Panoramica di OSConfig

• Si applica a:

  ✅ Windows Server 2025

OSConfig è uno stack di configurazione della sicurezza che usa scenari per offrire e applicare in modo efficiente finalità amministrative per ottenere lo stato desiderato dei dispositivi locali e connessi ad Azure Arc.

Lo stack OSConfig è costituito da cmdlet di base, API native e una definizione di scenario che definisce la configurazione dello stato desiderato. La definizione dello scenario è una descrizione guidata dai dati delle configurazioni. Le configurazioni sono gruppi di impostazioni che usano coppie nome/valore con un ordine predefinito e dipendenze che corrispondono alle sottoaree.

OSConfig viene comunemente rilasciato con il sistema operativo Windows Server per fornire un'astrazione per la configurazione del dispositivo locale. La progettazione del modello a oggetti è basata sui dati, che consente di eseguire il mapping a vari provider nel sistema operativo Windows per la configurazione del dispositivo. Il diagramma seguente descrive il flusso OSConfig.

Attualmente, è possibile usare OSConfig per stabilire linee di base di sicurezza per vari sistemi operativi di Microsoft Edge, ad esempio Windows Server 2025 e Azure Stack HCI 23H2. Si integra con Criteri di Azure, Microsoft Defender, Windows Admin Center e configurazione del computer di gestione automatica di Azure per facilitare il monitoraggio e la creazione di report di conformità.

OSConfig consente di migliorare il mapping o persino la conversione diretta con altre definizioni di gestione preesistenti. Queste definizioni includono .admx file in Criteri di gruppo, .mof file in Strumentazione gestione Windows (WMI) e file DDF (Device Description Framework) nel provider di servizi di configurazione (CSP).

Controllo di deviazione di OSConfig

Una delle principali funzionalità di OSConfig è il controllo deriva. Consente di garantire che il sistema venga avviato e rimanga in uno stato di sicurezza valido noto. Quando la si attiva, OSConfig corregge automaticamente tutte le modifiche di sistema che si discostono dallo stato desiderato. OSConfig esegue la correzione tramite un'attività di aggiornamento.

Quando si disattiva la funzionalità, viene disabilitata anche l'attività di aggiornamento. Gli utenti possono quindi usare altri strumenti, con o senza OSConfig, per modificare il sistema. Ogni strumento di gestione può servire a vari scopi e essere usato da attori diversi, in modo che più autorità possano gestire lo stesso set di impostazioni del dispositivo. Ad esempio, le autorità possono usare Criteri di Azure per le risorse abilitate per cloud o Azure Arc su larga scala, mentre possono usare Windows Admin Center per la gestione locale.

Per gestire più autorità, un agente di orchestrazione garantisce una configurazione deterministica in un ambiente in cui più autorità usano vari strumenti di amministrazione IT. In questo modello a ogni autorità viene assegnato un ordine di precedenza. Questo ordine di precedenza non si applica solo dal punto di vista della configurazione. Garantisce inoltre che il controllo della deriva sia consentito per ogni autorità e anche per ogni documento di scenario.

Per gli utenti di risorse abilitate per cloud o Azure Arc, l'ordine di precedenza è:

1. Autorità cloud (Criteri di Azure)
2. Autorità locale (Windows Admin Center e Windows PowerShell)
3. Qualsiasi altro strumento di distribuzione

Baseline di sicurezza OSConfig

Con Windows Server, è possibile classificare in ordine di priorità la sicurezza fin dall'inizio distribuendo un comportamento di sicurezza consigliato ai dispositivi e alle macchine virtuali. Per tutto il ciclo di vita del dispositivo, è possibile applicare queste baseline di sicurezza usando PowerShell o Windows Admin Center.

Applicazione delle baseline di sicurezza OSConfig nell'ambiente:

• Migliora il comportamento di sicurezza disabilitando protocolli e crittografie legacy.
• Riduce le spese operative con il meccanismo di protezione della deriva predefinito che consente il monitoraggio coerente su larga scala tramite la baseline di Azure Arc Hybrid Edge.
• Consente di soddisfare i requisiti DiSA STIG (Center for Internet Security) e Defense Information Systems Agency Security Implementation Guides (DISA STIGs) per la baseline di sicurezza del sistema operativo consigliata.

Vantaggi per la sicurezza di OSConfig

OSConfig è una singola piattaforma che:

• Applica i payload di sicurezza ai dispositivi durante il ciclo di vita della configurazione, tra cui la configurazione di sicurezza, la correzione, il monitoraggio, la creazione di report e il controllo delle versioni.
• Offre una soluzione scalabile basata sui dati con una singola implementazione coerente per diversi set di strumenti amministrativi, ad esempio Windows Admin Center, Azure Arc, PowerShell, Criteri di Azure e configurazione del computer di gestione automatica di Azure.
• Determina risultati coerenti e applica quale autorità ha la precedenza tramite il modello a più autorità.
• Supporta le direttive di orchestrazione che rispettano i prerequisiti e le dipendenze tra le impostazioni.
• Applica lo stato desiderato tramite il rilevamento, la segnalazione e la correzione della deviazione della configurazione.
• Fornisce l'astrazione per consentire modelli di estendibilità che supportano provider di configurazione diversi.

Contenuto correlato

• Distribuire le baseline di sicurezza OSConfig in locale