Visão geral do OSConfig

• Aplica-se a:

  ✅ Windows Server 2025

OSConfig é uma pilha de configuração de segurança que usa cenários para fornecer e aplicar com eficiência a intenção administrativa para alcançar o estado desejado de dispositivos locais e conectados ao Azure Arc.

A pilha OSConfig consiste em cmdlets base, APIs nativas e uma definição de cenário que define a configuração de estado desejada. A definição do cenário é uma descrição de configurações controlada por dados. As configurações são grupos de configurações que usam pares de nome/valor com uma ordem predefinida e dependências que correspondem a subáreas.

O OSConfig é comumente lançado com o sistema operacional Windows Server (SO) para fornecer uma abstração para a configuração do dispositivo local. Seu design de modelo de objeto é orientado por dados, o que permite o mapeamento para vários provedores no sistema operacional Windows para configuração do dispositivo. O diagrama a seguir descreve o fluxo OSConfig.

Atualmente, você pode usar o OSConfig para estabelecer linhas de base de segurança para vários sistemas operacionais Microsoft Edge, como Windows Server 2025 e Azure Stack HCI 23H2. Ele se integra ao Azure Policy, Microsoft Defender, Windows Admin Center e configuração de computador do Azure Automanage para facilitar o monitoramento e os relatórios de conformidade.

O OSConfig permite mapeamento aprimorado ou até mesmo conversão direta com outras definições de gerenciamento preexistentes. Essas definições incluem .admx arquivos na Diretiva de Grupo, .mof arquivos na WMI (Instrumentação de Gerenciamento do Windows) e arquivos DDF (Device Description Framework) no CSP (provedor de serviços de configuração).

Controle de descompasso OSConfig

Uma das principais características do OSConfig é o controle de desvio. Isso ajuda a garantir que o sistema seja iniciado e permaneça em um bom estado de segurança conhecido. Quando você o ativa, o OSConfig corrige automaticamente todas as alterações do sistema que se desviam do estado desejado. OSConfig faz a correção por meio de uma tarefa de atualização.

Quando você desativa o recurso, a tarefa de atualização também é desabilitada. Os usuários podem usar outras ferramentas, com ou sem OSConfig, para modificar o sistema. Cada ferramenta de gerenciamento pode servir a vários propósitos e ser usada por diferentes atores, para que várias autoridades possam gerenciar o mesmo conjunto de configurações do dispositivo. Por exemplo, as autoridades podem usar o Azure Policy para nuvem ou recursos habilitados para Azure Arc em escala, enquanto podem usar o Windows Admin Center para gerenciamento local.

Para lidar com várias autoridades, um orquestrador garante a configuração determinística em um ambiente em que várias autoridades usam várias ferramentas de administração de TI. Sob este modelo, cada autoridade recebe uma ordem de precedência. Essa ordem de precedência não se aplica apenas de uma perspectiva de configuração. Também garante que o controle de desvio seja permitido por autoridade e até mesmo por documento de cenário.

Para usuários de recursos habilitados para nuvem ou Azure Arc, a ordem de precedência é:

1. Autoridade de nuvem (Azure Policy)
2. Autoridade local (Windows Admin Center e Windows PowerShell)
3. Qualquer outra ferramenta de implantação

Linhas de base de segurança do OSConfig

Com o Windows Server, você pode priorizar a segurança desde o início, implantando uma postura de segurança recomendada em seus dispositivos e máquinas virtuais. Durante todo o ciclo de vida do dispositivo, você pode aplicar essas linhas de base de segurança usando o PowerShell ou o Windows Admin Center.

Aplicando as linhas de base de segurança OSConfig em seu ambiente:

• Aprimora a postura de segurança desabilitando protocolos e cifras herdados.
• Reduz as despesas operacionais com o mecanismo de proteção contra desvios interno que permite o monitoramento consistente em escala por meio da linha de base do Azure Arc Hybrid Edge.
• Permite que você atenda aos requisitos do Center for Internet Security (CIS) Benchmarks e dos Guias de Implementação Técnica de Segurança da Agência de Sistemas de Informação de Defesa (DISA STIGs) para a linha de base de segurança do sistema operacional recomendada.

Benefícios de segurança do OSConfig

OSConfig é uma plataforma única que:

• Aplica cargas de segurança a dispositivos durante todo o ciclo de vida da configuração, incluindo configuração de segurança, correção, monitoramento, relatórios e controle de versão.
• Fornece uma solução escalonável e controlada por dados com uma implementação única e consistente para vários conjuntos de ferramentas administrativas, como Windows Admin Center, Azure Arc, PowerShell, Azure Policy e configuração de computador de Gerenciamento Automatizado do Azure.
• Gera resultados consistentes e impõe qual autoridade tem precedência por meio do modelo de várias autoridades.
• Dá suporte a diretivas de orquestração que respeitam pré-requisitos e dependências entre as configurações.
• Impõe o estado desejado por meio de detecção, relatórios e correção de descompasso de configuração.
• Fornece abstração para permitir modelos de extensibilidade que dão suporte a diferentes provedores de configuração.

Conteúdo relacionado

• Implantar linhas de base de segurança OSConfig localmente