見出し画像

Microsoft Security Baselineを調べてみた


はじめに


こんにちは、株式会社SHIFT ITソリューション部の田平です。

セキュリティ構成基準を作成するにあたり、Microsoft Security Baselineについて調べてみました。

Microsoft Security Baselineとは?


Microsoftが提供しているセキュリティ機能を設定するためのガイダンス。
Excel、GPOなどの形式で提供されています。

セキュリティ ベースラインは、セキュリティへの影響を説明する Microsoft が推奨する構成設定のグループです。 これらの設定は、Microsoft セキュリティのエンジニアリングチーム、製品グループ、パートナー、および顧客のフィードバックに基づいています。

引用:セキュリティ ベースライン

検証環境


今回は以下の環境で検証を行います。

■Active Directoryサーバ
Windows Server 2022 Standard

Active Directoryの環境構築は今回の範囲外で、事前に設定してある前提です。

事前準備


Security Baselineを使うためには、Microsoft Security Compliance Toolkitを使ってActive DirectoryにGPOをインポートするか、OSに直接適用します。

Microsoft Security Compliance Toolkit 1.0 から必要なファイルをダウンロードします。

Downloadボタンをクリックすると表示される一覧で必要なファイルにチェックします。

今回はWindows Server 2022、Windows 11、Edgeについて、試しますので以下のファイルをダウンロードします。

  • LGPO.zip

  • Windows Server 2022 Security Baseline.zip

  • Windows 11 v23H2 Security Baseline.zip

  • Microsoft Edge v117 Security Baseline.zip

※Edgeについては随時に更新されているようなので、2024/4/28時点のバージョンです。

LGPO.zip にはGPOのインポートで必要になる実行ファイル、Security Baseline.zip には以下のようなフォルダ構成で対象のGPO等が含まれています。

  • Documentation
    Release Notesや設定値をまとめたExcelファイルなどが保存

  • GP Reports
    GPOの設定を出力したHTMLファイルが保存

  • GPOs
    バックアップされたGPOが保存

  • Scripts
    GPOインポート用のPoweShellスクリプトが保存

  • Templates
    ADMXが保存
    ※Edgeには含まていません。

ダウンロードしたファイルを展開し、各Security Baseline.zipを展開した先のToolsフォルダにLGPO.exeを保存します。

Windows Server-2022-Security-Baseline-FINAL\Scripts\Tools\LGPO.exe  
Windows 11 v23H2 Security Baseline\Scripts\Tools\LGPO.exe
Microsoft Edge v117 Security Baseline\Scripts\Tools\LGPO.exe

各Security Baseline.zipを展開した先のScriptsフォルダに保存されているPowerShellスクリプトを実行することでグループポリシーがインポートされます。

  • Baseline-ADImport.ps1
    ADのグループポリシーにインポートする場合に利用

  • Baseline-LocalInstall.ps1
    実行するOSに適用する場合に利用
    このスクリプト実行時はOSの種類(ドメインコントローラーかメンバーサーバか等)によって、以下のように実行時のオプションが必要
    -Win11DomainJoined : ドメイン参加済みのWindows11向け
    -Win11NonDomainJoined : ドメイン未参加のWindows11向け
    -WSMember : ドメイン参加済みのメンバーサーバ向け
    -WSNonDomainJoined : ドメイン未参加のサーバ向け
    -WSDomainController : ドメインコントローラー向け
    ※Edgeではオプションは不要

  • Remove-EPBaselineSettings.ps1
    以前のExploit Protectionの設定に問題があったようで、その設定を削除するスクリプト
    ※EdgeのBaseline.zipには含まれていない。

今回はADのグループポリシーにインポートするため、PowerShellを管理者で起動し、Baseline-ADImport.ps1を実行しますが、PowerShellスクリプトを実行する前に、Set-Execution PolicyでPowerShellの権限を上げるか、実行スクリプトに許可設定を行ってください。

許可するスクリプトは各Security Baselineの以下のファイルになります。

\ScriptsBaseline-ADImport.ps1
\ScriptsTools\MapGuidsToGpoNames.ps1


実行許可の設定が終わったら、各SecurityBaselineのBaseline-ADImport.ps1を実行します

Windows Server-2022-Security-Baseline-FINAL\Scripts\Baseline-ADImport.ps1  
Windows 11 v23H2 Security Baseline\Scripts\Baseline-ADImport.ps1  
Microsoft Edge v117 Security Baseline\Scripts\Baseline-ADImport.ps1

インポートされた設定


各BaselineのPowershellスクリプトを実行すると、以下のGPOがインポートされます。(2024/04/28時点)

■Windows Server 2022 Security Baseline

■Windows 11 v23H2 Security Baseline

■MSFT Edge Version 117 - Computer

※Windows Server 2022標準ではEdgeのポリシー定義(ADMX)が入っていないため、設定内容を確認するにはセントラルストアを構成するなどして、Edgeのポリシー定義(ADMX)を登録してください。

グループポリシーの適用


GPOを適用するOUにリンクを設定していきます。 検証環境では各OUに以下のように設定してみました。 リンクは上から順に優先度高く設定しています。

  • ad.example.internal(※検証環境のドメイン名)
    MSFT Windows Server 2022 - Domain Security
    MSFT Edge Version 117 - Computer
    MSFT Windows 11 23H2 - User
    MSFT Internet Explorer 11 - Computer
    MSFT Internet Explorer 11 - User
    Default Domain Policy

  • Domain Controllers
    MSFT Windows Server 2022 - Domain Security
    MSFT Windows Server 2022 - Defender Antivirus

  • Servers
    MSFT Windows Server 2022 - Member Server
    MSFT Windows Server 2022 - Defender Antivirus

  • Clients
    MSFT Windows 11 23H2 - Computer
    MSFT Windows 11 23H2 - Defender Antivirus

※画像では以前テストしたLAPSのGPOが設定されています。

適用後はドメインコントローラーでEdgeが起動できないようになるなど、運用上少し不便な部分はあるものの、おおむね問題なく使えています。

運用上、Seciruty Baselineの設定で問題がある場合は、Security BaselineのGPOを直接編集せずに新たなGPOを作成し、適用時に設定を上書きすることがおすすめです。

参考情報


セキュリティ ベースライン

Microsoft セキュリティ コンプライアンス ツールキット - 使用方法


執筆者プロフィール:田平 隆馬
インフラSEとして約20年のキャリアを経て、2023年11月にSHIFT入社。
得意領域はActive DirectoryやLDAPなどの認証システム。

\この公式ブロガーの他の記事を読む/

お問合せはお気軽に
https://service.shiftinc.jp/contact/

SHIFTについて(コーポレートサイト)
https://www.shiftinc.jp/

SHIFTのサービスについて(サービスサイト)
https://service.shiftinc.jp/

SHIFTの導入事例
https://service.shiftinc.jp/case/

お役立ち資料はこちら
https://service.shiftinc.jp/resources/

SHIFTの採用情報はこちら
https://recruit.shiftinc.jp/career/

PHOTO:UnsplashFlyD