OSConfig это новая функция, доступная в Windows Server 2025, позволяющая быстро применить настройки безопасности операционной системы, рекомендованные Microsoft. В дальнейшем OSconfig будет автоматически исправлять любые изменения, внесенные в настройки безопасности, которые не соответствуют назначенной конфигурации ( baseline ). В преднастроенных бейзлайнах OSConfig заданы рекомендуемые параметры безопасности для нескольких типовых ролей использования Windows Server.
OSConfig позволяет достаточно просто внедрить и зафиксировать рекомендованные настройки безопасности Windows Server для отдельностоящих хостов (в том числе в рабочей группе) и серверам в облаке.
Для начала работы с шаблонами безопасности OSConfig нужно установить PowerShell модуль из галереи:
Install-Module -Name Microsoft.OSConfig
Вывести список доступных команд в модуле OSConfig:
Get-Command -Module Microsoft.OSConfig
Вывести список доступных шаблонов безопасности:
Get-OSConfigMetadata | ft Name, Description -Wrap
Доступны несколько шаблонов безопасности (Security Baseline) для различных сценариев, включающие настройки для встроенного антивируса Defender, правила AppControl (WDAC), настройки контроллеров домена, рядовых серверов и серверов в рабочей группе (без AD домена).
В каждом из шаблонов безопасности настроены ряд дефолтных значений. Список дефолтных значений параметров безопасности Windows Server в шаблоне и соответствует ли ваша ОС этим параметрам, можно вывести с помощью команды:
Get-OSConfigDesiredConfiguration -Scenario SecurityBaselineWS2025WorkgroupMember |select name, @{n="State"; e={$_.Compliance.Status}}, @{n="Reason"; e={$_.Compliance.Reason}}, Description | FT
Команда выведет список параметров в бейзлайне, и соответствует ли текущая настройка параметра в ОС рекомендованному значению или нет ( Compliant / NotCompliant )
Можно применить шаблон безопасности Windows Server со всеми настройками по умолчанию (протестируйте предварительно в тестовой среде!!!):
Set-OSConfigDesiredConfiguration -Scenario DefenderAntivirus -Default
Если вы хотите внедрить отдельные настройки из шаблона, вместо Default нужно указать название параметра и значение. Например:
Set-OSConfigDesiredConfiguration -Scenario DefenderAntivirus -Setting DisableRealtimeMonitoring -Value 1
По умолчанию OSconfig будет проверять состояние заданных параметров безопасности каждые 4 часа и исправлять их, если они не соответствуют внедренному бейзлайну.
Можно изменить частоту сканирования и применения, например до 30 минут (минимальный интервал):
Set-OSConfigDriftControl -RefreshPeriod 30
Если кто-то изменил параметр, заданный в шаблоне безопасности, через 30 минут его значение будет возвращено к начальному. Для этого в системе создается отдельное задание планировщика Refresh schedule created by Declared Configuration to refresh any settings changed on the device (в разделе MicrosoftWindowsEnterpriseMgmt ). Задание планировщика с указанное периодичностью будет возвращать все значения к бейзлайну, дергая процесс deviceenroller.exe .
Чтобы убрать определенный параметр безопасности из примененного бейзлайна, выполните:
Remove-OSConfigDesiredConfiguration -Scenario DefenderAntivirus -Setting DisableEmailScanning
Чтобы полностью отвязать назначенный шаблон безопасности:
Remove-OSConfigDesiredConfiguration -Scenario DefenderAntivirus
Управлять настройками профилей безопасности OSConfig можно из графического интерфейса панели управления Windows Admin Center (WAC). Применить настройки бейзлайна безопасности и посмотреть статус соответствия можно в разделе WAC -> Security -> Security baseline.
Здесь можно выбрать любой из доступных профилей OSConfig, проверить насколько текущая конфигурация параметров безопасности сервера соответствует профилю и применить его. При этом не требуется наличие установленного PowerShell модуля OSConfig на сервере.
Такой графический отчет о текущих настройках безопасности сервера можно использовать в качестве базового чек-листа в том числе для ручной настройки параметров безопасности Windows Server (как минимум нужно проанализировать все параметры с уровнем важности Critical ).
Добавить комментарий