Windows Server 2022 with PS 第10章

2025.01.30

第10章: セキュリティ強化とコンプライアンスの自動化

1. この章で解説する主要な技術・概念(箇条書き)

  1. Windows Server 2022のセキュリティ機能とベストプラクティス
    • Secured-core server、Core Isolation、Credential Guardなど
    • ファイアウォールやネットワークレベルの対策再確認
  2. PowerShellによるセキュリティ設定の自動化
    • ローカルセキュリティポリシーとグループポリシーの併用
    • ACL(アクセス制御リスト)の管理、ファイル・フォルダの権限設定
  3. ユーザー認証の強化(多要素認証、パスワードポリシーなど)
    • ドメインポリシーのパスワード要件、アカウントロックアウトしきい値
    • Multi-Factor Authentication (MFA) とオンプレAD連携
  4. 権限昇格とACL管理
    • UAC(User Account Control)対策とスクリプト運用
    • ファイルサーバーにおける権限設定のベストプラクティス
  5. 高度な監査ログの活用とコンプライアンスチェック
    • イベントログ、監査ポリシー、監査ログの強化設定
    • システム整合性チェックやSIEM(Security Information and Event Management)との連携
  6. コンプライアンスチェックスクリプトの作成と実行
    • PowerShellでWindowsの設定をスキャンし、PCI DSSやISO 27001などの要件を満たすか確認
    • レポート生成と監査対応

2. Windows Server 2022のセキュリティ機能とベストプラクティス

2-1. Secured-core serverとCore Isolation

  • Secured-core server
    • 信頼されたファームウェアとドライバのみを実行し、悪意あるブートキットなどを防ぐ概念。
    • ハードウェアベースのセキュリティ(TPM 2.0、Secure Boot、DMA保護など)をフル活用し、カーネルレベルの攻撃を軽減する。
  • Core Isolation
    • カーネルや重要プロセスを仮想化ベースで隔離する機能。
    • 例: Credential GuardがLSASSの資格情報を隔離して窃取を困難にする。

2-2. ネットワークレベルのセキュリティ再確認

  • Windows FirewallIPSecで通信を暗号化し、内部の不正アクセスを防ぐ方法が推奨される。
  • TLS 1.3対応: Windows Server 2022はTLS 1.3をネイティブサポートし、HTTPSやRDPなどで最新の暗号化を用いる。
  • Server Core運用: GUI部分が少ないためセキュリティリスクが低減されるが、リモート管理を確実に設定する必要がある。

3. PowerShellによるセキュリティ設定の自動化

3-1. ローカルセキュリティポリシーとグループポリシー

  • ローカルセキュリティポリシーは1台ごとの設定だが、Active Directory環境ではGPOを活用し、ドメイン全体で一貫性を持たせるのが基本。
  • PowerShellでのローカルポリシー編集は直接的なCmdletは存在しないが、セキュリティテンプレート(secedit.exe)やレジストリ操作、もしくはグループポリシーからの制御を行う方法がある。

3-2. ACL管理と権限設定の自動化

# 例: C:\SecureData フォルダに特定グループへ読み取り専用権限を付与
$acl = Get-Acl "C:\SecureData"
$permission = "EXAMPLE\DomainUsers","Read","ContainerInherit,ObjectInherit","None","Allow"
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule($permission)
$acl.AddAccessRule($rule)
Set-Acl "C:\SecureData" $acl
  • 大量のフォルダに対して同様の操作をスクリプトでループさせれば、フォルダ構成の権限を一括で更新可能。
  • icacls コマンドによるスクリプトバッチ処理もあるが、PowerShellならオブジェクト指向的にACLを扱いやすい。

4. ユーザー認証の強化(多要素認証、パスワードポリシーなど)

4-1. パスワードポリシーとアカウントロックアウトの設定

  1. ドメインレベルでパスワードの最短長、複雑性要件、最大有効期限などを定義。
  2. アカウントロックアウトしきい値(連続して何回ログオンに失敗したらロックするか)をDefault Domain Policyや専用GPOで設定。
# 例: Net accounts コマンドでローカルまたはドメインポリシーを確認
net accounts

# グループポリシー的には "Default Domain Policy" を編集 or
# Set-GPRegistryValue -Name "SecurityPolicy" ... などで制御
  • パスワードポリシーの詳細変更はドメインコントローラーのGPO(Default Domain Policy)経由が基本。

4-2. 多要素認証(MFA)とオンプレAD連携

  • MFAをオンプレADで実装するには、AD FS (Active Directory Federation Services) やサードパーティのRADIUSサーバーなどが必要なケースが多い。
  • Azure ADとハイブリッド連携し、クラウドMFAをオンプレADユーザーにも適用する例もある(Azure AD Connect + AD FS)。
  • PowerShellスクリプト自体にはMFAを適用できないが、ユーザーがMFA認証済みであるトークンをもとにコマンドを実行する仕組みを構築可能。

5. 権限昇格とACL管理

5-1. UAC(User Account Control)対策

  • UACは管理者権限を行使するときにプロンプトを出す仕組み。
  • PowerShellスクリプトを管理者権限で実行しないと、一部のセキュリティ操作(サービス停止、ACL変更など)が失敗する。
  • スクリプト冒頭で権限をチェックし、管理者権限でない場合に再起動するサンプルコードもある。
if (![System.Security.Principal.WindowsPrincipal]([System.Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([System.Security.Principal.WindowsBuiltInRole] "Administrator")) {
    Write-Host "Please run as Administrator."
    exit
}

5-2. ファイルサーバーでの詳細権限設計

  • 通常、部署別フォルダに対してセキュリティグループModify権限を付与し、個別ユーザーには直接権限を与えない。
  • PowerShellによりフォルダ階層を自動生成し、ACLを設定するスクリプトを構築すれば、サーバー増設時やフォルダ再編時の統一感を保てる。
  • 監査ログ(Object Access Audit)を有効にし、機密フォルダへのアクセスを詳細記録する運用も可能。

6. 高度な監査ログの活用とコンプライアンスチェック

6-1. 監査ポリシーの詳細設定

  • 監査ポリシー(Audit Policy)はGPOの一部として構成され、以下のカテゴリを「成功/失敗」単位で細かく設定可能:
    • アカウントログオン, アカウント管理, ディレクトリサービスアクセス, オブジェクトアクセス, 特権使用 など。
  • ログが肥大化するため、イベントログのサイズ上限上書きポリシーを適切に設定しておく。

6-2. SIEM等へのログ転送や高度な分析

  • 大規模企業や厳格なセキュリティ要件では、WindowsイベントログをリアルタイムにSIEM(Splunk, QRadar, ArcSightなど)へ転送し、相関分析や集中管理を実施。
  • PowerShellスクリプトでイベントID特定→JSON化→API投稿 など自作連携も可能だが、既製のAgentやConnectorが用意されている場合が多い。

6-3. コンプライアンスチェックスクリプト

<#
.SYNOPSIS
  システム構成をチェックし、PCI DSSやISO 27001の一部要件を満たしているか検証サンプル

.DESCRIPTION
  例として、パスワード複雑性や最短長、Auditing設定を確認し、レポートを出力
#>

# Check password policy
$netAccounts = net accounts
if ($netAccounts -match "Minimum password length.*: (\d+)") {
    $minLength = [int]$matches[1]
    if ($minLength -lt 8) {
        Write-Host "Fail: Minimum password length < 8"
    }
}

# Check Audit Policy
$auditing = auditpol /get /category:"Account Management"
# Analyze the output and build compliance results
# ...
  • こうしたスクリプトでレジストリ値グループポリシーの実効設定を検証し、合否レポートを生成すると監査対応が簡略化される。

7. コンプライアンスチェックスクリプトの作成と実行

7-1. レポート出力と運用方法

  • 監査担当者が定期的に .\ComplianceCheck.ps1 を実行し、HTMLやCSV形式で出力された結果を保管。
  • Diffを取って前回との差分を把握することで、いつ誰がセキュリティ設定を変更したかを早期発見する。
  • タスクスケジューラと組み合わせれば自動実行→レポートをメールのフローを実装可能。

7-2. スクリプトリポジトリとPull Request運用

  • コンプライアンスチェックを含むセキュリティスクリプトは複数管理者が共同で編集するケースがある。
  • GitリポジトリでPull Requestベースの運用を行い、変更の承認やレビューを受ける体制にすれば、セキュリティルールの混乱を最小化できる。

8. 章末まとめと次章へのつながり

8-1. 学習のまとめ

  • Windows Server 2022のセキュリティ機能(Secured-core、Core Isolationなど)と、ネットワーク・ファイルシステムレベルの強化策を踏まえ、OSレベルからハードウェアまで連携した保護が重要であると理解した。
  • PowerShellを用いたセキュリティ設定の自動化として、ローカルセキュリティポリシーACL(アクセス制御リスト)の操作例を確認し、ドメイン環境ではGPOと併用するのが最適。
  • ユーザー認証の強化(パスワードポリシー、MFA連携)や権限昇格の制御(UAC、ACL管理)など実務的なポイントを学習し、組織全体のアカウント管理をセキュアにする必要性を再認識。
  • 高度な監査ログ(Audit Policy強化、Securityログ分析)やSIEM連携によって、セキュリティ侵害の早期発見やコンプライアンス遵守が実現できると理解した。
  • コンプライアンスチェック用スクリプトを通じて、OS構成がPCI DSSやISO 27001などの要件を満たしているかを自動評価し、監査レポートを生成する方法が効果的であると分かった。

8-2. 次章へのつながり

  • 次章(第11章)では、Windows Serverの機能の有効化と無効化に進みます。
  • セキュリティ観点で不要な機能をアンインストールし、攻撃対象を減らす「最小構成」の概念が重要となる。
  • ここまで学習したユーザー/グループ管理グループポリシーネットワーク設定セキュリティポリシーを統合し、サーバーが担う役割に応じて必要な機能だけをインストールする運用が理想的です。
  • Install-WindowsFeature / Uninstall-WindowsFeatureなどのPowerShellコマンドを使って、ロールや機能を管理する方法を次章で詳しく解説し、さらにセキュリティレベルを高める運用設計を学んでいきましょう。