OSConfig セキュリティ ベースラインをローカルに展開する

• 適用対象:

  ✅ Windows Server 2025

OSConfig は、シナリオベースのアプローチを使用して、環境に必要なセキュリティ対策を提供して適用するセキュリティ構成スタックです。 オンプレミスデバイスと Azure Arc 接続デバイスの両方に対して共同管理サポートを提供します。 Windows PowerShell または Windows Admin Center を使用すると、最初の展開プロセスから開始して、デバイスのライフ サイクル全体にわたってセキュリティ ベースラインを適用できます。

セキュリティ ベースラインのハイライトの一部では、次の適用が提供されます。

• セキュリティで保護されたコア: UEFI MAT、セキュア ブート、署名付きブート チェーン
• プロトコル: TLS 適用 1.2 以降、SMB 3.0 以降、Kerberos AES
• 資格情報保護: LSASS/PPL
• アカウントとパスワードのポリシー
• セキュリティ ポリシーとセキュリティ オプション

セキュリティ ベースラインの設定の完全な一覧は、 GitHub で取得できます。

評価ガイダンス

大規模な操作の場合は、Azure Policy と Azure Automanage Machine Configuration を使用して、コンプライアンス スコアを監視して確認します。

重要

セキュリティ ベースラインを適用すると、システムのセキュリティ設定が既定の動作と共に変更されます。 運用環境でこれらの変更を適用する前に、慎重にテストしてください。

メンバー サーバーと Workroup メンバーシナリオのセキュリティ ベースラインを適用した後、ローカル管理者のパスワードを変更するように求められます。

ベースラインが適用された後の、より顕著な変更の一覧を次に示します。

• ローカル管理者のパスワードを変更する必要があります。 新しいパスワード ポリシーは、複雑さの要件と 14 文字の最小長を満たす必要があります。 これはローカル ユーザー アカウントにのみ適用されます。ドメイン アカウントを使用してサインインすると、ドメイン アカウントのドメイン要件が優先されます。

• TLS 接続には TLS/DTLS 1.2 以上が必要であり、古いシステムへの接続が妨げになる可能性があります。

• RDP セッションからファイルをコピーして貼り付ける機能は無効になっています。 この関数を使用する必要がある場合は、次のコマンドを実行し、デバイスを再起動します。

  Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/<ServerRoleBeingApplied> -Name RemoteDesktopServicesDoNotAllowDriveRedirection -Value 0
  

• 接続には SMB 3.0 以上が適用されます。 Linux SAMBA などの Windows 以外のシステムに接続するには、SMB 3.0 をサポートする必要があります。または、ベースラインの調整が必要です。

• 現在、2 つの異なる方法 (1 つは OSConfig) を使用して同じ設定を構成している場合、競合が予想されます。 特にドリフト制御が関係する場合は、ソース間で設定が絶えず変化しないように、パラメーターが異なる場合はソースの 1 つを削除する必要があります。

• 特定のドメイン構成で SID 変換エラーが発生する可能性があります。 セキュリティ ベースライン定義の残りの部分には影響しないため、無視できます。

前提条件

デバイスで Windows Server 2025 が実行されていることを確認します。 OSConfig では、以前のバージョンの Windows Server はサポートされていません。

OSConfig PowerShell モジュールをインストールします。

初めてセキュリティ ベースラインを適用する前に、管理者特権の PowerShell ウィンドウを使用して OSConfig モジュールをインストールする必要があります。

1. Startを選択し、「PowerShell」と入力Windows PowerShellにカーソルを合わせ、管理者として実行選択。

2. 次のコマンドを実行し、OSConfig モジュールをインストールします。

   Install-Module -Name Microsoft.OSConfig -Scope AllUsers -Repository PSGallery -Force
   

   NuGet プロバイダーをインストールまたは更新するように求められた場合は、 Yes を選択します。

3. OSConfig モジュールがインストールされていることを確認するには、次のコマンドを実行します。

   Get-Module -ListAvailable -Name Microsoft.OSConfig
   

OSConfig セキュリティ ベースラインの管理

デバイスの Windows Server の役割に基づいて、適切なセキュリティ ベースラインを適用します。

• ドメイン コントローラー (DC)
• メンバー サーバー
• ワークグループ メンバー

ベースライン エクスペリエンスは OSConfig を利用します。 適用すると、セキュリティ ベースラインの設定は、セキュリティ プラットフォームの主要な機能の 1 つであるドリフトから自動的に保護されます。

Note

Azure Arc に接続されたデバイスの場合は、接続の前または後にセキュリティ ベースラインを適用できます。 ただし、接続後にサーバーの役割が変更された場合は、割り当てを削除して再適用して、マシン構成プラットフォームがロールの変更を検出できることを確認する必要があります。 割り当ての削除の詳細については、「 Azure Policy からのゲスト割り当ての削除」を参照してください。

ベースラインを適用するには、ベースラインが適用されていることを確認したり、ベースラインを削除したり、PowerShell で OSConfig の詳細なコンプライアンス情報を表示したりするには、次のタブのコマンドを使用します。

構成

ドメイン参加済みデバイスのベースラインを適用するには、次のコマンドを実行します。

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Default

ワークグループ内のデバイスのベースラインを適用するには、次のコマンドを実行します。

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember -Default

DC として構成されているデバイスのベースラインを適用するには、次のコマンドを実行します。

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController -Default

デバイスのセキュリティで保護されたコア ベースラインを適用するには、次のコマンドを実行します。

Set-OSConfigDesiredConfiguration -Scenario SecuredCore -Default

デバイスの Microsoft Defender ウイルス対策ベースラインを適用するには、次のコマンドを実行します。

Set-OSConfigDesiredConfiguration -Scenario Defender/Antivirus -Default

確認

ドメイン参加済みデバイスのベースラインが正しく適用されていることを確認するには、次のコマンドを実行します。

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer

ワークグループ内のデバイスのベースラインが適切に適用されていることを確認するには、次のコマンドを実行します。

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember

DC として構成されているデバイスのベースラインが正しく適用されていることを確認するには、次のコマンドを実行します。

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController

デバイスのセキュリティで保護されたコア ベースラインが適切に適用されていることを確認するには、次のコマンドを実行します。

Get-OSConfigDesiredConfiguration -Scenario SecuredCore

デバイスのMicrosoft Defender ウイルス対策ベースラインが適切に適用されていることを確認するには、次のコマンドを実行します。

Get-OSConfigDesiredConfiguration -Scenario Defender/Antivirus

削除

ドメイン参加済みデバイスのベースラインを削除するには、次のコマンドを実行します。

Remove-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer

ワークグループ内のデバイスのベースラインを削除するには、次のコマンドを実行します。

Remove-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember

DC として構成されているデバイスのベースラインを削除するには、次のコマンドを実行します。

Remove-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController

デバイスのセキュリティで保護されたコア ベースラインを削除するには、次のコマンドを実行します。

Remove-OSConfigDesiredConfiguration -Scenario SecuredCore

デバイスの Microsoft Defender ウイルス対策ベースラインを削除するには、次のコマンドを実行します。

Remove-OSConfigDesiredConfiguration -Scenario Defender/Antivirus

コンプライアンスを確認する

指定したシナリオで必要な構成の詳細を取得するには、次のコマンドを使用します。 出力は、構成項目の名前、そのコンプライアンス状態、および非準拠の理由を含むテーブル形式で表示されます。

ドメインに参加しているデバイスのコンプライアンスの詳細を確認するには、次のコマンドを実行します。

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

ワークグループ デバイスのコンプライアンスの詳細を確認するには、次のコマンドを実行します。

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/WorkgroupMember | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

DC ベースラインのコンプライアンスの詳細を確認するには、次のコマンドを実行します。

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/DomainController | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

セキュリティで保護されたコア ベースラインのコンプライアンスの詳細を確認するには、次のコマンドを実行します。

Get-OSConfigDesiredConfiguration -Scenario SecuredCore | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap

Microsoft Defender ウイルス対策ベースラインのコンプライアンスの詳細を確認するには、次のコマンドを実行します。

Get-OSConfigDesiredConfiguration -Scenario Defender/Antivirus | ft Name, @{ Name = "Status"; Expression={$_.Compliance.Status} }, @{ Name = "Reason"; Expression={$_.Compliance.Reason} } -AutoSize -Wrap 

Note

• セキュリティ ベースライン適用または変更を有効にするには再起動が必要です。

• セキュリティ ベースラインを カスタマイズ 場合、変更したセキュリティ機能に応じて、変更を有効にするには再起動が必要です。

• removalプロセス中に、セキュリティ設定が元に戻された場合、これらの設定を管理済みの構成に戻すことはできません。 これは、セキュリティ ベースライン内の特定の設定によって異なります。 この動作は、Microsoft Intune ポリシーが提供する機能と一致します。 詳細については、「Microsoft Intune のセキュリティ ベースライン プロファイルの管理」を参照してください。

OSConfig セキュリティ ベースラインのカスタマイズ

セキュリティ ベースラインの構成を完了したら、ドリフト制御を維持しながらセキュリティ設定を変更できます。 セキュリティ値をカスタマイズすると、環境の特定のニーズに応じて、組織のセキュリティ ポリシーをより細かく制御できます。

AuditDetailedFileShareの既定値をメンバー サーバーの2から3に編集するには、次のコマンドを実行します。

Set-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare -Value 3 

新しい値が適用されていることを確認するには、次のコマンドを実行します。

Get-OSConfigDesiredConfiguration -Scenario SecurityBaseline/WS2025/MemberServer -Setting AuditDetailedFileShare 

Note

カスタマイズするセキュリティ設定に応じて、特定のユーザーによる入力が必要です。 これらの入力は次のとおりです。

• MessageTextUserLogon
• MessageTextUserLogonTitle
• RenameAdministratorAccount
• RenameGuestAccount

必要な入力を入力したら、 Enter キーを選択して続行します。

OSConfig に関するフィードバックを提供する

セキュリティ ベースラインの適用後にブロックされたり、作業の中断が発生したりする場合は、 Feedback Hub を使用してバグを報告します。 フィードバックの送信の詳細については、 Deeper でのフィードバックの確認を参照してください。

フィードバック のタイトルとして、 OSConfig セキュリティ ベースライン をお寄せください。 [ カテゴリを選択、ドロップダウン リストから Windows Server を選択し、セカンダリ ドロップダウン リストから Management を選択し、フィードバックの送信に進みます。

関連するコンテンツ

• OSConfig を使用して App Control for Business を構成する