次の方法で共有

OSConfig を使用して Windows Server 2025 セキュリティ ベースラインをローカルに展開する

Windows Server 2025 セキュリティ ベースラインを環境に展開すると、必要なセキュリティ対策が確実に実施され、包括的で標準化されたセキュリティ フレームワークが提供されます。 Windows Server 2025 ベースラインには、業界標準のセキュリティ要件を確実に満たすために、300 を超えるセキュリティ設定が含まれています。 また、オンプレミスデバイスと Azure Arc 接続デバイスの両方に対する共同管理サポートも提供します。 セキュリティ ベースラインは、PowerShell、Windows Admin Center、Azure Policy を使用して構成できます。 OSConfig ツールは、シナリオベースのアプローチを使用して、環境に必要なセキュリティ対策を提供して適用するセキュリティ構成スタックです。 デバイスのライフ サイクル全体のセキュリティ ベースラインは、最初の展開プロセスから始まる OSConfig を使用して適用できます。

セキュリティ ベースラインの主なポイントには、次の強制項目が含まれます。

  • Secured-Core: UEFI MAT、セキュア ブート、署名付きブート チェーン​
  • プロトコル: TLS 1.2 以上、SMB 3.0 以上、Kerberos AES
  • 資格情報保護: LSASS/PPL
  • アカウントおよびパスワード ポリシー​
  • セキュリティ ポリシーおよびセキュリティ オプション​

セキュリティ ベースラインの設定の完全な一覧は GitHub で確認できます。

評価ガイダンス

大規模な運用の場合は、Azure Policy と Azure Automanage Machine Configuration を使用してコンプライアンス スコアを監視・確認します。

重要

セキュリティ ベースラインを適用すると、システムのセキュリティ設定が既定の動作と共に変更されます。 本番環境に適用する前に、必ず十分にテストしてください。

メンバー サーバーとワークグループ メンバーのシナリオのセキュリティ ベースラインを適用した後、ローカル管理者のパスワードを変更するように求められます。

以下に、ベースライン適用後に特に顕著となる変更点を示します。

  • ローカル管理者のパスワードを変更する必要があります。 新しいパスワード ポリシーは、複雑さの要件と最小 14 文字の長さを満たす必要があります。 このルールは、ローカル ユーザー アカウントにのみ適用されます。ドメイン アカウントを使用してサインインすると、ドメイン アカウントのドメイン要件が優先されます。

  • TLS 接続には TLS/DTLS 1.2 以上が必須となり、旧システムへの接続ができなくなる可能性があります。

  • RDP セッションからのファイルのコピー アンド ペースト機能は無効になります。 この機能を使用する必要がある場合は、次のコマンドを実行し、デバイスを再起動してください。

    Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/<ServerRoleBeingApplied> -Name RemoteDesktopServicesDoNotAllowDriveRedirection -Value 0

  • Linux SAMBA などの Windows 以外のシステムに接続する場合、SMB 3.0 をサポートする必要がある、またはベースラインの調整が必要な場合、接続には SMB 3.0 以上が適用されます。

  • 現在、OSConfig を含む 2 つの異なる方法で同じ設定を構成している場合、設定の競合が発生する可能性があります。 特にドリフト制御が有効になっている場合、2 つの構成ソースでパラメーターが異なっていると、設定が一方から他方へと繰り返し上書きされる状態になります。これを防ぐには、いずれか一方のソースを削除する必要があります。

  • 特定のドメイン構成において SID 変換エラーが発生する可能性があります。 これはセキュリティ ベースライン定義の他の部分には影響しないため、無視して問題ありません。

前提条件

デバイスで Windows Server 2025 が実行されている必要があります。 OSConfig は、旧バージョンの Windows Server には対応していません。

OSConfig PowerShell モジュールをインストールします。

初めてセキュリティ ベースラインを適用する前に、管理者特権の PowerShell ウィンドウを使用して OSConfig モジュールをインストールする必要があります。 オンラインとオフラインの 2 つの方法でインストールできます。 環境に関する次の手順に従います。

  1. [スタート] を選択し、「PowerShell」と入力し、Windows PowerShell にカーソルを合わせて、[管理者として実行] を選択します。

  2. 次のコマンドを実行し、OSConfig モジュールをインストールします。

    Install-Module -Name Microsoft.OSConfig -Scope AllUsers -Repository PSGallery -Force

    NuGet プロバイダーのインストールまたは更新を求められた場合は、[はい] を選択します。

  3. OSConfig モジュールがインストールされているかどうかを確認するには、次のコマンドを実行します。

    Get-Module -ListAvailable -Name Microsoft.OSConfig

Windows Server 2025 セキュリティ ベースラインの管理

デバイスの Windows Server の役割に基づいて、適切なセキュリティ ベースラインを適用します。

  • ドメイン コントローラー (DC)
  • メンバー サーバー (ドメイン参加済み)
  • ワークグループ メンバー サーバー (ドメインに参加していない)

ベースラインの管理機能は OSConfig によって提供されています。 ベースラインを適用すると、セキュリティ プラットフォームの主要機能の 1 つであるドリフト保護によって、設定が自動的に保持されます。

注意

Azure Arc 接続デバイスの場合、接続前または接続後にセキュリティ ベースラインを適用できます。 ただし、接続後にサーバーの役割が変更された場合は、マシン構成プラットフォームがその変更を検出できるように、セキュリティ ベースラインの割り当てを削除して再適用する必要があります。 割り当ての削除の詳細については、「Azure Policy からのゲスト割り当ての削除」を参照してください。

ベースラインの適用、適用状況の確認、削除、または OSConfig の詳細なコンプライアンス情報の表示には、以下のタブ内の PowerShell コマンドを使用します。

ドメインに参加しているデバイスのベースラインを適用するには、次のコマンドを実行します。

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Default

ワークグループ内のデバイスのベースラインを適用するには、次のコマンドを実行します。

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember -Default

DC として構成されているデバイスのベースラインを適用するには、次のコマンドを実行します。

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController -Default

デバイスのセキュリティで保護されたコア ベースラインを適用するには、次のコマンドを実行します。

Set-OSConfigDesiredConfiguration -Scenario SecuredCore -Default

デバイスの Microsoft Defender ウイルス対策ベースラインを適用するには、次のコマンドを実行します。

Set-OSConfigDesiredConfiguration -Scenario Defender/Antivirus -Default

注意

  • セキュリティ ベースラインを適用または削除する場合、変更を有効にするには再起動が必要です。

  • セキュリティ ベースラインをカスタマイズする場合、変更されたセキュリティ機能によっては、変更を有効にするために再起動が必要になります。

  • ベースラインの削除時にセキュリティ設定が元に戻されますが、ベースライン適用前の構成に完全に復元されるとは限りません。 どの程度復元されるかは、セキュリティ ベースライン内の具体的な設定内容によります。 この動作は Microsoft Intune ポリシーの機能と整合します。 詳細については、「セキュリティ ベースラインの割り当てを削除する を参照してください。

Windows Server 2025 セキュリティ ベースラインをカスタマイズする

セキュリティ ベースラインの構成が完了したら、ドリフト制御を維持したままセキュリティ設定を変更できます。 セキュリティ値をカスタマイズすると、環境の特定のニーズに応じて、組織のセキュリティ ポリシーをより細かく制御できます。

メンバー サーバーの AuditDetailedFileShare の既定値を 2 から 3 に編集するには、次のコマンドを実行します。

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare -Value 3

新しい値が適用されていることを確認するには、次のコマンドを実行します。

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare

注意

カスタマイズするセキュリティ設定に応じて、特定のユーザーによる入力が必要です。 これらの入力は次のとおりです。

  • MessageTextUserLogon
  • MessageTextUserLogonTitle
  • RenameAdministratorAccount
  • RenameGuestAccount

必要な入力を行った後、Enter キーを押して処理を進めます。

OSConfig に関するフィードバックを提供する

セキュリティ ベースライン適用後に操作がブロックされたり作業に支障が出たりした場合は、フィードバック Hub を使用してバグを報告してください。 フィードバックの送信方法については、「フィードバックの詳細」を参照してください。

フィードバックのタイトルに「OSConfig security baseline」と入力します。 [カテゴリの選択] で、ドロップダウン リストから [Windows Server] を選択した後、2 番目のドロップダウン リストから [管理] を選択し、フィードバックの送信に進みます。

関連するコンテンツ

  • Last updated on