Übersicht über OSConfig

• Gilt für::

  ✅ Windows Server 2025

OSConfig ist ein Sicherheitskonfigurationsstapel, der Szenarien verwendet, um administrative Absichten effizient bereitzustellen und anzuwenden, um den gewünschten Zustand von lokalen und mit Azure Arc verbundenen Geräten zu erreichen.

Der OSConfig-Stapel besteht aus Basis-Cmdlets, systemeigenen APIs und einer Szenariodefinition, die die gewünschte Zustandskonfiguration definiert. Die Szenariodefinition ist eine datengesteuerte Beschreibung der Konfigurationen. Bei den Konfigurationen handelt es sich um Gruppen von Einstellungen, die Name-Wert-Paare mit einer vordefinierten Reihenfolge und Abhängigkeiten verwenden, die Unterbereichen entsprechen.

OSConfig wird häufig mit dem Windows Server-Betriebssystem (OS) veröffentlicht, um eine Abstraktion für die Konfiguration lokaler Geräte bereitzustellen. Das Objektmodelldesign ist datengesteuert, sodass verschiedene Anbieter im Windows-Betriebssystem für die Gerätekonfiguration zugeordnet werden können. Das folgende Diagramm beschreibt den OSConfig-Fluss.

Derzeit können Sie OSConfig verwenden, um Sicherheitsgrundwerte für verschiedene Microsoft Edge-OSs wie Windows Server 2025 und Azure Local 23H2 einzurichten. Sie ist in die Konfiguration von Azure-Richtlinien, Microsoft Defender, Windows Admin Center und Azure Automanage-Computern integriert, um die Überwachung und Complianceberichterstattung zu erleichtern.

OSConfig ermöglicht eine verbesserte Zuordnung oder sogar direkte Konvertierung mit anderen vorhandenen Verwaltungsdefinitionen. Zu diesen Definitionen gehören .admx Dateien in Gruppenrichtlinien, .mof Dateien in der Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI) und DDF-Dateien (Device Description Framework) im Konfigurationsdienstanbieter (CSP).

OSConfig-Driftsteuerung

Eines der Hauptfeatures von OSConfig ist die Driftsteuerung. Es trägt dazu bei, sicherzustellen, dass das System gestartet wird und in einem bekannten guten Sicherheitszustand verbleibt. Wenn Sie es aktivieren, korrigiert OSConfig automatisch alle Systemänderungen, die vom gewünschten Zustand abweichen. OSConfig nimmt die Korrektur über eine Aktualisierungsaufgabe vor.

Wenn Sie das Feature deaktivieren, ist die Aktualisierungsaufgabe ebenfalls deaktiviert. Benutzer können dann andere Tools mit oder ohne OSConfig verwenden, um das System zu ändern. Jedes Verwaltungstool kann verschiedenen Zwecken dienen und von verschiedenen Akteuren verwendet werden, sodass mehrere Behörden dieselben Geräteeinstellungen verwalten können. Behörden können z. B. Azure Policy für Cloud- oder Azure Arc-fähige Ressourcen im großen Maßstab verwenden, während sie Windows Admin Center für die lokale Verwaltung verwenden können.

Um mehrere Behörden zu adressieren, stellt ein Orchestrator eine deterministische Konfiguration in einer Umgebung sicher, in der mehrere Behörden verschiedene IT-Verwaltungstools verwenden. Unter diesem Modell wird jeder Autorität eine Rangfolge zugewiesen. Diese Rangfolge gilt nicht nur aus Konfigurationsperspektive. Außerdem wird sichergestellt, dass die Driftsteuerung pro Autorität und sogar pro Szenariodokument zulässig ist.

Für Benutzer von Cloud- oder Azure Arc-fähigen Ressourcen lautet die Rangfolge:

1. Cloud-Autorität (Azure-Richtlinie)
2. Lokale Autorität (Windows Admin Center und Windows PowerShell)
3. Jedes andere Bereitstellungstool

OSConfig-Sicherheitsbaselines

Mit Windows Server können Sie sicherheit von Anfang an priorisieren, indem Sie einen empfohlenen Sicherheitsstatus auf Ihren Geräten und virtuellen Computern bereitstellen. Während des gesamten Gerätelebenszyklus können Sie diese Sicherheitsgrundwerte mithilfe von PowerShell oder Windows Admin Center anwenden.

Anwenden der OSConfig-Sicherheitsbaselines in Ihrer Umgebung:

• Der Sicherheitsstatus wird verbessert, indem Legacyprotokolle und -verschlüsselungsverfahren deaktiviert werden.
• Reduziert die Betriebskosten mit dem integrierten Driftschutzmechanismus, der eine konsistente Überwachung über den Azure Arc Hybrid Edge-Basisplan ermöglicht.
• Ermöglicht Es Ihnen, die Benchmarks des Center for Internet Security (CIS) und die Security Information Systems Agency Security Technical Implementation Guides (DISA STIGs) für die empfohlenen Sicherheitsgrundwerte des Betriebssystems zu erfüllen.

Sicherheitsvorteile von OsConfig

OSConfig ist eine einzige Plattform, die:

• Wendet Sicherheitsnutzlasten während des gesamten Konfigurationslebenszyklus auf Geräte an, einschließlich Sicherheitskonfiguration, Wartung, Überwachung, Berichterstellung und Versionsverwaltung.
• Stellt eine skalierbare, datengesteuerte Lösung mit einer einzigen, konsistenten Implementierung für mehrere Verwaltungstoolsätze bereit, z. B. Windows Admin Center, Azure Arc, PowerShell, Azure-Richtlinie und Azure Automanage-Computerkonfiguration.
• Führt konsistente Ergebnisse durch und erzwingt, welche Autorität Vorrang über das Modell mit mehreren Autoritäten hat.
• Unterstützt Orchestrierungsdirektiven, die Voraussetzungen und Abhängigkeiten zwischen den Einstellungen berücksichtigen.
• Sie erzwingt den gewünschten Zustand über die Erkennung und Korrektur von Konfigurationsabweichungen und die Erstellung entsprechender Berichte (Driftsteuerung).
• Sie bietet eine Abstraktionsebene, um die Verwendung von Erweiterbarkeitsmodellen zu ermöglichen, die unterschiedliche Konfigurationsanbieter unterstützen.

Zugehöriger Inhalt

• Bereitstellen von OSConfig-Sicherheitsbaselines lokal