Включить рекомендованные настройка безопасности Windows Server 2025 с помощью OSConfig

OSConfig это новая функция, доступная в Windows Server 2025, позволяющая быстро применить настройки безопасности операционной системы, рекомендованные Microsoft. В дальнейшем OSconfig будет автоматически исправлять любые изменения, внесенные в настройки безопасности, которые не соответствуют назначенной конфигурации ( baseline ). В преднастроенных бейзлайнах OSConfig заданы рекомендуемые параметры безопасности для нескольких типовых ролей использования Windows Server.

OSConfig позволяет достаточно просто внедрить и зафиксировать рекомендованные настройки безопасности Windows Server для отдельностоящих хостов (в том числе в рабочей группе) и серверам в облаке.

Для начала работы с шаблонами безопасности OSConfig нужно установить PowerShell модуль из галереи:

Install-Module -Name Microsoft.OSConfig

Вывести список доступных команд в модуле OSConfig:

Get-Command -Module Microsoft.OSConfig

Вывести список доступных шаблонов безопасности:

Get-OSConfigMetadata | ft Name, Description -Wrap

Доступны несколько шаблонов безопасности (Security Baseline) для различных сценариев, включающие настройки для встроенного антивируса Defender, правила AppControl (WDAC), настройки контроллеров домена, рядовых серверов и серверов в рабочей группе (без AD домена).

В каждом из шаблонов безопасности настроены ряд дефолтных значений. Список дефолтных значений параметров безопасности Windows Server в шаблоне и соответствует ли ваша ОС этим параметрам, можно вывести с помощью команды:

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline\WS2025\WorkgroupMember |select name, @{n="State"; e={$_.Compliance.Status}}, @{n="Reason"; e={$_.Compliance.Reason}}, Description | FT

Команда выведет список параметров в бейзлайне, и соответствует ли текущая настройка параметра в ОС рекомендованному значению или нет ( Compliant / NotCompliant )

Можно применить шаблон безопасности Windows Server со всеми настройками по умолчанию (протестируйте предварительно в тестовой среде!!!):

Set-OSConfigDesiredConfiguration -Scenario Defender\Antivirus -Default

Если вы хотите внедрить отдельные настройки из шаблона, вместо Default нужно указать название параметра и значение. Например:

Set-OSConfigDesiredConfiguration -Scenario Defender\Antivirus -Setting DisableRealtimeMonitoring -Value 1

По умолчанию OSconfig будет проверять состояние заданных параметров безопасности каждые 4 часа и исправлять их, если они не соответствуют внедренному бейзлайну.

Можно изменить частоту сканирования и применения, например до 30 минут (минимальный интервал):

Set-OSConfigDriftControl -RefreshPeriod 30

Если кто-то изменил параметр, заданный в шаблоне безопасности, через 30 минут его значение будет возвращено к начальному. Для этого в системе создается отдельное задание планировщика Refresh schedule created by Declared Configuration to refresh any settings changed on the device (в разделе \Microsoft\Windows\EnterpriseMgmt\ ). Задание планировщика с указанное периодичностью будет возвращать все значения к бейзлайну, дергая процесс deviceenroller.exe .

Чтобы убрать определенный параметр безопасности из примененного бейзлайна, выполните:

Remove-OSConfigDesiredConfiguration -Scenario Defender\Antivirus -Setting DisableEmailScanning

Чтобы полностью отвязать назначенный шаблон безопасности:

Remove-OSConfigDesiredConfiguration -Scenario Defender\Antivirus

Управлять настройками профилей безопасности OSConfig можно из графического интерфейса панели управления Windows Admin Center (WAC). Применить настройки бейзлайна безопасности и посмотреть статус соответствия можно в разделе WAC -> Security -> Security baseline.

Здесь можно выбрать любой из доступных профилей OSConfig, проверить насколько текущая конфигурация параметров безопасности сервера соответствует профилю и применить его. При этом не требуется наличие установленного PowerShell модуля OSConfig на сервере.

Такой графический отчет о текущих настройках безопасности сервера можно использовать в качестве базового чек-листа в том числе для ручной настройки параметров безопасности Windows Server (как минимум нужно проанализировать все параметры с уровнем важности Critical ).