Partilhar via


Implantar linhas de base de segurança do Windows Server 2025 localmente com o OSConfig

A implantação da linha de base de segurança do Windows Server 2025 em seu ambiente garante que as medidas de segurança desejadas estejam em vigor, fornecendo uma estrutura de segurança abrangente e padronizada. A linha de base do Windows Server 2025 inclui mais de 300 configurações de segurança para garantir que atenda aos requisitos de segurança padrão do setor. Ele também fornece suporte de cogerenciamento para dispositivos locais e conectados ao Azure Arc. As linhas de base de segurança podem ser configuradas por meio do PowerShell, do Windows Admin Center e da Política do Azure. A ferramenta OSConfig é uma pilha de configuração de segurança que usa uma abordagem baseada em cenários para fornecer e aplicar as medidas de segurança desejadas para seu ambiente. As linhas de base de segurança em todo o ciclo de vida do dispositivo podem ser aplicadas usando o OSConfig a partir do processo de implantação inicial.

Alguns dos destaques das linhas de base de segurança fornecem as seguintes aplicações:

  • Núcleo Protegido: UEFI MAT, Inicialização Segura, Cadeia de Arranque Assinada
  • Protocolos: TLS Enforced 1.2+, SMB 3.0+, Kerberos AES
  • Proteção de credenciais: LSASS/PPL
  • Políticas de conta e palavra-passe
  • Políticas de segurança e opções de segurança

Você pode obter a lista completa das configurações para as linhas de base de segurança em GitHub.

Orientações para a avaliação

Para operações em escala, use a Política do Azure e a Configuração de Máquina de Gerenciamento Automático do Azure para monitorar e ver sua pontuação de conformidade.

Importante

Depois de aplicar a linha de base de segurança, a configuração de segurança do seu sistema será alterada juntamente com os comportamentos padrão. Teste cuidadosamente antes de aplicar essas alterações em ambientes de produção.

Ser-lhe-á pedido para alterar a palavra-passe do administrador local após aplicar a linha de base de segurança para cenários de servidor membro e membro de grupo de trabalho.

Abaixo, você pode encontrar uma lista de alterações mais percetíveis após a aplicação das linhas de base:

  • A senha do administrador local deve ser alterada. A nova política de senha deve atender aos requisitos de complexidade e comprimento mínimo de 14 caracteres. Esta regra aplica-se apenas a contas de utilizador locais; Ao entrar com uma conta de domínio, os requisitos de domínio prevalecem para contas de domínio.

  • As conexões TLS estão sujeitas a um mínimo de TLS/DTLS 1.2 ou superior, o que pode impedir conexões com sistemas mais antigos.

  • A capacidade de copiar e colar arquivos de sessões RDP está desativada. Se precisar de utilizar esta função, execute o seguinte comando e, em seguida, reinicie o dispositivo:

    Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/<ServerRoleBeingApplied> -Name RemoteDesktopServicesDoNotAllowDriveRedirection -Value 0
    
  • As conexões estão sujeitas ao SMB 3.0 mínimo ou superior, pois a conexão com sistemas que não são Windows, como Linux SAMBA, deve suportar SMB 3.0 ou ajustes na linha de base são necessários.

  • Se você estiver definindo as mesmas configurações com dois métodos diferentes, sendo um deles o OSConfig, os conflitos são esperados. Especialmente com o controle de desvio envolvido, pois você deve remover uma das fontes se os parâmetros forem diferentes para evitar que as configurações mudem constantemente entre fontes.

  • Você pode encontrar erros de conversão SID em configurações de domínio específicas. Ele não afeta o restante da definição de linha de base de segurança e pode ser ignorado.

Pré-requisitos

Seu dispositivo deve estar executando o Windows Server 2025. O OSConfig não suporta versões anteriores do Windows Server.

Instalar o módulo OSConfig PowerShell

Antes de aplicar uma linha de base de segurança pela primeira vez, você precisa instalar o módulo OSConfig por meio de uma janela elevada do PowerShell:

  1. Selecione Iniciar, digite PowerShell, passe o mouse sobre Windows PowerShelle selecione Executar como administrador.

  2. Execute o seguinte comando para instalar o módulo OSConfig:

    Install-Module -Name Microsoft.OSConfig -Scope AllUsers -Repository PSGallery -Force
    

    Se você for solicitado a instalar ou atualizar o provedor NuGet, selecione Sim.

  3. Para verificar se o módulo OSConfig está instalado, execute o seguinte comando:

    Get-Module -ListAvailable -Name Microsoft.OSConfig
    

Gerenciar linhas de base de segurança do Windows Server 2025

Aplique as linhas de base de segurança apropriadas com base na função Windows Server do seu dispositivo:

  • Controlador de domínio (DC)
  • Servidor membro (ingressado no domínio)
  • Servidor membro do grupo de trabalho (não associado ao domínio)

A experiência de linha de base é alimentada pelo OSConfig. Uma vez aplicadas, suas configurações de linha de base de segurança são protegidas contra qualquer desvio automaticamente, que é um dos principais recursos de sua plataforma de segurança.

Observação

Para dispositivos conectados ao Azure Arc, você pode aplicar as linhas de base de segurança antes ou depois da conexão. Mas se a função do servidor mudar após a conexão, você deverá excluir e reaplicar a atribuição para garantir que a plataforma de configuração da máquina possa detetar a alteração de função. Para obter mais informações sobre como excluir uma atribuição, consulte Exclusão de atribuições de convidado do Azure Policy.

Para aplicar uma linha de base, verificar se a linha de base é aplicada, remover uma linha de base ou exibir informações detalhadas de conformidade para o OSConfig no PowerShell, use os comandos nas guias a seguir.

Para aplicar a linha de base para um dispositivo associado a um domínio, execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Default

Para aplicar a linha de base para um dispositivo que está em um grupo de trabalho, execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember -Default

Para aplicar a linha de base para um dispositivo configurado como DC, execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController -Default

Para aplicar a linha de base secured-core para um dispositivo, execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario SecuredCore -Default

Para aplicar a linha de base do Microsoft Defender Antivírus para um dispositivo, execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario Defender/Antivirus -Default

Observação

  • Quando aplica ou remove uma linha de base de segurança, uma reinicialização é necessária para que as alterações entrem em vigor.

  • Ao personalizar uma linha de base de segurança, pode ser necessário reiniciar para que as alterações tenham efeito, dependendo dos recursos de segurança que foram modificados.

  • Durante o processo de remoção de , quando as configurações de segurança são revertidas, não é garantido voltar a alterar essas configurações para a configuração original. Depende das configurações específicas dentro da linha de base de segurança. Esse comportamento se alinha aos recursos fornecidos pelas políticas do Microsoft Intune. Para saber mais, consulte Remover uma atribuição de linha de base de segurança.

Personalizar as linhas de base de segurança do Windows Server 2025

Depois de concluir a configuração da linha de base de segurança, pode modificar as configurações de segurança enquanto mantém o controlo de deriva. A personalização dos valores de segurança permite um maior controlo das políticas de segurança da sua organização, dependendo das necessidades específicas do seu ambiente.

Para editar o valor padrão de AuditDetailedFileShare de 2 para 3 para seu servidor membro, execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare -Value 3 

Para verificar se o novo valor é aplicado, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare 

Observação

Dependendo de quais configurações de segurança são personalizadas, certas entradas do usuário são esperadas. Esses insumos são:

  • MessageTextUserLogon
  • MessageTextUserLogonTitle
  • RenameAdministratorAccount
  • RenameGuestAccount

Depois de fornecer a entrada necessária, selecione a Enter chave para continuar.

Fornecer feedback para o OSConfig

Se estiver bloqueado ou tiver uma interrupção no trabalho depois de aplicar a linha de base de segurança, submeta um bug usando o Hub de Feedback. Para saber mais sobre como enviar comentários, consulte Análise mais profunda dos comentários.

Forneça linha de base de segurança do OSConfig como título do feedback. Em Escolha uma categoria, selecione Windows Server na lista suspensa, em seguida, seleccione Gestão na lista suspensa secundária e, depois, envie os seus comentários.