Déployer des bases de référence de sécurité Windows Server 2025 localement avec OSConfig
Le déploiement de la base de référence de sécurité Windows Server 2025 sur votre environnement garantit que les mesures de sécurité souhaitées sont en place, en fournissant un framework de sécurité complet et standardisé. La base de référence Windows Server 2025 inclut plus de 300 paramètres de sécurité pour s’assurer qu’elle répond aux exigences de sécurité standard du secteur. Il fournit également une prise en charge de la cogestion pour les appareils locaux et connectés à Azure Arc. Les bases de référence de sécurité peuvent être configurées via PowerShell, Windows Admin Center et Azure Policy. L’outil OSConfig est une pile de configuration de sécurité qui utilise une approche basée sur des scénarios pour fournir et appliquer les mesures de sécurité souhaitées pour votre environnement. Les bases de référence de sécurité tout au long du cycle de vie de l’appareil peuvent être appliquées à l’aide de OSConfig à partir du processus de déploiement initial.
Certaines des mises en évidence des bases de référence de sécurité fournissent les mises en œuvre suivantes :
- Secure-Core : UEFI MAT, Démarrage sécurisé, Chaîne de démarrage signée
- Protocoles : TLS appliqué 1.2+, SMB 3.0+, Kerberos AES
- Protection des informations d’identification : LSASS/PPL
- Stratégies de compte et de mot de passe
- Stratégies de sécurité et options de sécurité
Vous pouvez obtenir la liste complète des paramètres des bases de référence de sécurité sur GitHub.
Conseils d’évaluation
Pour les opérations à grande échelle, utilisez Azure Policy et Azure Automanage Machine Configuration pour surveiller et voir votre score de conformité.
Important
Après avoir appliqué la base de référence de sécurité, le paramètre de sécurité de votre système change ainsi que les comportements par défaut. Testez attentivement avant d’appliquer ces modifications dans les environnements de production.
Vous serez invité à modifier votre mot de passe administrateur local après avoir appliqué la ligne de base de sécurité pour les scénarios de serveur membre et de membre de groupe de travail.
Vous trouverez ci-dessous une liste de modifications plus notables après l’application des lignes de base :
Le mot de passe administrateur local doit être modifié. La nouvelle stratégie de mot de passe doit respecter les exigences de complexité et la longueur minimale de 14 caractères. Cette règle s’applique uniquement aux comptes d’utilisateur locaux ; lors de la connexion avec un compte de domaine, les exigences de domaine prédominent pour les comptes de domaine.
Les connexions TLS sont soumises à un minimum de TLS/DTLS 1.2 ou version ultérieure, ce qui peut empêcher les connexions à des systèmes plus anciens.
La possibilité de copier et coller des fichiers à partir de sessions RDP est désactivée. Si vous devez utiliser cette fonction, exécutez la commande suivante, puis redémarrez votre appareil :
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/<ServerRoleBeingApplied> -Name RemoteDesktopServicesDoNotAllowDriveRedirection -Value 0Les connexions sont soumises à SMB 3.0 minimum ou supérieur, car la connexion à des systèmes non windows, tels que Linux SAMBA, doit prendre en charge SMB 3.0 ou les ajustements de la base de référence sont nécessaires.
Si vous configurez actuellement les mêmes paramètres avec deux méthodes différentes, l’une étant OSConfig, les conflits sont attendus. En particulier avec le contrôle de dérive impliqué, car vous devez supprimer l’une des sources si les paramètres sont différents pour empêcher les paramètres de changer constamment entre les sources.
Vous risquez d’entraîner des erreurs de traduction SID dans des configurations de domaine spécifiques. Elle n’affecte pas le reste de la définition de base de référence de sécurité et peut être ignorée.
Prérequis
Votre appareil doit exécuter Windows Server 2025. OSConfig ne prend pas en charge les versions antérieures de Windows Server.
Installation du module OSConfig PowerShell
Avant de pouvoir appliquer une base de référence de sécurité pour la première fois, vous devez installer le module OSConfig via une fenêtre PowerShell avec élévation de privilèges :
Sélectionnez Démarrer, tapez PowerShell, pointez sur Windows PowerShell, puis sélectionnez Exécuter en tant qu’administrateur.
Exécutez la commande suivante pour installer le module OSConfig :
Install-Module -Name Microsoft.OSConfig -Scope AllUsers -Repository PSGallery -ForceSi vous êtes invité à installer ou à mettre à jour le fournisseur NuGet, sélectionnez Oui.
Pour vérifier que le module OSConfig est installé, exécutez la commande suivante :
Get-Module -ListAvailable -Name Microsoft.OSConfig
Gérer les bases de référence de sécurité Windows Server 2025
Appliquez les bases de référence de sécurité appropriées en fonction du rôle Windows Server de votre appareil :
- Contrôleur de domaine (DC)
- Serveur membre (joint à un domaine)
- Serveur membre de groupe de travail (non joint à un domaine)
L’expérience de base est alimentée par OSConfig. Une fois appliqués, vos paramètres de base de référence de sécurité sont protégés automatiquement contre toute dérive, qui est l’une des principales fonctionnalités de sa plateforme de sécurité.
Remarque
Pour les appareils connectés à Azure Arc, vous pouvez appliquer les bases de référence de sécurité avant ou après la connexion. Toutefois, si le rôle de votre serveur change après la connexion, vous devez supprimer et réappliquer l’affectation pour vous assurer que la plateforme de configuration de l’ordinateur peut détecter la modification du rôle. Pour plus d’informations sur la suppression d’une affectation, consultez Suppression des affectations d’invités à partir d’Azure Policy.
Pour appliquer une base de référence, vérifiez que la base de référence est appliquée, supprimez une base de référence ou affichez des informations de conformité détaillées pour OSConfig dans PowerShell, utilisez les commandes sous les onglets suivants.
Pour appliquer la ligne de base d’un appareil joint à un domaine, exécutez la commande suivante :
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Default
Pour appliquer la base de référence d’un appareil qui se trouve dans un groupe de travail, exécutez la commande suivante :
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember -Default
Pour appliquer la base de référence d’un appareil configuré en tant que DC, exécutez la commande suivante :
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController -Default
Pour appliquer la base de référence à noyau sécurisé pour un appareil, exécutez la commande suivante :
Set-OSConfigDesiredConfiguration -Scenario SecuredCore -Default
Pour appliquer la base de référence de l'antivirus Microsoft Defender pour un appareil, exécutez la commande suivante :
Set-OSConfigDesiredConfiguration -Scenario Defender/Antivirus -Default
Remarque
Lorsque vous appliquez ou supprimez une base de référence de sécurité, un redémarrage est nécessaire pour que les modifications prennent effet.
Lorsque vous personnalisez une base de référence de sécurité, un redémarrage est nécessaire pour que les modifications prennent effet, en fonction des fonctionnalités de sécurité que vous avez modifiées.
Pendant le processus de suppression , lorsque les paramètres de sécurité sont rétablis, la modification de ces paramètres vers leur configuration prémanagenée n’est pas garantie. Cela dépend des paramètres spécifiques dans la base de référence de sécurité. Ce comportement s’aligne sur les fonctionnalités que les stratégies Microsoft Intune fournissent. Pour plus d’informations, consultez Supprimer une configuration de base de sécurité.
Personnaliser les bases de référence de sécurité Windows Server 2025
Une fois la configuration de base de référence de sécurité terminée, vous pouvez modifier les paramètres de sécurité tout en conservant le contrôle de dérive. La personnalisation des valeurs de sécurité permet de contrôler davantage les stratégies de sécurité de votre organisation, en fonction des besoins spécifiques de votre environnement.
Pour modifier la valeur par défaut de à partir de AuditDetailedFileShare2 vers 3 votre serveur membre, exécutez la commande suivante :
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare -Value 3
Pour vérifier que la nouvelle valeur est appliquée, exécutez la commande suivante :
Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare
Remarque
Selon les paramètres de sécurité personnalisés, certaines entrées utilisateur sont attendues. Ces entrées sont les suivantes :
MessageTextUserLogonMessageTextUserLogonTitleRenameAdministratorAccountRenameGuestAccount
Après avoir fourni l’entrée nécessaire, sélectionnez la clé Entrée à poursuivre.
Fournir des commentaires pour OSConfig
Si vous êtes bloqué ou que vous rencontrez une interruption de travail après l’application de la ligne de base de sécurité, signalez un bogue à l’aide du Hub de commentaires. Pour en savoir plus sur l’envoi de commentaires, consultez Plus d’informations sur les commentaires.
Fournissez-nous la base de référence de sécurité OSConfig en tant que titre de commentaires. Sous Choisir une catégorie, sélectionnez Windows Server dans la liste déroulante, puis sélectionnez Gestion dans la liste déroulante secondaire et passez à l’envoi de vos commentaires.