免費專利，而無需訴訟風險。

改進的HTTP / 2

Windows Server 2019中包含的改進是使網站更快，更安全的改進。 HTTP / 2比現有的HTTP技術有很大的改進。改進包括更好的服務器端編碼器，這些編碼器有助於最大程度地減少自動連接問題。在用戶環境中部署這些新應用程序也更容易。

HTTP / 2共享一個與同一站點的多個請求共享一個TCP連接。在此共享或多路復用過程中，只有第一個請求會生成必要的交互以建立連接。以下請求立即發送HTTP數據以要求建立連接。

為HTTP / 1.1設計的域並非沒有福利。添加連接同步以最大程度地減少碎片（碎片是一個跨多個設備存儲數據記錄以滿足數據增量需求的過程），並在Edge和HTTP服務器上啟用。為了合併，如果其證書合適，存儲的子域最終將共享單個TCP連接。沒有此同步設置，諸如1.bing.com和2.bing.com之類的站點將需要單獨的TCP連接。

Windows Server 2019自動工作以修復連接錯誤。 http / 2至少需要TLS版本1.2，同時列出較低的密碼套件。這會導致連接斷裂。在當前服務器上，直到編碼器修復為止，連接將無法正常工作。 Windows Server 2019的一些更改確保將重新連接。

如前所述，這是Microsoft在Windows Server 2019中採取的步驟來解決該問題：

當Windows Server 2016中的默認SSL編碼器錯誤地更改時，會發生故障模式。如果任何編碼器被HTTP / 2阻止或出現在HTTP / 2啟用編碼之前，則Firefox和Chrome將斷開連接（允許但不推薦HTTP / 2）。 Chrome顯示：

 ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY 

Firefox顯示：

 NS_ERROR_NET_INADEQUATE_SECURITY 

儘管SSL編碼器的適當佈置（由Windows中的默認順序保證）可以避免此問題，但在Windows Server 2019中，密碼談判機制的魯棒性是不可能的。 SSL編碼器的重排得到了改進。當然，此列表仍然必須包括HTTP / 2啟用編碼器，但它們不一定出現在任何黑名單的開頭。

這降低了HTTP / 2部署的複雜性，使客戶能夠更輕鬆地獲得其收益，包括HTTP / 2所需的高級編碼器。

擁塞控制

最後，Windows Server 2019包括對New-Reno，化合物TCP，CUTIC和LEDBAT擁塞控制工具的支持（CUTIC是新的默認選項）。 Cutic適用於高帶寬和高潛伏期鏈接，而標準TCP非常糟糕。

添加了所有這些更改，以為服務器和Web管理員提供越來越多的選項，以確保安全性以及安全的數據存儲和分發。

查看更多：

1. 在Windows Server 2019中發現新功能
2. 將數據傳輸到Windows Server 2019時首先實現這些任務
3. Windows Server 2012中的10個新功能