Windows Server 2016

虚拟化

综述

Windows Server 2016提供的虚拟化区域包括适用于IT专业人员的虚拟化产品和功能,以设计、部署和维护Windows Server。

Hyper-V

Windows Server 2016上的Hyper-V具有兼容Connected Standby模式、分配离散设备、支持第1代虚拟机中的操作系统磁盘的加密支持、保护主机资源、网络适配器和内存的热添加和删除、Linux安全启动、嵌套虚拟化等功能。

Nano Server

Windows Server 2016上的Nano Server具有一个已更新的模块,用于构建Nano Server映像,包括物理主机和来宾虚拟机功能的更大分离度,以及对不同Windows Server版本的支持。恢复控制台也有改进,其中包括入站和出站防火墙规则分离及WinRM配置修复功能。 利用Emergency Management Console,用户可以直接从Nano Server控制台中查看和修复网络配置;借助新的PowerShell脚本,用户可以创建一个Nano Azure虚拟机。

受防护的虚拟机

Windows Server 2016提供新的基于Hyper-V的受防护的虚拟机,以保护第2代虚拟机免受已损坏的构造影响。引入了新的"支持加密"模式,完全支持将现有非受防护的第2代虚拟机转换为受防护的虚拟机,包括自动磁盘加密。Hyper-V虚拟机管理器可以查看授权运行的受防护的虚拟机上的构造,为构造管理员提供了一种打开受防护的虚拟机的密钥保护程序 (KP) 并查看构造是否有权在其上运行的方式。还有基于Windows PowerShell的端到端诊断工具等。

访问安全

综述

Windows Server 2016身份标识中的新功能提高了组织保护Active Directory环境的能力,并帮助它们迁移到仅限云的部署和混合部署,其中某些应用程序和服务托管在云中,其它的则托管在本地。

Active Directory 证书服

Windows Server 2016中的Active Directory证书服务增加了对 TPM 密钥证明的支持,可使用智能卡KSP进行密钥证明,而未加入域的设备可以使用NDES注册,以获得可证明TPM中密钥的证书。

Active Directory 域服务

Windows Server 2016中的Active Directory域服务新增了特权访问管理、通过Azure Active Directory联接将云功能扩展到Windows 10设备、将已加入域的设备连接到Windows 10体验Azure AD、在组织中启用Microsoft Passport for Work等功能,提高了组织保护 Active Directory 环境安全的能力。

Active Directory 联合身份验证服务

Windows Server 2016中的Active Directory联合身份验证服务跨多种应用程序(包括 Office 365、基于云的 SaaS 应用程序以及企业网络上的应用程序)提供访问控制和单一登录。对于IT组织,它能够基于同一组凭据和策略在本地和云中为新式和传统应用程序提供登录和访问控制;对于用户,它使用相同且熟悉的帐户凭据提供无缝登录;对于开发人员,它提供了一种简单的方法来对其身份位于组织目录中的用户进行身份验证。

Web 应用程序代理

Windows Server 2016中的Web应用程序代理新增了适用于HTTP基本应用程序发布的预身份验证、应用程序的部 URL可以包含通配符、HTTP到HTTPS的重定向、发布远程桌面网关应用、将客户端IP地址传播到后端应用程序等功能。

系统管理

综述

Windows Server 2016新增支持在Nano Server上本地运行PowerShell.exe(不再仅限于远程)、新增"本地用户和组"Cmdlet来替换 GUI、添加了PowerShell调试支持、添加了对Nano Server中安全日志记录和脚本以及JEA的支持等功能。

PackageManagement

Windows Server 2016引入了一种新的PackageManagement功能(以前称为 OneGet),该功能可以允许IT专业人员或开发人员使软件发现、安装、清单(SDII)在本地或远程自动进行,无论安装程序技术为何,也不管软件位于何处。

PowerShell 增强

Windows Server 2016添加了其它PowerShell日志记录和其他数字取证功能,并且已添加有助于在脚本中减少漏洞的功能,例如受限的PowerShell和安全 CodeGeneration API。

网络

软件定义的网络

Windows Server 2016可以将流量映射并传送到新的或现有虚拟设备。与分布式防火墙和网络安全组联合使用,可以以类似于Azure的方式动态分段和保护工作负荷。其次,可以使用System Center Virtual Machine Manager部署并管理整个软件定义的网络 (SDN) 堆栈。最后,可以使用Docker来管理Windows Server容器网络,并将SDN策略与虚拟机和容器关联。

TCP 性能改进

Windows Server 2016将默认初始拥塞窗口(ICW)从4增加到10,并已实现TCP快速打开(TFO)。TFO减少了建立TCP连接所需的时间,并且增加的ICW允许在初始突发中传输较大的对象。此组合可以显著减少在客户端和云之间传输Internet对象所需的时间。

安全保障

Just Enough Administration

Windows Server 2016中的Just Enough Administration是一种安全技术,可使能由Windows PowerShell管理的任何内容均可进行委派管理。该功能包括对在网络标识下运行、通过PowerShell Direct连接、安全地复制文件到JEA终结点或从JEA终结点安全地复制文件、配置PowerShell控制台来在JEA上下文中默认启动的支持。

Credential Guard

Windows Server 2016中的凭据保护功能(Credential Guard)使用基于虚拟化的安全性来隔离密钥,以便只有特权系统软件可以访问它们。还包括对RDP会话的支持,以便用户凭据能够保留在客户端上,且不会在服务器端暴露。

控制流防护

Windows Server 2016中的控制流防护(CFG)是一种平台安全功能,旨在防止或消除内存损坏漏洞。它通过对应用程序从何处执行代码施加严格的限制,漏洞利用程序将难以通过缓冲区溢出等漏洞执行任意代码。