Comment sécuriser Windows Server 2025 avec OSConfig ?

Jérôme BEZET-TORRES - ITConnect - 20/01
Apprenez à utiliser OSConfig, une nouvelle fonction pour Windows Server 2025 qui va durcir la configuration du système grâce à des règles de sécurité.

Sommaire

  • I. Présentation
  • II. Comment fonctionne OSConfig ?
    • A. Comment le piloter ?
    • B. Le module PowerShell OSConfig
    • C. La gestion de la dérive avec OSConfig
    • D. Les bases de référence
    • E. Les avantages d’OSConfig
  • III. Mise en pratique d’OSconfig sur Windows Server 2025
    • A. Installation du module
    • B. Les bases de référence de sécurité pour Windows Server 2025
    • C. Comparer avec la configuration locale
    • D. Appliquer base de sécurité
    • E. Comment fonctionne la remédiation ?
    • F. Démarrer la tâche d’actualisation
    • G. La base de registre et OSConfig
    • H. Le JSON dans ProgramData
  • IV. Conclusion

I. Présentation

Pour implémenter la sécurité au sein des versions de Windows Server, nous devons avoir par habitude d’utiliser comme référence le Microsoft Security compliance Toolkit avec les Security Baseline. Ces bonnes pratiques de Microsoft sont disponibles pour chaque version des systèmes (Windows Server 2019, 2022 et 2025) pour les serveurs et pour les versions client de Windows 10 et Windows 11.

Les Security Baseline contiennent :

  • Des modèles de stratégies de groupes (avec les paramètres de sécurité recommandés par Microsoft) pour chaque OS
  • Des outils comme PolicyAnalyzer pour analyser et comparer les stratégies de groupe, et LGPO pour appliquer les paramètres de stratégies de groupe.
  • Des paramètres de sécurité pour Microsoft Edge.

Aujourd’hui, Microsoft a introduit, au sein de Windows Server 2025, un outil de gestion de sécurité pour appliquer les Security Baseline, dans le but d’appliquer un état souhaité sur les appareils locaux et/ou connectés à Azure Arc : il s'agit d'OSConfig.

Rappelons que si votre objectif est d’effectuer le durcissement de votre système d’exploitation, vous devez mettre en place des tests approfondis avant d’effectuer la mise en production.

II. Comment fonctionne OSConfig ?

OSConfig est un module PowerShell qui est publié avec le système d’exploitation Windows Server (cependant, il est nécessaire de l’installer 😉). Voici ce que vous devez savoir sur son fonctionnement.

A. Comment le piloter ?

Pour piloter la sécurité, Microsoft met à notre disposition trois manières d’interagir avec le module PowerShell OSconfig.

  • Windows Admin Center
  • Azure Policy / Machine Configuration
  • PowerShell

En tant qu’administrateur, vous disposez de ces trois outils pour configurer la sécurité au sein de Windows Server 2025.

B. Le module PowerShell OSConfig

Le module PowerShell interagi avec plusieurs éléments du système d’exploitation :

  • OSConfig API / Plateforme
  • Configuration Providers (CSP, base de registres, etc…)
  • Fonctionnalités de sécurité
Source : Microsoft

Remarque : vous pouvez utiliser OSConfig pour établir des bases de référence de sécurité pour différents systèmes d’exploitation et application comme :

  • Microsoft Edge,
  • Windows Server 2025
  • Azure Local 23H2.
  • Il s’intègre à Azure Policy, Microsoft Defender, Windows Admin...
    [Courte citation de 8% de l'article original]