Microsoft、Windows Server 2022を一般ユーザー向けに公開 22
ストーリー by nagazou
公開 部門より
公開 部門より
米Microsoftは8月18日、Windows Server 2022を一般公開した。セキュリティ機能の統合や強化が図られているほか、対応するハードウェアと組み合わせた場合によるセキュリテイ機能の向上が行われている。具体的にはHTTPSとTLS 1.3が既定で有効化されたこと、DNSとブラウザ間の通信を暗号化するDNS-over-HTTPSの採用、SMBの暗号化がAES-256-GCMやAES-256-CCMに対応するなどの強化が行われた。また従来はIntel CPUでのみ使用可能となっていたHyper-V機能のAMD製品への対応なども加えられている(Windows Server products & resources、窓の杜、The Register、Windows Server 2022 の新機能)。
同社はすでにWindows Server 2022 以降での半期チャネル廃止を発表ずみ。なおメインストリームサポートは2026年10月13日、延長サポートは2031年10月14日までの提供であるとしている(Windows Server 2022ライフサイクル)。
あるAnonymous Coward 曰く、
同社はすでにWindows Server 2022 以降での半期チャネル廃止を発表ずみ。なおメインストリームサポートは2026年10月13日、延長サポートは2031年10月14日までの提供であるとしている(Windows Server 2022ライフサイクル)。
あるAnonymous Coward 曰く、
ビルド番号は20348で、Windows 10 21H2 (19044)とWindows 11 (22000)のどちらとも異なる。
Windows10でも11でもないし、Port443がどんどん信用できなくなる。 (スコア:0)
ビルド番号がWindows10でもなければWindows11でもないのはマーケティング上大丈夫なのか心配。
ビルド番号が同一であることでアプリケーションとの互換性を重視してきたのが売りだったはずなのにね。
TPMとかセキュリティ面はまだ選択式ではあるけど思いっきりWindows11に寄せてきたのだったらWindows11ベースにすればよかったのに、
そのほかの部分がWindows10ベースなのでこうなったのかも知らんが、どうにかならなかったのか?
(もしかして22H1予定のものに合わせている?)
あと、SMB over QUICは確かに時流ではあるんだが、想定されているユースケースがヤバいので純粋にやめてくれ、何でもかんでもPort443に乗せるな。
最近なんでもPort443に乗せてくるので信頼値が駄々下がり。
Re:Windows10でも11でもないし、Port443がどんどん信用できなくなる。 (スコア:1)
逆に信頼できるPort番号あるの?
Re: (スコア:0)
等しく信頼できないけど、昨今の443は80以上にさらにマイナス方面に掘っていっている状態。
しかもQUICという共通プロトコルでその上にいろんなプロトコルが乗るからより質が悪い。
ゲートウェイセキュリティの観点から見たら単なる悪夢。正直ソフトイーサ黎明期の再来に近い。
まだSSL-VPNの方がHTTPSを偽装してくれる分可愛い。
でも本当の問題は、443という字面が一般認識が長年のHTTPSの実績?で「信頼できるポート番号」として確立してしまっていること。
今のところTCPとUDPという差があるにはあるんだけど、HTTP/3として承認された結果解放せざるを得ない方向だし微妙。
Re:Windows10でも11でもないし、Port443がどんどん信用できなくなる。 (スコア:2)
Webから出てくるアプリケーション層の新規格って、常に「土管から逃げる新方式」のような。本当の問題はpaternalisticな土管屋とアナーキーなWeb屋の戦いにおいて戦況がかなりWeb側有利なことではないかと。
# 他人が設定するFWに恩恵を感じないのでID
Re: (スコア:0)
何でもかんでもPort443に乗せるな。
とかいって自分用ではPortずらしたover ssh鍵認証が大好きなくせに
# 自宅鯖とかで便利なのよねぇ
Re: (スコア:0)
残念、アクセスしたい機器・サーバー構成の関係でSSHは好きじゃないのよ。むしろ本来いらないSSHサーバーが必要になるので嫌い。
携帯データ用回線も固定IP持ちなので、自宅でそんなことするぐらいなら普通にIPsec+RADIUSで証明書認証で入る。
Re: (スコア:0)
>ビルド番号が同一であることでアプリケーションとの互換性を重視してきたのが売りだったはずなのにね。
この話初めて聞いたんだが、ソースあるの?
Re: (スコア:0)
はい
https://ascii.jp/elem/000/000/640/640438/ [ascii.jp]
https://active.nikkeibp.co.jp/atclact/active/15/022500181/112800018/ [nikkeibp.co.jp]
Re: (スコア:0)
ん?ビルド番号の意味がわかってない?
Re: (スコア:0)
ん?ビルド番号もそろってますよ?
Re: (スコア:0)
XPとServer2003はビルド番号どころかマイナーバージョンすら違ってたけど
大きい問題起きてたんだっけ
Re: (スコア:0)
XPと2003だと発売日のずれによって、その間に起きたセキュリティの考え方の転換(XPだとSP1からSP2の間に当たる)から搭載モジュールを変えざるを得なくなり、
結果別OSとしてセキュリティを含めた検証が必要だったのが嫌われたっぼい。
その他細かいところでいうと搭載されているIISのバージョンが違ったりしてる。
その後のVista/2008以降はどちらかにしか積んでない機能以外はモジュールやパッチが共通だから、OSレベルの脆弱性発見から修正も迅速に出来るし、
クライアントOSで開発して、ポン付けでそのままサーバーOSで動作させやすかったり、(逆も然り)
初期搭載されているグループポリシーモジュールがそのバージョンのクライアントOSと合致している等、管理面でも利点があった。
でも、今回またズレることによって特にWindows11とのずれが発生するから、立場は逆だけどXPと2003のような関係になる。
もしかしたら2025で再統一するまでのつなぎなのかもしれないけどね。
Re: (スコア:0)
そうだね。SMB over QUICってUCP 445使うんだろうと思っていたら、443でびっくりした。
Re: (スコア:0)
むしろ企業を中心としたファイヤウォールがユーザ体験を阻害することばかりやるから制御困難な443に何でも載せていったという経緯。
情シス担当者が考える「セキュリティ」なんて真に受けてたらクラウドコンピューティングもビデオ会議も存在できなかった。
というか変態的なファイヤウォールやクライアント管理に命賭けてる暇人が存在できてるのって日本企業だけだぞ。
Re: (スコア:0)
なんか変な対抗意識が見えてますが、見えない敵と戦ってませんか?
まず、全うにHTTPSの通信として使ってくれる分にはいいんです。今どきのUTMは一度UTM側で暗号化解除して検査します。
また、ビデオ会議は普通に別のポート使ってますよ。Web会議でも別のポート使ってますし、他のクラウド系だって別段ポート番号に縛られているものではない。
SMB over QUICも自体仕組み自体が問題ではなく、むしろネットワーク上の遅延が大きい拠点間では歓迎されるべき変更で、その中で、
・実装:QUIC自体はポート番号の規定はないので、UDP445を使えばいいところをなぜかUDP443
・想定ユースケース:VPNなしで(Windows Server独自に穴をあけて)SMBでファイル交換という見えている地雷
が問題なだけです。
(参考)主要なビデオ/Web会議システムの使用ポート番号
【ビデオ会議】
Polycomビデオ会議 [polycom.com]
SONYビデオ会議 [support.sony.jp]
【Web会議】
ZOOM [support.zoom.us]
Re: (スコア:0)
擁護するわけではないが、インターネット越しにファイル交換という点だけは、今までもSMB3のAES暗号化を使ってあり得ることだった。たとえばAzureのファイルストレージ(Azure Files)でインターネットからのアクセスを禁止しないとそうなる。もちろんTCP 445なので、封じるのも容易だったけど。
あまり変わらない? (スコア:0)
Windows Server 2022評価版をインストールしてみたけど、2019と比べて変化が感じられないなぁ
・タスクバーのInternet Explorerが無くなった
・Chromium Edgeがプレインストールされているがスタートメニューにはいるけど、タスクバー上にはいない
・タスクバー上にWindows10と同じ検索入力欄が登場
「公開された」 (スコア:0)
思わず、無料公開かと、ありもしない事を妄想してしまったぼく・・・
Re: (スコア:0)
継続使用に費用がかかるだけで無料で公開されてますよ
(180日評価版でインストールされ、そこに正規ライセンスを入れればOK)
SMB圧縮に期待だが… (スコア:0)
RMDA経由のSMB Directもそうだが、SMB圧縮とか新しい暗号化は最新のWindows Serverだけじゃなくてコンシューマー向けの市販NASとかWindows Home版でも適当にやっても安全かつ高効率・高速度に動作してほしいのだが、新しいOSを買ってもらう必要もあるのか、規格の開示をやってなくてなかなか難しいねぇ
(RDMA(RoCE/iWarp)はそもそもNIC側で対応してないのが問題というところもあるものの)
Re: (スコア:0)
ファイルサーバーの機能なので、ファイルサーバーとして想定していないコンシューマ版のWindowsではサーバー側機能は有効化しないでしょうね。
あとコンシューマ向けのNASって大体Linux+SAMBAでしょ。SMB2/3はプロプライエタリなプロトコルなので、それは解析してねとしか言いようがない。
Re: (スコア:0)
SMB2/3の仕様は公開されていますよ。
https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb2/5... [microsoft.com]
SambaのBugzillaでもこの文書への言及をときどき見かけます。