・整合性のチェック
・レベル1セキュリティ構成(Windows Server 2016)
整合性のチェック設定 †
ここでは、Windows の標準機能を使ったシステムファイルの整合性のチェックについて説明します。Windows には DISM.EXE と SFC.EXE の二つのチェックツールがあります。初めにこの二つのツールの特徴を把握します。
DISM.EXE Deployment Image Servicing and Management †
DISM.EXE は、Windows のイメージを使用してデプロイメントや修復を行うツールです。
通常、Windows は Windows Update によって更新されているため、①オンラインの Windows Update からイメージを取得し修復する、②それが不可能な場合は、ISOのイメージを使用して修復を実行します。
SFC.EXE System File Checker †
SFC.EXE はシステムファイルの整合性をチェックし、破損ファイルを検出し、自己修復可能な場合は破損を修復します。しかし、イメージを使用しての修復はできません。その場合は、DISM.EXE を使用します。
整合性チェックの戦術 †
整合性をチェックするには、毎週1回、SFC.EXE をタスクスケジューラから起動し、ログを取得します。しかし、サーバーのシステムファイルに破損がないことを先に確認する必要があります。そこで、タスクスケジューラを設定する前に、DISM.EXE で完全な修復を実施します。完全な修復ができた上で、SFC.EXE を使った監査を実施します。
最初の DISM.EXE による完全な修復 †
オンラインモードでの修復 †
次のコマンドを管理者モードで実行します。
C:\Windows\system32>dism /online /cleanup-image /restorehealth 展開イメージのサービスと管理ツール バージョン: 10.0.xxxxx.xxxx イメージのバージョン: 10.0.xxxxx.xxxx [==========================100.0%==========================] 復元操作は正常に完了しました。 操作は正常に完了しました。 C:\Windows\system32>
ログは C:\Windows\Logs\DISM\dism.log に残ります。 「ソースファイルが見つかりません」 と表示されたら、オフラインモードでの修復に進みます。
オフラインモードでの修復 †
次のコマンドを管理者モードで実行します。
以下の例はISOイメージをDドライブにマウントし、Dドライブ直下の sfc\sources ディレクトリを指定しています。
C:\Windows\system32>DISM.exe /Online /Cleanup-Image /RestoreHealth /Source:D:\sources /LimitAccess 展開イメージのサービスと管理ツール バージョン: 10.0.xxxxx.xxxx イメージのバージョン: 10.0.xxxxx.xxxx [==========================100.0%==========================] 復元操作は正常に完了しました。 操作は正常に完了しました。 C:\Windows\system32>
ログは C:\Windows\Logs\DISM\dism.log に残ります。
SFC.EXE による1回目のスキャン †
DISM.EXEでの修復が完了した時点で、SFC.EXE を実行します。
C:\Windows\system32>sfc /scannow システム スキャンを開始しています。これにはしばらく時間がかかります。 システム スキャンの検証フェーズを開始しています。 検証 100% が完了しました。 Windows リソース保護は、整合性違反を検出しませんでした。 C:\Windows\system32>
もし、エラーがでるようでしたら、再度、DISM.EXEを実行し、その後、SFC.EXEでエラーがなくなるまで繰り返します。
SFC.EXE による定期診断 †
SFC.EXE をタスクスケジューラに登録し、標準出力をテキストファイルに書き出します。