Windows Server 2025の新機能「OSConfig」を使用すると、Windows Server 2025向けにMicrosoftが開発したセキュリティベースライン（300以上のセキュリティ設定）を適用し、システムのセキュリティ態勢を望ましい状態に維持することができます。しかし、セキュリティベースラインの適用は、システムやアプリケーションの動作に影響する可能性があります。BOM for Windowsでは、セキュリティベースラインが適用されたリモートのWindows Server 2025の代理監視に影響します。

Windows Server 2025用セキュリティベースラインを一括設定できるOSConfig

　Windows Server 2025の新機能である「OSConfig」を使用すると、PowerShellやWindows Admin Center（v2）を使用して、Microsoft推奨のセキュリティ設定と現在のシステムを比較して評価したり、推奨設定を一括でサーバーに展開、維持することができます。維持とは、OSConfigの「ドリフト制御（Drift Control）」機能のことで、OSConfig以外の方法で変更された設定を定期間隔（既定は4時間）で修正し、望ましい状態に保つ機能です。

　Microsoftは、Windows Server 2025用に300以上のセキュリティ設定を含むセキュリティベースラインを開発、提供しています。このWindows Server 2025のセキュリティベースラインをシステムに適用することで、以下に示す業界標準およびMicrosoftのセキュリティ基準を満たすことができます。

• CIS（Center for Internet Securityベンチマーク
• DISA STIG（Defense Information Systems Agency Security Technical Implementation Guides、国防情報システム局セキュリティ技術実装ガイド）
• FIPS 140（Federal Information Processing Standards、米国国立標準技術研究所《NIST》が定める暗号モジュールのセキュリティ要件）のOS向け要件
• Azure Computeセキュリティベースライン
  
  

　OSConfigについて詳しくは、かつて山市良と呼ばれたおじさんのブログの以下の回をご覧ください。

vol.80　CIS対応のセキュリティ態勢を簡単に導入、維持できる新機能「OSConfig」｜Windows Server 2025大特集（17）
メモ.　Windows Server 2025新機能OSConfig──使いこなしデモ｜セイテク・シス管道場フォローアップ

　Windows Server 2025用セキュリティベースラインを適用することで、システムのセキュリティを大幅に強化することができます。一方で、セキュリティの強化がシステムやアプリケーションに影響する可能性もあります。

　BOM for Windows Ver.8.0 SR2はWindows Server 2025に対応しました。Windows Server 2025用セキュリティベースラインが適用されたシステムでの利用は想定されていませんが、既にBOMを導入済みでローカル監視を行っている環境にWindows Server 2025用セキュリティベースラインを適用したところ、監視が失敗するなどの影響は確認されませんでした（画面1）。また、既にWindows Server 2025用セキュリティベースラインを適用済み（100％）のシステムに、BOMを新規インストールした場合も同様です。ただし、特殊な監視設定が外部コマンド/スクリプトの実行に影響する可能性はあるため、セキュリティベースラインをBOMの運用環境に適用する場合は、十分にテストを実施してください。

画面1　BOMのローカル監視が、Windows Server 2025用セキュリティベースラインの適用で阻害されることはない（コンプライアンスの割合の誤差は、Windows Admin Center（v2）とPowerShellによる結果の項目数の違い^*1と端数処理の影響

*1　Windows Admin Center（v2）による評価と適用では、ユーザー入力値が必要なAMessageTextUserLogon、MessageTextUserLogonTitle、RenameAdministratorAccount 、RenameGuestAccountの4項目が除外されます。

　なお、BOM for Windows Ver.8.0 SR2にはWindows Server 2025に対応したテンプレートが用意されており、PowerShellのコマンドライン操作やWindows Admin Center（v2）を使用しなくても、現在のシステムのベースライン対応状況を監視することができます（上記画面の「Windows Server 2025セキュリティチェック」監視グループによる監視）。

What’s new in BOM 8.0 SR2: #2 Windows Server 2025正式対応と新しい監視テンプレート

代理監視の監視失敗を回避するためのベースラインのカスタマイズ

　BOM for Windowsの代理監視を使用すると、BOMがインストールされていないリモートのサーバーを監視対象にすることができます。監視対象のリモートのサーバーがWindows Server 2025を実行していて、Windows Server 2025用セキュリティベースラインが適用されていると、セキュリティ設定の強化が影響して監視に失敗します（画面2）。

画面2　BOMの代理監視対象のリモートの「WS2025VM01」は、セキュリティベースラインの影響で監視に失敗する

　Windows Server 2025用セキュリティベースラインの影響で代理監視に失敗する状態は、セキュリティベースラインをカスタマイズすることで対処できます。以下は、Active Directoryドメインのメンバーサーバー（MemberServer）の場合の設定です。これらの設定変更により、各設定は「準拠していない（NotCompliant）」状態と報告されますが、ドリフト制御で修正されることはありません。

　ドメインコントローラー（DomainController）またはワークグループサーバー（WorkgroupMember）の場合は、「ApplyUACRestrictionsToLocalAccountsOnNetworkLogon」設定がベースラインに含まれないため、レジストリを直接変更します（画面3）なお、OSConfigによるベースラインの設定変更はドリフト制御で修正されることはありませんが、コンプライアンスのステータスは「準拠していない（NotCompliant）」と報告されます（画面4）。

画面3　BOM代理監視を可能にするためのWindows Server 2025用セキュリティベースラインのカスタマイズとUACリモート制限の無効化

画面4　セキュリティベースラインの設定変更で代理監視が成功するように。変更した設定のコンプライアンスのステータスが「準拠していない」と報告されるのは正常な動作

　ベースラインの設定「AllowUIAccessApplicationsToPromptForElevation」「BehaviorOfTheElevationPromptForAdministrators」「SharingAndSecurityModelForLocalAccounts」は、グループポリシーやローカルコンピューターポリシーの以下のセキュリティオプション（Windowsの設定￥セキュリティの設定￥ローカル ポリシー￥セキュリティ オプション）に相当するものです。

• ユーザーアカウント制御: UIAccess アプリケーションで、セキュリティで保護されたデスクトップを使用せずに昇格のプロンプトを表示できるようにする｜有効
• ユーザーアカウント制御: 管理者承認モードでの管理者に対する昇格時のプロンプトの動作｜確認を要求しないで昇格する
• ネットワーク アクセス: ローカル アカウントの共有とセキュリティ モデル｜クラシック

　最後の「ApplyUACRestrictionsToLocalAccountsOnNetworkLogon」は、UACリモート制限の無効化です。詳しくは、以下のドキュメントを参照してください。

ユーザーアカウント制御とリモート制限｜Windows Server（Microsoft Learn）

　なお、Windows Server 2025用セキュリティベースラインが適用されていない環境では、代理監視チェックツールを使用して監視に必要な設定を確認することができます。上記のベースラインのカスタマイズは、代理監視で正常に監視ができている環境に、Windows Server 2025用セキュリティベースラインを導入する場合の追加設定になります。セキュリティベースラインの適用後に代理監視インスタンスを作成する場合、OSConfig以外の設定変更がドリフト制御機能で修正されてしまい、問題の切り分けが難しくなるの可能性があります。

What’s new in BOM 8.0 SR1: #2 代理監視チェックツール