将 Windows Server 2025 安全基线部署到环境可确保所需的安全措施到位,从而提供全面的标准化安全框架。 Windows Server 2025 基线包含 300 多个安全设置,以确保它满足行业标准的安全要求。 它还为本地和 Azure Arc 连接的设备提供共同管理支持。 可以通过 PowerShell、Windows Admin Center 和 Azure Policy 配置安全基线。 OSConfig 工具是一种安全配置堆栈,它使用基于方案的方法为环境提供和应用所需的安全措施。 从初始部署过程开始,可以使用 OSConfig 应用整个设备生命周期的安全基线。
安全基线的一些要点包括以下强制措施:
- 安全核心:UEFI MAT、安全启动、签名启动链
- 协议:TLS 强制实施 1.2+、SMB 3.0+、Kerberos AES
- 凭据保护:LSASS/PPL
- 帐户和密码策略
- 安全策略和安全选项
可以获取 GitHub 上安全基线设置的完整列表。
评估指南
对于大规模操作,请使用 Azure Policy 和 Azure Automanage 计算机配置来监视并查看合规性分数。
重要
应用安全基线后,系统的安全设置将随默认行为一起更改。 在生产环境中应用这些更改之前,请仔细测试。
在为成员服务器和工作组成员方案应用安全基线后,系统会要求你更改本地管理员密码。
在应用基线后,可在下面找到更明显的更改列表:
必须更改本地管理员密码。 新的密码策略必须满足复杂性要求和最小长度为 14 个字符。 此规则仅适用于本地用户帐户;使用域帐户登录时,域帐户的域要求占上风。
所有 TLS 连接必须满足 TLS/DTLS 1.2 或更高版本的最低要求,这可能会阻止与较旧的系统建立连接。
禁用了从 RDP 会话复制和粘贴文件的功能。 如果需要使用此函数,请运行以下命令,然后重新启动设备:
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/<ServerRoleBeingApplied> -Name RemoteDesktopServicesDoNotAllowDriveRedirection -Value 0连接必须最低符合 SMB 3.0 标准或更高版本的标准,因为连接到非 Windows 系统(如 Linux SAMBA)时必须支持 SMB 3.0,否则需要对基线进行调整。
如果您当前正使用两种不同的方法来配置相同的设置,其中一种是 OSConfig,那么预计会出现冲突。 特别是在涉及偏移控制的情况下,如果参数不同,则必须删除其中一个源,以防止设置在源之间不断更改。
在特定域配置中可能会遇到 SID 转换错误。 它不会影响安全基线定义的其余部分,可以忽略。
先决条件
设备必须运行 Windows Server 2025。 OSConfig 不支持早期版本的 Windows Server。
安装 OSConfig PowerShell 模块
在首次应用安全基线之前,您需要通过具有管理员权限的 PowerShell 窗口安装 OSConfig 模块。 有两种方法可用于安装、联机和脱机。 请按照适合您环境的说明进行操作。
选择“开始”,键入 PowerShell,将鼠标悬停在 Windows PowerShell 上,然后选择“以管理员身份运行”。
运行以下命令以安装 OSConfig 模块:
Install-Module -Name Microsoft.OSConfig -Scope AllUsers -Repository PSGallery -Force如果系统提示安装或更新 NuGet 提供程序,请选择“ 是”。
若要验证是否已安装 OSConfig 模块,请运行以下命令:
Get-Module -ListAvailable -Name Microsoft.OSConfig
管理 Windows Server 2025 安全基线
根据设备的 Windows Server 角色应用适当的安全基线:
- 域控制器 (DC)
- 成员服务器(已加入域)
- 工作组成员服务器(未加入域)
基线体验由 OSConfig 提供支持。 应用后,安全基线设置会自动受到任何偏移的保护,这是其安全平台的主要功能之一。
注意
对于已连接 Azure Arc 的设备,可以在连接之前或之后应用安全基线。 但是,如果服务器的角色在连接后发生更改,则必须删除并重新应用分配,以确保计算机配置平台可以检测角色更改。 有关删除分配的详细信息,请参阅 从 Azure Policy 中删除来宾分配。
若要应用基线,请验证基线是否已应用、删除基线或查看 PowerShell 中 OSConfig 的详细符合性信息,请使用以下选项卡上的命令。
若要为已加入域的设备应用基线,请运行以下命令:
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Default
若要为工作组中的设备应用基线,请运行以下命令:
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember -Default
若要为配置为 DC 的设备应用基线,请运行以下命令:
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController -Default
若要为设备应用安全核心基线,请运行以下命令:
Set-OSConfigDesiredConfiguration -Scenario SecuredCore -Default
若要为设备应用 Microsoft Defender 防病毒基线,请运行以下命令:
Set-OSConfigDesiredConfiguration -Scenario Defender/Antivirus -Default
注意
应用或删除安全基线时,需要重启才能使更改生效。
自定义安全基线时,需要重启才能使更改生效,具体取决于你修改的安全功能。
在 移除 的过程中,当安全设置被还原时,无法保证这些设置能恢复到管理前的配置。 这取决于安全基线中的特定设置。 此行为符合 Microsoft Intune 策略所提供的功能。 若要了解详细信息,请参阅 删除安全基线分配。
自定义 Windows Server 2025 安全基线
完成安全基线配置后,可以在维护偏移控制的同时修改安全设置。 根据环境的特定需求,自定义安全值可以进一步控制组织的安全策略。
若要针对你的成员服务器将 AuditDetailedFileShare 的默认值从 2 更改为 3,请运行以下命令:
Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare -Value 3
若要验证是否已应用新值,请运行以下命令:
Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare
注意
根据自定义的安全设置,需要特定的用户输入。 这些输入是:
MessageTextUserLogonMessageTextUserLogonTitleRenameAdministratorAccountRenameGuestAccount
提供所需的输入后,选择 Enter 键继续。
为 OSConfig 提供反馈
如果在应用安全基线后被阻止或遇到工作中断,请使用 反馈中心提交 bug。 若要了解有关提交反馈的详细信息,请参阅 更深入的反馈。
将“OSConfig 安全基线”作为反馈标题提供给我们。 在“选择类别”下,从下拉列表中选择 Windows Server,然后从辅助下拉列表中选择“管理”,并继续提交反馈。