Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
OSConfig ist ein Sicherheitskonfigurationstool für Windows Server, das einen bekannten guten Sicherheitsstatus auf Ihren Geräten anwendet und verwaltet. Es verwendet Szenarien, die vordefinierte Gruppen von Einstellungen sind, um eine konsistente Konfiguration für lokale und Azure Arc verbundene Geräte während des gesamten Lebenszyklus bereitzustellen.
Im Laufe der Zeit driften Server von ihrer beabsichtigten Sicherheitskonfiguration ab, und das Anwenden von Einstellungen auf vielen Geräten und Verwaltungstools ist von Hand schwer zu erledigen. OSConfig hilft Ihnen, jedes Gerät in seinem beabsichtigten Zustand zu halten, indem er diese Drift automatisch erkennt und korrigiert, damit Ihre Server sicher und konform bleiben.
In diesem Artikel wird erläutert, was OSConfig ist, wie es funktioniert, und welche Szenarien unterstützt werden, damit Sie entscheiden können, wie Sie sie verwenden können, um Ihre Server zu sichern und zu verwalten.
Funktionsweise von OSConfig
Der OSConfig-Stapel besteht aus Basis-Cmdlets, nativen APIs und einer Szenariodefinition, welche die Konfiguration des gewünschten Zustands (Desired State Configuration, DSC) definiert. Die Szenariodefinition ist eine datengesteuerte Beschreibung von Konfigurationen. Die Konfigurationen sind Gruppen von Einstellungen, die Name/Wert-Paare mit einer vordefinierten Reihenfolge und Abhängigkeiten verwenden, die den Unterbereichen entsprechen.
Der Entwurf des Objektmodells ist datengesteuert, was die Zuordnung zu verschiedenen Providern im Windows-Betriebssystem für die Gerätekonfiguration ermöglicht. Das folgende Diagramm beschreibt den OSConfig-Flow.
Flussdiagramm des OSConfig-Stapels, der zeigt, wie Verwaltungstools die Konfiguration auf ein Gerät anwenden. Oben sind drei Out-of-Band-Verwaltungsquellen oberhalb einer gestrichelten Linie angeordnet: Windows Admin Center, Azure Policy und Maschinenkonfiguration sowie lokale Tools. Jede Quelle weist einen Pfeil auf, der auf das OSConfig PowerShell-Modul zeigt, das die Breite des Diagramms als Band mit der Bezeichnung "Out of Band" überspannt. Ein einzelner Pfeil führt vom OSConfig PowerShell-Modul nach unten zu einem Container mit der Bezeichnung "Gerät". Innerhalb des Gerätecontainers sind drei übereinandergestapelte Rechtecken der Reihe nach durch nach unten gerichtete Pfeile verbunden: Die OSConfig-API und die Plattform führen die Weitergabe an Konfigurationsanbieter wie CSPs und Registrierungsdatenbanken durch, die wiederum Sicherheitsfunktionen anwenden.
Unter Windows Server 2025 ist OSConfig in Azure Policy, Microsoft Defender, Windows Admin Center und die Azure Policy-Maschinenkonfiguration integriert, um die Überwachung und Complianceberichterstellung zu unterstützen. Sie ermöglicht außerdem eine verbesserte Zuordnung oder sogar direkte Konvertierung mit anderen vorhandenen Verwaltungsdefinitionen. Zu diesen Definitionen gehören .admx-Dateien in Gruppenrichtlinien, .mof-Dateien in der Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI) und DDF-Dateien (Device Description Framework) im Konfigurationsdienstanbieter (CSP).
Als einzelne Plattform: OSConfig:
- Wendet Konfigurationsnutzlasten über den gesamten Lebenszyklus des Geräts an, einschließlich Konfiguration, Wartung, Überwachung, Berichterstellung und Versionsverwaltung.
- Funktioniert durchgängig in Windows Admin Center, Azure Arc, PowerShell, Azure Policy und der Azure Policy-Maschinenkonfiguration.
- Berücksichtigt Voraussetzungen und Abhängigkeiten zwischen Einstellungen durch Orchestrierungsdirektiven.
- Behält den gewünschten Zustand durch die Erkennung, Berichterstattung und Korrektur von Konfigurationsabweichungen bei.
OSConfig-Driftsteuerung
Eines der Hauptfeatures von OSConfig ist die Driftsteuerung. Trägt dazu bei, dass das System in einem bekannten, sicheren Zustand startet und bleibt. Wenn Sie das System einschalten, korrigiert OSConfig automatisch alle Systemänderungen, die vom gewünschten Zustand abweichen. OSConfig führt die Korrektur über eine Aktualisierungsaufgabe durch.
Wenn Sie das Feature deaktivieren, deaktiviert OSConfig auch die Aktualisierungsaufgabe. Anschließend können Sie andere Tools mit oder ohne OSConfig verwenden, um das System zu ändern. Jedes Verwaltungstool kann verschiedenen Zwecken dienen, und verschiedene Akteure können es verwenden, sodass mehrere Behörden denselben Satz von Geräteeinstellungen verwalten können. Beispielsweise können Behörden Azure-Richtlinien für Cloud- oder Azure Arc-fähige Ressourcen in großem Maßstab verwenden und Windows Admin Center für die lokale Verwaltung nutzen.
Um mehrere Autoritäten anzusprechen, gewährleistet ein Orchestrator eine deterministische Konfiguration in einer Umgebung, in der mehrere Autoritäten verschiedene IT-Administrationstools verwenden. Unter diesem Modell erhält jede Autorität eine Rangfolge. Diese Rangfolge gilt nicht nur aus Konfigurationsperspektive. Sie ermöglicht auch die Driftsteuerung pro Autorität und sogar pro Szenariodokument.
Wenn Sie Cloud- oder Azure Arc-fähige Ressourcen verwenden, lautet die Rangfolge:
- Cloudautorität (Azure-Richtlinie)
- Lokale Autorität (Windows Admin Center und Windows PowerShell)
- Jedes andere Bereitstellungstool
OsConfig unterstützte Szenarien
OSConfig liefert Konfigurationen über Szenarien. In Windows Server 2025 sind die unterstützten Szenarien in zwei Bereiche unterteilt: Sicherheitsgrundwerte und App Control for Business.
Sicherheitsgrundwerte
OSConfig-gesteuerte Sicherheitsbaselines weisen Ihren Servern und virtuellen Maschinen eine empfohlene, rollenbewusste Sicherheitskonfiguration zu. Während des gesamten Gerätelebenszyklus wenden Sie sie mithilfe von PowerShell oder Windows Admin Center an, und die Driftsteuerung trägt dazu bei, jeden Server in seinem bekannten guten Zustand zu halten. Dieser Bereich umfasst:
- Die Windows Server Sicherheitsbasislinie, die auf die Serverrolle zugeschnitten ist.
- Konfiguration von Microsoft Defender Antivirus.
- Windows Lokale Administratorkennwortlösung (LAPS).
- Konfiguration mit gesicherten Kernservern.
Das Anwenden der Sicherheitsgrundwerte hilft Ihnen bei:
- Stärken Sie den Sicherheitsstatus, indem Sie ältere Protokolle und Verschlüsselungen deaktivieren.
- Verringern Sie den Betriebsaufwand durch integrierte Driftkontrolle für eine konsistente Überwachung im großen Maßstab.
- Orientieren Sie sich bei der Sicherheitsbaseline des Betriebssystems an den Empfehlungen der Center for Internet Security (CIS) Benchmarks und der Defense Information Systems Agency Security Technical Implementation Guides (DISA STIGs).
App-Steuerung für Unternehmen
App Control for Business hilft Ihnen, zu steuern, welche Anwendungen und Code auf Ihren Servern ausgeführt werden können, um das Risiko von nicht autorisierter oder nicht vertrauenswürdiger Software zu verringern. OSConfig bietet ein Szenario zum Anwenden und Verwalten dieser Konfiguration als Teil des gleichen Gewünschten Zustandsmodells.