Présentation d’OSConfig

OSConfig est une pile de configuration de sécurité qui utilise des scénarios pour fournir et appliquer efficacement l’intention d’administration pour atteindre l’état souhaité des appareils locaux et connectés à Azure Arc.

La pile OSConfig se compose d’applets de commande de base, d’API natives et d’une définition de scénario qui définit la configuration d’état souhaitée. La définition du scénario est une description pilotée par les données des configurations. Les configurations sont des groupes de paramètres qui utilisent des paires nom/valeur avec un ordre et des dépendances prédéfinis qui correspondent à des sous-zones.

OSConfig est généralement publié avec le système d’exploitation Windows Server pour fournir une abstraction pour la configuration de l’appareil local. Sa conception de modèle objet est pilotée par les données, ce qui permet de mapper différents fournisseurs dans le système d’exploitation Windows pour la configuration de l’appareil. Le diagramme suivant décrit le flux OSConfig.

Actuellement, vous pouvez utiliser OSConfig pour établir des bases de référence de sécurité pour différents systèmes d’exploitation Microsoft Edge, tels que Windows Server 2025 et Azure Stack HCI 23H2. Il s’intègre à Azure Policy, Microsoft Defender, Windows Admin Center et à la configuration de la machine Azure Automanage pour faciliter la surveillance et la création de rapports de conformité.

OSConfig permet d’améliorer le mappage ou même la conversion directe avec d’autres définitions de gestion préexistantes. Ces définitions incluent des .admx fichiers dans la stratégie de groupe, .mof les fichiers dans WMI (Windows Management Instrumentation) et les fichiers DDF (Device Description Framework) dans le fournisseur de services de configuration (CSP).

Contrôle de dérive OSConfig

L’une des principales fonctionnalités d’OSConfig est le contrôle de dérive. Il permet de s’assurer que le système démarre et reste dans un état de sécurité correct connu. Lorsque vous l’activez, OSConfig corrige automatiquement les modifications système qui s’écartent de l’état souhaité. OSConfig effectue la correction via une tâche d’actualisation.

Lorsque vous désactivez la fonctionnalité, la tâche d’actualisation est également désactivée. Les utilisateurs peuvent ensuite utiliser d’autres outils, avec ou sans OSConfig, pour modifier le système. Chaque outil de gestion peut servir différents objectifs et être utilisé par différents acteurs, de sorte que plusieurs autorités peuvent gérer le même ensemble de paramètres d’appareil. Par exemple, les autorités peuvent utiliser Azure Policy pour les ressources cloud ou avec Azure Arc à grande échelle, tandis qu’elles peuvent utiliser Windows Admin Center pour la gestion locale.

Pour traiter plusieurs autorités, un orchestrateur garantit une configuration déterministe dans un environnement où plusieurs autorités utilisent différents outils d’administration informatique. Sous ce modèle, chaque autorité reçoit un ordre de priorité. Cet ordre de précédence ne s’applique pas simplement du point de vue de la configuration. Il garantit également que le contrôle de dérive est autorisé par autorité et même par document de scénario.

Pour les utilisateurs de ressources cloud ou avec Azure Arc, l’ordre de priorité est :

1. Autorité cloud (Azure Policy)
2. Autorité locale (Windows Admin Center et Windows PowerShell)
3. Tout autre outil de déploiement

Bases de référence de sécurité OSConfig

Avec Windows Server, vous pouvez hiérarchiser la sécurité dès le départ en déployant une posture de sécurité recommandée sur vos appareils et machines virtuelles. Tout au long du cycle de vie de l’appareil, vous pouvez appliquer ces bases de référence de sécurité à l’aide de PowerShell ou de Windows Admin Center.

Application des bases de référence de sécurité OSConfig dans votre environnement :

• Améliore la posture de sécurité en désactivant les protocoles et les chiffrements hérités.
• Réduit les dépenses d’exploitation avec le mécanisme de protection de dérive intégré qui permet une surveillance cohérente à grande échelle via la base de référence Azure Arc Hybrid Edge.
• Vous permet de répondre aux critères ciS (Center for Internet Security) et aux exigences de mise en œuvre techniques de la sécurité de l’Agence des systèmes d’information de défense (DISA STIGs) pour la base de référence de sécurité du système d’exploitation recommandée.

Avantages de sécurité OSConfig

OSConfig est une plateforme unique qui :

• Applique des charges utiles de sécurité aux appareils tout au long de leur cycle de vie de configuration, notamment la configuration de la sécurité, la correction, la surveillance, la création de rapports et le contrôle de version.
• Fournit une solution évolutive pilotée par les données avec une implémentation unique et cohérente pour plusieurs ensembles d’outils d’administration, tels que Windows Admin Center, Azure Arc, PowerShell, Azure Policy et la configuration de machine Azure Automanage.
• Génère des résultats cohérents et applique l’autorité qui est prioritaire par le biais du modèle à plusieurs autorités.
• Prend en charge les directives d’orchestration qui respectent les conditions préalables et les dépendances entre les paramètres.
• Elle applique l’état souhaité via la détection de dérive de configuration, la création de rapports et la correction.
• Elle fournit une abstraction pour autoriser les modèles d’extensibilité qui prennent en charge différents fournisseurs de configuration.

Contenu connexe

• Déployer des bases de référence de sécurité OSConfig localement