Delen via


Overzicht van OSConfig

OSConfig is een beveiligingsconfiguratiestack die gebruikmaakt van scenario's om efficiënt beheerintenties te leveren en toe te passen om de gewenste status van on-premises en met Azure Arc verbonden apparaten te bereiken.

De OSConfig-stack bestaat uit basis-cmdlets, systeemeigen API's en een scenariodefinitie die de gewenste statusconfiguratie definieert. De scenariodefinitie is een gegevensgestuurde beschrijving van configuraties. De configuraties zijn groepen instellingen die naam-/waardeparen gebruiken met een vooraf gedefinieerde volgorde en afhankelijkheden die overeenkomen met subgebieden.

OSConfig wordt meestal uitgebracht met het Windows Server-besturingssysteem (OS) om een abstractie te bieden voor de configuratie van lokale apparaten. Het ontwerp van het objectmodel is gegevensgestuurd, waardoor het kan worden gekoppeld aan verschillende providers in het Windows-besturingssysteem voor apparaatconfiguratie. In het volgende diagram wordt de OSConfig-stroom beschreven.

Stroomdiagram van de PowerShell-module voor o s-configuratie.

Op dit moment kunt u OSConfig gebruiken om beveiligingsbasislijnen vast te stellen voor verschillende Microsoft Edge-besturingssystemen, zoals Windows Server 2025 en Azure Local 23H2. Het kan worden geïntegreerd met Azure Policy, Microsoft Defender, Windows Admin Center en de configuratie van azure Automanage-machines om bewaking en nalevingsrapportage te vergemakkelijken.

OSConfig maakt verbeterde toewijzing of zelfs directe conversie mogelijk met andere bestaande beheerdefinities. Deze definities omvatten .admx bestanden in Groepsbeleid, .mof bestanden in WMI-bestanden (Windows Management Instrumentation) en DDF-bestanden (Device Description Framework) in de CSP (Configuration Service Provider).

OSConfig-driftcontrole

Een van de belangrijkste functies van OSConfig is driftbesturing. Het helpt ervoor te zorgen dat het systeem wordt gestart en in een bekende goede beveiligingsstatus blijft. Wanneer u deze functie inschakelt, corrigeert OSConfig automatisch eventuele systeemwijzigingen die afwijken van de gewenste status. OSConfig voert de correctie uit via een taak voor verversen.

Wanneer u de functie uitschakelt, wordt de vernieuwingstaak ook uitgeschakeld. Gebruikers kunnen vervolgens andere hulpprogramma's, met of zonder OSConfig, gebruiken om het systeem te wijzigen. Elk beheerprogramma kan verschillende doeleinden dienen en door verschillende actoren worden gebruikt, zodat meerdere autoriteiten dezelfde set apparaatinstellingen kunnen beheren. Instanties kunnen bijvoorbeeld Azure Policy gebruiken voor cloudresources of met Azure Arc ondersteunde resources op schaal, terwijl ze Windows Admin Center kunnen gebruiken voor lokaal beheer.

Als u meerdere instanties wilt aanpakken, zorgt een orchestrator voor deterministische configuratie in een omgeving waarin meerdere instanties verschillende IT-beheerhulpprogramma's gebruiken. Onder dit model wordt aan elke instantie een prioriteitsvolgorde toegewezen. Deze prioriteitsvolgorde is niet alleen van toepassing vanuit een configuratieperspectief. Het zorgt er ook voor dat driftbeheer per instantie en zelfs per scenariodocument is toegestaan.

Voor gebruikers van cloud- of Azure Arc-resources is de prioriteitsvolgorde:

  1. Beleidsinstantie voor cloud (Azure Policy)
  2. Lokale instantie (Windows Admin Center en Windows PowerShell)
  3. Elk ander implementatieprogramma

OSConfig-beveiligingsbasislijnen

Met Windows Server kunt u vanaf het begin prioriteit geven aan beveiliging door een aanbevolen beveiligingspostuur te implementeren op uw apparaten en virtuele machines. Gedurende de levenscyclus van het apparaat kunt u deze beveiligingsbasislijnen toepassen met behulp van PowerShell of Het Windows-beheercentrum.

De OSConfig-beveiligingsbasislijnen toepassen in uw omgeving:

Beveiligingsvoordelen van OSConfig

OSConfig is één platform dat:

  • Past beveiligingspayloads toe op apparaten gedurende de gehele levenscyclus van de configuratie, waaronder beveiligingsconfiguratie, herstel, bewaking, rapportage en versiebeheer.
  • Biedt een schaalbare, gegevensgestuurde oplossing met één consistente implementatie voor verschillende beheerprogrammasets, zoals Windows Admin Center, Azure Arc, PowerShell, Azure Policy en de configuratie van de machine voor Automatisch beheer van Azure.
  • Hiermee worden consistente resultaten aangestuurd en wordt afgedwongen welke instantie voorrang heeft via het model met meerdere instanties.
  • Ondersteunt orchestratie-richtlijnen die voldoen aan vereisten en afhankelijkheden tussen instellingen.
  • Hiermee wordt de gewenste status gehandhaafd via detectie, rapportage en correctie van configuratiedrift.
  • Biedt abstractie om uitbreidbaarheidsmodellen toe te staan die ondersteuning bieden voor verschillende configuratieproviders.