Sdílet prostřednictvím


Přehled OSConfig

OSConfig je zásobník konfigurace zabezpečení, který používá scénáře k efektivnímu doručování a uplatňování záměru správy pro dosažení požadovaného stavu místních zařízení a zařízení připojených k Azure Arc.

Zásobník OSConfig se skládá ze základních rutin, nativních rozhraní API a definice scénáře, která definuje konfiguraci požadovaného stavu. Definice scénáře je popis konfigurací řízený daty. Konfigurace jsou skupiny nastavení, která používají páry název/hodnota s předdefinovaným pořadím a závislostmi, které odpovídají podoblastem.

OSConfig se běžně vydává s operačním systémem Windows Server (OS), který poskytuje abstrakci konfigurace místního zařízení. Návrh objektového modelu je řízený daty, což umožňuje mapování na různé poskytovatele v operačním systému Windows pro konfiguraci zařízení. Následující diagram popisuje tok OSConfig.

Vývojový diagram konfigurace modulu PowerShell pro operační systém.

V současné době můžete použít OSConfig k vytvoření standardních hodnot zabezpečení pro různé operační systémy Microsoft Edge, jako je Windows Server 2025 a Azure Local 23H2. Integruje se se službou Azure Policy, Microsoft Defenderem, Centrem pro správu Windows a automatizovanou správou konfigurací systému Azure, aby se usnadnilo monitorování a generování sestav o dodržování předpisů.

OSConfig umožňuje vylepšené mapování nebo dokonce přímý převod s jinými existujícími definicemi správy. Mezi tyto definice patří .admx soubory v zásadách skupiny, .mof soubory v rozhraní WMI (Windows Management Instrumentation) a soubory DDF (Device Description Framework) ve zprostředkovateli konfiguračních služeb (CSP).

Kontrola odchylek OSConfig

Jednou z hlavních funkcí OSConfig je řízení posunu. Pomáhá zajistit, aby systém byl spuštěn a zůstal v dobrém známém stavu zabezpečení. Když ho zapnete, OSConfig automaticky opraví všechny změny systému, které se odchylují od požadovaného stavu. OSConfig provede opravu aktualizační úlohou.

Když tuto funkci vypnete, úloha aktualizace je také zakázaná. Uživatelé pak můžou k úpravě systému použít jiné nástroje s OSConfig nebo bez. Každý nástroj pro správu může sloužit různým účelům a může je používat různí aktéři, takže stejnou sadu nastavení zařízení může spravovat více autorit. Autority můžou například používat Azure Policy pro cloudové prostředky nebo prostředky s podporou Azure Arc ve velkém měřítku, zatímco k místní správě můžou používat Centrum pro správu Windows.

Pokud chcete řešit více autorit, orchestrátor zajišťuje deterministické konfigurace v prostředí, ve kterém více autorit používá různé nástroje pro správu IT. V rámci tohoto modelu je každé autoritě přiřazeno pořadí priorit. Toto pořadí priorit se nevztahuje jenom z hlediska konfigurace. Zajišťuje také, že řízení odchylek je povolené pro každou autoritu a dokonce i pro dokument scénáře.

Pro uživatele cloudových prostředků nebo prostředků s podporou Azure Arc je pořadí priorit:

  1. Cloudová autorita (Azure Policy)
  2. Místní autorita (Windows Admin Center a Windows PowerShell)
  3. Jakýkoli jiný nástroj pro nasazení

Standardní hodnoty zabezpečení OSConfig

S Windows Serverem můžete nastavit prioritu zabezpečení od počátku nasazením doporučeného stavu zabezpečení do zařízení a virtuálních počítačů. V průběhu životního cyklu zařízení můžete tyto standardní hodnoty zabezpečení použít pomocí PowerShellu nebo Centra pro správu Windows.

Použití standardních hodnot zabezpečení OSConfig ve vašem prostředí:

Výhody zabezpečení OSConfig

OSConfig je jedna platforma, která:

  • Aplikuje zabezpečovací prvky na zařízení v průběhu celého konfiguračního životního cyklu, včetně konfigurace zabezpečení, nápravy, monitorování, vytváření zpráv a spravování verzí.
  • Poskytuje škálovatelné řešení řízené daty s jednou konzistentní implementací pro několik sad nástrojů pro správu, jako je Windows Admin Center, Azure Arc, PowerShell, Azure Policy a konfigurace počítače Automatické správy Azure.
  • Řídí konzistentní výsledky a vynucuje, která autorita má přednost prostřednictvím modelu více autorit.
  • Podporuje direktivy orchestrace, které dodržují požadavky a závislosti mezi nastaveními.
  • Vynucuje požadovaný stav prostřednictvím detekce odchylek konfigurace, reportování a opravy.
  • Poskytuje abstrakci umožňující modely rozšiřitelnosti, které podporují různé poskytovatele konfigurace.