OSConfig を使用して Windows Server 2025 セキュリティ ベースラインをローカルに展開する

Windows Server 2025 セキュリティ ベースラインを環境に展開すると、必要なセキュリティ対策が確実に実施され、包括的で標準化されたセキュリティ フレームワークが提供されます。 Windows Server 2025 ベースラインには、業界標準のセキュリティ要件を確実に満たすために、300 を超えるセキュリティ設定が含まれています。 また、オンプレミスデバイスと Azure Arc 接続デバイスの両方に対する共同管理サポートも提供します。 セキュリティ ベースラインは、PowerShell、Windows Admin Center、Azure Policy を使用して構成できます。 OSConfig ツールは、シナリオベースのアプローチを使用して、環境に必要なセキュリティ対策を提供して適用するセキュリティ構成スタックです。 デバイスのライフ サイクル全体のセキュリティ ベースラインは、最初の展開プロセスから始まる OSConfig を使用して適用できます。

セキュリティ ベースラインのハイライトの一部では、次の適用が提供されます。

• セキュリティで保護されたコア: UEFI MAT、セキュア ブート、署名付きブート チェーン
• プロトコル: TLS 適用 1.2 以降、SMB 3.0 以降、Kerberos AES
• 資格情報保護: LSASS/PPL
• アカウントとパスワードのポリシー
• セキュリティ ポリシーとセキュリティ オプション

セキュリティ ベースラインの設定の完全な一覧は、 GitHub で取得できます。

評価ガイダンス

大規模な操作の場合は、Azure Policy と Azure Automanage Machine Configuration を使用して、コンプライアンス スコアを監視して確認します。

ベースラインが適用された後の、より顕著な変更の一覧を次に示します。

• ローカル管理者のパスワードを変更する必要があります。 新しいパスワード ポリシーは、複雑さの要件と 14 文字の最小長を満たす必要があります。 このルールは、ローカル ユーザー アカウントにのみ適用されます。ドメイン アカウントを使用してサインインすると、ドメイン アカウントのドメイン要件が優先されます。

• TLS 接続には TLS/DTLS 1.2 以上が必要であり、古いシステムへの接続が妨げになる可能性があります。

• RDP セッションからファイルをコピーして貼り付ける機能は無効になっています。 この関数を使用する必要がある場合は、次のコマンドを実行し、デバイスを再起動します。

  Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/<ServerRoleBeingApplied> -Name RemoteDesktopServicesDoNotAllowDriveRedirection -Value 0
  

• Linux SAMBA などの Windows 以外のシステムに接続する場合、SMB 3.0 をサポートする必要がある、またはベースラインの調整が必要な場合、接続には SMB 3.0 以上が適用されます。

• 現在、2 つの異なる方法 (1 つは OSConfig) を使用して同じ設定を構成している場合、競合が予想されます。 特にドリフト制御が関係する場合は、ソース間で設定が絶えず変化しないように、パラメーターが異なる場合はソースの 1 つを削除する必要があります。

• 特定のドメイン構成で SID 変換エラーが発生する可能性があります。 セキュリティ ベースライン定義の残りの部分には影響しないため、無視できます。

前提条件

デバイスで Windows Server 2025 が実行されている必要があります。 OSConfig では、以前のバージョンの Windows Server はサポートされていません。

OSConfig PowerShell モジュールをインストールします。

初めてセキュリティ ベースラインを適用する前に、管理者特権の PowerShell ウィンドウを使用して OSConfig モジュールをインストールする必要があります。

1. Startを選択し、「PowerShell」と入力Windows PowerShellにカーソルを合わせ、管理者として実行選択。

2. 次のコマンドを実行し、OSConfig モジュールをインストールします。

   Install-Module -Name Microsoft.OSConfig -Scope AllUsers -Repository PSGallery -Force
   

   NuGet プロバイダーをインストールまたは更新するように求められた場合は、 Yes を選択します。

3. OSConfig モジュールがインストールされていることを確認するには、次のコマンドを実行します。

   Get-Module -ListAvailable -Name Microsoft.OSConfig
   

Windows Server 2025 セキュリティ ベースラインの管理

デバイスの Windows Server の役割に基づいて、適切なセキュリティ ベースラインを適用します。

• ドメイン コントローラー (DC)
• メンバー サーバー (ドメイン参加済み)
• ワークグループ メンバー サーバー (ドメインに参加していない)

ベースライン エクスペリエンスは OSConfig を利用します。 適用すると、セキュリティ ベースラインの設定は、セキュリティ プラットフォームの主要な機能の 1 つであるドリフトから自動的に保護されます。

ベースラインを適用するには、ベースラインが適用されていることを確認したり、ベースラインを削除したり、PowerShell で OSConfig の詳細なコンプライアンス情報を表示したりするには、次のタブのコマンドを使用します。

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Default

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember -Default

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController -Default

Set-OSConfigDesiredConfiguration -Scenario SecuredCore -Default

Set-OSConfigDesiredConfiguration -Scenario Defender/Antivirus -Default

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController

Get-OSConfigDesiredConfiguration -Scenario SecuredCore

Get-OSConfigDesiredConfiguration -Scenario Defender/Antivirus

Remove-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer

Remove-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember

Remove-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController

Remove-OSConfigDesiredConfiguration -Scenario SecuredCore

Remove-OSConfigDesiredConfiguration -Scenario Defender/Antivirus

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Get-OSConfigDesiredConfiguration -Scenario SecuredCore | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Get-OSConfigDesiredConfiguration -Scenario Defender/Antivirus | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap 

Windows Server 2025 セキュリティ ベースラインをカスタマイズする

セキュリティ ベースラインの構成を完了したら、ドリフト制御を維持しながらセキュリティ設定を変更できます。 セキュリティ値をカスタマイズすると、環境の特定のニーズに応じて、組織のセキュリティ ポリシーをより細かく制御できます。

AuditDetailedFileShareの既定値をメンバー サーバーの2から3に編集するには、次のコマンドを実行します。

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare -Value 3 

新しい値が適用されていることを確認するには、次のコマンドを実行します。

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare 

OSConfig に関するフィードバックを提供する

セキュリティ ベースラインの適用後にブロックされたり、作業の中断が発生したりする場合は、 Feedback Hub を使用してバグを報告します。 フィードバックの送信の詳細については、 Deeper でのフィードバックの確認を参照してください。

フィードバック のタイトルとして、 OSConfig セキュリティ ベースライン をお寄せください。 [ カテゴリを選択、ドロップダウン リストから Windows Server を選択し、セカンダリ ドロップダウン リストから Management を選択し、フィードバックの送信に進みます。

関連するコンテンツ

• OSConfig を使用して App Control for Business を構成する