Omówienie konfiguracji systemu operacyjnego

• Dotyczy:

  ✅ Windows Server 2025

OSConfig to stos konfiguracji zabezpieczeń, który używa scenariuszy do wydajnego dostarczania i stosowania intencji administracyjnych w celu osiągnięcia żądanego stanu urządzeń lokalnych i połączonych z usługą Azure Arc.

Stos OSConfig składa się z podstawowych poleceń cmdlet, natywnych interfejsów API i definicji scenariusza, która definiuje konfigurację żądanego stanu. Definicja scenariusza to oparty na danych opis konfiguracji. Konfiguracje to grupy ustawień, które używają par nazwa/wartość ze wstępnie zdefiniowaną kolejnością i zależnościami odpowiadającymi obszarom podrzędnym.

Konfiguracja systemu operacyjnego jest często udostępniana w systemie operacyjnym Windows Server w celu zapewnienia abstrakcji konfiguracji urządzenia lokalnego. Jego projekt modelu obiektów jest oparty na danych, co umożliwia mapowanie różnych dostawców w systemie operacyjnym Windows na potrzeby konfiguracji urządzenia. Na poniższym diagramie opisano przepływ konfiguracji systemu operacyjnego.

Obecnie można użyć konfiguracji systemu operacyjnego do ustanowienia punktów odniesienia zabezpieczeń dla różnych systemów operacyjnych Microsoft Edge, takich jak Windows Server 2025 i Azure Local 23H2. Integruje się z usługami Azure Policy, Microsoft Defender, Windows Admin Center i konfiguracją maszyn Azure Automanage, aby usprawnić monitorowanie i raportowanie zgodności.

OSConfig umożliwia ulepszone mapowanie, a nawet bezpośrednią konwersję z innymi wcześniej istniejącymi definicjami zarządzania. Te definicje obejmują pliki .admx w Zasadach grupy, pliki .mof w Instrumentacji zarządzania Windows (WMI) i pliki Struktury opisu urządzeń (DDF) w dostawcy usług konfiguracji (CSP).

OSConfig drift control (Kontrola dryfu konfiguracji systemu operacyjnego)

Jedną z głównych funkcji konfiguracji systemu operacyjnego jest kontrola dryfu. Pomaga to zapewnić, że system zostanie uruchomiony i pozostanie w znanym dobrym stanie zabezpieczeń. Po włączeniu tej opcji program OSConfig automatycznie koryguje wszelkie zmiany systemu, które odbiegają od żądanego stanu. OSConfig dokonuje korekty za pomocą zadania odświeżenia.

Po wyłączeniu funkcji zadanie odświeżania jest również wyłączone. Użytkownicy mogą następnie używać innych narzędzi z konfiguracją systemu operacyjnego lub bez tej konfiguracji, aby zmodyfikować system. Każde narzędzie do zarządzania może obsługiwać różne cele i być używane przez różnych podmiotów, dzięki czemu wiele władz może zarządzać tym samym zestawem ustawień urządzenia. Na przykład władze mogą używać usługi Azure Policy do obsługi zasobów w chmurze lub z obsługą usługi Azure Arc na dużą skalę, podczas gdy mogą używać Centrum administracyjnego systemu Windows do zarządzania lokalnego.

Aby rozwiązać problemy z wieloma władzami, orkiestrator zapewnia deterministyczną konfigurację w środowisku, w którym wiele władz korzysta z różnych narzędzi administracyjnych IT. W tym modelu każdy urząd ma przypisaną kolejność pierwszeństwa. Ta kolejność pierwszeństwa nie ma zastosowania tylko z perspektywy konfiguracji. Gwarantuje również, że zarządzanie dryfem jest możliwe w ramach uprawnień każdego urzędu, a także dla poszczególnych dokumentów scenariusza.

W przypadku użytkowników zasobów w chmurze lub z obsługą usługi Azure Arc pierwszeństwo to:

1. Autorytet chmury (Azure Policy)
2. Urząd lokalny (Windows Admin Center i Windows PowerShell)
3. Dowolne inne narzędzie wdrażania

Punkty odniesienia zabezpieczeń konfiguracji systemu operacyjnego

Dzięki systemowi Windows Server można określić priorytety zabezpieczeń od samego początku, wdrażając zalecany stan zabezpieczeń na urządzeniach i maszynach wirtualnych. W całym cyklu życia urządzenia można zastosować te punkty odniesienia zabezpieczeń przy użyciu programu PowerShell lub Centrum administracyjnego systemu Windows.

Stosowanie punktów odniesienia zabezpieczeń konfiguracji systemu operacyjnego w środowisku:

• Zwiększa poziom zabezpieczeń, wyłączając starsze protokoły i szyfry.
• Zmniejsza koszty operacyjne dzięki wbudowanemu mechanizmowi ochrony dryfu, który umożliwia spójne monitorowanie na dużą skalę za pośrednictwem punktu odniesienia usługi Azure Arc Hybrid Edge.
• Umożliwia spełnienie wymagań Center for Internet Security (CIS) benchmarks i Defense Information Systems Security Technical Implementation Guides (DISA STIGs) wymagań dotyczących zalecanych punktów odniesienia zabezpieczeń systemu operacyjnego.

Korzyści zabezpieczeń konfiguracji systemu operacyjnego

OSConfig to jedna platforma, która:

• Stosuje pakiety zabezpieczeń do urządzeń przez cały cykl życia konfiguracji, w tym konfigurację zabezpieczeń, naprawę, monitorowanie, raportowanie i wersjonowanie.
• Udostępnia skalowalne, oparte na danych rozwiązanie z pojedynczą spójną implementacją dla kilku zestawów narzędzi administracyjnych, takich jak Windows Admin Center, Azure Arc, PowerShell, Azure Policy i Azure Automanage machine configuration.
• Generuje spójne wyniki i wymusza, który urząd ma pierwszeństwo za pośrednictwem modelu wielu urzędów.
• Obsługuje dyrektywy orkiestracji, które przestrzegają wymagań wstępnych i zależności między ustawieniami.
• Wymusza żądany stan poprzez wykrywanie odchyleń w konfiguracji, raportowanie i korektę.
• Zapewnia abstrakcję umożliwiającą modele rozszerzalności, które obsługują różnych dostawców konfiguracji.

Powiązana zawartość

• lokalne wdrażanie punktów odniesienia zabezpieczeń OSConfig