Implantar linhas de base de segurança OSConfig localmente

• Aplica-se a:

  ✅ Windows Server 2025

O OSConfig é uma pilha de configuração de segurança que usa uma abordagem baseada em cenário para fornecer e aplicar as medidas de segurança desejadas para o seu ambiente. Ele fornece suporte de cogerenciamento para dispositivos locais e conectados ao Azure Arc. Você pode usar o Windows PowerShell ou o Windows Admin Center para aplicar as linhas de base de segurança em todo o ciclo de vida do dispositivo, começando pelo processo de implantação inicial.

Você pode obter a lista completa das configurações para as linhas de base de segurança no GitHub.

Pré-requisitos

Verifique se o dispositivo está executando o Windows Server 2025. O OSConfig não dá suporte a versões anteriores do Windows Server.

Instalar o módulo PowerShell do OSConfig

Antes de aplicar uma linha de base de segurança pela primeira vez, você precisa instalar o módulo OSConfig por meio de uma janela elevada do PowerShell:

1. Selecione Iniciar, digite PowerShell, passe o mouse sobre Windows PowerShell e selecione Executar como administrador.

2. Execute o seguinte comando para instalar o módulo OSConfig:

   Install-Module -Name Microsoft.OSConfig -Scope AllUsers -Repository PSGallery -Force
   

   Se você for solicitado a instalar ou atualizar o provedor NuGet, selecione Sim.

3. Para verificar se o módulo OSConfig está instalado, execute o seguinte comando:

   Get-Module -ListAvailable -Name Microsoft.OSConfig
   

Gerenciar linhas de base de segurança do OSConfig

Aplique as linhas de base de segurança apropriadas, com base na função Windows Server do seu dispositivo:

• DC (controlador de domínio)
• Servidor membro
• Membro do grupo de trabalho

Observação

Para dispositivos conectados ao Azure Arc, você pode aplicar as linhas de base de segurança antes ou depois da conexão. Mas se a função do servidor for alterada após a conexão, você deverá excluir e reaplicar a atribuição para garantir que a plataforma de configuração do computador possa detectar a alteração de função. Para obter mais informações sobre como excluir uma atribuição, consulte Exclusão de atribuições de convidado do Azure Policy.

Para aplicar uma linha de base, verificar se a linha de base foi aplicada, remover uma linha de base ou exibir informações detalhadas de conformidade para OSConfig no PowerShell, use os comandos nas guias a seguir.

Configurar

Para aplicar a linha de base para um dispositivo ingressado no domínio, execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Default

Para aplicar a linha de base para um dispositivo que está em um grupo de trabalho, execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember -Default

Para aplicar a linha de base para um dispositivo configurado como DC, execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController -Default

Para aplicar a linha de base de núcleo seguro a um dispositivo, execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario SecuredCore -Default

Para aplicar a linha de base do Microsoft Defender Antivírus a um dispositivo, execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario Defender/Antivirus -Default

Verificar

Para verificar se a linha de base de um dispositivo ingressado no domínio foi aplicada corretamente, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer

Para verificar se a linha de base de um dispositivo que está em um grupo de trabalho foi aplicada corretamente, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember

Para verificar se a linha de base de um dispositivo configurado como DC foi aplicada corretamente, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController

Para verificar se a linha de base de núcleo seguro de um dispositivo foi aplicada corretamente, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecuredCore

Para verificar se a linha de base do Microsoft Defender Antivírus para um dispositivo foi aplicada corretamente, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario Defender/Antivirus

Remove

Para remover a linha de base de um dispositivo ingressado no domínio, execute o seguinte comando:

Remove-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer

Para remover a linha de base para um dispositivo que está em um grupo de trabalho, execute o seguinte comando:

Remove-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember

Para remover a linha de base para um dispositivo configurado como DC, execute o seguinte comando:

Remove-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController

Para remover a linha de base de núcleo seguro a um dispositivo, execute o seguinte comando:

Remove-OSConfigDesiredConfiguration -Scenario SecuredCore

Para remover a linha de base do Microsoft Defender Antivírus a um dispositivo, execute o seguinte comando:

Remove-OSConfigDesiredConfiguration -Scenario Defender/Antivirus

Verifique a conformidade

Para obter os detalhes de configuração desejados para o cenário especificado, use os comandos a seguir. A saída aparece em um formato de tabela que inclui o nome do item de configuração, seu status de conformidade e o motivo da não conformidade.

Para verificar os detalhes de conformidade de um dispositivo ingressado no domínio, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Para verificar os detalhes de conformidade de um dispositivo de grupo de trabalho, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Para verificar os detalhes de conformidade da linha de base do DC, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Para verificar os detalhes de conformidade da linha de base de núcleo seguro, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecuredCore | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Para verificar os detalhes de conformidade da linha de base do Microsoft Defender Antivírus, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario Defender/Antivirus | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap 

Observação

• Quando você aplica ou remove uma linha de base de segurança, é necessário reiniciar para que as alterações entrem em vigor.

• Quando você personaliza uma linha de base de segurança, é necessário reiniciar para que as alterações entrem em vigor, dependendo de quais recursos de segurança você modificou.

• Durante o processo de remoção, quando as configurações de segurança são revertidas, não é garantido alterar essas configurações de volta para a configuração pré-gerenciada. Depende das configurações específicas dentro da linha de base de segurança. Esse comportamento se alinha com os recursos que as políticas do Microsoft Intune fornecem. Para saber mais, consulte Gerenciar perfis de linha de base de segurança no Microsoft Intune.

Personalizar linhas de base de segurança do OSConfig

Depois de concluir a configuração da linha de base de segurança, você pode modificar as configurações de segurança enquanto mantém o controle de desvios. A personalização dos valores de segurança permite mais controle das políticas de segurança da sua organização, dependendo das necessidades específicas do seu ambiente.

Para editar o valor padrão de AuditDetailedFileShare from 2 to 3 para o servidor membro, execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare -Value 3 

Para verificar se o novo valor foi aplicado, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare 

Observação

Dependendo de quais configurações de segurança são personalizadas, certas entradas do usuário são esperadas. Essas entradas são:

• MessageTextUserLogon
• MessageTextUserLogonTitle
• RenameAdministratorAccount
• RenameGuestAccount

Depois de fornecer a entrada necessária, selecione a tecla Enter para continuar.

Conteúdo relacionado

• Configurar o Controle de Aplicativos para Empresas com OSConfig