Bereitstellen von OSConfig-Sicherheitsbaselines lokal
OSConfig ist ein Sicherheitskonfigurationsstapel, der einen szenariobasierten Ansatz verwendet, um die gewünschten Sicherheitsmaßnahmen für Ihre Umgebung bereitzustellen und anzuwenden. Es bietet Unterstützung für die Co-Management-Unterstützung sowohl für lokale als auch für azure Arc-verbundene Geräte. Sie können Windows PowerShell oder Windows Admin Center verwenden, um die Sicherheitsgrundwerte während des gesamten Gerätelebenszyklus anzuwenden, beginnend mit dem anfänglichen Bereitstellungsprozess.
Einige der Highlights der Sicherheitsgrundwerte stellen die folgenden Durchsetzungen bereit:
- Secured-Core: UEFI MAT, sicherer Start, signierte Startkette
- Protokolle: TLS erzwungen 1.2+, SMB 3.0+, Kerberos AES
- Schutz von Anmeldeinformationen: LSASS/PPL
- Konto- und Kennwortrichtlinien
- Sicherheitsrichtlinien und Sicherheitsoptionen
Sie können die vollständige Liste der Einstellungen für die Sicherheitsbaselines auf GitHub abrufen.
Evaluierungsleitfaden
Verwenden Sie azure Policy und Azure Automanage Machine Configuration, um Ihre Compliancebewertung zu überwachen und anzuzeigen.
Wichtig
Nachdem Sie die Sicherheitsgrundwerte angewendet haben, ändert sich die Sicherheitseinstellung Ihres Systems zusammen mit den Standardverhalten. Testen Sie sorgfältig, bevor Sie diese Änderungen in Produktionsumgebungen anwenden.
Sie werden aufgefordert, Ihr lokales Administratorkennwort zu ändern, nachdem Sie die Sicherheitsbasiswerte für Mitgliedsserver- und Workroup-Mitgliedsszenarien angewendet haben.
Nachfolgend finden Sie eine Liste mit spürbareren Änderungen, nachdem die Basispläne angewendet wurden:
Das Kennwort des lokalen Administrators muss geändert werden. Die neue Kennwortrichtlinie muss die Komplexitätsanforderungen und die Mindestlänge von 14 Zeichen erfüllen. Dies gilt nur für lokale Benutzerkonten; Bei der Anmeldung mit einem Domänenkonto gelten Domänenanforderungen für Domänenkonten.
TLS-Verbindungen unterliegen mindestens TLS/DTLS 1.2 oder höher, wodurch Verbindungen zu älteren Systemen verhindert werden können.
Die Möglichkeit zum Kopieren und Einfügen von Dateien aus RDP-Sitzungen ist deaktiviert. Wenn Sie diese Funktion verwenden müssen, führen Sie den folgenden Befehl aus, und starten Sie ihr Gerät neu:
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/<ServerRoleBeingApplied> -Name RemoteDesktopServicesDoNotAllowDriveRedirection -Value 0Verbindungen unterliegen mindestens SMB 3.0. Die Verbindung mit Nicht-Windows-Systemen, z. B. Linux SAMBA, muss SMB 3.0 unterstützen, oder Anpassungen an den Basisplan sind erforderlich.
Wenn Sie derzeit die gleichen Einstellungen mit zwei verschiedenen Methoden konfigurieren, wird eine osConfig erwartet. Insbesondere bei der Abweichungskontrolle, da Sie eine der Quellen entfernen müssen, wenn sich die Parameter unterscheiden, um zu verhindern, dass sich die Einstellungen zwischen Quellen ständig ändern.
Möglicherweise treten SID-Übersetzungsfehler in bestimmten Domänenkonfigurationen auf. Sie wirkt sich nicht auf die restliche Definition der Sicherheitsgrundwerte aus und kann ignoriert werden.
Voraussetzungen
Stellen Sie sicher, dass Ihr Gerät Windows Server 2025 ausführt. OSConfig unterstützt keine früheren Versionen von Windows Server.
Installieren des OSConfig-PowerShell-Moduls
Bevor Sie zum ersten Mal einen Sicherheitsgrundwert anwenden können, müssen Sie das OSConfig-Modul über ein PowerShell-Fenster mit erhöhten Rechten installieren:
Wählen Sie "Start", geben Sie "PowerShell" ein, zeigen Sie auf Windows PowerShell, und wählen Sie "Als Administrator ausführen" aus.
Führen Sie den folgenden Befehl aus, um das OSConfig-Modul zu installieren:
Install-Module -Name Microsoft.OSConfig -Scope AllUsers -Repository PSGallery -ForceWenn Sie aufgefordert werden, den NuGet-Anbieter zu installieren oder zu aktualisieren, wählen Sie "Ja" aus.
Führen Sie den folgenden Befehl aus, um zu überprüfen, ob das OSConfig-Modul installiert ist:
Get-Module -ListAvailable -Name Microsoft.OSConfig
Verwalten von OSConfig-Sicherheitsbaselines
Wenden Sie die entsprechenden Sicherheitsgrundwerte basierend auf der Windows Server-Rolle Ihres Geräts an:
- Domänencontroller (DC)
- Mitgliedsserver
- Arbeitsgruppenmitglied
Die Grundlegende Erfahrung wird von OSConfig unterstützt. Nach der Anwendung werden Ihre Sicherheitsgrundwerte automatisch vor jeder Abweichung geschützt, die eines der wichtigsten Features seiner Sicherheitsplattform ist.
Hinweis
Für mit Azure Arc verbundene Geräte können Sie die Sicherheitsgrundwerte vor oder nach dem Herstellen der Verbindung anwenden. Wenn sich jedoch die Rolle Ihres Servers nach der Verbindung ändert, müssen Sie die Zuweisung löschen und erneut anwenden, um sicherzustellen, dass die Computerkonfigurationsplattform die Rollenänderung erkennen kann. Weitere Informationen zum Löschen einer Aufgabe finden Sie unter "Löschen von Gastzuweisungen aus Azure Policy".
Um einen Basisplan anzuwenden, überprüfen Sie, ob der Basisplan angewendet wird, entfernen Sie einen Basisplan, oder zeigen Sie detaillierte Complianceinformationen für OSConfig in PowerShell an, verwenden Sie die Befehle auf den folgenden Registerkarten.
Führen Sie den folgenden Befehl aus, um den Basisplan für ein in eine Domäne eingebundenes Gerät anzuwenden:
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Default
Führen Sie den folgenden Befehl aus, um die Baseline für ein Gerät in einer Arbeitsgruppe anzuwenden:
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember -Default
Führen Sie den folgenden Befehl aus, um die Baseline für ein Gerät anzuwenden, das als Domänencontroller (DC) konfiguriert ist:
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController -Default
Führen Sie den folgenden Befehl aus, um die Secured-Core-Baseline für ein Gerät anzuwenden:
Set-OSConfigDesiredConfiguration -Scenario SecuredCore -Default
Führen Sie den folgenden Befehl aus, um die Microsoft Defender Antivirus-Baseline für ein Gerät anzuwenden:
Set-OSConfigDesiredConfiguration -Scenario Defender/Antivirus -Default
Hinweis
Wenn Sie einen Sicherheitsgrundplan anwenden oder entfernen , ist ein Neustart erforderlich, damit Änderungen wirksam werden.
Wenn Sie einen Sicherheitsgrundplan anpassen , ist ein Neustart erforderlich, damit Änderungen wirksam werden, je nachdem, welche Sicherheitsfeatures Sie geändert haben.
Während des Entfernungsprozesses ist das Ändern dieser Einstellungen auf ihre vorverarbeitete Konfiguration nicht garantiert, wenn Sicherheitseinstellungen wiederhergestellt werden. Dies hängt von den spezifischen Einstellungen innerhalb der Sicherheitsbaseline ab. Dieses Verhalten richtet sich an die Funktionen, die die Microsoft Intune-Richtlinien bereitstellen. Weitere Informationen finden Sie unter Verwalten von Sicherheitsbaselineprofilen in Microsoft Intune.
Anpassen von OSConfig-Sicherheitsbaselines
Nachdem Sie die Sicherheitsbasisplankonfiguration abgeschlossen haben, können Sie die Sicherheitseinstellungen ändern und dabei die Driftsteuerung beibehalten. Durch das Anpassen der Sicherheitswerte können Sie die Sicherheitsrichtlinien Ihrer Organisation je nach den spezifischen Anforderungen Ihrer Umgebung besser steuern.
Führen Sie den folgenden Befehl aus, um den Standardwert von AuditDetailedFileShare bis 2 3 zu Ihrem Memberserver zu bearbeiten:
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare -Value 3
Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der neue Wert angewendet wird:
Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare
Hinweis
Je nachdem, welche Sicherheitseinstellungen angepasst werden, wird eine bestimmte Benutzereingabe erwartet. Diese Eingaben lauten wie folgt:
MessageTextUserLogonMessageTextUserLogonTitleRenameAdministratorAccountRenameGuestAccount
Nachdem Sie die erforderliche Eingabe eingegeben haben, wählen Sie die EINGABETASTE aus, um fortzufahren.
Feedback für OSConfig
Wenn Sie nach dem Anwenden der Sicherheitsgrundwerte eine Arbeitsunterbrechung blockiert oder auftreten, geben Sie einen Fehler mithilfe des Feedback-Hubs ein. Weitere Informationen zum Übermitteln von Feedback finden Sie unter "Tiefere Betrachtung des Feedbacks".
Stellen Sie uns osConfig-Sicherheitsgrundwerte als Feedbacktitel bereit. Wählen Sie unter "Kategorie auswählen " in der Dropdownliste "Windows Server " und dann " Verwaltung " aus der sekundären Dropdownliste aus, und fahren Sie mit der Übermittlung Ihres Feedbacks fort.