gavgavka.com

As novidades do Windows Server 2008

10 de Março de 2008 às 00:00:00 por João Nóbrega

Testes realizados nos laboratórios da IDG revelaram que o Windows Server 2008 se perfila como um sucessor credível para o Windows Server 2003. A facilidade de gestão, a segurança e o nível de desempenho, a fiablidade e a eficácia do sistema foram as principais estiveram entre as principais preocupações dos programadores.  O resultado dos seus esforços é um sistema operativo coeso, centralizado.

Cinco anos depois do Windows Server, a Microsoft põe no mercado a versão mais recente e maior do seu software de servidor. E o que tem andado a fazer a Microsoft nestes anos? Os especialistas da IDG têm a trabahado com o servidor nos últimos dois anos e acompanharam em detalhe o que mudou, aqueilo que é novo e o que foi melhorado.

As grandes mudanças

 

Ao contrário da transição do Windows 2000 Server para o Windows Server 2003 – o qual foi uma mera actualização –, o Windows Server 2008 resulta de uma revisão radical ao núcleo do código base do Windows Server.

O novo software partilha uma parte significativa do código fundamental do Windows Vista, que nasce no mesmo modelo de desenvolvimento seguro, Secure Development Model (SDM). Trata –se de uma mudança drástica nas metodologias de programação da Microsoft. Põe o código seguro acima de tudo. Assim, muitas funcionalidades novas e melhorias do Vista e do Windows Server 2008 são resultado de uma base de código mais segura e um enfoque cada vez  maior na integridade do sistema na sua fiabilidade. As mudanças mais radicais são dominadas pelo Server Core e pelo Internet Information Services 7.0 (IIS).

 

Server Core é “versão” reduzida

Server Core constitui no fundo uma configuração de instalação mínima para o Windows Server 2008 que contém um subconjunto de ficheiros executáveis e funções de servidor. A gestão é realizada por linhas de comando  ou através de um ficheiro de configuração pré-estabelecido.
Segundo a Microsoft ,  “o Server Core destina-se a organizações que, ou têm muitos servidores, alguns dos quais precisem apenas de desepenhar  tarefas dedicadas, com uma estabilidade imprescíndível, ou em ambientes onde os requisitos de alta segurança exigem um superfície de ataque mínima no servidor”.

 

Funções que o SerVer Core pode desempenhar

– Servidor de Dynamic Host Configuration Protocol (DHCP)
– Servidor de Domain Name System (DNS)
– Servidor de ficheiros, incluindo serviços de replicação de ficheiros, DFS), DFSR), sistema de ficheiros de rede e SIS
– Serviços de impressão
– Controlador de domínios, equipado com tecnologia para RODC
– Servidor Active Directory Lightweight Directory Services (AD LDS)
– Virtualização
– IIS, em versão reduzida: com alojamento estático de HTML e sem suporte para aplicações de Web dinâmicas
– Serviços de Windows Media

 

 

Adicionalmente, as máquinas de Server Core podem participar em clusters de ambientes Microsoft, pode usar a repartição de volumes de de trabalho, podem alojar aplicações Unix, encriptar os seus discos rígidos com tecnologia BitLocker, ser gerido de forma remota usando o Windows PowerShell numa máquina cliente, e ser monitorizada através do protocolo Simple Network Management Protocol (SNMP).

A maior parte dos administradores deverá descobrir que a utilização de máquinas com Server Core em sucursais para desempenhar funções de controlo de domínios será uma forma excelente de usar hardware ligeiramente mais antigo, que de outra maneira seria mandadoa fora. Uma instalação ainda mais reduzida do Server Core permite que o sistema faça mais com menos recursos de sistema, e a superfìcie de ataque reduzida e a estabilidade, tornam a máquina excelente uma máquina mais aplicional. No caso de uma sucursal é possível combinar o Server Core com a habilidade para a implementação de um controlador RODC e depois encriptar tudo com o BitLocker, disponibilizando uma boa solução, leve e segura.

IIS foi bastante revisto

 

O servidor de Internet da Microsoft sofreu uma forte revisão. O IIS é pela primeira vez completamente extensível e modular. Só se instala oq se precisa, e portanto o serviço é menos pesado, tem maior capacidade de resposta e é menos vulnerável a ataques. A interface de administração para o IIS foi também completamente redesenhada .

 

Principais melhoramentos do IIS:

 

– Uma estrutura nova resultante de uma rearquitectura assente na modularização.

Pela primeira vez na história do IIS, os gestores podem ter um controlo completo sobre que peças do IIS são instaladas, e estão a correr em qualquer altura.
Pode-se correr apenas os seviços de que precisamos. Isto é factor de maior segurança, sem mencionar uma maior facilidade de gestão e um melhor desempenho.

O suporte ao FastCGI significa que as linguagens como a PHP são executadas com uma velocidade nunca antes vista nas máquinas de ambiente Windows.

 

– Um modelo de expansão flexível.

O IIS 7 permite que os programadores acedam um novo conjunto de API que podem interagir com o núcleo do IIS de forma directa, tornando o desenvolvimento de módulos e a costumização muito mais fácil. Os programadores podem até ligar-se as àreas de configuração, de “scripting”, de registos de eventos do IIS, os quais abrem muitas portas aos gestores empresariais e fabricantes de software de terceiras partes, para ampliar as capacidades do IIS mais rapidamente.

– Capacidades simplificadas de configuração e implementação de aplicações.

A configuração pode ser conseguida completamente, usando ficheiros XML. A configuração central do IIS pode ser dispersa por múltiplos ficheiros, permitindo que muitos sites e aplicações alojados pelos mesmo servidor tenham configurações independentes, mas ainda fáceis de gerir.

Uma das demonstrações favoritas do IIS passa pela instalação de uma série de  servdiores de Web com máquinas configuradas de forma igual – à medida que o conjunto sejam colocados on-line, o gestor têm apenas de usar o XCOPY  e passar os ficheiros de configurações para ol novo servidor. Em segundos, a configuração do IIS na nova máquina será idêntica àquela das máquinas já existentes. Esta será talvez a mudança mais bem-vinda no IIS 7.

– Funcionalidades de gestão delegada.

Da mesma forma que o Active Directory permite aos administradores atribuirem permissões para outros utilizadores desempenharem certas  funções administrativas, os gestores do IIS pode delegar o controlo de algumas funções a outras pessoas, como os donos dos sites.

 

– Funcionalidades de administração mais eficazes.

O novo software tenta evitar que um gestor se perca num mar de tabelas e caixas de diálogo para encontrar uma configuração obscura que se pretende mudar. Para criar um novo site há uma caixa de diálogo, e acrescentar uma aplicação passa por um processo semelhante. Todas as ferramentas e funcionalidades estão localizadas em sítios óbvios na consola. O IIS Manager foi completamente redesenhado e foi-lhe adicionada uma nova ferramenta de gestão, de linhas de comando, appcmd.exe.

As mudanças feitas no IIS colocam-no no mesmo patamar virtual do Apache em termos de funcionalidades, facilidade de gestão e modularidade

Suporte nativo ao IPv4 e Ipv6

 

Os programadores do Windows Server 2008 fizeram um esforço particular para melhorar o desempenho e a eficácia das funcionalidades de rede. Pela primeira vez, o servidor tem uma arquitectura com camada dupla de IP, capaz de suportar nativamente os protocolos IPv4 e IPv6, em simultâneo.

A segurança das comunicações foi melhorada com a introdução de uma melhor integração com o protocolo IPsec, dos vários componentes da camada de TCP/IP. O hardware é usado de forma mais eficaz e de forma mas robusta para aumentar o desempenho das transmissões da rede.  Os algoritmos de afinação inteligente e optimização correm de forma regular para a assegurar uma comunicação eficaz, e as API para as componentes de rede são expostas de forma mais directa, tornando mais fácil aos programadores interagirem com os componentes.

 

Janela TCP auto-ajustável

 

Muitas mudanças no Windows Server 2008 foram feitas no próprio conjunto de mecanismos TCP/IP. Uma dessas melhorias é a janela TCP auto-ajustável: o Windows Server 2008 pode ajustar automaticamente o tamanho da janela de recepção para cada ligação individual, aumentando a eficácia das grandes transferências de dados  entre máquinas da mesma rede .
O algoritmo de detecção de gatways inactivos foi ligeiramente melhorado: agora o servidor procura, tanto quanto possível, enviar o tráfego TCP através do que identifica como gatewayn inactivo. Se a transmissão não resultar em erro, então o Windows muda automaticamente o gateway definido por defeito, para o gateway que estava inactivo, que agora ficará activo. Além disso, o Windows Server 2008 suporta a transição das funções de processamento de rede do CPU em si para os circuitos de processamento na placa de inter~face de rede, libertando a CPU para a gestão de outros processos.
A expansão da rede também foi melhorada. Em versões anteriores, um NIC estava associado a um único processador físico. Contudo, com a placa de rede correcta, o Windows Server 2008 suporta NIC expansíveis e o tráfego associado entre múltiplas CPU – trata-se de uma funcionalidade chamada “receive-side scalling”. Isso permite que quantidades maiores de tráfego possam ser recebidas num NIC num servidor bastante carregado. Este aspecto beneficia particularmente os servidores com múltiplos benefícios, dado que ao sistema pode ser adicionada maior escala, simplesmente adicionando processadores ou NIC, dispensando a adição de novos servidores inteiros.

 

Três novas funcionalidades no Terminal Services

 

As aplicações de rede estão a crescer em popularidade em cada semana que passa. Além das três novas funcionalidades, foram também melhorados processosos que a fazem o Terminal Services (TS) funcionar, incluindo os mecanimos de single sign-on às sessões do mesmo, a monitorização da duração e o suporte a alta resolução para as sessões, a integração com o Windows System Resource Manager para melhor monitorizar o desempenho e a utilização dos recursos que reduzem os sobressaltos nas sessões de TS.
O TS tem três novas funcionalidades. Tal como a funcionalidade disponibilizada pela Citrix, há alguns anos, o Windows Server 2008 vai suportar nativamente a capacidade de definir programas que devam ser corridos directamente de um servidor preparado com ou para TS, mas também sejam integrados com a cópia local do Windows, adicionando áreas de janela que podem ser ajustadas, funcionalidade de comutação com Alt-Tab, entre outras. Os utilizadores não farão a ideia de que a sua aplicação estará alojada noutro sítio, excepto pelos tempos de resposta mais lentos, devido à latência na rede ou devido à sobrecarga do servidor.
É também simples colocar isto a funcionar: os gestores podem criar ficheiros .RDP, que são essencialmente perfis baseados em texto de uma ligação de Terminal Services, que o cliente lê e utiliza para configurar uma sessão RDP parea esse programa particular. Também podem criar ficheiros .MSI que podem povoar perfis. Neste aspecto, a principal vantagem é que os ficheiros são normalmente muito fáceis de implementer através de métodos de gestão automatizada como o Systems Management Server, o Group Policy e o IntelliMirror, e assim por diante.
Depois, há o Terminal Services Gateway. Esta funcionalidade permite aos utilizadores acederem a aplicações alojadas no Terminal Services, a partir de um portal na Internet, com a segurança a ser garantida pela encriptação de um canal HTTPS.  O gateway pode enviar ligações através de firewalls e navegar situações de tradução de NAT, que impulsionaram a utilização deste tecnologia anteriormente.
Isto permite que as empresas evitem a implementação de acesso por VPN para utilizadores remotos, apenas com o propósito de acederem a uma máquina com Terminal Services. Além disso, como os dados são enviados sobre a ligação HTTPS, qualquer pessoa pode aceder às sessões , mesmo em locais onde o protocolo RDP está bloqueado pela firewall. Os gestores podemm estabelecer políticas de autorização que definem grupos de utilizadores a quem é permitido aceder aos TS através da máquina de gateway.

Finalmente, o servidor traz também a funcionalidade de TS Web Acess, a qual permite aos gestores de sistemas disponibilizar o TS Remote Programs numa página de Web. Este mecanismo funciona com o Terminal Services RemoteApp. Os utilizadores podem procurar na lista a aplicação que querem correr, clicar nela, e depois ser integrado na aplicação –  usando todas as funcionalidades do TS Remote Programs – equanto retêm a capacidade de lançar outros programas do mesmo site do Web Acess.
O serviço é suficientemente inteligente para saber que múltiplos programas iniciados pelo mesmo utilizador devem residir na mesma sessão do Terminal Services, tornando a gestão de recursos um bocado mais simples. Além disso, até se pode integrar o TS Web Access com sites SharePoint usando um componente de Web incluída.

Active Directory beneficia do RODC

O Windows Server 2008 apresenta o conceito de “read-only domain controller (RODC)”, uma funcionalidade que terá particular utilidade para sucursais e outras localizações onde as máquinas que alojam essa função não pode ser fisicamente protegidas da mesma forma que uma máquina no centro de dados.
Os RODC têm uma cópia do Active Directory, que oferece benefícios imediatos de sessões longas e tempos de autenticação para aceder a outros recursos de rede, mas também pelos benefícios de longo prazo na segurança.
Nenhum atacante pode criar mudanças num “domain controller” acessível acessível numa sucursal, que as depois vai replicar até à árvore principal, na sede da empresa, dado que o “domain controller” é apenas de leitura.

Os RODC podem também manter em cache as credenciais dos utilizadores das sucursais e apenas com um contacto com um DC normal alguns níveis acima na “árvore“ pode servir directamente os pedidos de acesso dos utilizadores. Contudo esta memorização é alojada à parte (por defeito), no Password Replication Policy for security reasons, devido a questões de segurança.

Arquitectura orientada à segurança

 

Muitas das vulnerabilidades nos produtos que merecem patches emitidas às terças-feiras pela Microsoft são resultado de más decisões de concepção. Sãop estes tipos de falhas que a Microsoft quer eliminar na edição Windows Server 2008. Há mudanças consideráveis na arquitectura de serviços no Windows Server 2008, incluindo o crescente número de camadas que é necessário passar para atingir o núcleo, segmentando serviços para reduzir a sobrecarga de memória, e reduzindo o tamanho das camadas privilegiadas para tornar a superficie de ataque, mais pequena.
Enquanto mudava a desenho do sistema operativo, a equipa do W indows Server 2008 também incluiu várias funcionalidades concebidas para eliminar brechas de segurança e infestações de malware, assim como capacidades para proteger dados empresariais de situações de fuga de informações ou de intercepção.

A protecção de ficheiros do sistema operativo

 

Uma nova funcionalidade assegura que a integridade do processo de iniciação.
O Windows Server 2008 cria uma chave de validação baseada no ficheiro do núcleo que está a ser usado, uma camada de abstracção do seu sistema operativo e divers que ficam activos logo desde que as máquinas são inciadas. Se num reinício estes ficheiros falarem, depois  da chave ser criada, o sistema operativo saberá e suspenderará o processo de início, para poder reparar o problema.
A protecção de ficheiros do sistema operativa também se estende a cada imagem binária que reside no disco rígido.
A protecção de ficheiros do sistema operativo neste modo consiste num driver de filtro de sistema de ficheiros que lê cada página carregada para a memória, verificando os seus componentes e validando qualquer imagem que tentar ser carregada para um proceso seguro (os processos que são frequentemente mais importantes para ataques).
Estes elementos são armazenados num sistema específico de catálogos, ou um certificado X.509 incoporado num ficheiro seguro na drive. Se algum destes testes resultar em falhas no futuro, a protecção de ficheiros de sistema operativo, suspende o processo, para manter a máquina segura. Isto é uma protecção activa contra o malware problemático.

 

A encriptação em forma de BitLocker

 

A necessidade de haver a enciptação de discos tem sido um tema popular em muito meios onde se tem discutido a segurança, e tanto no Vista como no Windows Server 2008, a Microsoft respondeu às exigências desenvolvendo um funcionalidade chamada BitLocker.
A BitLocker foi concebida especialmente para cenários onde um ladrão pode ganhar acesso físico a um disco rígido. Sem encriptação, o hacker poderia simplesmente correr outro sistema operative ou correr uma ferramenta de hacking e aceder aos ficheiros, contornando completamente o sistema de permissões do NTFS. O Encrypting File System (EFS) do Windows 2000 Server e do Windows Server 2003 foi um passo mais longe, baralhando mesmo alguns bits no disco, mas as chaves para desencriptar os ficheiros não estavam tão protegidos como deveriam estar. Com o BitLocker, as chaves são armazenadas no chip do Trusted Platform Module, na placa do sistema, ou numa drive USB que se introduz no arranque.
O BitLocker parece ser uma funcionalidade completa: quando está activada, a funcionalidade encripta todo o volume do Windows, incluindo tanto os  dados dos utilizadores como do sistema de ficheiros, o ficheiro de hibernação, o ficheiro das páginas e o ficheiros temporários. O processo de arranque em si está também protegido pelo BitLocker e é criado um elemento de informação de controlo, baseada nas propriedades dos ficheiros individuais de arranque. Portanto se um for modificado, e substituído por ficheiro troiano o BitLocker vai detector o problema e prevenir o arranque. É definitavemente um patamar acima face às limitações do EFS, e uma melhoria significativa à segurança do sistema, em relação aos discos encriptados.

 

Controlo sobre as portas USB

 

Um dos problemas de segurança que a segurança das empresas enfrenta é a proliferação das drives USB. Independentemente da segurança conferida ao sistema de permissões nos servidores de ficheiros, mesmo que as capacidades de destruição de documentos estejam muito bem afinadas, e não importa o tipo de controlos internos que se tenha estabelecidos para os documentos não serem de alguma maneira alterados, um utilizador pode simplesmente introduzir uma drive numa porta USB e copiar dados.

Normalmente, estas drives têm informação importante que num cenário ideal nunca deveria deixar as instalações da empresa.
Contudo, são encontradas em porta-chaves que são perdidos, dentro de pastas de computador que são deixadas sem vigilância. O problema é suficientmente significativo para algumas empresas terem desactivado portas USB nos computadores deitando cola quente nas portas USB.

No Windows Server 2008, um gestor de sistemas terá a capacidade de bloquear todas as instalações de dispositivos externos, incluindo discos rígidos externos e outros dispositivos novos. Pode-se simplesmente implementar uma máquina e não permitir que quaisquer novos dispositivos sejam instalados. Os gestores também podem estabelecer excepções baseadas em classes ou identidades de dispositivos – por exemplo, para permitir que teclados e ratos sejam adicionados, mas nada mais. Mas também é possível permitir que identidades específicas de dispositivos, no caso de se ter aprovado um marca de um produto seja instalado, mas não outras. É um aspecto capaz de ser configurado através do Group Policy, e estas políticas são estabelecidas no computador.

Começar bem facilita

 

Os servidores só são eficazes se o gestor de sistemas os configurar devidamente. Os servidores Windows são tradicionalmente simples de gerir, mas o Windows Server 2008 traz muitas melhorias nas operações configuração inicial e à experiência que proporciona com ela.

Ponto de encontro no Server Manager

O Server Manager é um centro de informação sobre o sistema, disponibilizando dados sobre a sua estabilidade e a sua integridade; ou gerindo as funções instaladas e resolvendo aspectos da configuração que possam surgir. O Server Manager substitui as interfaces de Configure Your Server, Manage Your Server e Security Configuration Wizard interfaces. Acaba por centralizar uma variedade de “snap-ins” de MMC 3.0, permitindo ver rapidamente que papéis e funcionalidades estão instaladas em qualquer máquina. Dessa forma proporciona um ponto de partida fácil para começar a gerir esses componentes.

Serviços de implantação

Muitos gestores de sistema acabaram por adorar o Remote Installation Services (RIS), um component que foi acrescentado ao Windows 2000 Server e Windows Server 2003 com o qual era possível fazer a instalação de sistemas operativos de dispositivos clientes e de servidores sobre a rede. Também permitia a possibilidade de adequar de instalações e colocá-las a funcionar pressionando apena algumas teclas. No Windows Server 2008, a Microsoft fez uma revisão radical do RIS e renomeou-o Windows Deployment Services (WDS).

O WDS ainda funciona usando o ambiente de execução de pré-arranque PXE e o Trivial File Transfer (TFTP). Mas também inclui o
Windows PE, um front-end gráfico para o processo de instalação que substitui a interface menos functional, baseada em texto. È possível criar várias imagens diferentes e armazená-la numa máquina WDS.
Além disso, tornou-se mais fácil gerir o desempenho e  e fiabilidade do servidor. As duas ferramentas disponibilizadas antes pelo Windows Server – Task Manager e Performance Monitor – foram combinadas numa única interface chamada  Performance Diagnostics Console, para ser mais fácil vizualizar estatísticas e alertas. O Resource View também está mais simples embora mais poderoso, na forma como mostra como certos processos e serviços, entre outras métricas, estão a usar os recursos disponíveis na máquina.

Hyper-V é aposta na virtualização

 

O Hyper-V tem três componentes principais:o hypervisor, o conjunto de virtualização e o novo modelo virtualizado de I/O. O Hypervisor do Windows actua  criando diferentes “partições” no qual cada instância virtualizada de código vai correr. O conjunto de virtualização e os componentes de entrada e saída de dados oferecem interactividade com o próprio Windows e com as várias partições que são criadas.

Este software oferece ligações aos processos de gestão e “threads” no processador que o sistema operativo pode usar para gerir com eficácia para gerir várias máquinas virtuais, e múltiplos sistemas operativos virtuais, a correrem num só processador físico.
Como não há quaisquer produtos de software de terceiras partes ou drivers para instalar, obtém-se compatibilidade quase garantida sem os problemas provocados pelos bugs de software, no sistema.

A par da gestão eficaz dos processos, é possível acrescentar recursos  sem ter de desligar a máquina que aloja os seus serviços virtualizados.

Desde os processadores, à memória, à placas de rede, aos suportes de armazenamento, é possível adicionar estes dispositivos a uma máquina sem precisar de desactivar quaisquer serviços ou interromper as sessões dos utilizadores. Também se pode alojar sessões “visitantes” de 64 bits, o que é uma importante ajuda para as organizações que estão a evoluir para a adopção de sofware de 64 bits. É possível virtualizar a sua migração, poupar dinheiro em custos de implementação e depois aceder a informação como o número de máquinas físicas quando se termina a migração.

Parte do objectivo da virtualização é não só eliminar a duplicação de máquinas e poupar nos custos, mas também assegurar que os serviços estejam mais tempo disponíveis do que em máquinas por virtualizar. Nesse contexto, o Hyper-V inclui o suporte para o clustering para múltiplas máquinas. Adicionalmente, é poissível juntar em cluster múltiplas máquinas físicas a correrem o Hyper-V, de maneira a que só as instâncias virtualizadas possam ser passar a correr sobre outra máquina, se ocorrer algum problema com a o servidor primário.

Finalmente, pode  migrar os hóspedes virtualizados, de um anfitrião físico, para outro sem haver tempo em baixo, facilitando o serviço, o planeamento e a reorganização enquanto limita os efeitos nocivos no serviços em produção. Também pode obter vantagens de novas funcionalidades de discos do Windows Server 2008, o que permite ter clusters em múltiplos sítios. Isso pode acontecer sem que haja necessariamente tenha de haver um único disco entre os sítios, como era exigido com o Windows Server 2003.  

Insira um comentário, ou crie um trackback no seu próprio site.

Deixe o seu Comentário