「BOM for Windows Ver.8.0 SR1」(以下、BOM)の「カスタム監視」を使用すると、BOM標準の監視設定にはない、独自の監視を行えます。監視対象のサーバーが、最新のサーバーOSである「Windows Server 2025」にアップグレードされることを想定した、監視例を紹介します。
インプレースアップグレードが非推奨機能を引き継いでしまうリスクをBOMで把握する
Windows ServerやWindowsでは、OSの新しいバージョンのリリースのタイミング、ITを取り巻く状況の変化(セキュリティ問題など)に応じて、特定の機能が非推奨(開発終了)になったり、機能が既定でインストールされなくなったり、削除されたりします。例えば、TLS 1.0/1.1はWindows Server 2022のときに非推奨となり、Windows Server 2025では既定で無効になりました。IIS 6管理コンソールはWindows Server 2019のときに非推奨になり、Windows Server 2025から削除されました。WMICコマンドは、Windows 10バージョン21H1のときに非推奨になり、Windows 11バージョン24H2およびWindows Server 2025では既定でプレインストールされなくなりました。
Windows Server 2025で削除または非推奨になった機能の一覧は以下のサイトで確認することができます。
Features removed or no longer developed in Windows Server|Windows Server(Microsoft Learn)
非推奨となり、新規インストールではプレインストールされなくなった機能であっても、アップグレードインストール(インプレースアップグレード)の場合、その機能が引き継がれ、引き続き利用可能な状態になっている場合があります。アップグレードを繰り返してきた場合、古くからの設定が引き継がれ、もう使用していない機能が有効なまま残っているということもあるでしょう。そのような状況はセキュリティ低下のリスクを増加させます。BOMを使用して、非推奨になった機能の状態を監視できれば、将来の機能削除に備えて漏れなく対応を開始できるはずです。
次に示す7つのPowerShellサンプルスクリプトは、Windows Server 2025で非推奨とされている、TLS 1.0/1.1 のサポート状態、サーバーの機能「SMB 1.0/CIFSファイル共有のサポート」のインストール状態、オプション機能「VBScript」のインストール状態、オプション機能「WMIC」のインストール状態、サーバーの役割「Windows Server Update Services(WSUS)」のインストール状態、サーバーの機能「Windows Internal Base(WID)」のインストール状態、および「Windows PowerShell 2.0エンジン」*1のインストール状態を監視するためのものです。いずれも、無効化または未インストール状態であれば「0」を、有効化またはインストール済みである場合は「1」または1以上を返します。BOMの「カスタム監視」で「powershell.exe」の引数としてスクリプトのパスを指定すれば、これらの状況を定期的にしきい値監視できます(画面1、画面2)。
*1 2025年3月13日にスクリプト「checklecagyfeature_pshv2.ps1」を追加しました。PowerShell 2.0エンジンは当初、削除された機能とされていましたが、実際にはWindows Server 2025では削除されておらず、その後、非推奨の機能の一覧に移動されました。
画面1 各監視用スクリプトごとに「カスタム監視」を作成し、「powershell.exe」の引数としてスクリプトのパスを設定する
画面2 Windows Server 2022からインプレースアップグレードしたWindows Server 2025の監視結果。WMICコマンドが引き続き利用可能になっており、TLS 1.0/1.1も意図的に有効化されているのが一目で分かる
[checklecagyfeature_tls1.ps1](プレーンテキストで表示)
$regPath = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols"
$tlsVersions = @("TLS 1.0", "TLS 1.1")
foreach ($tls in $tlsVersions) {
$clientKey = Join-Path -Path $regPath -ChildPath "$tls\Client"
$serverKey = Join-Path -Path $regPath -ChildPath "$tls\Server"
$clientEnabled = Get-ItemProperty -Path $clientKey -ErrorAction SilentlyContinue | Select-Object -ExpandProperty "Enabled" -ErrorAction SilentlyContinue
$serverEnabled = Get-ItemProperty -Path $serverKey -ErrorAction SilentlyContinue | Select-Object -ExpandProperty "Enabled" -ErrorAction SilentlyContinue
if ($clientEnabled -ne $null -and $clientEnabled -eq 1) {
$ret++
}
if ($serverEnabled -ne $null -and $serverEnabled -eq 1) {
$ret++
}
}
return $ret
[checklecagyfeature_smb1.ps1](プレーンテキストで表示)
If ((Get-WindowsFeature -Name FS-SMB1).Installed) {
return 1
} else { #False
return 0
}
[checklecagyfeature_vbs.ps1](プレーンテキストで表示)
If ((Get-WindowsCapability -Online -Name VBScript).State -eq "NotPresent") {
return 0
} else { #Installed
return 1
}
[checklecagyfeature_wmic.ps1](プレーンテキストで表示)
If ((Get-WindowsCapability -Online -Name WMIC).State -eq "NotPresent") {
return 0
} else { #Installed
return 1
}
[checklecagyfeature_wsus.ps1](プレーンテキストで表示)
If ((Get-WindowsFeature -Name UpdateServices).InstallState -eq "Available"){
return 0
} else { #Installed
return 1
}
[checklecagyfeature_wid.ps1](プレーンテキストで表示)
If ((Get-WindowsFeature -Name Windows-Internal-Database).InstallState -eq "Available"){
return 0
} else { #Installed
return 1
}
しきい値の設定例: 注意 1以上、危険 2以上(注意喚起のみ)
[checklecagyfeature_pshv2.ps1](プレーンテキストで表示)*1
If ((Get-WindowsCapability -Online -Name PowerShell-V2).State -eq "NotPresent") {
return 0
} else { #Installed
return 1
}
しきい値の設定例: 注意 1以上、危険 2以上(注意喚起のみ)
Windows Server 2025の非推奨機能についての補足
TLS 1.0/1.1の監視用スクリプトは0~4の値を返します。Windows Server 2025ではTLS 1.0/1.1は既定で無効になていますが、レジストリを編集することで2つのプロトコル(TLS 1.0とTLS 1.1)、サーバーとクライアント(ServerとClient)の組み合わせで有効化することができます。TLS 1.0/1.1が有効になっている場合は、無効にすることを強く推奨します。その方法については、以下のブログを参考にしてください。
SSL/TLS プロトコル バージョンの有効化と無効化|Microsoft Japan Windows Technology Support Blog(Microsoft)
SMB 1.0/CIFS(SMBv1)は、Windows XPやWindows Server 2003 R2以前に標準で使用されていた非常に古いプロトコルであり、プロトコル自身にセキュリティ上の問題があります。現在サポートされているWindowsは、すべてSMB 3.x(SMBv3)に対応しています。Windows 10バージョン1709、およびWindows Server 2019からは、SMBv1が既定でプレインストールされることはなくなりました。アップグレードを繰り返してきたことでSMBv1が有効になっている場合は、残しておく必要がない限り、削除しておくことをお勧めします。機能の削除は、「サーバーの役割と機能の削除」ウィザードや、DISMコマンド、Uninstall-WindowsFeatureコマンドレットで行えます。
VBScriptは非推奨になりましたが、Windows OS自身もまだ利用しています。例えば、ライセンス管理のための「slmgr.vbs」や特定のレジストリを設定する「SecRegEdit.wsf」はVBScriptで記述されています。非推奨になったからといって、VBScriptのサポートを削除する必要はまったくありません。むしろ、VBScriptで記述されたスクリプト(拡張子.vbs、.wsf)が残っていれば、PowerShellスクリプトに移行するなど対応を進めてください。例えば、C:¥ドライブ内に存在するVBScriptのスクリプトファイルを拡張子で再帰的に検索するには、PowerShellで次のように実行します。Windowsディレクトリの下からもスクリプトファイルがいくつか見つかるのを目にするでしょう。
| $extensions = @(".vbs", ".wsf") Get-ChildItem -Path C:\ -Recurse -ErrorAction SilentlyContinue | Where-Object { $extensions -contains $_.Extension } |
WMICは既定でプレインストールされなくなりましたが、アップグレードインストールされたWindows Server 2025では引き続き利用可能です。Get-CimInstanceやGet-WmiObjectコマンドレットに移行するべきです。WMICを削除するには、PowerShellで次のコマンドラインを実行するか、「設定」アプリの「システム|オプション機能」から「WMIC」を削除します。
| Remove-WindowsCapability -Online -Name WMIC~~~~ |
WSUSとWSUSも使用するWID(SQL Serverを使用しない場合)も、Windows Server 2025から非推奨になりました。しかしながら、WSUSは多くの企業や組織にとってオンプレミスの重要な更新インフラストラクチャです。Windows Server 2025でも当面、WSUSおよびWIDを引き続き運用することができ、サポートもされますが、将来に備えて代替のソリューションを検討したほうがよいでしょう。
関連:
Windows Server 2025大特集|かつて山市良と呼ばれたおじさんのブログ
