OSConfig 개요

• 적용 대상:

  ✅ Windows Server 2025

OSConfig는 시나리오를 사용하여 온-프레미스 및 Azure Arc 연결 디바이스의 원하는 상태를 달성하기 위한 관리 의도를 효율적으로 제공하고 적용하는 보안 구성 스택입니다.

OSConfig 스택은 기본 cmdlet, 네이티브 API 및 원하는 상태 구성을 정의하는 시나리오 정의로 구성됩니다. 시나리오 정의는 구성에 대한 데이터 기반 설명입니다. 구성은 미리 정의된 순서와 하위 영역에 해당하는 종속성이 있는 이름/값 쌍을 사용하는 설정 그룹입니다.

OSConfig는 일반적으로 로컬 디바이스 구성에 대한 추상화 정보를 제공하기 위해 WINDOWS Server OS(운영 체제)와 함께 릴리스됩니다. 개체 모델 디자인은 데이터 기반이므로 디바이스 구성을 위해 Windows OS의 다양한 공급자에 매핑할 수 있습니다. 다음 다이어그램에서는 OSConfig 흐름을 설명합니다.

현재 OSConfig를 사용하여 Windows Server 2025 및 Azure Local 23H2와 같은 다양한 Microsoft Edge OS에 대한 보안 기준을 설정할 수 있습니다. Azure Policy, Microsoft Defender, Windows Admin Center 및 Azure Automanage 컴퓨터 구성과 통합되어 모니터링 및 규정 준수 보고를 용이하게 합니다.

OSConfig를 사용하면 다른 기존 관리 정의를 사용하여 매핑을 개선하거나 직접 변환할 수도 있습니다. 이러한 정의에는 그룹 정책의 파일, .admx WMI(Windows Management Instrumentation)의 파일 및 CSP(구성 서비스 공급자)의 DDF(디바이스 설명 프레임워크) 파일이 포함 .mof 됩니다.

OSConfig 드리프트 컨트롤

OSConfig의 주요 기능 중 하나는 드리프트 제어입니다. 시스템이 시작되고 알려진 양호한 보안 상태로 유지되도록 하는 데 도움이 됩니다. 이 기능을 켜면 OSConfig는 원하는 상태에서 벗어나는 시스템 변경 내용을 자동으로 수정합니다. OSConfig는 새로 고침 작업을 통해 수정합니다.

기능을 끄면 새로 고침 작업도 사용하지 않도록 설정됩니다. 그러면 사용자는 OSConfig를 사용하거나 사용하지 않고 다른 도구를 사용하여 시스템을 수정할 수 있습니다. 각 관리 도구는 다양한 용도로 사용할 수 있으며 여러 행위자가 사용할 수 있으므로 여러 기관에서 동일한 디바이스 설정 집합을 관리할 수 있습니다. 예를 들어 당국은 클라우드 또는 Azure Arc 지원 리소스에 Azure Policy를 대규모로 사용할 수 있는 반면 로컬 관리에 Windows Admin Center를 사용할 수 있습니다.

여러 기관을 해결하기 위해 오케스트레이터는 여러 기관이 다양한 IT 관리 도구를 사용하는 환경에서 결정적 구성을 보장합니다. 이 모델에서는 각 기관에 우선 순위가 할당됩니다. 이 우선 순위는 구성 관점에서만 적용되는 것이 아닙니다. 또한 권한 및 시나리오 문서에 따라 드리프트 제어가 허용되도록 합니다.

클라우드 또는 Azure Arc 지원 리소스 사용자의 경우 우선 순위는 다음과 같습니다.

1. 클라우드 기관(Azure Policy)
2. 로컬 기관(Windows Admin Center 및 Windows PowerShell)
3. 기타 모든 배포 도구

OSConfig 보안 기준

Windows Server를 사용하면 디바이스 및 가상 머신에 권장되는 보안 태세를 배포하여 처음부터 보안 우선 순위를 지정할 수 있습니다. 디바이스 수명 주기 동안 PowerShell 또는 Windows Admin Center를 사용하여 이러한 보안 기준을 적용할 수 있습니다.

사용자 환경에서 OSConfig 보안 기준 적용:

• 레거시 프로토콜 및 암호화를 사용하지 않도록 설정하여 보안 태세를 향상시킵니다.
• Azure Arc 하이브리드 에지 기준을 통해 일관된 대규모 모니터링을 가능하게 하는 기본 제공 드리프트 보호 메커니즘을 사용하여 운영 비용을 줄입니다.
• 권장 OS 보안 기준에 대한 CIS(인터넷 보안 센터) 벤치마크 및 국방 정보 시스템 기관 DISA STIG(보안 기술 구현 가이드) 요구 사항을 충족할 수 있습니다.

OSConfig 보안 이점

OSConfig는 다음과 같은 단일 플랫폼입니다.

• 보안 구성, 수정, 모니터링, 보고 및 버전 관리를 포함하여 구성 수명 주기 내내 디바이스에 보안 페이로드를 적용합니다.
• Windows Admin Center, Azure Arc, PowerShell, Azure Policy 및 Azure Automanage 컴퓨터 구성과 같은 여러 관리 도구 집합에 대해 일관된 단일 구현으로 확장 가능한 데이터 기반 솔루션을 제공합니다.
• 일관된 결과를 유도하고 다중 기관 모델을 통해 어떤 권한이 우선적으로 적용되는지 적용합니다.
• 설정 간의 필수 구성 요소 및 종속성을 적용하는 오케스트레이션 지시문을 지원합니다.
• 구성 드리프트 검색, 보고 및 수정을 통해 원하는 상태를 적용합니다.
• 다양한 구성 공급자를 지원하는 확장성 모델을 허용하는 추상화 기능을 제공합니다.

관련 콘텐츠

• 로컬로 OSConfig 보안 기준 배포