Implantar linhas de base de segurança do Windows Server 2025 localmente com o OSConfig

Aplica-se a: ✅ Windows Server 2025

Implantar a linha de base de segurança do Windows Server 2025 em seu ambiente garante que as medidas de segurança desejadas estejam em vigor, fornecendo uma estrutura de segurança abrangente e padronizada. A linha de base do Windows Server 2025 inclui mais de 300 configurações de segurança para garantir que ele atenda aos requisitos de segurança padrão do setor. Ele também fornece suporte de cogerenciamento para dispositivos locais e conectados ao Azure Arc. As linhas de base de segurança podem ser configuradas por meio do PowerShell, do Windows Admin Center e do Azure Policy. A ferramenta OSConfig é uma pilha de configuração de segurança que usa uma abordagem baseada em cenários para fornecer e aplicar as medidas de segurança desejadas para seu ambiente. As linhas de base de segurança em todo o ciclo de vida do dispositivo podem ser aplicadas usando OSConfig a partir do processo de implantação inicial.

Alguns dos destaques das linhas de base de segurança fornecem as seguintes imposições:

Núcleo seguro: UEFI MAT, inicialização segura, cadeia de inicialização assinada
Protocolos: TLS Obrigatório 1.2+, SMB 3.0+, Kerberos AES
Proteção de credenciais: LSASS/PPL
Políticas de conta e senha
Políticas de segurança e opções de segurança

Você pode obter a lista completa das configurações das linhas de base de segurança no GitHub.

Diretrizes de avaliação

Para operações em escala, use o Azure Policy e a Configuração do Computador de Gerenciamento Automatizado do Azure para monitorar e ver sua pontuação de conformidade.

Important

Depois de aplicar a linha de base de segurança, a configuração de segurança do sistema será alterada junto com os comportamentos padrão. Teste cuidadosamente antes de aplicar essas alterações em ambientes de produção.

Você deverá alterar sua senha de administrador local após a aplicação da baseline de segurança para cenários de servidor membro e membro de grupo de trabalho.

Abaixo, você pode encontrar uma lista de alterações mais perceptíveis após a aplicação das linhas de base:

A senha do administrador local deve ser alterada. A nova política de senha deve atender aos requisitos de complexidade e comprimento mínimo de 14 caracteres. Essa regra só se aplica a contas de usuário locais; ao entrar com uma conta de domínio, os requisitos de domínio prevalecem para contas de domínio.
As conexões TLS estão sujeitas a um mínimo de TLS/DTLS 1.2 ou superior, o que pode impedir conexões com sistemas mais antigos.
A capacidade de copiar e colar arquivos de sessões RDP está desativada. Se você precisar usar essa função, execute o seguinte comando e reinicie o dispositivo:
```
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/<ServerRoleBeingApplied> -Name RemoteDesktopServicesDoNotAllowDriveRedirection -Value 0
```
As conexões estão sujeitas ao SMB 3.0 mínimo ou superior, pois a conexão a sistemas não windows, como o Linux SAMBA, deve dar suporte ao SMB 3.0 ou são necessários ajustes na linha de base.
Se você estiver definindo as mesmas configurações com dois métodos diferentes, sendo um deles OSConfig, conflitos serão esperados. Especialmente com o controle de desvio envolvido, pois você deve remover uma das fontes se os parâmetros forem diferentes para evitar que as configurações mudem constantemente entre as fontes.
Você pode encontrar erros de conversão de SID em configurações de domínio específicas. Ele não afeta o restante da definição de linha de base de segurança e pode ser ignorado.

Prerequisites

Seu dispositivo deve estar executando o Windows Server 2025. O OSConfig não dá suporte a versões anteriores do Windows Server.

Instalar o módulo PowerShell do OSConfig

Antes de aplicar uma linha de base de segurança pela primeira vez, você precisa instalar o módulo OSConfig por meio de uma janela do PowerShell com privilégios elevados. Há dois métodos para instalação, online e offline. Siga estas instruções relativas ao seu ambiente.

Método online
Método offline

Selecione Iniciar, digite PowerShell, passe o mouse sobre o Windows PowerShell e selecione Executar como administrador.
Execute o seguinte comando para instalar o módulo OSConfig:
```
Install-Module -Name Microsoft.OSConfig -Scope AllUsers -Force
```
Se for solicitado que você instale ou atualize o provedor NuGet, selecione Sim.
Para verificar se o módulo OSConfig está instalado, execute o seguinte comando:
```
Get-Module -ListAvailable -Name Microsoft.OSConfig
```

Você pode baixar manualmente o módulo OSConfig da Galeria do PowerShell (requer conexão com a Internet). Esse método é especialmente benéfico quando o dispositivo de destino não tem acesso direto à Galeria do PowerShell para permitir uma instalação offline.

Navegue até a página Microsoft.OSConfig .
Em Opções de Instalação, selecione Download Manual e, em seguida, baixe o arquivo nupkg bruto.
Siga as instruções para instalar o módulo OSConfig usando o gerenciador de pacotes NuGet.

Como alternativa, você pode usar o cmdlet Salvar Módulo para salvar o módulo OSConfig no dispositivo local. Em seguida, você pode copiá-lo para um local compartilhado e usar o cmdlet Import-Module para adicioná-lo à sessão atual.

Execute o seguinte comando para salvar o módulo OSConfig no dispositivo local substituindo Server01 pelo nome do dispositivo ou endereço IP:
```
Save-Module -Name Microsoft.OSConfig -Path "\\Server01\Public"
Get-ChildItem -Path "\\Server01\Public"
```
Execute o seguinte comando para carregar o módulo OSConfig no dispositivo de destino:
```
Import-Module "\\Server01\Public\Microsoft.OSConfig\*\Microsoft.OSConfig.psd1"
```

Gerenciar linhas de base de segurança do Windows Server 2025

Aplique as linhas de base de segurança apropriadas com base na função do Windows Server do seu dispositivo:

DC (controlador de domínio)
Servidor membro (ingressado no domínio)
Servidor membro do grupo de trabalho (não conectado ao domínio)

A experiência de linha de base é alimentada pelo OSConfig. Uma vez aplicadas, suas configurações de linha de base de segurança são protegidas contra qualquer desvio automaticamente, que é um dos principais recursos de sua plataforma de segurança.

Note

Para dispositivos conectados ao Azure Arc, você pode aplicar as linhas de base de segurança antes ou depois da conexão. Mas se a função do servidor for alterada após a conexão, você deverá excluir e reaplicar a atribuição para garantir que a plataforma de configuração do computador possa detectar a alteração de função. Para obter mais informações sobre como excluir uma atribuição, consulte Exclusão de atribuições de convidado do Azure Policy.

Para aplicar uma linha de base, verificar se a linha de base foi aplicada, remover uma linha de base ou exibir informações detalhadas de conformidade para OSConfig no PowerShell, use os comandos nas guias a seguir.

Para aplicar a linha de base para um dispositivo conectado ao domínio, execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Default

Para aplicar a linha de base para um dispositivo que está em um grupo de trabalho, execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember -Default

Para aplicar a linha de base para um dispositivo configurado como DC, execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController -Default

Para aplicar a linha de base de núcleo seguro a um dispositivo, execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario SecuredCore -Default

Para aplicar a linha de base do Microsoft Defender Antivírus a um dispositivo, execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario Defender/Antivirus -Default

Para verificar se a linha de base de um dispositivo conectado a um domínio foi aplicada corretamente, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer

Para verificar se a linha de base de um dispositivo que está em um grupo de trabalho foi aplicada corretamente, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember

Para verificar se a linha de base de um dispositivo configurado como DC foi aplicada corretamente, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController

Para verificar se a linha de base de núcleo seguro de um dispositivo foi aplicada corretamente, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecuredCore

Para verificar se a linha de base do Microsoft Defender Antivírus para um dispositivo foi aplicada corretamente, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario Defender/Antivirus

Para remover a linha de base para um dispositivo ingressado no domínio, execute o seguinte comando:

Remove-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer

Para remover a linha de base para um dispositivo que está em um grupo de trabalho, execute o seguinte comando:

Remove-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember

Para remover a linha de base para um dispositivo configurado como DC, execute o seguinte comando:

Remove-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController

Para remover a linha de base de núcleo seguro a um dispositivo, execute o seguinte comando:

Remove-OSConfigDesiredConfiguration -Scenario SecuredCore

Para remover a linha de base do Microsoft Defender Antivírus a um dispositivo, execute o seguinte comando:

Remove-OSConfigDesiredConfiguration -Scenario Defender/Antivirus

Para obter os detalhes de configuração desejados para o cenário especificado, use os comandos a seguir. A saída aparece em um formato de tabela que inclui o nome do item de configuração, seu status de conformidade e o motivo da não conformidade.

Para verificar os detalhes de conformidade de um dispositivo conectado ao domínio, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Para verificar os detalhes de conformidade de um dispositivo de grupo de trabalho, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Para verificar os detalhes de conformidade da linha de base do DC, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Para verificar os detalhes de conformidade da linha de base de núcleo seguro, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecuredCore | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Para verificar os detalhes de conformidade da linha de base do Microsoft Defender Antivírus, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario Defender/Antivirus | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Note

Quando você aplica ou remove uma linha de base de segurança, uma reinicialização é necessária para que as alterações entrem em vigor.
Quando você personaliza uma linha de base de segurança, uma reinicialização é necessária para que as alterações entrem em vigor, dependendo de quais recursos de segurança você modificou.
Durante o processo de remoção , quando as configurações de segurança são revertidas, a alteração dessas configurações para a configuração pré-gerenciada não é garantida. Depende das configurações específicas dentro da linha de base de segurança. Esse comportamento se alinha com os recursos que as políticas do Microsoft Intune fornecem. Para saber mais, consulte Remover uma atribuição de linha de base de segurança.

Personalizar linhas de base de segurança do Windows Server 2025

Depois de concluir a configuração da linha de base de segurança, você poderá modificar as configurações de segurança enquanto mantém o controle de descompasso. A personalização dos valores de segurança permite mais controle das políticas de segurança da sua organização, dependendo das necessidades específicas do seu ambiente.

Para editar o valor padrão de AuditDetailedFileShare de 2 para 3 do seu servidor membro, execute o seguinte comando:

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare -Value 3

Para verificar se o novo valor foi aplicado, execute o seguinte comando:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare

Note

Dependendo de quais configurações de segurança são personalizadas, certas entradas do usuário são esperadas. Essas entradas são:

MessageTextUserLogon
MessageTextUserLogonTitle
RenameAdministratorAccount
RenameGuestAccount

Depois de fornecer a entrada necessária, selecione a chave Enter para continuar.

Fornecer comentários para OSConfig

Se você estiver bloqueado ou enfrentando uma interrupção de trabalho depois de aplicar a linha de base de segurança, registre um bug usando o Hub de Comentários. Para saber mais sobre como enviar comentários, consulte Análise mais detalhada dos comentários.

Forneça-nos a Linha de base de segurança OSConfig como o título do feedback. Em Escolher uma categoria, selecione Windows Server na lista suspensa, selecione Gerenciamento na lista suspensa secundária e prossiga com o envio de seus comentários.

Configurar o Controle de Aplicativos para Empresas com OSConfig

Comentários

Esta página foi útil?

Last updated on 2025-03-25

Implantar linhas de base de segurança do Windows Server 2025 localmente com o OSConfig

Diretrizes de avaliação

Prerequisites

Instalar o módulo PowerShell do OSConfig

Gerenciar linhas de base de segurança do Windows Server 2025

Personalizar linhas de base de segurança do Windows Server 2025

Fornecer comentários para OSConfig

Conteúdo relacionado

Comentários

Recursos adicionais