Distribuire le baseline di sicurezza di Windows Server 2025 in locale con OSConfig
La distribuzione della baseline di sicurezza di Windows Server 2025 nell'ambiente garantisce che le misure di sicurezza desiderate siano applicate, fornendo un framework di sicurezza completo e standardizzato. La baseline di Windows Server 2025 include oltre 300 impostazioni di sicurezza per garantire che soddisfi i requisiti di sicurezza standard del settore. Offre anche il supporto della co-gestione per i dispositivi locali e connessi ad Azure Arc. Le baseline di sicurezza possono essere configurate tramite PowerShell, Windows Admin Center e Criteri di Azure. Lo strumento OSConfig è uno stack di configurazione della sicurezza che usa un approccio basato su scenario per offrire e applicare le misure di sicurezza desiderate per l'ambiente. Le baseline di sicurezza per tutto il ciclo di vita del dispositivo possono essere applicate usando OSConfig a partire dal processo di distribuzione iniziale.
Alcune delle evidenziazioni delle baseline di sicurezza forniscono le seguenti imposizione:
- Secure-Core: UEFI MAT, Avvio protetto, Catena di avvio firmato
- Protocolli: TLS applicato 1.2+, SMB 3.0+, Kerberos AES
- Protezione delle credenziali: LSASS/PPL
- Criteri account e password
- Criteri di sicurezza e opzioni di sicurezza
È possibile ottenere l'elenco completo delle impostazioni per le baseline di sicurezza in GitHub.
Linee guida per la valutazione
Per le operazioni su larga scala, usare Criteri di Azure e Configurazione del computer di gestione automatica di Azure per monitorare e visualizzare il punteggio di conformità.
Importante
Dopo aver applicato la baseline di sicurezza, l'impostazione di sicurezza del sistema cambierà insieme ai comportamenti predefiniti. Testare attentamente prima di applicare queste modifiche negli ambienti di produzione.
Verrà chiesto di modificare la password dell'amministratore locale dopo aver applicato la baseline di sicurezza per gli scenari di server membro e membro del gruppo di lavoro.
Di seguito è possibile trovare un elenco di modifiche più evidenti dopo l'applicazione delle linee di base:
La password dell'amministratore locale deve essere modificata. I nuovi criteri password devono soddisfare i requisiti di complessità e la lunghezza minima di 14 caratteri. Questa regola si applica solo agli account utente locali; quando si accede con un account di dominio, i requisiti di dominio prevalgono.
Le connessioni TLS sono soggette a almeno TLS/DTLS 1.2 o versione successiva, che può impedire connessioni a sistemi meno recenti.
La possibilità di copiare e incollare file dalle sessioni RDP è disabilitata. Se è necessario usare questa funzione, eseguire il comando seguente e quindi riavviare il dispositivo:
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/<ServerRoleBeingApplied> -Name RemoteDesktopServicesDoNotAllowDriveRedirection -Value 0Le connessioni sono soggette a SMB 3.0 minimo o superiore, in quanto la connessione a sistemi non Windows, ad esempio Linux SAMBA, deve supportare SMB 3.0 o sono necessarie modifiche alla baseline.
Se attualmente si configurano le stesse impostazioni con due metodi diversi, uno è OSConfig, sono previsti conflitti. In particolare con il controllo deriva coinvolto come è necessario rimuovere una delle origini se i parametri sono diversi per impedire che le impostazioni cambino costantemente tra le origini.
È possibile che si verifichino errori di conversione SID in configurazioni di dominio specifiche. Non influisce sul resto della definizione della baseline di sicurezza e può essere ignorato.
Prerequisiti
Il dispositivo deve eseguire Windows Server 2025. OSConfig non supporta versioni precedenti di Windows Server.
Installare il modulo PowerShell OSConfig
Prima di poter applicare una baseline di sicurezza per la prima volta, è necessario installare il modulo OSConfig tramite una finestra di PowerShell con privilegi elevati:
Selezionare Start, digitare PowerShell, passare il puntatore del mouse su Windows PowerShell e selezionare Esegui come amministratore.
Esegui il comando seguente per installare il modulo OSConfig:
Install-Module -Name Microsoft.OSConfig -Scope AllUsers -Repository PSGallery -ForceSe viene richiesto di installare o aggiornare il provider NuGet, selezionare Sì.
Per verificare che il modulo OSConfig sia installato, eseguire il comando seguente:
Get-Module -ListAvailable -Name Microsoft.OSConfig
Gestire le baseline di sicurezza di Windows Server 2025
Applicare le baseline di sicurezza appropriate in base al ruolo di Windows Server del dispositivo:
- Controller di dominio (DC)
- Server membro (aggiunto a un dominio)
- Server membro del gruppo di lavoro (non aggiunto a un dominio)
L'esperienza di base è basata su OSConfig. Dopo l'applicazione, le impostazioni della baseline di sicurezza vengono protette automaticamente da qualsiasi deriva, che è una delle principali funzionalità della piattaforma di sicurezza.
Nota
Per i dispositivi connessi ad Azure Arc, è possibile applicare le baseline di sicurezza prima o dopo la connessione. Tuttavia, se il ruolo del server cambia dopo la connessione, è necessario eliminare e riapplicare l'assegnazione per assicurarsi che la piattaforma di configurazione del computer possa rilevare la modifica del ruolo. Per altre informazioni sull'eliminazione di un'assegnazione, vedere Eliminazione di assegnazioni guest da Criteri di Azure.
Per applicare una linea di base, verificare che la linea di base venga applicata, rimuovere una linea di base o visualizzare informazioni dettagliate sulla conformità per OSConfig in PowerShell, usare i comandi nelle schede seguenti.
Per applicare la linea di base per un dispositivo aggiunto a un dominio, eseguire il comando seguente:
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Default
Per applicare la baseline per un dispositivo che si trova in un gruppo di lavoro, eseguire il comando seguente:
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember -Default
Per applicare la baseline per un dispositivo configurato come controller di dominio, eseguire il comando seguente:
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController -Default
Per applicare la baseline secured-core per un dispositivo, eseguire il comando seguente:
Set-OSConfigDesiredConfiguration -Scenario SecuredCore -Default
Per applicare la baseline di Antivirus Microsoft Defender per un dispositivo, eseguire il comando seguente:
Set-OSConfigDesiredConfiguration -Scenario Defender/Antivirus -Default
Nota
Quando si applica o si rimuove una baseline di sicurezza, è necessario un riavvio per rendere effettive le modifiche.
Quando si personalizza una baseline di sicurezza, è necessario un riavvio per rendere effettive le modifiche, a seconda delle funzionalità di sicurezza modificate.
Durante il processo di rimozione , quando le impostazioni di sicurezza vengono ripristinate, la modifica di queste impostazioni alla configurazione premanaged non è garantita. Dipende dalle impostazioni specifiche all'interno della baseline di sicurezza. Questo comportamento è allineato alle funzionalità fornite dai criteri di Microsoft Intune. Per altre informazioni, vedere Rimuovere un'assegnazione della baseline di sicurezza.
Personalizzare le baseline di sicurezza di Windows Server 2025
Dopo aver completato la configurazione della baseline di sicurezza, è possibile modificare le impostazioni di sicurezza mantenendo il controllo della deriva. La personalizzazione dei valori di sicurezza consente un maggiore controllo dei criteri di sicurezza dell'organizzazione, a seconda delle esigenze specifiche dell'ambiente.
Per modificare il valore predefinito di AuditDetailedFileShare da 2 a 3 per il server membro, eseguire il comando seguente:
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare -Value 3
Per verificare l'applicazione del nuovo valore, eseguire il comando seguente:
Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare
Nota
A seconda delle impostazioni di sicurezza personalizzate, è previsto un determinato input dell'utente. Questi input sono:
MessageTextUserLogonMessageTextUserLogonTitleRenameAdministratorAccountRenameGuestAccount
Dopo aver specificato l'input necessario, selezionare il tasto INVIO per continuare.
Fornire commenti e suggerimenti per OSConfig
Se si verifica un'interruzione del lavoro o se si verifica un'interruzione del lavoro dopo l'applicazione della baseline di sicurezza, inviare un bug usando l'hub di Feedback. Per altre informazioni sull'invio di commenti e suggerimenti, vedere Approfondimento sul feedback.
Specificare la baseline di sicurezza OSConfig come titolo del feedback. In Scegli una categoria selezionare Windows Server nell'elenco a discesa, quindi selezionare Gestione dall'elenco a discesa secondario e procedere con l'invio del feedback.