2025年4月1日から販売がスタートしたBOMの最新サービスリリース「BOM for Windows Ver.8.0 SR2」(以下、BOM 8.0 SR2)は、Windows Server 2025に正式に対応しました。また、標準テンプレートの強化に加え、Windows Server 2025の監視に特化した新たな監視テンプレートも利用可能になりました。新たな監視テンプレートにより、セキュリティ設定の評価や、非推奨機能の状態を確認することができます。
ニュースリリース: BOM for Windows Ver.8.0 SR2 リリースのご案内(2025年4月1日)|Say Technologies
BOM for Windows Ver.8.0 向けテンプレートパッケージ|Say Technologies
標準構成テンプレートのアップデート
現在のWindowsは、個別のセキュリティパッチの提供はほとんどなく、毎月の累積的な品質更新プログラムで最新のOSビルド.リビジョンに更新される仕組みになりました。そのため、どのKB番号の更新プログラムがインストールされているかどうかよりも、最新の、あるいは何年何月の品質更新プログラムがインストールされているかどうかが、セキュリティを維持するために重要です。
そこで、標準構成テンプレートの「システム安定運用-セキュリティテンプレート」に、新しい監視項目「最後の品質更新からの経過日数」を追加しました(画面1)。
画面1 最後に品質更新プログラムがインストールされてから経過した日数を監視する
監視項目「最後の品質更新からの経過日数」は、最後に品質更新プログラムがインストールされてから現在までの経過日数を監視します。この値が30(30日以内)であればOSは最新の状態と判断できます。30日を大きく経過している場合は、インストールされていない品質更新プログラムが存在する可能性を示しています。既定のしきい値は30日以上で注意、90日以上で危険としていますが、しきい値は適宜調整してください。
このテンプレートは、以下の製品コラムの記事の内容をテンプレート化したものです。
最後の更新からの経過日数を監視して「Windows Update監視」を強化する-BOM for Windows活用例|製品コラム
Windows Server 2025専用の監視テンプレートの追加
Windows Serverの特化した監視のために、標準構成テンプレートに「Windows Server 2025監視」テンプレートを追加しました。このテンプレートは、監視対象がWindows Server 2025の場合にのみ利用できます。監視の一部には、Windows Server 2025が備える機能を利用しているものがあり、Windows Server 2022以前の監視を想定していません。
このテンプレートで利用可能になる監視グループ「Windows Server 2025セキュリティチェック」は、Windows Server 2025の新機能「OSConfig」を使用して、Windows Server 2025で利用可能なセキュリティベースラインのコンプライアンス(準拠)状態を数値化(%)して監視するものです。監視設定の既定は「無効」であり、しきい値はあくまでも仮の設定であるため、適宜、調整してください。例えば、Windows Server 2025の既定の設定は、Windows Server 2025のセキュリティベースラインの約30%です(画面2)。
画面2 OSConfigはPowerShellまたは「Windows Admin Center(v2)」を使用してセキュリティベースラインの評価、および適用と維持を行うことができる
監視項目「セキュリティチェック可否チェック」は、OSConfigのPowerShellモジュールのインストール状況を確認し、必要に応じてインストールします。セキュリティベースラインチェックは、コンプライアンス状態の%を監視します。セキュリティチェックリスト出力は、コンプライアンス状態の詳細情報をCSV形式でファイルに出力します(画面3)。そして、「出力リスト送信」は、CSVを添付してメール送信するアクション項目を含みます。通常、PowerShellやWAC(v2)で行うコンプライアンス状態の評価を、BOMのテンプレートで継続的に監視できるというわけです。なお、セキュリティベースラインの適用と維持については、PowerShellまたはWAC(v2)を使用して実施してください。BOMはセキュリティベースラインの適用と維持の実施状態に関係なく、現在のセキュリティ設定をベースラインと比較して評価する目的で使用できます。
画面3 OSConfigによるセキュリティベースラインの評価機能を、BOMのテンプレートが提供。画面3のWAC(v2)と同等の評価結果を示している
なお、WAC(v2)のセキュリティベースライン(WorkgroupMemberServer/DomainController/WorkgroupMember)の準拠している/準拠していないの項目数は、「セキュリティベースラインチェック(Windows Server 2025)」と完全に一致しない場合があります。それは、ユーザー入力が必要な4つの設定項目「MessageTextUserLogon」「MessageTextUserLogonTitle」「RenameAdministratorAccount」「RenameGuestAccount」がWAC(v2)が未設定の場合に項目数から除外されるためです。
OSConfigによるセキュリティベースラインの評価、適用と実施、およびスクリプト化については、かつて山市良と呼ばれたおじさんのブログの以下の記事を参照してください。このテンプレートは、記事内のスクリプトをテンプレート化したものです。
vol.80 CIS対応のセキュリティ態勢を簡単に導入、維持できる新機能「OSConfig」|かつて山市良と呼ばれたおじさんのブログ
メモ. OSConfigのセキュリティベースライン対応状況の確認をスクリプト化する|かつて山市良と呼ばれたおじさんのブログ
メモ. OSConfig対応状況確認スクリプトの改良版(CSV出力)|かつて山市良と呼ばれたおじさんのブログ
標準構成テンプレートに「Windows Server 2025監視」テンプレートを導入すると、管理グループ「非推奨機能の状態チェック」も追加されます。このグループの監視項目は、Windows Server 2025で非推奨(開発終了)となった役割や機能の現在の状態(有効/無効)を監視するものです。非推奨機能が有効になっていると危険と評価しますが、これは既定で有効になっているものも含まれます(VBScript、インプレースアップグレードしたシステムのWMIC)。しきい値は適宜、調整してください(画面4)。
画面4 Windows Server 2025で非推奨になった機能の状態の監視。WMICコマンドは新規インストールでは無効だが、インプレースアップグレードした環境では有効
このテンプレートは、以下の製品コラムの記事の内容をテンプレート化したものです。このテンプレートには含まれていませんが、以下の記事では、Windows PowerShell 2.0エンジンの状態の監視を追加しています。
Windows Server 2025で非推奨になった機能の状態を監視する-BOM for Windows活用例|製品コラム
Hyper-Vサーバーの向け新テンプレート
最後に、Hyper-Vサーバー向けに追加した新しいテンプレート「Hyper-Vインプレースアップグレード後の状態チェック」を紹介します。このテンプレートを使用すると、Hyper-V仮想マシンの構成バージョンが、OSの既定のバージョン(Get-VMHostSupportedVersionの実行結果のIsDefault: Trueのバージョン)にアップグレードされているかどうかを監視できます(画面5)。Windows Serverのバージョンで追加されたHyper-Vの新機能を利用するには、OS既定の仮想マシン構成バージョンにアップグレードする必要があります。仮想マシン構成バージョンは手動でアップグレードする必要があるため、インプレースアップグレード後に必要な残作業を監視する目的で追加しました。このテンプレートは、Windows Server 2025はもちろん、Windows Server 2022以前のHyper-Vサーバーでも利用できます。
画面5 Hyper-V仮想マシンの構成バージョンがOS既定の新バージョンにアップグレードされているかどうかを監視する
このテンプレートは、以下の製品コラムの記事の内容をテンプレート化したものです。
VM構成バージョンを監視してOSのアップグレードに備える-BOM for Windows活用例|製品コラム
関連:
Windows Server 2025大特集|かつて山市良と呼ばれたおじさんのブログ
