Configurazione della sicurezza OSConfig per Windows Server

OSConfig è uno strumento di configurazione della sicurezza per Windows Server che applica e mantiene uno stato di sicurezza valido noto nei dispositivi. Usa scenari, che sono gruppi predefiniti di impostazioni, per offrire una configurazione coerente a dispositivi locali e Azure Arc connessi nel ciclo di vita.

Nel corso del tempo, i server si allontanano dalla configurazione di sicurezza prevista e l'applicazione delle impostazioni in modo coerente tra molti dispositivi e strumenti di gestione è difficile da fare a mano. OSConfig consente di mantenere ogni dispositivo nello stato previsto rilevando e correggendo automaticamente questa deriva, in modo che i server rimangano sicuri e conformi.

Questo articolo illustra che cos'è OSConfig, come funziona e gli scenari supportati, in modo da decidere come usarlo per proteggere e gestire i server.

Funzionamento di OSConfig

Lo stack OSConfig è costituito da cmdlet di base, API native e una definizione di scenario che definisce la configurazione dello stato desiderato. La definizione dello scenario è una descrizione guidata dai dati delle configurazioni. Le configurazioni sono gruppi di impostazioni che usano coppie nome/valore con un ordine predefinito e dipendenze che corrispondono alle sottoaree.

La progettazione del modello a oggetti è guidata dai dati, il che consente la mappatura a vari provider del sistema operativo Windows (OS) per la configurazione del dispositivo. Il diagramma seguente descrive il flusso OSConfig.

Diagramma di flusso dello stack OSConfig che mostra gli strumenti di gestione che applicano la configurazione tramite il modulo PowerShell OSConfig a un dispositivo.

Diagramma di flusso dello stack OSConfig che mostra come gli strumenti di gestione applicano la configurazione a un dispositivo. Nella parte superiore, tre fonti di gestione fuori banda si trovano sopra una linea tratteggiata: Windows Admin Center, Criteri di Azure e Machine Configuration e strumenti locali. Ogni origine dati ha una freccia che punta verso il basso, verso il modulo PowerShell OSConfig, che si estende per tutta la larghezza del diagramma come una banda con l'etichetta «Fuori banda». Una singola freccia conduce dal modulo PowerShell OSConfig verso il basso in un contenitore etichettato Dispositivo. All'interno del contenitore Device, tre riquadri sovrapposti sono collegati in sequenza da frecce rivolte verso il basso: l'API OSConfig e la piattaforma passano ai provider di configurazione, ad esempio CSP e registri, che a loro volta applicano le funzioni di sicurezza.

Su Windows Server 2025, OSConfig si integra con Criteri di Azure, Microsoft Defender, Windows Admin Center e la configurazione computer di Criteri di Azure per supportare il monitoraggio e la creazione di report di conformità. Consente inoltre di migliorare il mapping o persino la conversione diretta con altre definizioni di gestione preesistenti. Queste definizioni includono .admx file in Criteri di gruppo, .mof file in Strumentazione gestione Windows (WMI) e file DDF (Device Description Framework) nel provider di servizi di configurazione (CSP).

Come singola piattaforma, OSConfig:

  • Applica i payload di configurazione nel ciclo di vita del dispositivo, tra cui configurazione, correzione, monitoraggio, creazione di report e controllo delle versioni.
  • Funziona in modo coerente tra Windows Admin Center, Azure Arc, PowerShell, Criteri di Azure e configurazione del computer Criteri di Azure.
  • Rispetta i prerequisiti e le dipendenze tra le impostazioni tramite direttive di orchestrazione.
  • Gestisce lo stato desiderato tramite il rilevamento, la segnalazione e la correzione della deviazione della configurazione.

Controllo di deviazione di OSConfig

Una delle principali funzionalità di OSConfig è il controllo della deriva. Consente di assicurare che il sistema venga avviato e rimanga in un noto stato di sicurezza ottimale. Quando la si attiva, OSConfig corregge automaticamente tutte le modifiche di sistema che si discostono dallo stato desiderato. OSConfig esegue la correzione tramite un'attività di aggiornamento.

Quando si disattiva la funzionalità, OSConfig disabilita anche l'attività di aggiornamento. È quindi possibile usare altri strumenti, con o senza OSConfig, per modificare il sistema. Ogni strumento di gestione può servire a vari scopi e diversi attori possono usarlo, in modo che più autorità possano gestire lo stesso set di impostazioni del dispositivo. Ad esempio, le autorità possono usare Criteri di Azure per le risorse nel cloud o abilitate per Azure Arc su larga scala, mentre possono usare Windows Admin Center per la gestione locale.

Per gestire più autorità, un agente di orchestrazione garantisce una configurazione deterministica in un ambiente in cui più autorità usano vari strumenti di amministrazione IT. In questo modello ogni autorità riceve un ordine di precedenza. Questo ordine di precedenza non si applica solo dal punto di vista della configurazione. Consente anche il controllo della deriva per autorità e anche per ogni documento di scenario.

Se si usano risorse abilitate per il cloud o Azure Arc, l'ordine di precedenza è:

  1. Autorità cloud (Criteri di Azure)
  2. Autorità locale (Windows Admin Center e Windows PowerShell)
  3. Qualsiasi altro strumento di distribuzione

Scenari supportati da OSConfig

OSConfig offre la configurazione tramite scenari. In Windows Server 2025, gli scenari supportati rientrano in due aree: baseline di sicurezza e Controllo app per le aziende.

Standard di sicurezza

Le baseline di sicurezza basate su OSConfig applicano un comportamento di sicurezza consigliato e compatibile con i ruoli ai server e alle macchine virtuali. Durante il ciclo di vita del dispositivo, li si applica usando PowerShell o Windows Admin Center e il controllo della deriva consente di mantenere ogni server nel proprio stato corretto noto. Questa area include:

  • Baseline di sicurezza Windows Server, personalizzata per il ruolo del server.
  • Microsoft Defender configurazione antivirus.
  • Windows soluzione per la password dell'amministratore locale (LAPS).
  • Configurazione del server core protetta.

L'applicazione delle baseline di sicurezza consente di:

Controllo app per le aziende

Controllo app per le aziende consente di controllare quali applicazioni e codice possono essere eseguiti nei server, riducendo il rischio di software non autorizzato o non attendibile. OSConfig offre uno scenario per applicare e gestire questa configurazione come parte dello stesso modello di stato desiderato.