Compartir vía

Información general sobre OSConfig

OSConfig es una pila de configuración de seguridad que usa escenarios para entregar y aplicar la intención administrativa de forma eficaz para lograr el estado deseado de los dispositivos locales y conectados a Azure Arc.

La pila OSConfig consta de cmdlets base, API nativas y una definición de escenario que define la configuración de estado deseada. La definición del escenario es una descripción controlada por datos de las configuraciones. Las configuraciones son grupos de valores que usan pares nombre-valor con un orden predefinido y dependencias que corresponden a subáreas.

OSConfig se publica normalmente con el sistema operativo Windows Server (SO) para proporcionar una abstracción para la configuración del dispositivo local. Su diseño del modelo de objetos está controlado por datos, lo que permite la asignación a varios proveedores del sistema operativo Windows para la configuración del dispositivo. En el diagrama siguiente se describe el flujo de OSConfig.

Diagrama de flujo del módulo de PowerShell de configuración de o.

Actualmente, puede usar OSConfig para establecer líneas base de seguridad para varios sistemas operativos Microsoft Edge, como Windows Server 2025 y Azure Local 23H2. Se integra con la configuración de máquinas de Azure Policy, Microsoft Defender, Windows Admin Center y Azure Automanage para facilitar la supervisión y los informes de cumplimiento.

OSConfig permite una asignación mejorada o incluso la conversión directa con otras definiciones de administración preexistentes. Estas definiciones incluyen .admx archivos en la directiva de grupo, .mof los archivos del Instrumental de administración de Windows (WMI) y los archivos del marco de descripción del dispositivo (DDF) en el proveedor de servicios de configuración (CSP).

Control de desfase de OSConfig

Una de las principales características de OSConfig es el control de desfase. Ayuda a garantizar que el sistema se inicia y permanece en un estado de seguridad correcto conocido. Al activarlo, OSConfig corrige automáticamente los cambios del sistema que se desvía del estado deseado. OSConfig realiza la corrección a través de una tarea de actualización.

Al desactivar la característica, la tarea de actualización también está deshabilitada. A continuación, los usuarios pueden usar otras herramientas, con o sin OSConfig, para modificar el sistema. Cada herramienta de administración puede servir varios propósitos y ser utilizados por diferentes actores, por lo que varias autoridades pueden administrar el mismo conjunto de configuraciones de dispositivo. Por ejemplo, las autoridades pueden usar Azure Policy para recursos habilitados para la nube o Azure Arc a escala, mientras que pueden usar Windows Admin Center para la administración local.

Para abordar varias autoridades, un orquestador garantiza una configuración determinista en un entorno en el que varias autoridades usan diversas herramientas de administración de TI. En este modelo, a cada autoridad se le asigna un orden de precedencia. Este orden de precedencia no solo se aplica desde una perspectiva de configuración. También garantiza que se permita el control de desfase por autoridad e incluso por documento de escenario.

Para los usuarios de recursos habilitados para La nube o Azure Arc, el orden de precedencia es:

  1. Autoridad en la nube (Azure Policy)
  2. Autoridad local (Windows Admin Center y Windows PowerShell)
  3. Cualquier otra herramienta de implementación

Líneas base de seguridad de OSConfig

Con Windows Server, puede priorizar la seguridad desde el principio mediante la implementación de una posición de seguridad recomendada en los dispositivos y las máquinas virtuales. A lo largo del ciclo de vida del dispositivo, puede aplicar estas líneas base de seguridad mediante PowerShell o Windows Admin Center.

Aplicación de las líneas base de seguridad de OSConfig en el entorno:

  • Mejora la posición de seguridad deshabilitando los protocolos y cifrados heredados.
  • Reduce los gastos operativos con el mecanismo de protección de desfase integrado que permite una supervisión coherente a escala a través de la línea base de Azure Arc Hybrid Edge.
  • Le permite cumplir los requisitos del Centro de pruebas de seguridad de Internet Security (CIS) y las guías de implementación técnica de la Agencia de sistemas de información de defensa (DISA STIG) para la línea de base de seguridad del sistema operativo recomendada.

Ventajas de seguridad de OSConfig

OSConfig es una única plataforma que:

  • Aplica cargas de seguridad a los dispositivos a lo largo de su ciclo de vida de configuración, incluida la configuración de seguridad, la corrección, la supervisión, los informes y el control de versiones.
  • Proporciona una solución escalable controlada por datos con una sola implementación coherente para varios conjuntos de herramientas administrativas, como Windows Admin Center, Azure Arc, PowerShell, Azure Policy y la configuración de máquinas de Azure Automanage.
  • Impulsa los resultados coherentes y aplica qué autoridad tiene prioridad a través del modelo de varias autoridades.
  • Admite directivas de orquestación que respetan los requisitos previos y las dependencias entre la configuración.
  • Aplica el estado deseado a través de la detección de desfase de configuración, los informes y la corrección.
  • Proporciona abstracción para permitir modelos de extensibilidad que admitan diferentes proveedores de configuración.

Contenido relacionado