OSConfig 是一个安全配置堆栈,它使用场景来高效交付和应用管理意图,以实现本地和 Azure Arc 连接设备的所需状态。
OSConfig 堆栈由基础 cmdlet、本机 API 和定义所需状态配置的场景定义组成。 场景定义是配置的数据驱动描述。 配置是使用具有预定义顺序和对应于子区域的依赖项的名称/值对的设置组。
OSConfig 通常随 Windows Server 操作系统 (OS) 一起发布,为本地设备配置提供抽象。 其对象模型设计是数据驱动的,允许映射到 Windows OS 中用于设备配置的各种提供程序。 下图描述了 OSConfig 流程。
目前,使用 OSConfig,可以为各种Microsoft OS 建立安全基线,包括 Windows Server 2025 和 Azure Local 2311.2 及更高版本。 它与 Azure Policy、Microsoft Defender、Windows Admin Center 和 Azure Automanage 计算机配置集成,以促进监控和合规性报告。
OSConfig 支持与其他预先存在的管理定义进行改进的映射甚至直接转换。 这些定义包括组策略中的 .admx 文件、Windows 管理规范 (WMI) 中的 .mof 文件以及配置服务提供程序 (CSP) 中的设备描述框架 (DDF) 文件。
OSConfig 偏移控件
OSConfig 的主要功能之一是 偏移控制。 它有助于确保系统启动并保持在已知的良好安全状态。 启用后,OSConfig 会自动纠正任何偏离所需状态的系统更改。 OSConfig 通过刷新任务进行纠正。
禁用该功能时,刷新任务也会被禁用。 然后,用户可以使用其他工具(无论是否使用 OSConfig)来修改系统。 每个管理工具可以用于各种目的并由不同的参与者使用,因此多个权限可以管理同一组设备设置。 例如,权限可以使用 Azure Policy 大规模管理云或启用 Azure Arc 的资源,而可以使用 Windows Admin Center 进行本地管理。
为了处理多个权限,协调器确保在多个权限使用各种 IT 管理工具的环境中进行确定性配置。 在此模型下,每个权限被分配一个优先级顺序。 此优先级顺序不仅从配置角度应用。 它还确保每个权限甚至每个场景文档都允许偏移控制。
对于云或启用 Azure Arc 的资源的用户,优先级顺序为:
- 云权限 (Azure Policy)
- 本地权限(Windows Admin Center 和 Windows PowerShell)
- 任何其他部署工具
OSConfig 安全基线
通过 Windows Server,你可以从一开始就通过向设备和虚拟机部署推荐的安全状态来优先考虑安全性。 在整个设备生命周期中,你可以使用 PowerShell 或 Windows Admin Center 应用这些安全基线。
在环境中应用 OSConfig 安全基线:
- 通过禁用旧协议和密码来增强安全状况。
- 通过内置的偏移保护机制降低运营成本,该机制支持通过 Azure Arc Hybrid Edge 基线进行一致的大规模监控。
- 使你能够满足 Internet 安全中心 (CIS) 基准和国防信息系统局安全技术实施指南 (DISA STIGs) 对推荐的 OS 安全基线的要求。
OSConfig 安全优势
OSConfig 是一个单一平台,它:
- 在设备的整个配置生命周期中向设备应用安全有效负载,包括安全配置、修复、监控、报告和版本控制。
- 为多个管理工具集(如 Windows Admin Center、Azure Arc、PowerShell、Azure Policy 和 Azure Automanage 计算机配置)提供具有单一、一致实现的可扩展、数据驱动的解决方案。
- 通过多权限模型驱动一致的结果并强制规定哪个权限具有优先级。
- 支持遵循设置之间的先决条件和依赖项的协调指令。
- 通过配置偏移检测、报告和更正强制实施所需状态。
- 提供抽象,以允许支持不同配置提供程序的扩展性模型。