🎉 Olá, pessoal! Tudo bem? 😄
Hoje o assunto é quente! 🔥 Vamos falar sobre o Windows Server 2025 🖥️☁️, uma das versões mais aguardadas pelo mercado! 🚀
Com novidades incríveis ✨ que prometem revolucionar a forma como gerenciamos servidores e infraestrutura 💡, o Windows Server 2025 chega com:
🔒 Mais segurança
⚡ Melhor desempenho
🌐 Integração total com a nuvem
E sabe o que é melhor? 😍 Eu já apresentei tudo isso em uma live especial em fevereiro de 2024 📆🎥!
Foi um mergulho completo 🤿 nas novidades e possibilidades dessa versão poderosa do Windows Server! 💪💻
📺 Confira a live aqui e fique por dentro de tudo que o Windows Server 2025 tem a oferecer! 🧠👇
📘 E se quiser ir ainda mais longe, baixe o e-book com todos os novos recursos e atualizações de segurança clicando aqui! 📥📚
Feitas as apresentações, vamos direto ao ponto: segurança!
🚨 O OSConfig é uma ferramenta que você NÃO pode deixar de conhecer! 🛠️💡
Especialmente se você já está usando o Windows Server 2025 🖥️🚀 ou pretende atualizar algum servidor em breve!
(Mas isso é papo pra outro artigo… 😉📄)
Apesar de não ter recebido tanto destaque 📢, o OSConfig foi discretamente introduzido no Windows Server 2025 🎩✨ e trouxe consigo funcionalidades robustas para o gerenciamento de configurações 🧠🔧.
Uma adição silenciosa… mas INCRIVELMENTE poderosa! 💥💼
📌 Neste artigo, vamos:
🔓 Aprender como ativar e configurar o OSConfig
🛡️ Ver seu papel na aplicação de linhas de base de segurança
⚙️ Entender componentes como dmosconfig.dll e o serviço dcscvc
🧬 Descobrir como o controle de desvio integrado mantém tudo no lugar
🚫 Tudo isso sem depender de GPOs! 😱👏
Isso significa mais tranquilidade 🧘♂️✨, suas configurações estão protegidas contra alterações não autorizadas! 🛡️🔒
🗃️ E ainda tem mais:
📝 Vou mostrar onde o OSConfig armazena seus dados no Registro
📐 E como ele opera com um modelo declarativo, estilo EPM (Endpoint Privilege Management) 🎯
📚 Pronto para dominar essa ferramenta essencial? Vamos nessa! 💪🚀
OSConfig
O OSConfig é uma pilha de configuração de segurança ⚙️ que utiliza cenários específicos para fornecer e aplicar eficientemente as intenções administrativas 🎯, a fim de alcançar o estado desejado de dispositivos locais 🖥️ e conectados ao Azure Arc ☁️.
A pilha OSConfig é composta por cmdlets base 🧩, APIs nativas 🔌 e uma definição de cenário 📄 que especifica a configuração do estado desejado. Essa definição é controlada por dados 📊, descrevendo configurações agrupadas em pares nome/valor, com ordem predefinida 🔢 e dependências correspondentes às subáreas 🔗.
O OSConfig geralmente acompanha o sistema operacional Windows Server 🪟, proporcionando uma abstração eficiente para a configuração de dispositivos locais. Seu modelo de objeto é orientado por dados, permitindo mapeamento para diversos provedores internos do Windows 🔍 para configuração de dispositivos.
📌 O diagrama abaixo ilustra o fluxo do OSConfig e ajuda a entender como essa poderosa ferramenta atua em seu ambiente. 🚀
🔗 Ele se integra ao Azure Policy ☁️, Microsoft Defender 🛡️, Windows Admin Center 🖥️ e à configuração de computador do Azure Automanage ⚙️ para facilitar o monitoramento e os relatórios de conformidade 📊✅.
📌 O OSConfig permite mapeamento aprimorado ou até mesmo conversão direta com outras definições de gerenciamento preexistentes 🔄. Essas definições incluem:
🗂️ .admx – Arquivos da Diretiva de Grupo
🧩 .mof – Arquivos da WMI (Instrumentação de Gerenciamento do Windows)
📄 .ddf – Arquivos do DDF (Device Description Framework) no CSP (provedor de serviços de configuração)
✨ Alguns dos destaques das linhas de base de segurança fornecem as seguintes imposições:
🔐 Núcleo seguro:
▪️ UEFI MAT
▪️ Inicialização segura
▪️ Cadeia de inicialização assinada
📡 Protocolos:
▪️ TLS obrigatório 1.2+
▪️ SMB 3.0+
▪️ Kerberos AES
🛡️ Proteção de credenciais:
▪️ LSASS/PPL
👤 Políticas de conta e senha
⚠️ Políticas de segurança e opções de segurança
📥 Você pode obter a lista completa de configurações para as linhas de base de segurança diretamente no GitHub 🧾📚.
Controle de Descompasso OSConfig
🔧 Uma das principais funcionalidades do OSConfig é o controle de desvio 🛡️. Este recurso assegura que o sistema seja iniciado e mantido em um estado conhecido de segurança ✅.
Quando ativado, o OSConfig corrige automaticamente qualquer alteração no sistema que se desvie do estado desejado, por meio de uma tarefa de atualização 🔄.
⚠️ Ao desativar este recurso, a tarefa de atualização também é desabilitada. Os usuários passam a ter a possibilidade de utilizar outras ferramentas 🧰, com ou sem o OSConfig, para modificar o sistema.
Cada ferramenta de gerenciamento pode ter diversos propósitos e ser utilizada por diferentes autoridades administrativas 👩💼👨💼, permitindo que múltiplas entidades gerenciem o mesmo conjunto de configurações do dispositivo 📋.
🔁 Por exemplo:
☁️ Autoridades podem usar o Azure Policy para gerenciamento em nuvem ou recursos habilitados pelo Azure Arc em larga escala,
🖥️ enquanto utilizam o Windows Admin Center para gerenciamento local.
🧠 Para coordenar essas diversas autoridades, um orquestrador garante uma configuração determinística em ambientes onde diferentes ferramentas são usadas simultaneamente ⚙️🤝.
Nesse modelo, cada autoridade possui uma ordem de precedência 🪜.
Essa ordem não se aplica apenas às configurações, mas também assegura que o controle de desvio seja respeitado por autoridade e até mesmo por documento de cenário 📄.
📌 Para usuários com recursos habilitados para a nuvem ou Azure Arc, a ordem de precedência é definida assim:
- Autoridade de nuvem (Azure Policy) ☁️
- Autoridade local (Windows Admin Center e PowerShell) 💻
- Qualquer outra ferramenta de implantação 🧰
Por que optar pelo OSConfig?
🚀 O OSConfig vai muito além de ser apenas mais uma ferramenta de configuração 🛠️; é uma solução poderosa 💪 para impor e manter a conformidade em diversos cenários 🔐.
A Microsoft já disponibilizou uma série de configurações pré-definidas, chamadas de “cenários” 📦, projetadas para atender a demandas específicas de segurança 🛡️.
📌 Entre essas opções, destacam-se recursos como:
🔒 Linha de Base de Segurança
🧬 Núcleo Seguro (Secured-core)
🛡️ Microsoft Defender
✅ Controle de Aplicativos para Empresas (Windows Defender Application Control)
Cada cenário foi cuidadosamente ajustado 🎯 para abordar diferentes aspectos de segurança, permitindo que você aplique configurações alinhadas às necessidades do seu ambiente sem precisar configurá-las manualmente 🧠⚙️.
💡 Isso significa mais agilidade, eficiência e tranquilidade na gestão de segurança do seu servidor! 🖥️✨
🛡️ Aplicando as linhas de base de segurança OSConfig em seu ambiente:
✔️ Reduz as despesas operacionais 💰 com o mecanismo de proteção contra desvios interno 🔄, que permite o monitoramento consistente em escala 🌐 por meio da linha de base do Azure Arc Hybrid Edge ☁️🖥️.
🔒 Aprimora a postura de segurança desabilitando protocolos e cifras herdados 🧯📉.
📊 Permite que você atenda aos requisitos do Center for Internet Security (CIS) Benchmarks 🏛️ e dos Guias de Implementação Técnica de Segurança da DISA (STIGs) 🛠️, seguindo a linha de base de segurança recomendada para o sistema operacional 🖥️✅.
🛠️ OSConfig é uma plataforma única que:
- 🔐 Aplica cargas de segurança a dispositivos durante todo o ciclo de vida da configuração 📈, incluindo:
🔧 configuração de segurança,
🩹 correção,
🔍 monitoramento,
📊 relatórios, e
🗂️ controle de versão.
- 🌐 Fornece uma solução escalonável e controlada por dados 📡 com uma implementação única e consistente para diversos conjuntos de ferramentas administrativas, como:
🖥️ Windows Admin Center,
☁️ Azure Arc,
💻 PowerShell,
🛡️ Azure Policy, e
⚙️ configuração de computador do Gerenciamento Automatizado do Azure.
- 📏 Gera resultados consistentes e impõe qual autoridade tem precedência 🪜 por meio do modelo de várias autoridades 🤝.
- 🧩 Dá suporte a diretivas de orquestração que respeitam pré-requisitos e dependências entre as configurações 🔄.
- 🛡️ Impõe o estado desejado 🎯 por meio da detecção, relatórios e correção de descompasso de configuração 🛠️.
- 🧱 Fornece abstração para permitir modelos de extensibilidade 🔧 que dão suporte a diferentes provedores de configuração 🧬.
Debaixo do capô
📦 Uma vez instalado o OSConfig, você encontrará o módulo nesta pasta:
📁 C:\Program Files\WindowsPowerShell\Modules\Microsoft.OSConfig\1.2.9 🧩💻
Observação: A versão do OS Config pode variar, o que pode implicar em alterações no caminho da pasta correspondente.
✅ Depois de instalar o módulo, o dispositivo receberá um novo registro 📝💻🔧.
🗓️ Também será criada uma tarefa no Agendador de Tarefas do Windows 🪟⚙️, na qual o OSConfig verifica a conformidade ✅ (controle de desvio 🔄🛡️).
🧠 A DMOsConfig.dll é responsável pelo funcionamento do OSConfig ⚙️.
📄 Esta DLL lê documentos de configuração e aplica as configurações conforme as políticas estabelecidas 📜✅, garantindo que as definições do OSConfig sejam mantidas 🔐.
✨ Toda a mágica acontece no Serviço de Configuração Declarada (dcscvc) 🪄🖥️.
📄 Bruto (Raw):
Quando um documento de configuração ou política é carregado pela primeira vez 🆕, ele entra no sistema em seu estado bruto 🗂️.
Neste estágio, a configuração existe exatamente como definida no documento declarado 📝, sem qualquer processamento 🚫⚙️.
Pode-se considerá-lo como as instruções não filtradas que o OSConfig irá posteriormente refinar 🔧.
🍲 Cozido (Cooked):
Em seguida, o serviço dcscvc 🔄 processa esses dados brutos e os converte para um estado “cozido” 🔁, transformando as configurações em um formato compatível com o sistema 💻.
Este estágio assegura que cada configuração seja validada ✅ e preparada para aplicação, minimizando o risco de erros ⚠️ durante sua implementação.
🚀 Aplicado (Applied):
Finalmente, o dcscvc move as configurações cozidas para o estado aplicado 📌, tornando-as políticas ativas que regem o comportamento do servidor 🖥️🔒.
Após serem aplicadas, essas configurações se tornam as definições “ativas” no servidor ⚙️.
O trabalho do OSConfig, contudo, não termina aqui, 🧐 ele continua monitorando essas configurações aplicadas para garantir que estejam alinhadas com a linha de base declarada 🛡️📏.
Requisitos
🖥️ Apenas os sistemas operacionais Windows Server 2025 🪟 e Azure Local 2311.2 ou posterior ☁️ possuem o recurso do OSConfig ⚙️🔐.
GitHub
🚀 Explore todo o poder do OSConfig! 💪🛠️
📥 Acesse o GitHub 🔗 e baixe agora o pacote completo com os comandos essenciais para:
✅ Instalação
🔍 Verificação
🗑️ Remoção
📊 Checagem de conformidade
📌 Tudo o que você precisa para dominar o OSConfig está a um clique de distância! 🖱️⚡
Vídeo
💥 Você está pronto para dominar o OSConfig no Windows Server 2025?
Neste vídeo eu vou mostrar na prática tudo o que você precisa saber:
🛠️ Como instalar
🔍 Como verificar
🗑️ Como remover
📊 E como checar a conformidade das configurações com controle de desvio ativo!
⚙️ Vamos explorar juntos os cenários de segurança, entender o papel do dcscvc, da dmosconfig.dll e muito mais!
📌 Se você usa o Windows Server 2025 ou está pensando em migrar, esse vídeo é para você!
▶️ Assista agora e domine o OSConfig de ponta a ponta!
Referências
https://github.com/microsoft/osconfig/tree/main/security
Inscreva-se no meu canal do YouTube ative o sininho para receber as notificações!
Há 10 anos atuo na área de TI focado em suporte e administração de infraestrutura, especializado em plataformas Microsoft. Tenho grande experiência em troubleshooting, implantação, configuração e administração de funções e recursos de tecnologia Microsoft. Formado em Redes de Computadores pela faculdade Estácio de Sá de Belo Horizonte.
Comecei a compartilhar o meu conhecimento no ano de 2012, fazendo artigos e vídeos para o meu Blog. Em 2017 comecei a escrever artigos para o portal Cooperati.
Sou apaixonado em compartilhar o meu conhecimento. Meu lema é: um conhecimento só é válido quando compartilhado.
No responses yet