Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
OSConfig — это стек конфигурации безопасности, который использует сценарии для эффективной доставки и применения административного намерения для достижения требуемого состояния локальных и подключенных к Azure Arc устройств.
Стек OSConfig состоит из базовых командлетов, собственных API и определения сценария, определяющего нужную конфигурацию состояния. Определение сценария — это описание конфигураций на основе данных. Конфигурации — это группы параметров, которые используют пары имя/значение с заданным порядком и зависимостями, соответствующими подобластям.
OSConfig обычно выпускается операционной системой Windows Server для предоставления абстракции для конфигурации локального устройства. Его объектная модель основана на данных, что позволяет интегрироваться с различными поставщиками в ОС Windows для конфигурации устройств. На следующей схеме описывается поток OSConfig.
В настоящее время с ПОМОЩЬЮ OSConfig можно установить базовые показатели безопасности для различных операционных систем Майкрософт, включая Windows Server 2025 и Azure Local, версию 23H2. Интегрируется с Azure Policy, Microsoft Defender, Windows Admin Center и конфигурацией машин Azure Automanage, облегчая мониторинг и подготовку отчетов о соблюдении требований.
OSConfig обеспечивает улучшенное сопоставление или даже прямое преобразование с другими определениями управления. Эти определения включают .admx файлы в групповой политике, .mof файлы в инструментарии управления Windows (WMI) и файлы Device Description Framework (DDF), используемые в поставщике служб конфигурации (CSP).
Контроль отклонений OSConfig
Одной из основных функций OSConfig является управление дрейфом. Это помогает гарантировать, что система запускается и остается в известном хорошем состоянии безопасности. При включении OSConfig автоматически исправляет любые изменения системы, которые отклоняются от требуемого состояния. OSConfig делает исправление с помощью задачи обновления.
При отключении функции задача обновления также отключена. Затем пользователи могут использовать другие средства с OSConfig или без нее для изменения системы. Каждое средство управления может служить различным целям и использоваться различными субъектами, поэтому несколько центров могут управлять одинаковым набором параметров устройства. Например, власти могут использовать Политика Azure для облачных ресурсов или ресурсов с поддержкой Azure Arc в большом масштабе, в то время как они могут использовать Windows Admin Center для локального управления.
Для взаимодействия с несколькими авторитетами оркестратор обеспечивает детерминированную конфигурацию в среде, где разные авторитеты используют различные инструменты ИТ-администратора. В этой модели каждому центру присваивается порядок приоритета. Этот порядок приоритета не только применяется с точки зрения конфигурации. Он также гарантирует, что контроль отклонений разрешён как со стороны соответствующих органов, так и для каждого сценарного документа.
Для пользователей облачных ресурсов или ресурсов с поддержкой Azure Arc порядок приоритета :
- Управление облаком (Политика Azure)
- Локальный центр управления (Windows Admin Center и Windows PowerShell)
- Любое другое средство развертывания
Базовые показатели безопасности OSConfig
С помощью Windows Server можно определить приоритеты безопасности с самого начала, развернув рекомендуемую защиту на ваших устройствах и виртуальных машинах. В течение жизненного цикла устройства эти базовые показатели безопасности можно применять с помощью PowerShell или Windows Admin Center.
Применение базовых показателей безопасности OSConfig в вашей среде:
- Повышает уровень безопасности, отключив устаревшие протоколы и шифры.
- Сокращает операционные расходы с помощью встроенного механизма защиты от смещения, который обеспечивает последовательный мониторинг на уровне масштаба через базовую линию Azure Arc для гибридных и граничных систем.
- Позволяет соответствовать эталонам Центра по обеспечению безопасности Интернета (ЦБСИ, CIS) и Руководствам по технической реализации безопасности Агентства информационных систем обороны (DISA STIG) в отношении рекомендуемого базового уровня безопасности ОС.
Преимущества безопасности OSConfig
OSConfig — это одна платформа, которая:
- Применяет нагрузки безопасности к устройствам на протяжении всего жизненного цикла их конфигурации, включая настройку безопасности, устранение, мониторинг, отчетность и управление версиями.
- Предоставляет масштабируемое решение, основанное на данных, с одной согласованной реализацией для нескольких наборов инструментов администрирования, таких как Windows Admin Center, Azure Arc, PowerShell, Azure Policy и конфигурация виртуальной машины Azure Automanage.
- Обеспечивает согласованные результаты и определяет, какой орган имеет приоритет в модели с несколькими органами.
- Поддерживает директивы оркестрации, которые учитывают предварительные требования и зависимости между параметрами.
- Обеспечивает соблюдение требуемого состояния путем обнаружения дрейфа конфигурации, передачи отчетности и исправления.
- Предоставляет уровень абстракции для моделей расширения, которые поддерживают различных поставщиков конфигурации.