Místní nasazení standardních hodnot zabezpečení windows Serveru 2025 pomocí OSConfig
Nasazení standardních hodnot zabezpečení systému Windows Server 2025 do vašeho prostředí zajišťuje, že jsou požadovaná bezpečnostní opatření zavedená a poskytují komplexní a standardizovanou architekturu zabezpečení. Standardní hodnoty systému Windows Server 2025 zahrnují více než 300 nastavení zabezpečení, aby bylo zajištěno, že splňuje standardní požadavky na zabezpečení. Poskytuje také podporu spolusprávy pro místní zařízení i zařízení připojená k Azure Arc. Standardní hodnoty zabezpečení je možné nakonfigurovat prostřednictvím PowerShellu, Centra pro správu Windows a Azure Policy. Nástroj OSConfig je zásobník konfigurace zabezpečení, který používá přístup založený na scénářích k poskytování a použití požadovaných bezpečnostních opatření pro vaše prostředí. Standardní hodnoty zabezpečení v průběhu životního cyklu zařízení je možné použít pomocí OSConfig počínaje počátečním procesem nasazení.
Některé klíčové body základů zabezpečení nabízejí následující prosazení:
- Zabezpečené jádro: UEFI MAT, zabezpečené spouštění, podepsaný spouštěcí řetězec
- Protokoly: Vynuceno TLS 1.2+, SMB 3.0+, Kerberos AES
- Ochrana přihlašovacích údajů: LSASS/PPL
- Zásady účtu a hesel
- Zásady zabezpečení a možnosti zabezpečení
Úplný seznam nastavení standardních hodnot zabezpečení získáte na GitHubu.
Pokyny k vyhodnocení
V případě operací ve velkém měřítku můžete pomocí služby Azure Policy a konfigurace počítače Automanage Azure monitorovat a zobrazit skóre dodržování předpisů.
Důležitý
Po použití standardních hodnot zabezpečení se nastavení zabezpečení systému změní spolu s výchozím chováním. Před použitím těchto změn v produkčních prostředích pečlivě otestujte.
Po použití standardních hodnot zabezpečení pro členské servery a členské scénáře pracovní skupiny se zobrazí výzva ke změně hesla místního správce.
Níže najdete seznam výraznějších změn po použití základních hodnot:
Heslo místního správce musí být změněno. Nové zásady hesel musí splňovat požadavky na složitost a minimální délku 14 znaků. Toto pravidlo platí pouze pro místní uživatelské účty; při přihlašování pomocí účtu domény převládají požadavky na doménu pro účty domény.
Připojení TLS podléhají minimálně protokolu TLS/DTLS 1.2 nebo vyšší, což může bránit připojení ke starším systémům.
Možnost kopírovat a vkládat soubory z relací RDP je zakázaná. Pokud potřebujete použít tuto funkci, spusťte následující příkaz a restartujte zařízení:
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/<ServerRoleBeingApplied> -Name RemoteDesktopServicesDoNotAllowDriveRedirection -Value 0Připojení podléhají protokolu SMB 3.0 nebo vyššímu, protože při připojování k systémům jiným než Windows, jako je Linux SAMBA, musí být podporován protokol SMB 3.0, nebo je potřeba upravit základní konfiguraci.
Pokud právě konfigurujete stejná nastavení pomocí dvou různých metod, přičemž jednou z nich je OSConfig, očekávají se konflikty. Zvláště u řízení drifu je nutné odebrat jeden ze zdrojů, pokud se parametry liší, abyste zabránili neustálé změně nastavení mezi zdroji.
V konkrétních konfiguracích domény můžete narazit na chyby překladu identifikátorů SID. Nemá vliv na zbytek definice standardních hodnot zabezpečení a dá se ignorovat.
Požadavky
Na vašem zařízení musí běžet Windows Server 2025. OSConfig nepodporuje starší verze Windows Serveru.
Instalace modulu PowerShellu OSConfig
Než budete moct poprvé použít standardní hodnoty zabezpečení, musíte modul OSConfig nainstalovat prostřednictvím okna PowerShellu se zvýšenými oprávněními:
Vyberte Start, zadejte PowerShell, najeďte myší na Windows PowerShella vyberte Spustit jako správce.
Spuštěním následujícího příkazu nainstalujte modul OSConfig:
Install-Module -Name Microsoft.OSConfig -Scope AllUsers -Repository PSGallery -ForcePokud se zobrazí výzva k instalaci nebo aktualizaci poskytovatele NuGet, vyberte Ano.
Spuštěním následujícího příkazu ověřte, že je nainstalovaný modul OSConfig:
Get-Module -ListAvailable -Name Microsoft.OSConfig
Správa standardních hodnot zabezpečení pro Windows Server 2025
Použijte odpovídající standardní hodnoty zabezpečení na základě role Windows Serveru vašeho zařízení:
- Řadič domény (DC)
- Členský server (připojený k doméně)
- Členský server pracovní skupiny (nepřipojil se k doméně)
Základní prostředí využívá OSConfig. Po použití jsou nastavení standardních hodnot zabezpečení chráněná před automatickým posunem, což je jedna z klíčových funkcí platformy zabezpečení.
Poznámka
U zařízení připojených k Azure Arc můžete použít standardní hodnoty zabezpečení před připojením nebo po připojení. Pokud se ale role serveru po připojení změní, musíte přiřazení odstranit a znovu použít, aby platforma konfigurace počítače zjistila změnu role. Další informace o odstranění přiřazení najdete v tématu Odstranění přiřazení hostů ze služby Azure Policy.
Pokud chcete použít směrný plán, ověřte použití směrného plánu, odeberte směrný plán nebo zobrazte podrobné informace o dodržování předpisů pro OSConfig v PowerShellu, použijte příkazy na následujících kartách.
- Konfigurace
- Ověřit
- odebrat
- Kontrola dodržování předpisů
Pokud chcete použít směrný plán pro zařízení připojené k doméně, spusťte následující příkaz:
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Default
Pokud chcete použít základní konfiguraci pro zařízení, které je v pracovní skupině (workgroup), spusťte následující příkaz:
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember -Default
Chcete-li použít základní nastavení pro zařízení, které je nakonfigurované jako řadič domény, spusťte následující příkaz:
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController -Default
Pokud chcete pro zařízení použít standardní hodnoty zabezpečeného jádra, spusťte následující příkaz:
Set-OSConfigDesiredConfiguration -Scenario SecuredCore -Default
Pokud chcete pro zařízení použít směrný plán antivirové ochrany v programu Microsoft Defender, spusťte následující příkaz:
Set-OSConfigDesiredConfiguration -Scenario Defender/Antivirus -Default
Poznámka
Když použijete nebo odeberete základní nastavení zabezpečení, je vyžadováno restartování, aby změny vstoupily v platnost.
Při přizpůsobení standardních hodnot zabezpečení se vyžaduje restartování, aby se změny projevily v závislosti na tom, které funkce zabezpečení jste upravili.
Během procesu odebrání , když jsou obnoveny nastavení zabezpečení, není zaručeno, že se tato nastavení změní zpět na jejich předspravovanou konfiguraci. Závisí na konkrétních nastaveních v rámci standardních hodnot zabezpečení. Toto chování odpovídá možnostem, které poskytují zásady Microsoft Intune. Další informace najdete v tématu Odebrání přiřazení standardních hodnot zabezpečení.
Přizpůsobení standardních hodnot zabezpečení pro Windows Server 2025
Po dokončení konfigurace standardních hodnot zabezpečení můžete upravit nastavení zabezpečení při zachování kontroly odchylky. Přizpůsobení hodnot zabezpečení umožňuje větší kontrolu nad zásadami zabezpečení vaší organizace v závislosti na konkrétních potřebách vašeho prostředí.
Pokud chcete upravit výchozí hodnotu AuditDetailedFileShare z 2 na 3 pro členský server, spusťte následující příkaz:
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare -Value 3
Pokud chcete ověřit, že se nová hodnota použije, spusťte následující příkaz:
Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare
Poznámka
V závislosti na tom, která nastavení zabezpečení jsou přizpůsobená, se očekává určitý uživatelský vstup. Mezi tyto vstupy patří:
MessageTextUserLogonMessageTextUserLogonTitleRenameAdministratorAccountRenameGuestAccount
Až zadáte potřebný vstup, pokračujte výběrem klávesy Enter.
Poskytnutí zpětné vazby pro OSConfig
Pokud jste po použití standardních hodnot zabezpečení zablokovaní nebo dochází k přerušení práce, vytvořte chybu pomocí centra Feedback Hub. Další informace o odesílání zpětné vazby najdete v tématu Hlubší pohled na zpětnou vazbu.
Uveďte základní úroveň zabezpečení OSConfig jako titulek zpětné vazby. V části Zvolte kategoriivyberte Windows Server z rozevíracího seznamu a pak v sekundárním rozevíracím seznamu vyberte Management a pokračujte odesláním zpětné vazby.