Översikt över OSConfig
OSConfig är en säkerhetskonfigurationsstack som använder scenarier för att effektivt leverera och tillämpa administrativ avsikt för att uppnå önskat tillstånd för lokala och Azure Arc-anslutna enheter.
OSConfig-stacken består av bas-cmdletar, interna API:er och en scenariodefinition som definierar önskad tillståndskonfiguration. Scenariodefinitionen är en datadriven beskrivning av konfigurationer. Konfigurationerna är grupper med inställningar som använder namn/värde-par med en fördefinierad ordning och beroenden som motsvarar underområden.
OSConfig släpps ofta med Windows Server-operativsystemet (OS) för att tillhandahålla en abstraktion för konfiguration av lokala enheter. Dess objektmodelldesign är datadriven, vilket gör det möjligt att mappa till olika leverantörer i Windows-operativsystemet för enhetskonfiguration. Följande diagram beskriver OSConfig-flödet.
För närvarande kan du använda OSConfig för att upprätta säkerhetsbaslinjer för olika Microsoft Edge-operativsystem, till exempel Windows Server 2025 och Azure Local, version 23H2. Den integreras med Azure Policy, Microsoft Defender, Windows Admin Center och Azure Automanage Machine Configuration för att underlätta övervakning och efterlevnadsrapportering.
OSConfig möjliggör förbättrad mappning eller till och med direkt konvertering med andra befintliga hanteringsdefinitioner. Dessa definitioner omfattar .admx
-filer i grupprincip, .mof
-filer i Windows Management Instrumentation (WMI) och Device Description Framework (DDF)-filer i konfigurationstjänstleverantören (CSP).
OSConfig-driftkontroll
En av de viktigaste funktionerna i OSConfig är driftkontroll. Det hjälper till att säkerställa att systemet startas och förblir i ett känt bra säkerhetstillstånd. När du aktiverar det korrigerar OSConfig automatiskt alla systemändringar som avviker från önskat tillstånd. OSConfig gör korrigeringen via en uppdateringsaktivitet.
När du inaktiverar funktionen inaktiveras även uppdateringsaktiviteten. Användarna kan sedan använda andra verktyg, med eller utan OSConfig, för att ändra systemet. Varje hanteringsverktyg kan tjäna olika syften och användas av olika aktörer, så att flera myndigheter kan hantera samma uppsättning enhetsinställningar. Myndigheter kan till exempel använda Azure Policy för molnbaserade eller Azure Arc-aktiverade resurser i stor skala, medan de kan använda Windows Admin Center för lokal hantering.
För att hantera flera myndigheter säkerställer en orkestrerare deterministisk konfiguration i en miljö där flera myndigheter använder olika IT-administratörsverktyg. Under den här modellen tilldelas varje myndighet en prioritetsordning. Den här prioritetsordningen gäller inte bara ur ett konfigurationsperspektiv. Det säkerställer också att driftkontroll tillåts per myndighet och även per scenariodokument.
För användare av molnbaserade eller Azure Arc-aktiverade resurser är prioritetsordningen:
- Moln behörighet (Azure Policy)
- Lokal behörighet (Windows Admin Center och Windows PowerShell)
- Alla andra distributionsverktyg
Säkerhetsbaslinjer för OSConfig
Med Windows Server kan du prioritera säkerhet från början genom att distribuera en rekommenderad säkerhetsstatus till dina enheter och virtuella datorer. Under enhetens livscykel kan du använda dessa säkerhetsbaslinjer med hjälp av PowerShell eller Windows Admin Center.
Tillämpa OSConfig-säkerhetsbaslinjerna i din miljö:
- Förbättrar säkerhetsstatusen genom att inaktivera äldre protokoll och chiffer.
- Minskar driftskostnaderna med den inbyggda driftskyddsmekanismen som möjliggör konsekvent övervakning i stor skala via Azure Arc Hybrid Edge-baslinjen.
- Gör det möjligt för dig att uppfylla kraven från Center for Internet Security (CIS) Benchmarks och Defense Information Systems Agency Security Technical Implementation Guides (DISA STIGs) för den rekommenderade OS-säkerhetsbaslinjen.
Säkerhetsfördelar med OSConfig
OSConfig är en enda plattform som:
- Tillämpar säkerhetsnyttolaster på enheter under hela konfigurationens livscykel, inklusive säkerhetskonfiguration, reparation, övervakning, rapportering och versionshantering.
- Tillhandahåller en skalbar, datadriven lösning med en enda, konsekvent implementering för flera administrativa verktygsuppsättningar, till exempel Windows Admin Center, Azure Arc, PowerShell, Azure Policy och Azure Automanage Machine Configuration.
- Ger konsekventa resultat och fastställer vilken myndighet som har företräde via modellen med flera auktoriteter.
- Stöder orkestreringsdirektiv som uppfyller krav och beroenden mellan inställningar.
- Framtvingar önskat tillstånd via identifiering, rapportering och korrigering av konfigurationsavvikelser.
- Tillhandahåller abstraktion för att tillåta utökningsbarhetsmodeller som stöder olika konfigurationsproviders.