Windows Server 2025-beveiligingsbasislijnen lokaal implementeren met OSConfig

• Van toepassing op:

  ✅ Windows Server 2025

Als u de beveiligingsbasislijn voor Windows Server 2025 implementeert in uw omgeving, zorgt u ervoor dat er gewenste beveiligingsmaatregelen worden getroffen, met een uitgebreid en gestandaardiseerd beveiligingsframework. De Windows Server 2025-basislijn bevat meer dan 300 beveiligingsinstellingen om ervoor te zorgen dat deze voldoet aan de beveiligingsvereisten van de industriestandaard. Het biedt ook co-beheerondersteuning voor zowel on-premises als met Azure Arc verbonden apparaten. De beveiligingsbasislijnen kunnen worden geconfigureerd via PowerShell, Windows Admin Center en Azure Policy. Het hulpprogramma OSConfig is een beveiligingsconfiguratiestack die gebruikmaakt van een op scenario's gebaseerde benadering om de gewenste beveiligingsmaatregelen voor uw omgeving te leveren en toe te passen. De beveiligingsbasislijnen gedurende de levenscyclus van het apparaat kunnen worden toegepast met OSConfig vanaf het eerste implementatieproces.

Enkele van de belangrijkste kenmerken van de beveiligingsrichtlijnen bieden de volgende maatregelen:

• Beveiligde kern: UEFI MAT, beveiligd opstarten, ondertekende opstartketen
• Protocollen: TLS afgedwongen 1.2+, SMB 3.0+, Kerberos AES
• Referentiebeveiliging: LSASS/PPL
• Account- en wachtwoordbeleid
• Beveiligingsbeleid en beveiligingsopties

U kunt de volledige lijst met de instellingen voor de beveiligingsbasislijnen op GitHub-ophalen.

Evaluatierichtlijnen

Voor bewerkingen op schaal gebruikt u Azure Policy en Azure Automanage Machine Configuration om uw nalevingsscore te controleren en te bekijken.

Belangrijk

Nadat u de beveiligingsbasislijn hebt toegepast, verandert de beveiligingsinstelling van uw systeem samen met het standaardgedrag. Test zorgvuldig voordat u deze wijzigingen toepast in productieomgevingen.

U wordt gevraagd uw lokale beheerderswachtwoord te wijzigen nadat u de beveiligingsbasislijn voor lidserver- en werkgroeplidscenario's hebt toegepast.

Hieronder vindt u een lijst met merkbare wijzigingen nadat de basislijnen zijn toegepast:

• Het lokale beheerderswachtwoord moet worden gewijzigd. Het nieuwe wachtwoordbeleid moet voldoen aan de complexiteitsvereisten en de minimale lengte van 14 tekens. Deze regel is alleen van toepassing op lokale gebruikersaccounts; wanneer u zich aanmeldt met een domeinaccount, gelden domeinvereisten voor domeinaccounts.

• TLS-verbindingen zijn onderworpen aan minimaal TLS/DTLS 1.2 of hoger, waardoor verbindingen met oudere systemen mogelijk worden voorkomen.

• De mogelijkheid om bestanden uit RDP-sessies te kopiëren en plakken, is uitgeschakeld. Als u deze functie wilt gebruiken, voert u de volgende opdracht uit en start u het apparaat opnieuw op:

  Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/<ServerRoleBeingApplied> -Name RemoteDesktopServicesDoNotAllowDriveRedirection -Value 0
  

• Verbindingen moeten voldoen aan minimaal SMB 3.0 of hoger. Bij het verbinden met niet-Windows-systemen, zoals Linux SAMBA, is ondersteuning voor SMB 3.0 vereist, anders zijn er aanpassingen aan de basislijn nodig.

• Als u momenteel dezelfde instellingen configureert met twee verschillende methoden, waaronder OSConfig, worden er conflicten verwacht. Vooral bij driftbesturing moet u een van de bronnen verwijderen als de parameters verschillen om te voorkomen dat de instellingen voortdurend tussen bronnen veranderen.

• Mogelijk ondervindt u sid-vertaalfouten in specifieke domeinconfiguraties. Dit heeft geen invloed op de rest van de definitie van de beveiligingsbasislijn en kan worden genegeerd.

Voorwaarden

Op uw apparaat moet Windows Server 2025 worden uitgevoerd. OSConfig biedt geen ondersteuning voor eerdere versies van Windows Server.

De OsConfig PowerShell-module installeren

Voordat u een beveiligingsbasislijn voor het eerst kunt toepassen, moet u de OSConfig-module installeren via een PowerShell-venster met verhoogde bevoegdheid:

1. Selecteer Start, typ PowerShell-, beweeg de muisaanwijzer over Windows PowerShell-en selecteer Als administrator uitvoeren.

2. Voer de volgende opdracht uit om de OSConfig-module te installeren:

   Install-Module -Name Microsoft.OSConfig -Scope AllUsers -Repository PSGallery -Force
   

   Als u wordt gevraagd om de NuGet-provider te installeren of bij te werken, selecteert u Ja.

3. Voer de volgende opdracht uit om te controleren of de OSConfig-module is geïnstalleerd:

   Get-Module -ListAvailable -Name Microsoft.OSConfig
   

Windows Server 2025-beveiligingsbasislijnen beheren

Pas de juiste beveiligingsbasislijnen toe op basis van de Windows Server-rol van uw apparaat:

• Domeincontroller (DC)
• Member server (aangesloten op domein)
• Server voor werkgroepleden (niet aangesloten bij een domein)

De basislijnervaring wordt mogelijk gemaakt door OSConfig. Zodra uw beveiligingsbasislijninstellingen zijn toegepast, worden deze automatisch beschermd tegen driften. Dit is een van de belangrijkste functies van het beveiligingsplatform.

Notitie

Voor apparaten die zijn verbonden met Azure Arc, kunt u de beveiligingsbasislijnen toepassen voor of na het verbinden. Maar als de rol van uw server na de verbinding verandert, moet u de toewijzing verwijderen en opnieuw toepassen om ervoor te zorgen dat het computerconfiguratieplatform de rolwijziging kan detecteren. Zie Verwijdering van gasttoewijzingen uit Azure Policyvoor meer informatie over het verwijderen van een toewijzing.

Als u een basislijn wilt toepassen, controleert u of de basislijn is toegepast, verwijdert u een basislijn of bekijkt u gedetailleerde nalevingsinformatie voor OSConfig in PowerShell. Gebruik de opdrachten op de volgende tabbladen.

Voer de volgende opdracht uit om de basislijn toe te passen voor een apparaat dat lid is van een domein:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Default

Als u de basislijn wilt toepassen voor een apparaat dat zich in een werkgroep bevindt, voert u de volgende opdracht uit:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember -Default

Voer de volgende opdracht uit om de basislijn toe te passen voor een apparaat dat is geconfigureerd als dc:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController -Default

Voer de volgende opdracht uit om de basislijn voor beveiligde kernen voor een apparaat toe te passen:

Set-OSConfigDesiredConfiguration -Scenario SecuredCore -Default

Voer de volgende opdracht uit om de Microsoft Defender Antivirus-basislijn voor een apparaat toe te passen:

Set-OSConfigDesiredConfiguration -Scenario Defender/Antivirus -Default

Voer de volgende opdracht uit om te controleren of de basislijn voor een apparaat dat lid is van een domein correct is toegepast:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer

Voer de volgende opdracht uit om te controleren of de basislijn voor een apparaat in een werkgroep correct is toegepast:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember

Voer de volgende opdracht uit om te controleren of de basislijn voor een apparaat dat als domeincontroller is geconfigureerd correct is toegepast:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController

Voer de volgende opdracht uit om te controleren of de basislijn voor beveiligde kernen voor een apparaat correct is toegepast:

Get-OSConfigDesiredConfiguration -Scenario SecuredCore

Voer de volgende opdracht uit om te controleren of de Microsoft Defender Antivirus-basislijn voor een apparaat correct is toegepast:

Get-OSConfigDesiredConfiguration -Scenario Defender/Antivirus

Voer de volgende opdracht uit om de basislijn voor een apparaat dat lid is van een domein te verwijderen:

Remove-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer

Als u de basislijn voor een apparaat in een werkgroep wilt verwijderen, voert u de volgende opdracht uit:

Remove-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember

Als u de basislijn wilt verwijderen voor een apparaat dat is geconfigureerd als dc, voert u de volgende opdracht uit:

Remove-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController

Als u de basislijn voor beveiligde kernen voor een apparaat wilt verwijderen, voert u de volgende opdracht uit:

Remove-OSConfigDesiredConfiguration -Scenario SecuredCore

Als u de Microsoft Defender Antivirus-basislijn voor een apparaat wilt verwijderen, voert u de volgende opdracht uit:

Remove-OSConfigDesiredConfiguration -Scenario Defender/Antivirus

Compliance-

Gebruik de volgende opdrachten om de gewenste configuratiedetails voor het opgegeven scenario te verkrijgen. De uitvoer wordt weergegeven in een tabelindeling met de naam van het configuratie-item, de nalevingsstatus en de reden voor niet-naleving.

Voer de volgende opdracht uit om de nalevingsgegevens voor een apparaat dat lid is van een domein te controleren:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Voer de volgende opdracht uit om de nalevingsgegevens voor een werkgroepapparaat te controleren:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Voer het volgende commando uit om de nalevingsdetails voor de DC-basislijn te controleren:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Voer de volgende commando uit om de nalevingsdetails voor de beveiligde kern-basislijn te controleren:

Get-OSConfigDesiredConfiguration -Scenario SecuredCore | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Voer de volgende opdracht uit om de nalevingsgegevens voor de microsoft Defender Antivirus-basislijn te controleren:

Get-OSConfigDesiredConfiguration -Scenario Defender/Antivirus | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap 

Notitie

• Wanneer u of verwijdert een beveiligingsbasislijn, is opnieuw opstarten vereist om wijzigingen door te voeren.

• Wanneer u een beveiligingsbasislijn aanpast, is opnieuw opstarten vereist om wijzigingen door te voeren, afhankelijk van de beveiligingsfuncties die u hebt gewijzigd.

• Tijdens het verwijderings proces, wanneer beveiligingsinstellingen worden teruggezet, is het niet gegarandeerd dat deze instellingen worden hersteld naar de oorspronkelijke beheerconfiguratie. Dit is afhankelijk van de specifieke instellingen binnen de beveiligingsbasislijn. Dit gedrag is afgestemd op de mogelijkheden die het Microsoft Intune-beleid biedt. Voor meer informatie, zie Een toewijzing van een beveiligingsbasislijn verwijderen.

Windows Server 2025-beveiligingsbasislijnen aanpassen

Nadat u de configuratie van de beveiligingsbasislijn hebt voltooid, kunt u de beveiligingsinstellingen wijzigen met behoud van driftbeheer. Door de beveiligingswaarden aan te passen, hebt u meer controle over het beveiligingsbeleid van uw organisatie, afhankelijk van de specifieke behoeften van uw omgeving.

Als u de standaardwaarde van AuditDetailedFileShare wilt bewerken van 2 naar 3 voor uw lidserver, voert u de volgende opdracht uit:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare -Value 3 

Voer de volgende opdracht uit om te controleren of de nieuwe waarde is toegepast:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare 

Notitie

Afhankelijk van welke beveiligingsinstellingen worden aangepast, wordt bepaalde gebruikersinvoer verwacht. Deze invoer is:

• MessageTextUserLogon
• MessageTextUserLogonTitle
• RenameAdministratorAccount
• RenameGuestAccount

Nadat u de benodigde invoer hebt opgegeven, selecteert u de Enter-toets om door te gaan.

Feedback geven voor OSConfig

Als u geblokkeerd bent of een werkonderbreking ervaart nadat u de beveiligingsbasisinstellingen hebt toegepast, dient u een bug in met behulp van de Feedback Hub. Zie Een diepere kijk op feedbackvoor meer informatie over het indienen van feedback.

Geef ons OSConfig-beveiligingsbasislijn als de titel van de feedback. Selecteer onder Kies een categorie, selecteer Windows Server- in de vervolgkeuzelijst en selecteer vervolgens Beheer in de secundaire vervolgkeuzelijst en ga verder met het indienen van uw feedback.

Verwante inhoud

• App Control voor Bedrijven configureren met OSConfig