Windows Server 2025 におけるセキュリティベースラインの適用
>100 Views
August 31, 24
スライド概要
Windows Server & Cloud User Group Japan 第41回勉強会の資料です。
Windows Server 2025 に実装予定となっている、セキュリティベースラインを適用する際の新しい方法について紹介します。
インフラエンジニア
関連スライド
各ページのテキスト
Windows Server 2025 におけるセキュリティ ベースラインの適用 SCUGJ (wSCUGJ) 勉強会 #41 2024-08-31 Kazuki Takai Windows Server & Cloud User Group Japan
自己紹介 • たかい (Kazuki Takai) // X(旧 Twitter)@zhuky7 • 会社員 (某ISP勤務) • サービス基盤開発、技術開発、ライセンス関連 • 普段は Windows Server / Microsoft 製品だけでなく、Linux や VMware、OSS のインフラ系ソフトウェアなど幅広く • ユーザーオブジェクトよりコンピューターオブジェクトのほうが多いような環境 • wSCUGJ (Windows Server & System Center User Group Japan) • 興味分野:統合管理、ID、自動化、セキュリティ、監視・運用 • Microsoft MVP - Microsoft Azure / Cloud and Datacenter Management
お話しすること • セキュリティ ベースラインとは • Windows Server 2025 における、ベースライン の新しい適用方法について
本日の(デモ)環境 • Windows Server 2025 Public Preview (ja-jp) • 24H2 Build 26100.1457 (10.0.26100.1457) • KB5041571 適用済み • 2024-08 Microsoft server operating system version 24H2 x64 ベース システム用の累積更新プログラム • Windows PowerShell 5.1 / PowerShell 7.4.5 • Microsoft.OSConfig 0.1.157
注意点 • 本セッションでは、リリース前の機能についてお話しします • 仕様等が変更となる可能性があります
Microsoft セキュリティ ベースライン • セキュリティ機能を設定するための公式なガイダンス • セキュリティを強化するために推奨される構成設定群 • セキュリティに関するベストプラクティスを反映した構成 • Microsoft のセキュリティチームやパートナーからのフィードバックに 基づく設定 • 組織に合わせてカスタマイズ可能 • Windows Server だけでなく、Windows クライアントや Microsoft 365、Azure 上で利用可能なベースラインも存在 ※本日のお話は Windows Server に限定しています
セキュリティ ベースラインの利用 • Microsoft Security Compliance Toolkit の一部としてダ ウンロード可能 • 各種グループポリシー用ファイル • ポリシーの適用を簡易化するためのスクリプトやツール群 • Azure Policy から配布 • オンプレミスであれば with Arc enabled servers
Microsoft Security Compliance Toolkit 1.0 • https://www.microsoft.com/en-us/download/details.aspx?id=55319
セキュリティ ベースラインの新しい適用方法 • PowerShell コマンドを利用 • Security Compliance Toolkit 不要 • 以下の PowerShell モジュールが必要 • Microsoft.OSConfig – PS Gallery からダウンロード • OsConfiguration – OS にビルトイン • Set-OSConfigDesiredConfiguration
Microsoft.OSConfig PS Module https://www.powershell gallery.com/packages/ Microsoft.OSConfig/
Microsoft.OSConfig PS Module • モジュールをロードすることで実行可能なコマンド
前提条件 • Windows Server 2025 • OsConfiguration モジュールのバージョン 1.0.1.0 以降 • OS ビルトインの PowerShell Module • Windows Server 2022 までは、バージョン 1.0.0.0 が組み込 まれている(バージョン 1.0.1.0 で増えたコマンドが必要)
モジュールのインストール • Install-Module -Name Microsoft.OSConfig • PowerShell (PowerShell 7)であれば –AllowPrerelease ス イッチを利用可能(必要であれば)
参考:2024-08-31 時点でのバージョン
モジュールの確認
余談:管理者権限が必要 • Microsoft.OSConfig モジュールのインポートには管理者 権限が必要
余談:サポートされていない OS • Windows Server 2025 以外で利用しようとすると、 Cannot run the operation because the system is not supported. Windows Server 2022 上で実行
余談:サポートされていない OS Windows Server 2022 Windows Server 2025
適用可能な Configuration の確認 • Get-OSConfigScenarioDefinition • 現在利用(設定・適用)可能な Configuration シナリオを取得
Windows Server 2025 用ベースライン • これまでのセキュリティベースラインと同様、3種類存在 • ドメインコントローラー用 • ドメインに参加しているメンバーサーバー用 • ワークグループ環境用
セキュリティ ベースラインの適用 • Set-OSConfigDesiredConfiguration -Scenario <ScenarioName> -Default -Force or or
現在の状態の確認(あるべき状態との比較) • Get-OSConfigDesiredConfiguration –Scenario <ScenarioName>
まとめ • Windows Server 2025 では、PowerShell を使用 してより簡単にセキュリティ ベースラインの適用 ができるようになる見込み • 気になる人は Public Preview を試してみて
参考資料 • セキュリティ ベースライン • Microsoft セキュリティ コンプライアンス ツール キット - 使用方法 • Microsoft Security Compliance Toolkit 1.0 • Windows Server 2025 OS security for IT and security pros • PowerShellGet
- https://learn.microsoft.com/ja-jp/windows/security/operating-system-security/device-management/windows-security-configuration-framework/windows-security-baselines?wt.mc_id=AZ-MVP-5002274
- https://learn.microsoft.com/windows/security/operating-system-security/device-management/windows-security-configuration-framework/security-compliance-toolkit-10?wt.mc_id=AZ-MVP-5002274
- https://www.microsoft.com/en-us/download/details.aspx?id=55319
- https://www.youtube.com/watch?v=rMHma8XS3Eg
- https://learn.microsoft.com/powershell/module/powershellget/?view=powershellget-3.x&wt.mc_id=AZ-MVP-5002274