Windows Server
 Computer >> コンピューター >  >> システム >> Windows Server

Microsoftセキュリティベースラインを使用したWindowsの強化

Microsoftセキュリティベースライン 安全な構成を提供し、ドメインコントローラー、サーバー、コンピューター、およびユーザーを保護するために、MicrosoftがWindowsワークステーションおよびサーバーに対して推奨する設定が含まれています。 Microsoftは、セキュリティベースラインに基づいて参照グループポリシーオブジェクトとテンプレートを開発しました。管理者は、ADドメインにそれらを適用できます。 Microsoft Security Baseline GPOのセキュリティ設定により、管理者は最新のグローバルセキュリティのベストプラクティスに従ってWindowsインフラストラクチャを保護できます。この記事では、ドメインにMicrosoft SecurityBaselineGPOを実装する方法を示します。

参照MicrosoftSecurityBaselineグループポリシーは、 Microsoft Security Compliance Manager(SCM)の一部です。 。 SCMは、Windowsおよびその他のMicrosoft製品のベストプラクティスと現在のセキュリティ推奨事項を分析、テスト、および適用するための複数のツールを含む無料の製品です。

Microsoft Security Compliance Toolkitは、次のリンクから入手できます:https://www.microsoft.com/en-us/download/details.aspx?id=55319。現在、次の製品のベースラインがセキュリティコンプライアンスツールキットで利用できます。

Microsoftセキュリティベースラインを使用したWindowsの強化

  • Windows10バージョン20H2およびWindowsServerバージョン20H2
  • Windows10バージョン2004およびWindowsServerバージョン2004
  • Windows10バージョン1909およびWindowsServerバージョン1909
  • Windows10バージョン1903およびWindowsServerバージョン1903
  • Windows10バージョン1809およびWindowsServer 2019
  • Windows10バージョン1607およびWindowsServer 2016
  • Microsoft Edge v88
  • Office365 ProPlus
  • Windows Server 2012 R2

次のツールをダウンロードすることもできます:

  • LGPO ローカルGPO設定を管理するために使用されます;
  • PolicyAnalyzer は、既存のグループポリシーを分析し、それらをセキュリティベースラインの参照ポリシーと比較するためのツールです。
  • SetObjectSecurity

各Windowsバージョンのセキュリティベースラインアーカイブには、いくつかのフォルダが含まれています。

  • ドキュメント セキュリティベースラインで適用された設定の詳細な説明を含むXLSXおよびPDFファイルが含まれています。
  • GPレポート 適用するGPO設定を含むHTMLレポートがあります。
  • GPO –さまざまなシナリオのGPOオブジェクトが含まれています。ポリシーをグループポリシー管理(GPMC)コンソールにインポートできます;
  • スクリプト GPO設定をドメインまたはローカルポリシーに簡単にインポートするためのPowerShellスクリプトが含まれています:Baseline-ADImport.ps1Baseline-LocalInstall.ps1Remove-EPBaselineSettings.ps1MapGuidsToGpoNames.ps1
  • テンプレート –追加のADMX / ADML GPOテンプレート(たとえば、AdmPwd.admx LAPS、MSS-legacy.admxのローカルパスワード管理設定が含まれています 、SecGuide.admx

Microsoftセキュリティベースラインを使用したWindowsの強化

Active Directoryドメイン環境では、GPOを使用してセキュリティベースラインを実装する方が簡単です(ワークグループでは、LGPO.exeツールを使用してローカルグループポリシーから推奨されるセキュリティ設定を適用できます)。

さまざまなWindowsインフラストラクチャ要素用のGPOセキュリティベースラインテンプレートがあります。コンピューター、ユーザー、ドメインサーバー、ドメインコントローラー(仮想DCには別のポリシーがあります)のポリシー、およびInternet Explorer、BitLocker、資格情報ガード、WindowsDefenderウイルス対策設定です。さまざまなシナリオ用に構成されたグループポリシーは、GPOフォルダーにあります(WindowsServer2019およびWindows101909のGPOのリストは以下で確認できます):

  • MSFT Internet Explorer 11 —コンピューター
  • MSFT Internet Explorer 11 —ユーザー
  • MSFT Windows 10 1909 — BitLocker
  • MSFT Windows 10 1909 —コンピューター
  • MSFT Windows 10 1909 —ユーザー
  • MSFT Windows101909およびServer1909— Defender Antivirus
  • MSFT Windows101909およびServer1909—ドメインセキュリティ
  • MSFT Windows 101909およびServer1909メンバーサーバー—資格情報ガード
  • MSFT Windows Server 1909 —ドメインコントローラー仮想化ベースのセキュリティ
  • MSFT Windows Server 1909 —ドメインコントローラー
  • MSFT Windows Server 1909 —メンバーサーバー
WindowsServerのバージョンまたはWindows10ビルドごとに個別のセキュリティベースラインが設定されていることに注意してください。

Windowsのバージョンと一致するセキュリティベースラインのバージョンでアーカイブを抽出し、グループポリシー管理(gpmc.msc)を開きます )コンソール。

  1. ADMXテンプレートをDCのSYSVOLPolicyDefinitionsフォルダー(GPOセントラルストア)にコピーします。 Microsoftセキュリティベースラインを使用したWindowsの強化
  2. Windows102004セキュリティベースラインという名前で新しいGPOを作成します;
  3. GPOを右クリックして、[設定のインポート]を選択します; Microsoftセキュリティベースラインを使用したWindowsの強化
  4. バックアップの場所としてWindowsバージョンのセキュリティベースラインファイルへのパスを指定します(たとえば、C:\Tools\SCM\Windows 10 Version 2004 and Windows Server Version 2004 Security Baseline\Windows-10-Windows Server-v2004-Security-Baseline-FINAL\GPOs ); Microsoftセキュリティベースラインを使用したWindowsの強化
  5. ポリシーテンプレートのリストが表示されます。この例では、コンピューター設定を使用してポリシーをインポートします。 MSFT Windows 10 2004 –コンピューターを選択します (表示設定を使用 ボタンをクリックすると、ポリシー設定をgpresultレポートの形式で表示できます。 Microsoftセキュリティベースラインを使用したWindowsの強化
  6. 次に、参照リンクをセキュリティオブジェクトとUNCパスに移行する方法を選択するように求められます。ポリシーは新しいため、ソースから同じようにコピーするを選択します; Microsoftセキュリティベースラインを使用したWindowsの強化
  7. 次に、Windows102004を実行しているコンピューターの参照セキュリティベースラインポリシー設定がGPOにインポートされます。 Microsoftセキュリティベースラインを使用したWindowsの強化

グループポリシーオブジェクトを特定のWindowsビルドを実行しているコンピューターにのみ適用するには、GPOWMIフィルターを使用します。たとえば、Windows 10 2004の場合、次のWMIフィルターを使用できます。

Select Version,ProductType from Win32_OperatingSystem WHERE Version LIKE "10.0.19041%" and ProductType = "1"

ポリシーにフィルターを適用し、ポリシーを必要な組織単位にリンクします。

Microsoftセキュリティベースラインを使用したWindowsの強化

同様に、ユーザー、ドメインコントローラー、ドメインメンバーサーバーなどのセキュリティベースラインをインポートできます。

セキュリティベースラインをユーザーのコンピューターに適用する前に、推奨される設定を十分に確認し、最初にテストユーザーまたはコンピューターを使用してそれらをOUに適用します。必要に応じて、セキュリティベースラインによって提案されたいくつかの設定を無効にすることができます。テストコンピューターでセキュリティベースライン設定を正常にテストした後でのみ、ドメイン内のすべてのコンピューター/サーバーに適用できます。

セキュリティベースラインには、数十または数百もの設定が含まれています。それらを1つの記事で説明することはできません。 woshub.comの他の記事で取り上げたセキュリティ設定について考えてみましょう:

  • プログラムの開始ルールとインストールルールの管理:AppLocker(ソフトウェア制限ポリシー)、UAC、およびWindowsインストーラー
  • ドメインパスワードとアカウントロックアウトポリシー
  • 特権アカウントの制限
  • 匿名アクセスの制限
  • ポリシー設定を監査して、すべてのイベントとユーザーログオン履歴に関する情報を取得します
  • LSAメモリ保護
  • 周辺機器へのアクセス(プリンターとUSBのインストールポリシーを含む)
  • NetBIOSおよびNTLMプロトコルの無効化
  • リモートアシスタンス、シャドウ接続、RDSタイムアウト、CredSSPOracle修復の設定
  • PowerShell実行ポリシー
  • Windowsエラー報告の構成
  • Windowsファイアウォールルールの管理
  • WinRM設定
  • 組み込みの管理者アカウントを無効にする
  • 強化されたUNCパスポリシー
  • SMBv1の無効化
Windows 10を実行している自宅のコンピューターを保護する場合は、準備が整ったPowerShellスクリプトを使用してセキュリティベースライン設定を適用できます。

署名されていないスクリプトの実行を許可する:

Set-ExecutionPolicy -Scope Process Unrestricted
ポリシーを適用します:
Baseline-LocalInstall.ps1 -Win10NonDomainJoined

Microsoftのセキュリティベースライン設定は、Windowsインフラストラクチャのセキュリティを強化し、企業ネットワーク上のすべてのコンピューター(新しいコンピューターを含む)に同じ設定が確実に適用されるようにするのに役立ちます。


  1. Microsoft Edge を使用して Windows 10 に PWA をインストールする方法

    プログレッシブ Web アプリ (略して PWA とも呼ばれます) は、HTML、CSS、および Javascript を使用して構築されたアプリケーション ソフトウェアの一種です。 PWA はあらゆるプラットフォームで動作し、プッシュ通知、オフラインでの作業機能、デバイス ハードウェア アクセスなど、通常のアプリとほぼ同じ機能を備えています。 Web ラッパーとは異なり、PWA は通常のアプリケーションと同様のユーザー エクスペリエンスを作成します。また、開発者やユーザーがアプリ ストアを使用して PWA をインストールする必要もありません。 以前、OnMSFT は Disney+ を P

  2. Windows セキュリティを使用してフォルダーの脅威をスキャンする方法

    Windows セキュリティは、Windows 10 内に組み込みのセキュリティ保護を提供します。通常は、バックグラウンドで独自のデバイスに任せるのが最善ですが、時々セキュリティのスキャンを手動で呼び出したい場合があります。 特定のフォルダーの内容をスキャンする最も簡単な方法は、ファイル エクスプローラーでディレクトリを見つけることです。右クリックして、コンテキスト メニューから [Microsoft Defender でスキャン...] オプションを選択するだけです。 Windows 10 のバージョンが異なると、Microsoft Defender の代わりに Windows Defen