Адаптивный контроль аномалий
Этот компонент доступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для рабочих станций. Этот компонент недоступен, если приложение Kaspersky Endpoint Security установлено на компьютере под управлением операционной системы Windows для серверов.
Компонент Адаптивный контроль аномалий отслеживает и блокирует действия, нехарактерные для компьютеров сети организации. Для отслеживания нехарактерных действий Адаптивный контроль аномалий использует набор правил (например, правило Запуск Windows PowerShell из офисного приложения). Правила созданы специалистами “Лаборатории Касперского” на основе типичных сценариев вредоносной активности. Вы можете выбрать поведение Адаптивного контроля аномалий для каждого из правил и, например, разрешить запуск PowerShell-скриптов для автоматизации решения корпоративных задач. Kaspersky Endpoint Security обновляет набор правил с базами приложения. Обновление набора правил нужно подтверждать вручную.
Настройка Адаптивного контроля аномалий
Настройка Адаптивного контроля аномалий состоит из следующих этапов:
- Обучение Адаптивного контроля аномалий.
После включения Адаптивного контроля аномалий правила работают в обучающем режиме. В ходе обучения Адаптивный контроль аномалий отслеживает срабатывание правил и отправляет события срабатывания в Kaspersky Security Center. Каждое правило имеет свой срок действия обучающего режима. Срок действия обучающего режима устанавливают специалисты “Лаборатории Касперского”. Обычно срок действия обучающего режима составляет 2 недели.
Если в ходе обучения правило ни разу не сработало, Адаптивный контроль аномалий будет считать действия, связанные с этим правилом, нехарактерным. Kaspersky Endpoint Security будет блокировать все действия, связанные с этим правилом.
Если в ходе обучения правило сработало, Kaspersky Endpoint Security регистрирует события в отчете о срабатываниях правил и в хранилище Срабатывание правил в состоянии Интеллектуальное обучение.
- Анализ отчета о срабатывании правил.
Администратор анализирует отчет о срабатываниях правил или содержание хранилища Срабатывание правил в состоянии Интеллектуальное обучение. Далее администратор может выбрать поведение Адаптивного контроля аномалий при срабатывании правила: блокировать или разрешить. Также администратор может продолжить отслеживать срабатывание правила и продлить работу приложения в обучающем режиме. Если администратор не предпринимает никаких мер, приложение также продолжит работать в обучающем режиме. Отсчет срока действия обучающего режима начинается заново.
Настройка Адаптивного контроля аномалий происходит в режиме реального времени. Настройка Адаптивного контроля аномалий осуществляется по следующим каналам:
- Адаптивный контроль аномалий автоматически начинает блокировать действия, связанные с правилами, которые не сработали в течение обучающего режима.
- Kaspersky Endpoint Security добавляет новые правила или удаляет неактуальные.
- Администратор настраивает работу Адаптивного контроля аномалий после анализа отчета о срабатывании правил и содержимого хранилища Срабатывание правил в состоянии Интеллектуальное обучение. Рекомендуется проверять отчет о срабатывании правил и содержимое хранилища Срабатывание правил в состоянии Интеллектуальное обучение.
При попытке вредоносного приложения выполнить действие, Kaspersky Endpoint Security заблокирует действие и покажет уведомление (см. рис. ниже).

Уведомление Адаптивного контроля аномалий
Алгоритм работы Адаптивного контроля аномалий
Kaspersky Endpoint Security принимает решение о выполнении действия, связанного с правилом, по следующему алгоритму (см. рис. ниже).

Алгоритм работы Адаптивного контроля аномалий
Параметры компонента Адаптивный контроль аномалий
Отчет о состоянии правил Адаптивного контроля аномалий (доступен только в консоли Kaspersky Security Center) | В этом отчете содержится информация о статусе правил обнаружения Адаптивного контроля аномалий (например, статусы или ). Отчет формируется для всех групп администрирования. |
Отчет о срабатываниях правил Адаптивного контроля аномалий (доступен только в консоли Kaspersky Security Center) | В этом отчете содержится информация о нехарактерных действиях, обнаруженных с помощью Адаптивного контроля аномалий. Отчет формируется для всех групп администрирования. |
Таблица правил Адаптивного контроля аномалий. Правила созданы специалистами “Лаборатории Касперского” на основе типичных сценариев потенциально вредоносной активности. | |
Сообщение о блокировке. Шаблон сообщения для пользователя, которое появляется при срабатывании правила Адаптивного контроля аномалий, блокирующего нехарактерное действие. . Шаблон сообщения для отправки администратору локальной сети организации в случае, если блокировка действия, по мнению пользователя, произошла ошибочно. После запроса пользователя предоставить доступ Kaspersky Endpoint Security отправляет в Kaspersky Security Center событие Сообщение администратору о запрете действия приложения. Описание события содержит сообщение администратору с подставленными переменными. Вы можете посмотреть эти события в консоли Kaspersky Security Center с помощью предустановленной выборки . Если в вашей организации не развернуто решение Kaspersky Security Center или связь с Сервером администрирования отсутствует, приложение отправит сообщение администратору на указанный адрес электронной почты. |
Современная Защита Рабочих Станций
Антивирус и Антишпионское програмное обеспечение Обеспечивает проактивную защиту от всех типов онлайн и офлайн-угроз и предотвращает распространение вредоносного ПО среди других пользователей.
Доступно также для Mac.
Антифишинг Блокирует попытки поддельных веб-сайтов получить конфиденциальную информацию, такую как имена пользователей, пароли или данные банковских и кредитных карт.
Доступно также для Mac.
Защита от Вымогательства Блокирует вредоносные программы, пытающиеся заблокировать доступ к собственным данным.
Усовершенствованное Машинное Обучение Обнаружение современных, невиданных ранее вредоносных программ при минимальном влиянии на производительность.
Защита от Атак на Основе Сценариев Обнаружение вредоносных сценариев Windows PowerShell и JavaScript-атак через веб-браузер.
Сканер UEFI Обнаружение вредоносных сценариев Windows PowerShell и JavaScript-атак через веб-браузер.
ESET LiveGuard Новый уровень защиты для проактивного обнаружения и предотвращения невиданных ранее типов угроз, персонализированный для вас. Работает с широким спектром типов файлов.
Оптимизация Производительности
Игровой Режим Режим Игрока Переключается в беззвучный режим, если какая-либо программа работает в полноэкранном режиме – всплывающих окон нет.
Облачное Cканирование Ускоряет сканирование за счет внесения безопасных файлов в белый список на основе нашей базы данных репутации файлов.
Малые системные требования Предоставляет больше возможностей программам, которые вы используете ежедневно, и продлевает срок службы оборудования.
Просто использовать
Плавное обновление продуктов Воспользуйтесь преимуществами новых технологий защиты, как только они станут доступны, для постоянного высокого уровня безопасности.
Бесплатная Поддержка на Местном Языке Получите бесплатную поддержку по электронной почте и телефону на вашем языке, где бы вы ни находились.
Отчет о Безопасности Предоставляет ежемесячную сводку об обнаруженных угрозах, заблокированных веб-страницах, перехваченных спам-сообщениях, заблокированном доступе к веб-камере и многое другое.
Многоплатформенная Защита*
Планшеты и смартфоны на базе Android
Наслаждайтесь безопасным просмотром веб-страниц
Брандмауэр Предотвращает доступ хакеров к вашему компьютеру. Позвольте вам оставаться невидимым для других пользователей при использовании общедоступных сетей Wi-Fi.
Встроенное решение MacOS.
Защита от сетевых атак Помимо персонального брандмауэра, он автоматически защищает ваш компьютер от вредоносного сетевого трафика, блокируя угрозы, выявленные опасными шаблонами .
Антиспам С высокой точностью предотвращает попадание нежелательной почты в ваш почтовый ящик.
Безопасные банковские операции Эта функция включает защищенный режим браузера, что даёт автоматическую защиту при онлайн-банкинге и доступе к веб-криптокошелькам. Связь между клавиатурой и браузером также зашифрована, для более безопасных транзакций и защиты от кейлоггеров.
Безопасный Просмотр Защитите свою деятельность в Интернете с режимом защищенного браузера. Эта функция даёт дополнительный уровень защиты при просмотре страниц, защищая от вредоносных программ, кейлоггеров и других типов цифровых угроз. Он автоматически активируется для всех совместимых браузеров.
Конфиденциальность и Безопасность Браузера Расширение для браузера, обеспечивающее повышенную безопасность и конфиденциальность. Легко различает безопасные и небезопасные результаты поиска. Оставайтесь защищенными от фишинговых веб-сайтов и других угроз. Очищайте данные браузера по требованию или автоматически, уменьшая цифровой беспорядок и оптимизируя эффективность браузера.
Защита от Ботнетов Защищает ваш компьютер от использования в злонамеренных целях в составе сети зараженных компьютеров (так называемого «ботнета»).
Контролируйте свою сеть и устройства
Родительский Контроль Позволяет блокировать нежелательный интернет-контент по категориям или отдельным веб-сайтам, для безопасности ваших детей в Интернете.
Встроенное решение MacOS.
Встроенное решение MacOS Предупреждает вас о процессах и приложениях, которые пытаются получить доступ к вашей веб-камере, и позволяет заблокировать их.
Встроенное решение MacOS.
Сетевой инспектор Блокирует угрозы сети Wi-Fi, защищая домашний маршрутизатор и показывая, кто к нему подключен. Кроме того, проверяет ваши интеллектуальные устройства на наличие уязвимостей.
Защита от Краж Помогает вам найти и отследить ваш ноутбук в случае его исчезновения в результате потери или кражи.
Встроенное решение MacOS.
Защита от Грубой Силы Блокирует атаки методом перебора — метод обнаружения целевого пароля путем систематического перебора всех комбинаций букв, цифр и символов.
Конфиденциальность и защита личности
Менеджер Паролей Помогает хранить и систематизировать пароли, автоматически заполнять формы и генерировать сверхнадежные зашифрованные пароли.
Встроенное решение MacOS.
Безопасность Данных Зашифруйте файлы и съемные носители, например USB-ключи в операционной системе Windows.
пользователей по всему миру под защитой
престижных наград VB100
Попробуйте перед покупкой
ESET HOME Security Premium
Мощная многоуровневая защита, позволяющая шифровать конфиденциальные данные, легко управлять паролями, обеспечивать безопасность операций в Интернете и многое другое. Удобное решение для повышения уровня конфиденциальности в Интернете. Защищает устройства под управлением Windows, macOS, Android и iOS*.
Без кредитной карты, без обязательств.
Нужна ли мне цифровая безопасность для моего компьютера с Windows?
Да. Если вы используете компьютер с Windows, очень важно, чтобы у вас было установлено актуальное программное обеспечение безопасности.
Windows на протяжении десятилетий была самой популярной операционной системой для ПК, а это значит, что она является наиболее распространенной целью хакеров и преступников. Вредоносные программы, программы-вымогатели и миллионы новых вирусов, предназначенных для использования новых уязвимостей в Windows и предустановленных программах безопасности, появляются каждый год.
Все продукты безопасности ESET для Windows обеспечивают необходимую защиту и постоянно обновляются для защиты от новейших угроз и вирусов. Обладая обширным опытом, глубокими знаниями в области киберугроз и глобальной сетью исследовательских центров и центров безопасности, мы защитим вас от продвинутых киберпреступников и их постоянно развивающихся методов. Мы постоянно внедряем новые решения, чтобы опережать злоумышленников и улучшать ваш цифровой опыт. Наша технология проверена, и ей доверяют независимые организации по тестированию, отраслевые СМИ и более миллиарда людей, которых мы защищаем в Интернете.
Все привет! В уходящем году хочу оставить небольшой след про такой сильный язык программирования, как PowerShell. Вероятно, уже в следующем году, ввиду тенденции отказа от Windows систем в нашей стране, моя практика в этой области закончится, а за пару лет активности, так и не собрался с силами опубликовать что-то подобное. Кода тут не будет, для этого у меня есть отдельная работа с заметками, цель статьи, еще раз подчеркнуть реальные возможности данного языка, где я буду ссылаться на работы, которые я старался делать универсальными, а так же сделаю акцент на полезных модулях.
Буквально два года назад, имея базовые знания навигации в консоли Linux, написание несложных batch-файлов и небольшой опыт VBScript открыл для себя PowerShell, и после этого я уже в прямом смысле этого слова, не мог остановиться реализовывать свои идеи, правда, такое дело очень затягивает. В один момент решился завести канал на GitHub и там же по сей день виду работу с заметками, где за это время накопилось более 6 тысяч строк из описания работы cmdlet (PowerShell-команд) и утилит для Системного Администратора (AD, Exchange, VMWare, MSSQL и т.д.) с примерами, ведь далеко не все получалось найти в интернете, порой, только изучая на практике свойства и методы объектов, можно получить желаемый результат. Так же набралась небольшая коллекция модулей и тестовый стенд WinForms с примерами работы различных методов, на котором я в дальнейшем базировался для написания приложений с графическим интерфейсом. Все работы писал по большей части для себя с целью автоматизировать и разгрузить текущий рабочий процесс, иногда помочь коллегам, именно по этому мне хочется поделиться своими наработками, возможно кому-то это еще сможет пригодиться.
Так сложилось, что многие с кем я общался, недолюбливают данный язык, порой, не воспринимают за язык вовсе, на рынке и правда для написания скриптов есть более функциональные конкуренты, но когда ты являешься администратором Windows систем, то это однозначно лучший, а порой незаменимый инструмент под рукой. Во-первых, язык является объектно-ориентированным, что сильно упрощает работу, и хотя в последнее время активно пишу на Bash, где преимущества в работе с текстом очевидны, но в силу привычки, мне очень не хватает данной модели, прибегая к сторонним инструментам, например jq и xmllint, которые нужно изучать отдельно, формировать массивы используя свой синтаксис. В PowerShell весь процесс автоматизирован и привычен. Во-вторых, язык на прямую интегрирован с платформой .NET, что дает возможности, как создание графических форм, используя WinForms и WPF, сетевые сокеты (например, можно написать свой syslog сервер), использовать различные библиотеки (изначально написанные на, или для C#), вплоть до создания и манипуляциями с графикой (создание или редактирование изображений).
Думаю очевидно, что для системного администратора графический интерфейс дает много возможностей, например, можно оптимизировать работу консольной команды или целого ряда cmdlet, не запоминая все ключи, имея возможность менять параметры наглядно в формах интерфейса. Автоматизировать процесс создания учетных записей в Active Directory, или формирование динамических табличный отчет состояния инфраструктуры VMWare (помимо набора модулей из PowerCLI присутствует целый ряд встроенных командлетов для Hyper-V) или Exchange (EMShell), где с помощью нескольких кликов можно узнать состояние всех баз данных и групп доступности в удобном формате, просмотреть message tracking log и выгрузить PST (возможность, которая отсутствует в консоли управления). Все это позволяет автоматизировать рутину, а главное, оптимизировать работу инструментов под себя. Естественно, никто не мешает выбрать другой интерфейс взаимодействия, например написать своего собственного бота Telegram или использовать Pipeline в Jenkins, где вся логика будет на PowerShell, и вероятно, для многих решения на базе скриптов могут казаться костыльными, тем не менее, это работает, а порой очень хорошо и других вариантов попросту может и не быть. Но в конечно итоге можно создать свою службу (используя бесконечный цикл и NSSM) или даже конвертировать скрипт в исполняемый exe-файл используя модуль ps2exe.
Фоновые задания (Jobs). Здесь смотря с кем сравнивать, например в Bash для управления jobs слишком мало функционала, они есть и работают неплохо, но по факту сами задания непредсказуемы и нуждаются в дополнительном логирование. По времени выполнения, тут все не очень хорошо, но наглядно, т.к. задания выполняются упорядочено (в отличие от Thread в Python). Для сравнения на ping 256 машин занимает примерно 2 минуты используя встроенный модуль, если воспользоваться модулем ThreadJob, время сокращается в среднем до 26 секунд, а вот задания через PoshRSJob уже 13 секунд.

А вот в Python это занимает всего 5 секунд уже с resolve именем хоста, где можно так же создать отдельный поток для графического интерфейса (в примере, TKInter).

Но эту проблему можно исправить, используя классы .NET, например, System.Net.Sockets.TcpClient для проверки портов, где можно определить timeout ожидания ответа в 100мс и ситуация становится более наглядной, и демонстрирует разницу, при проверки одного порта на всех 254 хостах, создание заданий с использования ThreadJob занимает в среднем на 30-40% меньше времени, чем пауза (Start-Sleep) в 100 миллисекунд.

Управлять же заданиями максимально удобно, т.к. есть возможность отслеживать их статус, узнать состояние и время работы, читать вывод, ставить на паузу и даже отслеживать историю выполненных заданий.

Далее мне хотелось увеличить возможности удаленного администрирования без прямого взаимодействия с удаленным пользователем и добавить инструментов, за время работы у меня выработался определенный алгоритм, который я выполняю при анализе проблем в работоспособности операционной системы – это оценка нагрузки процессов, состояние служб, проверка uptime, последних обновлений и установленных приложений, состояние синхронизации компьютерных часов (ntp) и лицензий (kms), анализ сетевых настроен, подключений и конечно логов. Всем этим и не только возможно управлять удаленно, и у меня это получилось поместить в один интерфейс.
Работа с REST API. Есть одна ключевая особенность, PowerShell способен на прямую конвертировать вывод JSON и XML в объект (в обоих направлениях), что сильно оптимизирует работу для написания своих собственных скриптов взаимодействия с различными сервисами, для меня это остается самым удобно читаемым форматом, на фоне альтернатив, например, модулей для IDE. В остальном, преимуществ у Invoke-RestMethod или Invoke-WebRequest над curl особых нет. А вот для создания собственного REST API сервера вариантов наберется даже несколько. Имеется полноценный кроссплатформенный Web Framework Pode для создания REST API, веб-сайтов и серверов TCP/SMTP. Можно воспользоваться встроенным классом .NET HttpListener, на базе которого можно обработать все условия кодов возврата и использоваться базовую авторизация (Base64), и допустим создать возможность управления Windows системой на платформе Linux без необходимости конфигурирования WinRM – WinAPI, пример такой реализации.
В копилку кроссплатформенности, PowerShell Core очень неплохо работает в системе Linux, пусть и реализовано малая часть функционала, тем не менее можно комбинировать с другим языком, например Bash, и создать тот же простенький REST сервер.
Благодаря прямому взаимодействию PowerShell с ОС Windows и COM-объектами, вы можете создавать собственные кликеры на WScript для автоматизации любым простых действий (порой незаменимый подход по сей день, особенно, если это старые desktop Windows приложения), управлять продуктами MS Office (например, автоматическое создание подписи в Outlook с получением информации о пользователи из LDAP), создание и парсинг Excel-отчетов или автоматизация действий в браузере через Internet Explorer (альтернатива Selenium). Для примера у меня была задача, читать из smb каталога Excel-файл и смотреть на даты окончания срока доступа, по итогу такого совпадения делать рассылку на почту (указанную в столбце с Email и информацией в теле письма, о чем идет речь из столбца с описанием). Или, с указанным интервалом получать метрики измерений скорости интернета, используя Okkla Speedtest с выгрузкой их в InfluxDB и отрисовской в Grafana. Так же мне было удобно читать отчеты на почте состояния заданий и репозиториев Veeam, пока я нахожусь в дороге на работу, а позднее, написал модуль получения данных через REST API, который в дальнейшем развил до автоматизации добавления виртуальных машин в систему резервного копирования.
.NET Framework/Core. Модули есть практически для всего, можно даже создать собственный сервер мониторинга через WMI/CIM (фактически метрики дублируют Performance Counter), или библиотеку SNMP. Есть ряд библиотек для различных баз данных, таких как MS SQL (имеет 3 варианта взаимодействия, в том числе встроенный класс System.Data.SqlClient), MySQL Connector, SQLite, для других же присутствует стандартизированный программный интерфейс взаимодействия ODBC (присутствуют драйверы для PostgreSQL, Firebird, Elastic и т.д.). Примеры для работы с различными модулями можно посмотреть тут. У меня как-то была задача, реализовать рассылку оповещений об окончании срока действия лицензий из ITInvent (данная программа мне очень нравится своим удобством удобной, т.к. работал с ней в разных компаниях, но к сожалению данный функционал отсутствовал), где база крутилась в MS SQL Express на Oracle Linux, разобравшись во взаимосвязях между таблицами эту задачу получилось выполнить за 3 дня и на выходе всего 70 строк кода.
Selenium. Очень удобный и простой инструмент в первую очередь для функционального тестирования, но так же может быть полезен при автоматизации тех действий, для которых не предусмотрено API. Ключевой проблемой в PowerShell является отсутствие актуального готового решения подготовки всех зависимостей для работы с данным инструментом. Данный процесс подготовки у меня получилось автоматизировать, и как мне кажется, требует отдельного внимания, по этому планирую написать отдельную статью.
На этом пожалуй все. Осознаю, что многие решения нужно было описывать в свое время отдельной статьей, все работы это только энтузиазм, не являюсь разработчиком, весь опыт исключительно на практике. В освоение большинства тем очень помогали статьи различных источников, в т.ч. Habr и большая база знаний Microsoft, где так же присутствует браузер модулей PowerShell и .NET API.

Привет! Ну что, Microsoft, вот мы и встретились
Обзор гипервизора Proxmox — чек ☑.
Обзор гипервизора ESXi — чек ☑.
Обзор гипервизора Hyper-V — вы находитесь здесь.
Обзор гипервизора KVM.
Какой гипервизор выбрать в 2024 году.
Microsoft Hyper-V — второй по доле гипервизор на рынке (после ESXi). Не в последнюю очередь из-за интеграции в Windows Server (и Windows для ПК тоже). Статья будет длинной и подробной, так что термос чего-нибудь покрепче не помешает — постараюсь затронуть всё самое важное, включая лицензирование, системные требования, ключевые возможности, а в конце с ESXi, KVM и Proxmox сравню.
Что такое Microsoft Hyper-V
.png)
Гипервизор 1-го типа.
.png)
Гипервизор 2-го типа.
Простая аналогия из жизни. Представьте, что владелец бизнеса, например отеля (хост-система), хочет максимально эффективно использовать номера. Он нанимает эффективного менеджера (гипервизор), который управляет всеми бронированиями, обеспечением, подготовкой номеров к проживанию, нанимает другой персонал (другое ПО), чтобы каждый гость (пользователь) заселялся в чистую комнату (виртуальная машина) со всеми удобствами (выделенные ресурсы хоста). Руководству, менеджеру и персоналу безразлично, откуда приехал гость, на каком языке он говорит (различные операционные системы). В соседних номерах может проживать русский (Astra Linux), китаец (Deepin), американец (Windows) и европеец (openSUSE), не мешая друг другу. Максимум в лифте пересекутся или на выходе из отеля (общий сетевой канал хоста).
Главная идея гипервизора — это оптимальное использование вычислительных ресурсов серверов, совместимость с различными программными задачами и удобство администрирования. Правильное и взвешенное внедрение гипервизора/системы виртуализации повышает надёжность системы, сокращает время восстановления после сбоев (RTO/RPO), экономит время админов, а также снижает общую стоимость владения IT-инфраструктурой.
Если ваш сервер выделен под одну задачу, например под хостинг сайта, то виртуализация может быть излишней (особенно на платном ПО), но во многих сценариях гипервизор оправдан, так как вы сможете распределить разные сервисы по разным изолированным ВМ. Например, почтовый сервер, файловый, контроллер домена, сервер приложений. Один сервер вместо четырёх, с лёгким масштабированием, обслуживанием и без конфликтов. Звучит неплохо? А можно и более сложные задачи решать.
Лицензирование Hyper-V: админ ногу сломит
.png)
Если вам показалось, то вам не показалось.
Ремарка! Я не одобряю пиратство ПО. Некоторые компании-разработчики даже в условиях санкций продолжают работу в России, платят налоги и зарплаты, помогают клиентам, выпускают патчи безопасности и продлевают лицензии. Труд разработчиков стоит денег.
Итак, лицензирование здесь непростое, так что приготовьтесь. В рунете вы едва ли найдёте настолько подробный разбор.
Гипервизор Hyper-V тесно интегрирован в операционную систему Windows Server и в экосистему корпорации Microsoft в целом. Если купили Windows Server, значит купили и Hyper-V, так что рассматривать будем именно эту связку. Есть, конечно, и другой вариант — установить гипервизор как отдельный софт “Hyper-V Server”, без GUI и дополнительных ролей Windows Server, но это довольно нишевое решение (позже расскажу, почему).
Вроде пока всё просто? А нет — дьявол в деталях.
Именно версия Windows Server будет определять лицензирование Hyper-V. При неправильном подборе большие инфраструктуры могут влететь на десятки миллионов рублей. Поэтому подходить к этому делу нужно обстоятельно, особенно если собираетесь использовать виртуализацию с гостевыми Windows.
Разбирать будем три продукта:
Windows Server Standard.
-
Windows Server Datacenter.
Чтобы админы не скучали, Microsoft ввела термины Physical Operating System Environment (OSE, среда операционной системы) и Virtual OSE.
Physical OSE означает как бы базовую “физическую” Windows Server, установленную на аппаратном сервере. А Virtual OSE — виртуальная ОС, работающая внутри виртуальной машины на этом же аппаратном сервере.
При покупке Windows Server вы можете установить одну Physical OSE и энное количество Virtual OSE на одном физическом сервере. А вот сколько — это главный вопрос, и ответ на него зависит не только от мощности сервера, но и от редакции системы 🙂 Самое время разобраться в версиях Windows Server и лицензиях, но давайте по порядку.
1. Windows Server Standard Edition — позволяет запускать до двух Virtual OSE (на каждую лицензию) и неограниченное количество контейнеров, если Physical OSE занимается только управлением ВМ (при условии лицензирования всех физических ядер сервера, об этом будет дальше). Но если вы используете Physical OSE для запуска серверных ролей, кроме Hyper-V (например, файловый сервер), вы теряете право на одну из виртуальных машин. Технологии Storage Spaces Direct и Shielded Virtual Machines в редакции Standard недоступны.
2. Windows Server Datacenter Edition — не ограничивает вас в развёртывании Virtual OSE и контейнеров на одном физическом сервере (при условии лицензирования всех физических ядер сервера). Отличный выбор для ЦОДов и облачных сред с высокой степенью виртуализации. Physical OSE можно использовать для управления виртуализацией (через Hyper-V) или для других ролей без ограничений по количеству Virtual OSE. Единственное ограничение — физические возможности хоста. В “Datacenter” есть доступ к службе Host Guardian Service (HGS) и технологиям Storage Spaces Direct и Shielded Virtual Machines.
Ремарка! Практика показывает, что Windows Server Standard проигрывает по стоимости Windows Server Datacenter уже в районе 6-7 виртуальных машин. При этом на лицензии “Datacenter” вы неограниченны в количестве виртуальных машин на хосте. Но считать всё равно нужно индивидуально — с учётом ваших бизнес-задач.
3. Hyper-V Server — это версия Server Core (минималистичная установка Windows Server, есть и более компактный вариант — Nano Server, который используют для контейнеров). Server Core идёт с предустановленной ролью Hyper-V, настроенной при установке. Самое крутое, что Hyper-V Server абсолютно бесплатен. Но Microsoft не благотворительная компания: вам придётся платить за лицензии гостевых систем (за каждую). Если вы работаете со множеством ВМ на Windows, то это встанет в копеечку, поэтому нужно смотреть, не дешевле ли взять платную Windows Server и работать. Самый частый сценарий использования Hyper-V Server — это хост, работающий с виртуальными машинами на открытом ПО, например, VDI на базе Linux. За такую связку платить не надо, только ЗП админу 🙂
.png)
Лицензирование по ядрам.
.png)
Количество 2-ядерных пакетов, необходимых для процессоров хоста.
Корпорация добра перешла к лицензированию по ядрам, начиная с Windows Server 2016. То есть лицензию нужно покупать не на ЦПУ, как было раньше, а на его/их ядра.
Вы обязаны купить минимум 8 Core-лицензий на каждый физический ЦПУ (1 Core-лицензия покрывает 2 ядра), даже если у вас нет 8-ядерного ЦПУ;
Минимум 16 ядер нужно лицензировать на сервер (в односокетном сервере тоже), даже если у вас нет 16 физических ядер. Всё, что сверх 16, тоже нужно лицензировать.
ВАЖНО! Если у вас кластер из нескольких хостов, а ВМ мигрируют между ними, то вам придётся купить лицензии на каждый узел (сервер), словно на нём запущены все ВМ этого кластера. Это может быть очень дорого на Standard Edition (если у вас конечно не 4 виртуалки на кластер), поэтому в кластерах и облачных средах почти безальтернативно покупают редакцию Datacenter, покрывают лицензиями все ядра и работают.
А теперь вопрос к знатокам: как продолжить использовать Windows Server Standard, если нужно больше двух Virtual OSE?
Ответ: сложение лицензий — Windows Server Standard Edition OS License Stacking.
Так как Microsoft посчитала модель лицензирования недостаточно сложной, они придумали сложение aka стекирование лицензий Windows Server Standard.
Например, на хосте, ядра которого трижды покрыты лицензиями Windows Server Standard, вы сможете развернуть до шести Virtual OSE на одном физическом сервере (так как каждая лицензия даёт право на два виртуальных экземпляра).
Ремарка! У вас есть возможность апгрейда Windows Server Standard в версию Datacenter, а также можно перейти с пробной (ознакомительной) на платную (розничную и корпоративную) версию. Аналогично и с переходом на новые версии ОС. Подробнее читайте здесь.
Есть и путь назад — в теории возможно понижение с Datacenter на Standard, но это не поддерживается официально. На ваш страх и риск.
Если решитесь покупать (чего официально сделать в РФ нельзя, но обходные пути есть), то тщательно изучите документацию Microsoft и проконсультируйтесь с лицензионными специалистами для конкретных случаев. Мы в Сервер Молл помогаем клиентам с этими вопросами, так что welcome.
Что входит в Hyper-V
.png)
Microsoft Hyper-V — сложный программный продукт для аппаратной виртуализации, в основе которого лежит много компонентов. Все они в совокупе и создают платформу виртуализации, позволяя администраторам максимально эффективно использовать аппаратные ресурсы серверов.
Ядро гипервизора. Совместимо с х86 64-битными системами. Ядро отвечает за создание, изоляцию и управление ВМ. Именно оно виртуализирует физические ресурсы сервера: ЦПУ, память, сеть, хранилища и т.д. Ядро Hyper-V работает на самом низком уровне — сразу на железе.
Службы управления виртуализацией (VSP, Virtualization Service Provider). Эти службы работают в родительской операционной системе (размещается в корневом разделе) и предоставляют виртуальным машинам доступ к физическим ресурсам.
Виртуальные устройства (VDevs):
Эмулируемые устройства. Эти программные устройства создаются гипервизором и эмулируют (имитируют) функциональность реально существующего оборудования на уровне программного обеспечения. Эмулированные устройства создаются отдельно для каждой ВМ, чтобы они могли взаимодействовать с хост-системой и другими устройствами. Примеры: NIC (встроенный сетевой адаптер), IDE ATA-контроллер.
Драйверы синтетических устройств. Драйверы внутри виртуальных машин, которые не эмулируют настоящие комплектующие, а реализуют поддержку синтетических устройств через шину Virtual Machine Bus (VMBus) — это быстрее и производительнее, чем эмуляция, так как драйверы работают напрямую с гипервизором и нивелируют накладные расходы. Примеры: SCSI-контроллер, HID (human interface device). Но иногда нужно именно эмулируемое устройство, например, для запуска гостевой ОС без поддержки синтетических устройств или для совместимости со старыми версиями ПО.
Интеграционные службы (Integration Services). Набор драйверов и служб, которые улучшают взаимодействие между физическим хостом и виртуальными машинами, повышают производительность и управляемость.
Hyper-V Manager, PowerShell и VMConnect. Основные инструменты управления виртуальными машинами и ресурсами Hyper-V через графический интерфейс (GUI) и интерфейс командной строки (Command line interface, CLI). Hyper-V Manager — дружелюбный вариант для новичков со всем необходимым функционалом, а консоль PowerShell — более гибкий и мощный вариант, который позволяет автоматизировать операции, создавать скрипты для настройки и управления ВМ, ресурсами, сетями и т.д. VMConnect — инструмент для подключения к ВМ, через который можно установить гостевую ОС и взаимодействовать с ней: вкл/выкл ВМ, настройки, подключение к образу DVD (файл .iso) или USB-накопителю, настройка доступа.
Hyper-V Live Migration: Это технология для перемещения ВМ между хостами Hyper-V без прерывания работы приложений и сервисов, запущенных на этих виртуальных машинах. Это позволяет гибко управлять ресурсами повысить доступность системы.
Azure Hybrid Benefit: Если у вас есть подписка на Windows Server с Software Assurance, то Azure Hybrid Benefit позволит вам использовать свои лицензии для запуска виртуальных машин в облаке Azure без дополнительных затрат.
Итак, пора обсудить, какое железо нужно, чтобы всё это дело нормально работало.
Минимальные системные требования Microsoft Hyper-V на Windows Server
.png)
Сразу уточню, что любая система виртуализации, включая гипервизор, кушают ресурсы хоста. Поэтому фактические минимальные системные требования Hyper-V немного выше, чем у Windows Server без активированной компоненты виртуализации. Возможно, ваше оборудование не подойдёт для новых технологий, вроде Storage Spaces Direct и Shielded Virtual Machines, учтите это, так как апгрейд стоит денег.
Для начала смотрим системные требования Windows Server. Далее переходим к требованиям Hyper-V.
Серверы Microsoft Hyper-V


2x Intel Xeon
Silver 4310 (12C 18M Cache 2.1 GHz)
2x Intel Xeon Silver 4310 (12C 18M Cache 2.1 GHz)
2x 16GB DDR4
RDIMM 3200MHz Dell
2x 16GB DDR4 RDIMM 3200MHz Dell
RAID Dell H745 (4GB+BBU)
2x Dell 600W Hot-Plug
2 port 1Gb/s
2 port 1Gb/s (Integrated)
noHDD (до 8 HDD 2.5” SFF)


2x Intel Xeon
Bronze 3408U (8C 22.5M Cache 1.80 GHz)
2x Intel Xeon Bronze 3408U (8C 22.5M Cache 1.80 GHz)
2x 16GB DDR5
RDIMM 4800MHz (Поддержка до 3TB максимально, 32 DIMM портов)
2x 16GB DDR5 RDIMM 4800MHz (Поддержка до 3TB максимально, 32 DIMM портов)
HPE MR216i-p Gen11 (ZM)
4 port 1Gb/s
4 port 1Gb/s RJ-45 (Integrated)
noHDD (до 8 HDD 2.5” SFF)


2x Intel Xeon
Bronze 3204 (6C 8.25M Cache 1.90 GHz)
2x Intel Xeon Bronze 3204 (6C 8.25M Cache 1.90 GHz)
2x 16GB DDR4
RDIMM 2666MHz (Поддержка до 3072GB максимально, 24 DIMM портов)
2x 16GB DDR4 RDIMM 2666MHz (Поддержка до 3072GB максимально, 24 DIMM портов)
RAID Dell H730p (2GB+BBU)
4 port 1Gb/s
4 port 1Gb/s (Integrated)
noHDD (до 12 HDD 2.5” SFF)
x86 64-битный ЦПУ с поддержкой аппаратной виртуализации (Intel VT-x с EPT или AMD-V с RVI), Second Level Address Translation (SLAT) и VM Monitor Mode Extension. Поддержку виртуализации нужно включить в BIOS или UEFI.
SLAT больше не рекомендация, а требование. Он не обязателен для установки Virtual Machine Connection (VMConnect), Hyper-V Manager и PowerShell, но нужен для гипервизора Windows.
Аппаратное предотвращение выполнения данных (DEP) должно быть доступно и включено. Для систем Intel это бит XD (бит запрета выполнения). Для систем AMD это бит NX (бит запрета выполнения).
Оперативная память (RAM):
Зависит от гостевых ОС и их задач, но минимальная рекомендация следующая: 2 ГБ для Hyper-V Server (которая на Server Core) и 4 ГБ для Windows Server с ролью Hyper-V. Больше — лучше. Память нужна для работы хоста и всех ВМ одновременно.
В Windows Server устройства ATA, PATA, IDE и EIDE нельзя использовать в качестве загрузочных дисков, дисков с файлом подкачки или дисков с данными.
32 ГБ — это абсолютный минимум для успешной установки Windows Server 2022 и основных серверных компонентов с ролью сервера веб-служб (IIS). Для установки через сеть или для систем с 16+ ГБ ОЗУ нужно больше постоянной памяти.
Хранилище для создания виртуальных машин — зависит от ваших задач.
Актуальные ОС Windows (Host):
Windows Server 2022, Windows Server 2016, Microsoft Hyper-V Server 2016, Windows Server 2019, Microsoft Hyper-V Server 2019.
Ethernet-адаптер с пропускной способностью не менее 1 гигабит в секунду.
Подключение к сети для обновлений и управления Hyper-V.
Поддержка функций, вроде программного многоуровневого коммутатора (vSwitch).
Рекомендации от меня (не минимальные требования):
Быстрые и надёжные накопители для высокой производительности: SAS HDD, SSD, NVMe SSD.
RAID-массивы, например, RAID 10 (зеркалирование с распределением) может в высокую производительность и защиту дисков от отказов.
Системы резервного копирования по правилу 3-2-1. Про это я писал отдельную статью: “Выбор сервера для бэкапов: надеемся на лучшее, готовимся к худшему”.
Это характеристики, от которых нужно отталкиваться. Любое увеличение количества ВМ и усложнение задач ведёт к повышению системных требований к хосту.
Ключевые возможности Microsoft Hyper-V
.png)
Hyper-V создан для виртуализации. С ним вы сможете создавать и запускать виртуальные машины — это база. Важно, что каждая ВМ работает как полноценный сервер/пк/рабочая станция, со своими ОС и ПО, и все они изолированы друг от друга, включая контроль доступа. Это более эффективный подход, чем запуск одной ОС на одном сервере (особенно в крупных IT-инфраструктурах). Помимо стандартных фич виртуализации Hyper-V открывает админам и другие возможности:
Создание или расширение частной облачной среды. Вы сможете создать более гибкую инфраструктуру и разворачивать IT-услуги по требованию, регулируя использование общих ресурсов сервера по мере изменения нагрузки/спроса.
Эффективное использование оборудования. Виртуализация позволяет консолидировать рабочие нагрузки на меньшем количестве более мощного оборудования, чтобы потреблять меньше электроэнергии и занимать меньше места. При этом сам Hyper-V хорошо оптимизирован и выдаёт высокую производительность виртуализированных сред.
Высокая доступность (HA, High Availability) и отказоустойчивость бизнес-процессов. С Hyper-V можно минимизировать плановые и внеплановые простои рабочих нагрузок. А кластеризация и миграция виртуальных машин обеспечит непрерывную работу приложений даже при отказе хостов.
Виртуальные рабочие столы (VDI, Virtual Desktop Infrastructure). Разверните Hyper-V и Remote Desktop Virtualization Host (RD Virtualization Host) на одном сервере, чтобы создать персональные виртуальные рабочие столы или пулы виртуальных рабочих столов для сотрудников. Это повышает гибкость работы, безопасность данных и упрощает администрирование рабочих пространств.
Повышение эффективности разработки и тестирования. Отличное решение для быстрого развёртывания и уничтожения тестовых сред. Вы сможете быстро разворачивать и рабочие среды для разработки без необходимости покупать и обслуживать дополнительное физическое оборудование.
Лёгкость управления: Hyper-V поддерживает удобный интерфейс удалённого управления (и не один), который позволяет легко создавать, настраивать и управлять виртуальными машинами и ресурсами хоста.
Краткий обзор конкурентных преимуществ Microsoft Hyper-V
Малому и среднему бизнесу возможностей Hyper-V хватит с головой, но он не просто так занимает огромную долю на рынке виртуализации, включая Enterprise-сегмент. Он эффективен и функционален, стоит дешевле ESXi при прочих равных; в некоторых аспектах уступает, в других выигрывает. В любом случае выбирать нужно исходя из бюджета и задач.
Интеграция с экосистемой и другими продуктами Microsoft: Одно из главных преимуществ Hyper-V — это его глубокая интеграция с другими продуктами и сервисами Microsoft:
System Center Virtual Machine Manager (SCVMM). Это интегрированный набор инструментов для виртуализации, который позволяет централизованно управлять большим количеством ВМ на Hyper-V, а также на VMware ESXi 7 и 8 (начиная с версии 2022 года). Распределение ресурсов, автоматизация, миграция и многое другое.
Active Directory и другие службы Windows. Админы могут использовать групповые политики, службы сертификации, идентификации и другие инструменты для управления доступом к виртуальным машинам и ресурсам Hyper-V.
Windows Server Failover Clustering (WSFC). Hyper-V можно использовать с кластером WSFC для высокой доступности виртуальных машин. Это позволяет автоматически переносить виртуальные машины (Live Migration) с одного узла кластера на другой при отказе оборудования или ПО.
Поддержка облачных вычислений: Hyper-V интегрируется с Microsoft Azure, вы сможете работать с ВМ как в локальной среде, так и в облаке.
Стоимость: Hyper-V, как правило, выходит дешевле, чем VMware vSphere, особенно, если вы уже работаете на продуктах Microsoft. Знаю случаи, когда крупные компании переходили с ESXi на Hyper-V только для экономии.
Гибкость и масштабируемость: Hyper-V можно гибко настраивать и масштабировать, что позволяет адаптироваться к меняющимся требованиям и нагрузкам.
Безопасность: Изоляция ВМ, управление доступом, шифрование виртуального трафика, обновления и патчи безопасности, разграничение ролей, мониторинг и аудит, интеграция со сторонними системами безопасности.
Отличная совместимость: Hyper-V работает со многими открытыми стандартами и протоколами, а сама Microsoft предоставляет открытые API: Windows Management Instrumentation (WMI), Hyper-V Management API, Open Virtualization Format (OVF), VHD, VHDX, TCP/IP, IPv6, VLAN и многое другое.
Сценарии использования Microsoft Hyper-V
.png)
ЦОДы и серверные. Hyper-V применяют в крупных корпоративных средах для виртуализации и эффективного управления вычислительными ресурсами.
Тестирование сред с различными конфигурациями. С Hyper-V можно легко создавать ВМ с различными конфигурациями “железа” и ПО для тестирования совместимости приложений или проверки работы в различных средах.
Гибридные облака Azure Stack. Внутри Azure Stack используется гипервизор Hyper-V для виртуализации ресурсов. Это позволяет компаниям создавать собственные гибридные облачные среды, которые работают в локальной сети или в частных дата-центрах. Можно запускать общедоступные сервисы Azure без публичного облака Azure (или с ним при желании).
Виртуализация рабочих столов (VDI). Hyper-V — распространённое решение для виртуализации рабочих столов. Это упрощает управление обновлениями, безопасностью и масштабированием рабочих сред сотрудников.
Построение надёжной инфраструктуры. Hyper-V позволяет разворачивать отказоустойчивые кластеры (Failover Clustering) высокой доступности. Отказ сервера (узла) или нескольких не остановит бизнес-процессы, что особенно важно в критических инфраструктурах. Это особенно важно для критически важных приложений, где даже минуты простоя могут привести к серьёзным последствиям.
И это только снежинка на верхушке айсберга. В основном вы ограничены не возможностями Hyper-V, а бюджетом, оборудованием и компетенциями. Любая крупная IT-инфраструктура использует виртуализацию, не всегда Hyper-V, но всё же. Однако, если у вас малый или средний бизнес, то стоит взвесить все за и против. Если платный гипервизор окажется неоправданно дорогим, то посмотрите в сторону Proxmox VE или KVM — там есть свои плюсы и минусы, зато бесплатно. Но об этом чуть позже.
Плюсы и минусы Microsoft Hyper-V
Плюсы Microsoft Hyper-V
| |
Интеграция с экосистемой Microsoft, что облегчает управление и взаимодействие с другими продуктами и сервисами MS. | Ограниченная поддержка гостевых операционных систем. |
По цене выйдет дешевле ESXi. | Производительность ниже, чем у некоторых конкурентов, особенно в виртуализации сетей. |
Гибкость и масштабируемость, что позволяет адаптировать виртуализированную среду к различным требованиям и нагрузкам. | Ограниченные возможности управления и мониторинга, особенно в сравнении с VMware vSphere. |
Тесная интеграция с облачными сервисами Microsoft Azure, что обеспечивает простое развёртывание и управление виртуализированными средами в облаке и на локальных серверах. | Платно. Сложная система лицензирования, некоторые возможности доступны только в Windows Server Datacenter. |
Хорошая безопасность. Для каждой виртуальной машины, созданной на физическом сервере, драйверы устройств хранятся в отдельных дисковых разделах (.vhd или .vhdx файлы). А это дополнительный уровень безопасности. Каждую ВМ нужно взламывать отдельно. | Ограниченная поддержка некоторых продвинутых функций виртуализации, сетевой виртуализации или SDN, особенно в сравнении с тем же VMware NSX. |




