Udostępnij za pośrednictwem

Lokalne wdrażanie punktów odniesienia zabezpieczeń systemu Windows Server 2025 za pomocą programu OSConfig

Wdrożenie punktu odniesienia zabezpieczeń systemu Windows Server 2025 w środowisku zapewnia, że istnieją odpowiednie środki zabezpieczeń, zapewniając kompleksową i ustandaryzowaną strukturę zabezpieczeń. Punkt odniesienia systemu Windows Server 2025 zawiera ponad 300 ustawień zabezpieczeń w celu zapewnienia, że spełnia on wymagania dotyczące zabezpieczeń standardu branżowego. Zapewnia również obsługę współzarządzania zarówno dla urządzeń lokalnych, jak i połączonych z usługą Azure Arc. Punkty odniesienia zabezpieczeń można skonfigurować za pomocą programu PowerShell, Centrum administracyjnego systemu Windows i usługi Azure Policy. Narzędzie OSConfig to stos konfiguracji zabezpieczeń, który używa podejścia opartego na scenariuszu do dostarczania i stosowania odpowiednich środków zabezpieczeń dla danego środowiska. Punkty odniesienia zabezpieczeń w całym cyklu życia urządzenia można zastosować przy użyciu konfiguracji systemu operacyjnego, począwszy od początkowego procesu wdrażania.

Niektóre kluczowe elementy zabezpieczeń zapewniają następujące środki egzekwowania:

  • Secure-Core: UEFI MAT, bezpieczny rozruch, podpisany łańcuch rozruchowy
  • Protokoły: Tls Enforced 1.2+, SMB 3.0+, Kerberos AES
  • Ochrona poświadczeń: LSASS/PPL
  • Zasady konta i hasła
  • Zasady zabezpieczeń i opcje zabezpieczeń

Pełną listę ustawień punktów odniesienia zabezpieczeń można uzyskać w witrynie GitHub.

Wskazówki dotyczące oceny

W przypadku operacji na dużą skalę użyj usług Azure Policy i Azure Automanage Machine Configuration do monitorowania i sprawdzania oceny zgodności.

Ważny

Po zastosowaniu punktu odniesienia zabezpieczeń ustawienie zabezpieczeń systemu zmieni się wraz z zachowaniami domyślnymi. Przed zastosowaniem tych zmian w środowiskach produkcyjnych należy dokładnie przetestować.

Zostaniesz poproszony o zmianę hasła lokalnego administratora po zastosowaniu podstawowych zasad bezpieczeństwa dla scenariuszy dotyczących serwerów członkowskich i członków grupy roboczej.

Poniżej znajduje się lista bardziej zauważalnych zmian po zastosowaniu punktów odniesienia:

  • Należy zmienić hasło administratora lokalnego. Nowe zasady haseł muszą spełniać wymagania dotyczące złożoności i minimalną długość 14 znaków. Ta reguła dotyczy tylko kont użytkowników lokalnych; podczas logowania się przy użyciu konta domeny wymagania domeny obowiązują w przypadku kont domeny.

  • Połączenia TLS podlegają co najmniej protokołowi TLS/DTLS 1.2 lub nowszemu, co może uniemożliwiać nawiązywanie połączeń ze starszymi systemami.

  • Możliwość kopiowania i wklejania plików z sesji protokołu RDP jest wyłączona. Jeśli chcesz użyć tej funkcji, uruchom następujące polecenie, a następnie uruchom ponownie urządzenie:

    Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/<ServerRoleBeingApplied> -Name RemoteDesktopServicesDoNotAllowDriveRedirection -Value 0

  • Połączenia podlegają co najmniej protokółowi SMB 3.0 lub nowszemu, ponieważ połączenie z systemami innych niż Windows, takie jak Linux SAMBA, musi obsługiwać protokół SMB 3.0 lub wymagane są dostosowania do punktu odniesienia.

  • Jeśli obecnie konfigurujesz te same ustawienia przy użyciu dwóch różnych metod, jedna z nich to OSConfig, konflikty są oczekiwane. Szczególnie w przypadku kontroli dryfu, ponieważ należy usunąć jedno ze źródeł, jeśli parametry są inne, aby zapobiec ciągłemu zmienianiu ustawień między źródłami.

  • Błędy tłumaczenia identyfikatora SID mogą występować w określonych konfiguracjach domeny. Nie ma to wpływu na pozostałą część definicji punktu odniesienia zabezpieczeń i można je zignorować.

Warunki wstępne

Na urządzeniu musi być uruchomiony system Windows Server 2025. Konfiguracja systemu operacyjnego nie obsługuje wcześniejszych wersji systemu Windows Server.

Instalowanie modułu programu PowerShell OSConfig

Przed pierwszym zastosowaniem punktu odniesienia zabezpieczeń należy zainstalować moduł OSConfig za pomocą okna programu PowerShell z podwyższonym poziomem uprawnień:

  1. Wybierz Start, wpisz PowerShell, najedź na Windows PowerShelli wybierz Uruchom jako administrator.

  2. Uruchom następujące polecenie, aby zainstalować moduł OSConfig:

    Install-Module -Name Microsoft.OSConfig -Scope AllUsers -Repository PSGallery -Force

    Jeśli zostanie wyświetlony monit o zainstalowanie lub zaktualizowanie dostawcy NuGet, wybierz pozycję Tak.

  3. Aby sprawdzić, czy moduł OSConfig jest zainstalowany, uruchom następujące polecenie:

    Get-Module -ListAvailable -Name Microsoft.OSConfig

Zarządzanie punktami odniesienia zabezpieczeń systemu Windows Server 2025

Zastosuj odpowiednie punkty odniesienia zabezpieczeń na podstawie roli systemu Windows Server urządzenia:

  • Kontroler domeny (DC)
  • Serwer członkowski (przyłączony do domeny)
  • Serwer członkowski grupy roboczej (niepołączonych z domeną)

Podstawowe doświadczenie jest obsługiwane przez program OSConfig. Po zastosowaniu ustawienia bazowe zabezpieczeń są automatycznie chronione przed jakimkolwiek odchyleniem, co jest jedną z kluczowych funkcji platformy zabezpieczeń.

Uwaga

W przypadku urządzeń połączonych z usługą Azure Arc można zastosować punkty odniesienia zabezpieczeń przed nawiązaniem połączenia lub po nawiązaniu połączenia. Jeśli jednak rola serwera zmieni się po połączeniu, musisz usunąć i ponownie zastosować przypisanie, aby upewnić się, że platforma konfiguracji maszyny może wykryć zmianę roli. Aby uzyskać więcej informacji na temat usuwania przypisań, zobacz Usuwanie przypisań gościa w programie Azure Policy.

Aby zastosować punkt odniesienia, sprawdzić, czy punkt odniesienia jest stosowany, usunąć punkt odniesienia lub wyświetlić szczegółowe informacje o zgodności dla OSConfig w środowisku PowerShell, użyj poleceń na poniższych kartach.

Aby zastosować punkt odniesienia dla urządzenia przyłączonego do domeny, uruchom następujące polecenie:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Default

Aby zastosować punkt odniesienia dla urządzenia, które znajduje się w grupie roboczej, uruchom następujące polecenie:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember -Default

Aby zastosować punkt odniesienia dla urządzenia skonfigurowanego jako kontroler domeny, uruchom następujące polecenie:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController -Default

Aby zastosować podstawową konfigurację zabezpieczonego rdzenia dla urządzenia, uruchom następujące polecenie:

Set-OSConfigDesiredConfiguration -Scenario SecuredCore -Default

Aby zastosować punkt odniesienia programu antywirusowego Microsoft Defender dla urządzenia, uruchom następujące polecenie:

Set-OSConfigDesiredConfiguration -Scenario Defender/Antivirus -Default

Notatka

  • W przypadku zastosowania lub usunięcia punktu odniesienia zabezpieczeń wymagane jest ponowne uruchomienie, aby zmiany zaczęły obowiązywać.

  • Podczas dostosowywania bazowej konfiguracji zabezpieczeń może być wymagane ponowne uruchomienie, aby zmiany zaczęły obowiązywać, w zależności od tego, które funkcje zabezpieczeń zostały zmodyfikowane.

  • Podczas procesu usuwania , gdy ustawienia zabezpieczeń są przywracane, zmiana tych ustawień z powrotem do wstępnie zarządzanej konfiguracji nie jest zapewniona. Zależy to od określonych ustawień w punkcie odniesienia zabezpieczeń. To zachowanie jest zgodne z możliwościami zapewnianymi przez zasady usługi Microsoft Intune. Aby dowiedzieć się więcej, zobacz Usuwanie przypisania punktu odniesienia zabezpieczeń.

Dostosowywanie punktów odniesienia zabezpieczeń systemu Windows Server 2025

Po zakończeniu konfiguracji bazowej zabezpieczeń można zmodyfikować ustawienia zabezpieczeń, utrzymując kontrolę nad dryfem. Dostosowanie wartości zabezpieczeń pozwala na większą kontrolę nad zasadami zabezpieczeń organizacji w zależności od konkretnych potrzeb środowiska.

Aby edytować wartość domyślną AuditDetailedFileShare z 2 do 3 dla serwera członkowskiego, uruchom następujące polecenie:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare -Value 3

Aby sprawdzić, czy nowa wartość jest stosowana, uruchom następujące polecenie:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare

Notatka

W zależności od tego, które ustawienia zabezpieczeń są dostosowane, oczekiwane są pewne dane wejściowe użytkownika. Te dane wejściowe to:

  • MessageTextUserLogon
  • MessageTextUserLogonTitle
  • RenameAdministratorAccount
  • RenameGuestAccount

Po podaniu niezbędnych danych wejściowych wybierz klawisz Enter, aby kontynuować.

Prześlij opinię dotyczącą konfiguracji systemu operacyjnego

Jeśli po zastosowaniu punktu odniesienia zabezpieczeń jesteś zablokowany lub występują zakłócenia pracy, zgłoś usterkę przy użyciu Feedback Hub. Aby dowiedzieć się więcej na temat przesyłania opinii, zobacz Bardziej szczegółowe informacje na temat opinii.

Proszę podać punkt odniesienia zabezpieczeń OSConfig jako tytuł opinii. W obszarze Wybierz kategorięwybierz pozycję Windows Server z listy rozwijanej, a następnie wybierz pozycję Management z pomocniczej listy rozwijanej i kontynuuj przesyłanie opinii.

Powiązana zawartość