Security-Neuerungen bei neuem Windows Server 2022 Mehr Sicherheit in Windows Server 2022

Autor / Redakteur: Thomas Joos / Peter Schmitz

Mit Windows Server 2022 bringt Microsoft neue Sicherheitsfunktionen für sein Server-Betriebssystem. Neben Secured-Core, DNS-over-Http und TLS 1.3 gibt es weitere Neuerungen, die Administratoren kennen und verstehen sollten.

Firmen zum Thema

Beim Windows Server 2022 erhöht Microsoft mit DNS-over-Http, Secured Core und TLS 1.3 die Systemsicherheit deutlich.
Beim Windows Server 2022 erhöht Microsoft mit DNS-over-Http, Secured Core und TLS 1.3 die Systemsicherheit deutlich.
(© monsitj - stock.adobe.com)

Windows Server 2022 bringt einige Neuerungen im Bereich der Security mit. Wir stellen in diesem Beitrag einige Möglichkeiten vor und zeigen was Admins im Bereich der Sicherheit bei Windows Server 2022 kennen sollten.

Natürlich hat Microsoft auch bei der unterstützten Hardware einiges verändert. Windows Server 2022 kann bis zu 48 TB Arbeitsspeicher verwalten. Das gilt auch für Windows Server 2022 Essentials und natürlich auch für Datacenter. Insgesamt lassen sich bis zu 64-CPUs und 2.048 logische Prozessoren mit Windows Server 2022 nutzen, und zwar in allen Editionen, also Datacenter, Standard und Essentials.

Bildergalerie
Bildergalerie mit 7 Bildern

Secured-Core in Windows Server 2022

Mit Windows Server 2022 führt Microsoft den Secured-Core-Server ein. Dabei handelt es sich, einfach ausgedrückt, um den Sicherheitsstandard eines Windows-Servers. Damit dieser eingehalten werden kann, muss die Server-Hardware die Funktionen unterstützen. Secured Core nutzt die Sicherheitsfunktionen HVCI, Boot DMA Protection, System Guard, Secure Boot, VBS und TPM 2.0. Diese Technologien müssen auf dem Server vorhanden und auch aktiviert sein. Wenn Windows Server 2022 noch nicht für die Unterstützung der Funktionen in Secured-Core konfiguriert ist, lassen sich die Funktionen zentral im Windows Admin Center steuern.

Um Secured-Core für Hardware zu steuern ist die neue Erweiterung „Security“ für das Windows Admin Center notwendig. Aktuelle Versionen dieser Erweiterung haben einen neuen Menüpunkt mit der Bezeichnung „Secured Core“. Hier ist zu sehen, ob die Hardware die einzelnen Funktionen unterstützt, und ob diese auch in Windows Server 2022 aktiviert sind. Es ist auch möglich die Funktionen an dieser Stelle zu aktivieren. Damit die Erweiterung angezeigt wird, muss in den Einstellungen des Windows Admin Centers bei „Erweiterungen“ und „Feeds“ der Feed mit der Adresse https://aka.ms/wac-insiders-feed eingetragen werden. Danach sollten die Erweiterungen aktualisiert und die neue Version von „Security“ verwendet werden.

Unterstützt die Hardware des Servers einzelne Bereiche nicht, oder sind diese im UEFI/BIOS nicht aktiviert, zeigt das WAC die Meldung „Not supported“ an. Wenn die Hardware die jeweilige Funktion für Secured-Core unterstützt, ist hier „Not configured“ zu sehen. Im WAC lassen sich diese Funktionen anschließend mit „Enable“ aktivieren und konfigurieren, wenn das notwendig ist. Ist ein Neustart notwendig, zeigt das WAC das ebenfalls an.

DNS-over-HTTPs – Mehr Sicherheit in DNS

Eine weitere Neuerung in Windows Server 2022 ist die Unterstützung von DNS-over-HTTPs (DoH). Damit Clients und Server die Kommunikation des DNS-Datenverkehrs über HTTPS abwickeln können, müssen Server und Client die Funktion unterstützen. Windows Server 2022 ist dazu in der Lage. Die Einstellungen dazu sind in der Einstellungs-App von Windows Server 2022 im Bereich „Netzwerk und Internet“ bei „Ethernet“ zu finden. In den Einstellungen des Netzwerkadapters sind die Optionen bei „DNS-Einstellungen“ und „Bearbeiten“ zu finden. Die Einstellungen lassen sich auch über Gruppenrichtlinien definieren. Die Anpassungen dazu sind bei „Computerkonfiguration\Administrative Vorlagen\Netzwerk\DNS-Client“ mit „Namensauflösung von DNS über HTTP (DoH) konfigurieren“ konfigurierbar. Wenn Admins DoH in Windows Server 2022 über Gruppenrichtlinien aktivieren, aber die verwendeten DNS-Server kein DoH unterstützen, funktioniert die Namensauflösung nicht mehr. Hier sollte also sorgfältig vorgegangen werden.

Mehr Verschlüsselung in Windows Server 2022: Sicheres SMB

Natürlich liegen die Sicherheitsverbesserungen von Windows Server 2022 auch im Detail. Die neue Version unterstützt die SMB-Verschlüsselung mit AES-256-GCM und AES-256-CCM. Die Verwendung von HTTPS und TLS 1.3 sind Standard in Windows Server 2022. Bauen Clients eine Verbindung mit Windows Server 2022 auf, versucht der Server möglichst HTTPS und TLS 1.3 zu verwenden.

Clusterknoten unterstützen in Windows Server 2022 auch für die interne Kommunikation Verschlüsselung. Das gilt auch für den Zugriff auf Cluster Shared Volumes (CSV) und bei der Kommunikation in Storage Spaces Direct. Auch beim Einsatz von RDMA und SMB Direct kommen jetzt umfassende Verschlüsselungstechnologien zum Einsatz. Dabei setzt Windows Server 2022 aquf AES-128 und AES-256.

Bildergalerie
Bildergalerie mit 7 Bildern

Windows Server 2022 Datacenter: Azure Edition

Windows Server 2022 Datacenter: Azure Edition ist eine neue Edition, die nur in Microsoft Azure und in Azure Stack HCI zum Einsatz kommen kann. Die Edition unterstützt Hotpatching. Bei dieser Technologie muss nicht der ganze Server nach der Aktualisierung starten, sondern er kann einzelne Bereiche des Kernels und des Betriebssystems gesondert starten.

Das macht die Installation von Updates einfacher und der Server steht dauerhaft den Anwendern zur Verfügung. Das Neustarten einzelner Bereiche des Betriebssystems führt nicht zu Ausfällen von Workloads und Anwender bemerken davon kaum etwas.

SMB über QUIC ist ebenfalls eine Funktion, die nur in Windows Server 2022 Datacenter: Azure Edition zur Verfügung steht. Dabei nutzen die Clients das QUIC-Protokoll für die Kommunikation und nicht TCP. Zusammen mit TLS 1.3 können Anwendungen wesentlich sicherer auf Daten zugreifen, vor allem wenn die Server in Edge-Netzwerken positioniert sind.

Weitere Neuerungen: Microsoft Edge ersetzt Internet Explorer

Bezüglich der Sicherheit auf Windows-Servern spielt auch das Ersetzen des betagten Internet Explorers auf Servern eine Rolle. Windows Server 2022 kommt auch in der Core-Installation mit dem modernen Edge Browser, der standardmäßig vorinstalliert ist.

Windows Server 2022 bietet neue Group Managed Service Accounts (gMSA) für Windows-Container, ohne den Host in die Domäne aufnehmen zu müssen. Damit sollen sich Container-Host wesentlich sicherer betreiben lassen.

Wer Windows Server 2022 in Microsoft Azure bereitstellt, kann Images auswählen, auf denen Azure-Sicherheitsrichtlinien automatisch aktiviert sind. Das ermöglicht die Optimierung einer Windows Server 2022-Installation für Microsoft Azure.

Bildergalerie
Bildergalerie mit 7 Bildern

(ID:47730267)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist