Windows Server 2025 におけるセキュリティベースラインの適用

>100 Views

August 31, 24

スライド概要

Windows Server & Cloud User Group Japan 第41回勉強会の資料です。
Windows Server 2025 に実装予定となっている、セキュリティベースラインを適用する際の新しい方法について紹介します。

profile-image

インフラエンジニア

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

Windows Server 2025 におけるセキュリティ ベースラインの適用 SCUGJ (wSCUGJ) 勉強会 #41 2024-08-31 Kazuki Takai Windows Server & Cloud User Group Japan

2.

自己紹介 • たかい (Kazuki Takai) // X(旧 Twitter)@zhuky7 • 会社員 (某ISP勤務) • サービス基盤開発、技術開発、ライセンス関連 • 普段は Windows Server / Microsoft 製品だけでなく、Linux や VMware、OSS のインフラ系ソフトウェアなど幅広く • ユーザーオブジェクトよりコンピューターオブジェクトのほうが多いような環境 • wSCUGJ (Windows Server & System Center User Group Japan) • 興味分野:統合管理、ID、自動化、セキュリティ、監視・運用 • Microsoft MVP - Microsoft Azure / Cloud and Datacenter Management

3.

お話しすること • セキュリティ ベースラインとは • Windows Server 2025 における、ベースライン の新しい適用方法について

4.

本日の(デモ)環境 • Windows Server 2025 Public Preview (ja-jp) • 24H2 Build 26100.1457 (10.0.26100.1457) • KB5041571 適用済み • 2024-08 Microsoft server operating system version 24H2 x64 ベース システム用の累積更新プログラム • Windows PowerShell 5.1 / PowerShell 7.4.5 • Microsoft.OSConfig 0.1.157

5.

注意点 • 本セッションでは、リリース前の機能についてお話しします • 仕様等が変更となる可能性があります

6.

Microsoft セキュリティ ベースライン • セキュリティ機能を設定するための公式なガイダンス • セキュリティを強化するために推奨される構成設定群 • セキュリティに関するベストプラクティスを反映した構成 • Microsoft のセキュリティチームやパートナーからのフィードバックに 基づく設定 • 組織に合わせてカスタマイズ可能 • Windows Server だけでなく、Windows クライアントや Microsoft 365、Azure 上で利用可能なベースラインも存在 ※本日のお話は Windows Server に限定しています

7.

セキュリティ ベースラインの利用 • Microsoft Security Compliance Toolkit の一部としてダ ウンロード可能 • 各種グループポリシー用ファイル • ポリシーの適用を簡易化するためのスクリプトやツール群 • Azure Policy から配布 • オンプレミスであれば with Arc enabled servers

8.

Microsoft Security Compliance Toolkit 1.0 • https://www.microsoft.com/en-us/download/details.aspx?id=55319

10.

セキュリティ ベースラインの新しい適用方法 • PowerShell コマンドを利用 • Security Compliance Toolkit 不要 • 以下の PowerShell モジュールが必要 • Microsoft.OSConfig – PS Gallery からダウンロード • OsConfiguration – OS にビルトイン • Set-OSConfigDesiredConfiguration

11.

Microsoft.OSConfig PS Module https://www.powershell gallery.com/packages/ Microsoft.OSConfig/

12.

Microsoft.OSConfig PS Module • モジュールをロードすることで実行可能なコマンド

13.

前提条件 • Windows Server 2025 • OsConfiguration モジュールのバージョン 1.0.1.0 以降 • OS ビルトインの PowerShell Module • Windows Server 2022 までは、バージョン 1.0.0.0 が組み込 まれている(バージョン 1.0.1.0 で増えたコマンドが必要)

14.

モジュールのインストール • Install-Module -Name Microsoft.OSConfig • PowerShell (PowerShell 7)であれば –AllowPrerelease ス イッチを利用可能(必要であれば)

15.

参考:2024-08-31 時点でのバージョン

16.

モジュールの確認

17.

余談:管理者権限が必要 • Microsoft.OSConfig モジュールのインポートには管理者 権限が必要

18.

余談:サポートされていない OS • Windows Server 2025 以外で利用しようとすると、 Cannot run the operation because the system is not supported. Windows Server 2022 上で実行

19.

余談:サポートされていない OS Windows Server 2022 Windows Server 2025

20.

適用可能な Configuration の確認 • Get-OSConfigScenarioDefinition • 現在利用(設定・適用)可能な Configuration シナリオを取得

21.

Windows Server 2025 用ベースライン • これまでのセキュリティベースラインと同様、3種類存在 • ドメインコントローラー用 • ドメインに参加しているメンバーサーバー用 • ワークグループ環境用

22.

セキュリティ ベースラインの適用 • Set-OSConfigDesiredConfiguration -Scenario <ScenarioName> -Default -Force or or

23.

現在の状態の確認(あるべき状態との比較) • Get-OSConfigDesiredConfiguration –Scenario <ScenarioName>

25.

まとめ • Windows Server 2025 では、PowerShell を使用 してより簡単にセキュリティ ベースラインの適用 ができるようになる見込み • 気になる人は Public Preview を試してみて