OSConfig 概述
OSConfig 是一个安全配置堆栈,它使用方案高效交付和应用管理意图来实现本地和 Azure Arc 连接设备所需的状态。
OSConfig 堆栈由基本 cmdlet、本机 API 和定义所需状态配置的方案定义组成。 方案定义是配置的数据驱动说明。 这些配置是一组设置,这些设置使用名称/值对以及与子区域对应的预定义顺序和依赖项。
OSConfig 通常随 Windows Server 操作系统(OS)一起发布,以提供本地设备配置的抽象。 其对象模型设计是数据驱动的,它允许映射到 Windows OS 中用于设备配置的各种提供程序。 下图描述了 OSConfig 流。
目前,可以使用 OSConfig 为各种 Microsoft Edge OS(例如 Windows Server 2025 和 Azure Local 23H2)建立安全基线。 它与 Azure Policy、Microsoft Defender、Windows Admin Center 和 Azure Automanage 计算机配置集成,以促进监视和合规性报告。
OSConfig 支持改进的映射,甚至使用其他预先存在的管理定义直接转换。 这些定义包括 .admx 组策略中的文件、 .mof Windows Management Instrumentation(WMI)中的文件,以及配置服务提供程序(CSP)中的设备说明框架(DDF)文件。
OSConfig 偏移控件
OSConfig 的主要功能之一是 偏移控制。 它有助于确保系统启动并保持已知良好的安全状态。 打开它时,OSConfig 会自动更正偏离所需状态的任何系统更改。 OSConfig 通过刷新任务进行更正。
关闭该功能时,也会禁用刷新任务。 然后,用户可以使用具有或不使用 OSConfig 的其他工具来修改系统。 每个管理工具都可以用于各种目的,并可供不同的执行组件使用,因此多个颁发机构可以管理同一组设备设置。 例如,当局可以大规模使用 Azure Policy 进行云或已启用 Azure Arc 的资源,而可以使用 Windows Admin Center 进行本地管理。
为了解决多个颁发机构问题,业务流程协调程序确保在多个颁发机构使用各种 IT 管理工具的环境中确定性配置。 在此模型中,每个颁发机构都分配有优先顺序。 此优先顺序不只是从配置角度应用。 它还可确保每个颁发机构甚至每个方案文档都允许偏移控制。
对于云或已启用 Azure Arc 的资源的用户,优先级顺序为:
- 云颁发机构(Azure Policy)
- 本地机构(Windows Admin Center 和 Windows PowerShell)
- 任何其他部署工具
OSConfig 安全基线
借助 Windows Server,可以通过将建议的安全状况部署到设备和虚拟机,从一开始就确定安全性的优先级。 在整个设备生命周期中,可以使用 PowerShell 或 Windows Admin Center 应用这些安全基线。
在环境中应用 OSConfig 安全基线:
- 通过禁用旧协议和密码来增强安全状况。
- 使用内置的偏移保护机制减少运营费用,该机制支持通过 Azure Arc 混合 Edge 基线进行一致的大规模监视。
- 使你能够满足 建议的 OS 安全基线的 Internet 安全(CIS)基准 和 国防信息系统机构安全技术实施指南(DISA SGS) 要求。
OSConfig 安全优势
OSConfig 是一个平台,它:
- 在整个配置生命周期内,将安全有效负载应用于设备,包括安全配置、修正、监视、报告和版本控制。
- 为多个管理工具集(如 Windows Admin Center、Azure Arc、PowerShell、Azure Policy 和 Azure Automanage 计算机配置)提供一个可缩放的数据驱动解决方案,并提供一致的实现。
- 驱动一致的结果,并强制实施哪些颁发机构优先于多机构模型。
- 支持遵循设置中的先决条件和依赖项的业务流程指令。
- 通过配置偏移检测、报告和更正强制实施所需状态。
- 提供抽象,以允许支持不同配置提供程序的扩展性模型。