Partager via

Déployer des bases de référence de sécurité OSConfig localement

OSConfig est une pile de configuration de sécurité qui utilise une approche basée sur des scénarios pour fournir et appliquer des mesures de sécurité souhaitées pour votre environnement. Il fournit une prise en charge de la cogestion pour les appareils locaux et connectés à Azure Arc. Vous pouvez utiliser Windows PowerShell ou Windows Admin Center pour appliquer les bases de référence de sécurité tout au long du cycle de vie de l’appareil, à partir du processus de déploiement initial.

Vous pouvez obtenir la liste complète des paramètres des bases de référence de sécurité sur GitHub.

Prérequis

Vérifiez que votre appareil exécute Windows Server 2025. OSConfig ne prend pas en charge les versions antérieures de Windows Server.

Installation du module OSConfig PowerShell

Avant de pouvoir appliquer une base de référence de sécurité pour la première fois, vous devez installer le module OSConfig via une fenêtre PowerShell avec élévation de privilèges :

  1. Sélectionnez Démarrer, tapez PowerShell, pointez sur Windows PowerShell, puis sélectionnez Exécuter en tant qu’administrateur.

  2. Exécutez la commande suivante pour installer le module OSConfig :

    Install-Module -Name Microsoft.OSConfig -Scope AllUsers -Repository PSGallery -Force

    Si vous êtes invité à installer ou à mettre à jour le fournisseur NuGet, sélectionnez Oui.

  3. Pour vérifier que le module OSConfig est installé, exécutez la commande suivante :

    Get-Module -ListAvailable -Name Microsoft.OSConfig

Gestion des bases de référence de sécurité OSConfig

Appliquez les bases de référence de sécurité appropriées, en fonction du rôle Windows Server de votre appareil :

  • Contrôleur de domaine (DC)
  • Serveur membre
  • Membre du groupe de travail

Remarque

Pour les appareils connectés à Azure Arc, vous pouvez appliquer les bases de référence de sécurité avant ou après la connexion. Toutefois, si le rôle de votre serveur change après la connexion, vous devez supprimer et réappliquer l’affectation pour vous assurer que la plateforme de configuration de l’ordinateur peut détecter la modification du rôle. Pour plus d’informations sur la suppression d’une affectation, consultez Suppression des affectations d’invités à partir d’Azure Policy.

Pour appliquer une base de référence, vérifiez que la base de référence est appliquée, supprimez une base de référence ou affichez des informations de conformité détaillées pour OSConfig dans PowerShell, utilisez les commandes sous les onglets suivants.

Pour appliquer la ligne de base d’un appareil joint à un domaine, exécutez la commande suivante :

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Default

Pour appliquer la base de référence d’un appareil qui se trouve dans un groupe de travail, exécutez la commande suivante :

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember -Default

Pour appliquer la base de référence d’un appareil configuré en tant que DC, exécutez la commande suivante :

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController -Default

Pour appliquer la base de référence à noyau sécurisé pour un appareil, exécutez la commande suivante :

Set-OSConfigDesiredConfiguration -Scenario SecuredCore -Default

Pour appliquer la base de référence de l'antivirus Microsoft Defender pour un appareil, exécutez la commande suivante :

Set-OSConfigDesiredConfiguration -Scenario Defender/Antivirus -Default

Remarque

  • Lorsque vous appliquez ou supprimez une base de référence de sécurité, un redémarrage est nécessaire pour que les modifications prennent effet.

  • Lorsque vous personnalisez une base de référence de sécurité, un redémarrage est nécessaire pour que les modifications prennent effet, en fonction des fonctionnalités de sécurité que vous avez modifiées.

  • Pendant le processus de suppression , lorsque les paramètres de sécurité sont rétablis, la modification de ces paramètres vers leur configuration prémanagenée n’est pas garantie. Cela dépend des paramètres spécifiques dans la base de référence de sécurité. Ce comportement s’aligne sur les fonctionnalités que les stratégies Microsoft Intune fournissent. Pour plus d’informations, consultez Gestion des profils de base de référence de sécurité dans Microsoft Intune.

Personnalisation des bases de référence de sécurité OSConfig

Une fois la configuration de base de référence de sécurité terminée, vous pouvez modifier les paramètres de sécurité tout en conservant le contrôle de dérive. La personnalisation des valeurs de sécurité permet de contrôler davantage les stratégies de sécurité de votre organisation, en fonction des besoins spécifiques de votre environnement.

Pour modifier la valeur par défaut de à partir de AuditDetailedFileShare 2 vers 3 votre serveur membre, exécutez la commande suivante :

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare -Value 3

Pour vérifier que la nouvelle valeur est appliquée, exécutez la commande suivante :

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare

Remarque

Selon les paramètres de sécurité personnalisés, certaines entrées utilisateur sont attendues. Ces entrées sont les suivantes :

  • MessageTextUserLogon
  • MessageTextUserLogonTitle
  • RenameAdministratorAccount
  • RenameGuestAccount

Après avoir fourni l’entrée nécessaire, sélectionnez la clé Entrée à poursuivre.

Contenu connexe