在本地部署 OSConfig 安全基线
OSConfig 是一个安全配置堆栈,它使用基于方案的方法为环境提供和应用所需的安全措施。 它为本地和 Azure Arc 连接的设备提供共同管理支持。 可以从初始部署过程开始,使用 Windows PowerShell 或 Windows Admin Center 在整个设备生命周期内应用安全基线。
安全基线的一些亮点提供了以下强制措施:
- Secure-Core:UEFI MAT、安全启动、签名启动链
- 协议:TLS 强制实施 1.2+、SMB 3.0+、Kerberos AES
- 凭据保护:LSASS/PPL
- 帐户和密码策略
- 安全策略和安全选项
可以获取 GitHub 上安全基线设置的完整列表。
评估指南
对于大规模操作,请使用 Azure Policy 和 Azure Automanage 计算机配置来监视并查看合规性分数。
重要
应用安全基线后,系统的安全设置将随默认行为一起更改。 在生产环境中应用这些更改之前,请仔细测试。
在为成员服务器和 Workroup 成员方案应用安全基线后,系统会要求你更改本地管理员密码。
在应用基线后,可在下面找到更明显的更改列表:
必须更改本地管理员密码。 新的密码策略必须满足复杂性要求和最小长度为 14 个字符。 这仅适用于本地用户帐户;使用域帐户登录时,域帐户的域要求占上风。
TLS 连接受 TLS/DTLS 1.2 或更高版本的约束,这可能会阻止与较旧的系统建立连接。
禁用了从 RDP 会话复制和粘贴文件的功能。 如果需要使用此函数,请运行以下命令,然后重新启动设备:
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/<ServerRoleBeingApplied> -Name RemoteDesktopServicesDoNotAllowDriveRedirection -Value 0连接受 SMB 3.0 最低或更高的限制。 连接到非 Windows 系统(如 Linux SAMBA)必须支持 SMB 3.0,或需要调整基线。
如果当前使用两种不同的方法配置相同的设置,一种是 OSConfig,则会出现冲突。 特别是在涉及偏移控制的情况下,如果参数不同,则必须删除其中一个源,以防止设置在源之间不断更改。
在特定域配置中可能会遇到 SID 转换错误。 它不会影响安全基线定义的其余部分,可以忽略。
先决条件
确保设备正在运行 Windows Server 2025。 OSConfig 不支持早期版本的 Windows Server。
安装 OSConfig PowerShell 模块
在首次应用安全基线之前,需要通过提升的 PowerShell 窗口安装 OSConfig 模块:
选择“开始”,键入 PowerShell,将鼠标悬停在 Windows PowerShell 上,然后选择“以管理员身份运行”。
运行以下命令以安装 OSConfig 模块:
Install-Module -Name Microsoft.OSConfig -Scope AllUsers -Repository PSGallery -Force如果系统提示安装或更新 NuGet 提供程序,请选择“ 是”。
若要验证是否已安装 OSConfig 模块,请运行以下命令:
Get-Module -ListAvailable -Name Microsoft.OSConfig
管理 OSConfig 安全基线
根据设备的 Windows Server 角色应用适当的安全基线:
- 域控制器 (DC)
- 成员服务器
- 工作组成员
基线体验由 OSConfig 提供支持。 应用后,安全基线设置会自动受到任何偏移的保护,这是其安全平台的主要功能之一。
注意
对于连接 Azure Arc 的设备,可以在连接之前或之后应用安全基线。 但是,如果服务器的角色在连接后发生更改,则必须删除并重新应用分配,以确保计算机配置平台可以检测角色更改。 有关删除分配的详细信息,请参阅 从 Azure Policy 中删除来宾分配。
若要应用基线,请验证基线是否已应用、删除基线或查看 PowerShell 中 OSConfig 的详细符合性信息,请使用以下选项卡上的命令。
若要为已加入域的设备应用基线,请运行以下命令:
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Default
若要为工作组中的设备应用基线,请运行以下命令:
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember -Default
若要为配置为 DC 的设备应用基线,请运行以下命令:
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController -Default
若要为设备应用安全核心基线,请运行以下命令:
Set-OSConfigDesiredConfiguration -Scenario SecuredCore -Default
若要为设备应用 Microsoft Defender 防病毒基线,请运行以下命令:
Set-OSConfigDesiredConfiguration -Scenario Defender/Antivirus -Default
注意
应用或删除安全基线时,需要重启才能使更改生效。
自定义安全基线时,需要重启才能使更改生效,具体取决于你修改的安全功能。
在 删除 过程中,还原安全设置时,不能保证将这些设置更改回其预管理配置。 这取决于安全基线中的特定设置。 此行为符合 intune 策略Microsoft提供的功能。 若要了解详细信息,请参阅在 Microsoft Intune 中管理安全基线配置文件。
自定义 OSConfig 安全基线
完成安全基线配置后,可以在维护偏移控制的同时修改安全设置。 根据环境的特定需求,自定义安全值可以进一步控制组织的安全策略。
若要编辑成员服务器的默认值AuditDetailedFileShare,23请运行以下命令:
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare -Value 3
若要验证是否已应用新值,请运行以下命令:
Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare
注意
根据自定义的安全设置,需要特定的用户输入。 这些输入是:
MessageTextUserLogonMessageTextUserLogonTitleRenameAdministratorAccountRenameGuestAccount
提供所需的输入后,选择 Enter 键继续。
为 OSConfig 提供反馈
如果在应用安全基线后被阻止或遇到工作中断,请使用 反馈中心提交 bug。 若要了解有关提交反馈的详细信息,请参阅 更深入的反馈。
提供 OSConfig 安全基线作为反馈标题。 在“选择类别”下,从下拉列表中选择 Windows Server,然后从辅助下拉列表中选择“管理”,并继续提交反馈。