作業系統設定概述
OSConfig 是一個安全性設定堆疊,使用案例有效率地傳遞及套用系統管理意圖,以達到內部部署和 Azure Arc 連線裝置的預期狀態。
OSConfig 堆疊包含基底 Cmdlet、原生 API,以及定義所需狀態設定的案例定義。 案例定義是組態的數據驅動描述。 這些組態是一組設定,這些設定會使用名稱/值組與對應至子區域之預先定義的順序和相依性。
OSConfig 通常會與 Windows Server 作業系統 (OS) 一起發行,以提供本機裝置設定的抽象概念。 其物件模型設計是數據驅動,可讓您對應到 Windows OS 中各種提供者以進行裝置設定。 下圖描述OSConfig流程。
目前,您可以使用 OSConfig 為各種 Microsoft Edge 作業系統建立安全性基準,例如 Windows Server 2025 和 Azure 本機版本 23H2。 它與 Azure 原則、Microsoft Defender、Windows Admin Center 和 Azure Automanage 機器組態整合,以利監視和合規性報告。
OSConfig 可透過其他預先存在的管理定義來改善對應,甚至直接轉換。 這些定義包括 .admx 組策略中的檔案、 .mof Windows Management Instrumentation (WMI) 中的檔案,以及組態服務提供者 (CSP) 中的裝置描述架構 (DDF) 檔案。
OSConfig 漂移控制
OSConfig 的主要功能之一是 漂移控制。 這有助於確保系統啟動並維持在已知的良好安全性狀態。 當您開啟它時,OSConfig 會自動更正任何偏離所需狀態的系統變更。 OSConfig 會透過重新整理工作進行更正。
當您關閉此功能時,也會停用重新整理工作。 然後,使用者可以使用其他工具,搭配或不使用OSConfig來修改系統。 每個管理工具都可以提供各種用途,並供不同的動作專案使用,因此多個授權單位可以管理相同的裝置設定集。 例如,授權單位可以使用 Azure 原則 大規模使用雲端或已啟用 Azure Arc 的資源,而可以使用 Windows Admin Center 進行本機管理。
為了解決多個授權單位,協調器可確保在多個授權單位使用各種IT管理工具的環境中確定性設定。 在此模型中,每個授權單位都會獲指派優先順序。 此優先順序不只是從組態觀點套用。 它也可確保每個授權單位甚至每個案例檔都允許漂移控制。
針對已啟用雲端或 Azure Arc 的資源使用者,優先順序為:
- 雲端授權單位 (Azure 原則)
- 地方當局(Windows Admin Center 和 Windows PowerShell)
- 任何其他部署工具
OSConfig 安全性基準
使用 Windows Server,您可以將建議的安全性狀態部署至您的裝置和虛擬機,以設定安全性的優先順序。 在整個裝置生命週期中,您可以使用 PowerShell 或 Windows Admin Center 來套用這些安全性基準。
在您的環境中套用 OSConfig 安全性基準:
- 透過停用舊協定和密碼來增強安全性態勢。
- 使用內建漂移保護機制減少營運費用,以透過 Azure Arc Hybrid Edge 基準進行大規模的監視。
- 可讓您符合 建議OS安全性基準的因特網安全性中心 (CIS) 基準 和 防禦資訊系統機構安全性技術實作指南 (DISA STIG) 需求。
OSConfig 安全性優勢
OSConfig 是單一平臺,可:
- 在整個設定生命週期中,將安全性承載套用至裝置,包括安全性設定、補救、監視、報告和版本控制。
- 針對數個系統管理工具集,提供可調整的數據驅動解決方案,包括單一且一致的實作,例如 Windows Admin Center、Azure Arc、PowerShell、Azure 原則 和 Azure Automanage 機器組態。
- 驅動一致的結果,並強制執行哪些授權單位優先於多重授權單位模型。
- 支援符合設定必要條件和相依性的協調流程指示詞。
- 透過設定漂移檢測、報告和修正強制執行所需的狀態。
- 提供抽像以允許支援不同設定提供者的可擴展性模型。