Implementación local de líneas base de seguridad de OSConfig

• Se aplica a:

  ✅ Windows Server 2025

OSConfig es una pila de configuración de seguridad que usa un enfoque basado en escenarios para ofrecer y aplicar medidas de seguridad deseadas para su entorno. Proporciona compatibilidad con la administración conjunta para dispositivos locales y conectados a Azure Arc. Puede usar Windows PowerShell o Windows Admin Center para aplicar las líneas base de seguridad a lo largo del ciclo de vida del dispositivo, empezando por el proceso de implementación inicial.

Algunos de los aspectos destacados de las líneas base de seguridad proporcionan las siguientes exigencias:

• Núcleo protegido: UEFI MAT, arranque seguro, cadena de arranque firmada
• Protocolos: TLS aplicado 1.2+, SMB 3.0+, Kerberos AES
• Protección de credenciales: LSASS/PPL
• Directivas de cuenta y contraseña
• Directivas de seguridad y opciones de seguridad

Puede obtener la lista completa de la configuración de las líneas base de seguridad en GitHub.

Guía de evaluación

Para las operaciones a escala, use Azure Policy y Azure Automanage Machine Configuration para supervisar y ver la puntuación de cumplimiento.

Importante

Después de aplicar la línea base de seguridad, la configuración de seguridad del sistema cambiará junto con los comportamientos predeterminados. Pruebe detenidamente antes de aplicar estos cambios en entornos de producción.

Se le pedirá que cambie la contraseña del administrador local después de aplicar la línea de base de seguridad para los escenarios de servidor miembro y miembro de Workroup.

A continuación puede encontrar una lista de cambios más notables después de aplicar las líneas base:

• Se debe cambiar la contraseña del administrador local. La nueva directiva de contraseñas debe cumplir los requisitos de complejidad y la longitud mínima de 14 caracteres. Esto solo se aplica a las cuentas de usuario locales; al iniciar sesión con una cuenta de dominio, prevalecen los requisitos de dominio para las cuentas de dominio.

• Las conexiones TLS están sujetas a un mínimo de TLS/DTLS 1.2 o superior, lo que puede impedir conexiones a sistemas más antiguos.

• La capacidad de copiar y pegar archivos de sesiones RDP está deshabilitada. Si necesita usar esta función, ejecute el siguiente comando y reinicie el dispositivo:

  Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/<ServerRoleBeingApplied> -Name RemoteDesktopServicesDoNotAllowDriveRedirection -Value 0
  

• Las conexiones están sujetas a SMB 3.0 como mínimo o superior. La conexión a sistemas que no son windows, como Linux SAMBA, debe admitir SMB 3.0 o se necesitan ajustes en la línea base.

• Si actualmente está configurando las mismas opciones con dos métodos diferentes, se espera uno que sea OSConfig. Especialmente con el control de desfase implicado, ya que debe quitar uno de los orígenes si los parámetros son diferentes para evitar que la configuración cambie constantemente entre orígenes.

• Es posible que se produzcan errores de traducción de SID en configuraciones de dominio específicas. No afecta al resto de la definición de línea de base de seguridad y se puede omitir.

Requisitos previos

Asegúrese de que el dispositivo ejecuta Windows Server 2025. OSConfig no admite versiones anteriores de Windows Server.

Instale el módulo de PowerShell de OSConfig.

Para poder aplicar una línea base de seguridad por primera vez, debe instalar el módulo OSConfig a través de una ventana de PowerShell con privilegios elevados:

1. Seleccione Inicio, escriba PowerShell, mantenga el puntero sobre Windows PowerShell y seleccione Ejecutar como administrador.

2. Ejecute el siguiente comando para instalar el módulo de OSConfig:

   Install-Module -Name Microsoft.OSConfig -Scope AllUsers -Repository PSGallery -Force
   

   Si se le pide que instale o actualice el proveedor de NuGet, seleccione Sí.

3. Para comprobar que el módulo OSConfig está instalado, ejecute el siguiente comando:

   Get-Module -ListAvailable -Name Microsoft.OSConfig
   

Administración de líneas base de seguridad de OSConfig

Aplique las líneas base de seguridad adecuadas, en función del rol de Windows Server del dispositivo:

• Controlador de dominio (DC)
• Servidor miembro
• Miembro del grupo de trabajo

La experiencia de línea base se basa en OSConfig. Una vez aplicada, la configuración de línea de base de seguridad se protege de cualquier desfase automáticamente, que es una de las características clave de su plataforma de seguridad.

Nota:

En el caso de los dispositivos conectados a Azure Arc, puede aplicar las líneas base de seguridad antes o después de conectarse. Pero si el rol del servidor cambia después de la conexión, debe eliminar y volver a aplicar la asignación para asegurarse de que la plataforma de configuración de la máquina pueda detectar el cambio de rol. Para más información sobre cómo eliminar una asignación, consulte Eliminación de asignaciones de invitados de Azure Policy.

Para aplicar una línea base, compruebe que se aplica la línea base, quite una línea base o vea información detallada de cumplimiento de OSConfig en PowerShell, use los comandos de las pestañas siguientes.

Configuración

Para aplicar la línea base de un dispositivo unido a un dominio, ejecute el siguiente comando:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Default

Para aplicar la línea base de un dispositivo que se encuentra en un grupo de trabajo, ejecute el siguiente comando:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember -Default

Para aplicar la línea base de un dispositivo configurado como controlador de dominio, ejecute el siguiente comando:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController -Default

Para aplicar la línea base de núcleo protegido para un dispositivo, ejecute el siguiente comando:

Set-OSConfigDesiredConfiguration -Scenario SecuredCore -Default

Para aplicar la línea base de Antivirus de Microsoft Defender para un dispositivo, ejecute el siguiente comando:

Set-OSConfigDesiredConfiguration -Scenario Defender/Antivirus -Default

Verify

Para comprobar que la línea base de un dispositivo unido a un dominio se aplica correctamente, ejecute el siguiente comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer

Para comprobar que la línea base de un dispositivo que se encuentra en un grupo de trabajo se aplica correctamente, ejecute el siguiente comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember

Para comprobar que la línea base de un dispositivo configurado como controlador de dominio se aplica correctamente, ejecute el siguiente comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController

Para comprobar que la línea base de núcleo protegido para un dispositivo se aplica correctamente, ejecute el siguiente comando:

Get-OSConfigDesiredConfiguration -Scenario SecuredCore

Para comprobar que la línea base de Antivirus de Microsoft Defender para un dispositivo se aplica correctamente, ejecute el siguiente comando:

Get-OSConfigDesiredConfiguration -Scenario Defender/Antivirus

Remove

Para quitar la línea base de un dispositivo unido a un dominio, ejecute el siguiente comando:

Remove-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer

Para quitar la línea base de un dispositivo que se encuentra en un grupo de trabajo, ejecute el siguiente comando:

Remove-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember

Para quitar la línea base de un dispositivo configurado como controlador de dominio, ejecute el siguiente comando:

Remove-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController

Para quitar la línea base de núcleo protegido para un dispositivo, ejecute el siguiente comando:

Remove-OSConfigDesiredConfiguration -Scenario SecuredCore

Para quitar la línea base de Antivirus de Microsoft Defender para un dispositivo, ejecute el siguiente comando:

Remove-OSConfigDesiredConfiguration -Scenario Defender/Antivirus

Comprobación del cumplimiento

Para obtener los detalles de configuración deseados para el escenario especificado, use los siguientes comandos. La salida aparece en un formato de tabla que incluye el nombre del elemento de configuración, su estado de cumplimiento y el motivo de incumplimiento.

Para comprobar los detalles de cumplimiento de un dispositivo unido a un dominio, ejecute el siguiente comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Para comprobar los detalles de cumplimiento de un dispositivo de grupo de trabajo, ejecute el siguiente comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Para comprobar los detalles de cumplimiento de la línea base del controlador de dominio, ejecute el siguiente comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Para comprobar los detalles de cumplimiento de la línea base de núcleo protegido, ejecute el siguiente comando:

Get-OSConfigDesiredConfiguration -Scenario SecuredCore | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Para comprobar los detalles de cumplimiento de la línea base de Antivirus de Microsoft Defender, ejecute el siguiente comando:

Get-OSConfigDesiredConfiguration -Scenario Defender/Antivirus | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap 

Nota:

• Al aplicar o quitar una línea base de seguridad, se requiere un reinicio para que los cambios surtan efecto.

• Al personalizar una línea de base de seguridad, se requiere un reinicio para que los cambios surtan efecto, en función de las características de seguridad que haya modificado.

• Durante el proceso de eliminación, cuando se revierte la configuración de seguridad, no se garantiza que cambie esta configuración a su configuración administrada previamente. Depende de la configuración específica dentro de la línea base de seguridad. Este comportamiento se alinea con las funcionalidades que proporcionan las directivas de Microsoft Intune. Para obtener más información, consulte Administración de perfiles de línea base de seguridad en Microsoft Intune.

Personalización de líneas base de seguridad de OSConfig

Después de completar la configuración de línea de base de seguridad, puede modificar la configuración de seguridad mientras mantiene el control de desfase. La personalización de los valores de seguridad permite un mayor control de las directivas de seguridad de la organización, en función de las necesidades específicas del entorno.

Para editar el valor predeterminado de AuditDetailedFileShare de 2 a 3 para el servidor miembro, ejecute el siguiente comando:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare -Value 3 

Para comprobar que se ha aplicado el nuevo valor, ejecute el siguiente comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare 

Nota:

Dependiendo de la configuración de seguridad que se personalice, se espera cierta entrada del usuario. Las entradas son las siguientes:

• MessageTextUserLogon
• MessageTextUserLogonTitle
• RenameAdministratorAccount
• RenameGuestAccount

Después de proporcionar la entrada necesaria, seleccione la tecla Entrar para continuar.

Proporcionar comentarios para OSConfig

Si está bloqueado o experimenta una interrupción del trabajo después de aplicar la línea de base de seguridad, envíe un error mediante el Centro de opiniones. Para obtener más información sobre el envío de comentarios, consulte Análisis más profundo de los comentarios.

Proporcione la línea de base de seguridad de OSConfig como título de comentarios. En Elegir una categoría, seleccione Windows Server en la lista desplegable y, a continuación, seleccione Administración en la lista desplegable secundaria y continúe con el envío de sus comentarios.

Contenido relacionado

• Configuración de App Control para empresas con OSConfig