Implantar linhas de base de segurança OSConfig localmente

• Aplica-se a:

  ✅ Windows Server 2025

O OSConfig é uma pilha de configuração de segurança que usa uma abordagem baseada em cenário para fornecer e aplicar as medidas de segurança desejadas para o seu ambiente. Ele fornece suporte de cogerenciamento para dispositivos locais e conectados ao Azure Arc. Você pode usar o Windows PowerShell ou o Windows Admin Center para aplicar as linhas de base de segurança em todo o ciclo de vida do dispositivo, começando pelo processo de implantação inicial.

Alguns dos destaques das linhas de base de segurança fornecem as seguintes imposições:

• Núcleo seguro: UEFI MAT, inicialização segura, cadeia de inicialização assinada
• Protocolos: TLS Imposto 1.2+, SMB 3.0+, Kerberos AES
• Proteção de credenciais: LSASS/PPL
• Políticas de conta e senha
• Políticas de segurança e opções de segurança

Você pode obter a lista completa das configurações para as linhas de base de segurança no GitHub.

Orientação de avaliação

Para operações em escala, use o Azure Policy e a Configuração do Computador de Gerenciamento Automatizado do Azure para monitorar e ver sua pontuação de conformidade.

Importante

Depois de aplicar a linha de base de segurança, a configuração de segurança do sistema será alterada junto com os comportamentos padrão. Teste cuidadosamente antes de aplicar essas alterações em ambientes de produção.

Você será solicitado a alterar sua senha de administrador local depois de aplicar a linha de base de segurança para cenários de servidor membro e membro do Workroup.

Abaixo, você pode encontrar uma lista de alterações mais perceptíveis após a aplicação das linhas de base:

• A senha do administrador local deve ser alterada. A nova política de senha deve atender aos requisitos de complexidade e comprimento mínimo de 14 caracteres. Isso se aplica apenas a contas de usuário locais; Ao fazer login com uma conta de domínio, os requisitos de domínio prevalecem para contas de domínio.

• As conexões TLS estão sujeitas a um mínimo de TLS/DTLS 1.2 ou superior, o que pode impedir conexões com sistemas mais antigos.

• A capacidade de copiar e colar arquivos de sessões RDP está desativada. Se você precisar usar essa função, execute o seguinte comando e reinicie o dispositivo:

  Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/<ServerRoleBeingApplied> -Name RemoteDesktopServicesDoNotAllowDriveRedirection -Value 0
  

• As conexões estão sujeitas ao SMB 3.0 mínimo ou superior. A conexão com sistemas não Windows, como o Linux SAMBA, deve dar suporte ao SMB 3.0 ou ajustes na linha de base são necessários.

• Se você estiver definindo as mesmas configurações com dois métodos diferentes, sendo um deles OSConfig, conflitos serão esperados. Especialmente com o controle de desvio envolvido, pois você deve remover uma das fontes se os parâmetros forem diferentes para evitar que as configurações mudem constantemente entre as fontes.

• Você pode encontrar erros de conversão de SID em configurações de domínio específicas. Ele não afeta o restante da definição de linha de base de segurança e pode ser ignorado.

Pré-requisitos

Verifique se o dispositivo está executando o Windows Server 2025. O OSConfig não dá suporte a versões anteriores do Windows Server.

Instalar o módulo PowerShell do OSConfig

Antes de aplicar uma linha de base de segurança pela primeira vez, você precisa instalar o módulo OSConfig por meio de uma janela elevada do PowerShell:

1. Selecione Iniciar, digite PowerShell, passe o mouse sobre Windows PowerShell e selecione Executar como administrador.

2. Execute o seguinte comando para instalar o módulo OSConfig:

   Install-Module -Name Microsoft.OSConfig -Scope AllUsers -Repository PSGallery -Force
   

   Se você for solicitado a instalar ou atualizar o provedor NuGet, selecione Sim.

3. Para verificar se o módulo OSConfig está instalado, execute o seguinte comando:

   Get-Module -ListAvailable -Name Microsoft.OSConfig
   

Gerenciar linhas de base de segurança do OSConfig

Aplique as linhas de base de segurança apropriadas, com base na função Windows Server do seu dispositivo:

• DC (controlador de domínio)
• Servidor membro
• Membro do grupo de trabalho

A experiência de linha de base é alimentada pelo OSConfig. Uma vez aplicadas, suas configurações de linha de base de segurança são protegidas contra qualquer desvio automaticamente, que é um dos principais recursos de sua plataforma de segurança.

Observação

Para dispositivos conectados ao Azure Arc, você pode aplicar as linhas de base de segurança antes ou depois da conexão. Mas se a função do servidor for alterada após a conexão, você deverá excluir e reaplicar a atribuição para garantir que a plataforma de configuração do computador possa detectar a alteração de função. Para obter mais informações sobre como excluir uma atribuição, consulte Exclusão de atribuições de convidado do Azure Policy.

Para aplicar uma linha de base, verificar se a linha de base foi aplicada, remover uma linha de base ou exibir informações detalhadas de conformidade para OSConfig no PowerShell, use os comandos nas guias a seguir.

Configurar

Para aplicar a linha de base para um dispositivo ingressado no domínio, execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Default

Para aplicar a linha de base para um dispositivo que está em um grupo de trabalho, execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember -Default

Para aplicar a linha de base para um dispositivo configurado como DC, execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController -Default

Para aplicar a linha de base de núcleo seguro a um dispositivo, execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario SecuredCore -Default

Para aplicar a linha de base do Microsoft Defender Antivírus a um dispositivo, execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario Defender/Antivirus -Default

Verificar

Para verificar se a linha de base de um dispositivo ingressado no domínio foi aplicada corretamente, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer

Para verificar se a linha de base de um dispositivo que está em um grupo de trabalho foi aplicada corretamente, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember

Para verificar se a linha de base de um dispositivo configurado como DC foi aplicada corretamente, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController

Para verificar se a linha de base de núcleo seguro de um dispositivo foi aplicada corretamente, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecuredCore

Para verificar se a linha de base do Microsoft Defender Antivírus para um dispositivo foi aplicada corretamente, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario Defender/Antivirus

Remove

Para remover a linha de base de um dispositivo ingressado no domínio, execute o seguinte comando:

Remove-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer

Para remover a linha de base para um dispositivo que está em um grupo de trabalho, execute o seguinte comando:

Remove-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember

Para remover a linha de base para um dispositivo configurado como DC, execute o seguinte comando:

Remove-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController

Para remover a linha de base de núcleo seguro a um dispositivo, execute o seguinte comando:

Remove-OSConfigDesiredConfiguration -Scenario SecuredCore

Para remover a linha de base do Microsoft Defender Antivírus a um dispositivo, execute o seguinte comando:

Remove-OSConfigDesiredConfiguration -Scenario Defender/Antivirus

Verifique a conformidade

Para obter os detalhes de configuração desejados para o cenário especificado, use os comandos a seguir. A saída aparece em um formato de tabela que inclui o nome do item de configuração, seu status de conformidade e o motivo da não conformidade.

Para verificar os detalhes de conformidade de um dispositivo ingressado no domínio, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Para verificar os detalhes de conformidade de um dispositivo de grupo de trabalho, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Para verificar os detalhes de conformidade da linha de base do DC, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Para verificar os detalhes de conformidade da linha de base de núcleo seguro, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecuredCore | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Para verificar os detalhes de conformidade da linha de base do Microsoft Defender Antivírus, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario Defender/Antivirus | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap 

Observação

• Quando você aplica ou remove uma linha de base de segurança, é necessário reiniciar para que as alterações entrem em vigor.

• Quando você personaliza uma linha de base de segurança, é necessário reiniciar para que as alterações entrem em vigor, dependendo de quais recursos de segurança você modificou.

• Durante o processo de remoção, quando as configurações de segurança são revertidas, não é garantido alterar essas configurações de volta para a configuração pré-gerenciada. Depende das configurações específicas dentro da linha de base de segurança. Esse comportamento se alinha com os recursos que as políticas do Microsoft Intune fornecem. Para saber mais, consulte Gerenciar perfis de linha de base de segurança no Microsoft Intune.

Personalizar linhas de base de segurança do OSConfig

Depois de concluir a configuração da linha de base de segurança, você pode modificar as configurações de segurança enquanto mantém o controle de desvios. A personalização dos valores de segurança permite mais controle das políticas de segurança da sua organização, dependendo das necessidades específicas do seu ambiente.

Para editar o valor padrão de AuditDetailedFileShare from 2 to 3 para o servidor membro, execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare -Value 3 

Para verificar se o novo valor foi aplicado, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare 

Observação

Dependendo de quais configurações de segurança são personalizadas, certas entradas do usuário são esperadas. Essas entradas são:

• MessageTextUserLogon
• MessageTextUserLogonTitle
• RenameAdministratorAccount
• RenameGuestAccount

Depois de fornecer a entrada necessária, selecione a tecla Enter para continuar.

Fornecer comentários para OSConfig

Se você estiver bloqueado ou enfrentando uma interrupção no trabalho após aplicar a linha de base de segurança, registre um bug usando o Hub de Feedback. Para saber mais sobre como enviar comentários, consulte Análise mais detalhada dos comentários.

Forneça-nos a linha de base de segurança OSConfig como o título de comentários. Em Escolher uma categoria, selecione Windows Server na lista suspensa, selecione Gerenciamento na lista suspensa secundária e prossiga com o envio de seus comentários.

Conteúdo relacionado

• Configurar o Controle de Aplicativos para Empresas com OSConfig