Windows 2016 OSインストール時にやる事リスト

このへんのサイトを参考にしながら実施しておくべき作業をピックアップ。
WindowsServer2016初期設定でとりあえず実施したOS設定
Rem System Techlog | Windows Server 2016のインストール後にお勧めの設定 12項目

基本設定

1. ホスト名変更
   参考手順：Windows Server 2016でコンピュータ名の変更する手順

2. タイムゾーンの変更

3. Windows Firewall 無効化

ネットワーク関連設定

1. ネットワークの場所を変更（必要に応じて）
   参考手順：Windows Server 2016 ネットワークの場所を変更する

2. ネットワーク共有の詳細オプションの設定

   • パブリックネットワークではネットワーク検索、ファイルとプリンタの共有の両方を無効に

ファイル共有関連設定

1. SMB1.0を無効化

   • 脆弱性のあるSMB1.0を無効化
   • 参考手順：Microsoft | Windows で SMBv1、SMBv2、および SMBv3 を検出、有効化、および無効化する方法

2. NWフォルダ共有の管理共有を無効化

   • セキュリティ強化の為にC$などの管理共有/デフォルト共有を無効化
   • 参考手順：
     
     Microsoft | Windows Server 2008 の管理用共有を削除する方法 　※Windows2016でも手順は同じ
     
     Aboid Erroes | Server 2016 – Disable Windows Default Shared Drives and Folders

自動実行タスク

1. 自動メンテナンスの無効化または実行時刻変更（必要に応じて）

   • 自動メンテナンスはソフトウェアの更新やセキュリティスキャン、システム診断などを毎日（デフォルトでは午前2時に）実行する機能
   • デフォルトで自動実行されるタスクがあるので必要に応じて実行時間の変更または停止する。
   • 実行時刻、スリープ時の動作だけであればコントロールパネルから設定変更が可能
     
     　参考手順：NEC LAVIE公式サイト | Windows 10で自動メンテナンスの設定を変更する方法
     
     　※Windows2016でも手順は同じ
   • 無効化する場合はレジストリエディタでレジストリ値を追加
     
     　参考手順：自動メンテナンス(Auto Maintenance)を無効にする方法～レジストリエディター Windows 10
     
     　※Windows2016でも手順は同じ

2. 自動デフラグの無効化
   　参考手順：WindowsServer2016初期設定でとりあえず実施したOS設定

プライバシー設定

• 無駄に情報を送らないようにサーバ用途でなくても構わないものはオフに
• 下記はWindows10の記事で項目が一部異なるが手順は大体同じなので参考にしつつ設定変更
  • Lifehacker | デフォルトのままは危険？ ｢Windows 10｣のプライバシー設定はこう変えよう
  • Windows10を使い始める前に要チェック！13個のプライバシー設定方法まとめ

##不要サービスの無効化

• 初期状態のサービスの停止可否は下記ページを参考に判断
  
  MicrosoftDocs | デスクトップ エクスペリエンス搭載 Windows Server 2016 上のシステム サービスを無効にする場合のガイダンス
• 具体的な内容は別ページに記載
  
  Windows 2016の不要サービス停止

イベントログ最大サイズの変更

• 各イベントログ（System、Application、Security）の最大サイズはデフォルト20MB
• 必要に応じて最大サイズの変更やアーカイブの設定が可能
• 参考手順： @IT | Windowsのイベントログを自動アーカイブで長期間保存する

その他運用での安全性・利便性を向上させるための設定

1. リモデ関連設定

   • オペミス防止の為にリモデ接続時にシャットダウンボタン・再起動ボタンを非表示に
     
     　参考手順：リモートデスクトップ接続時にシャットダウン、再起動を非表示にする方法
   • リモデで切断したユーザがセッションを掴み続けるのを防ぐために一定時間経過後に強制ログオフ
     
     　参考手順：リモートデスクトップを切断したユーザーをログオフさせる @nakajima_yuji
   • リモデ接続ユーザのパスワード期限経過後にリモデ接続した時にパスワード変更を可能とするためにNLA(ネットワークレベル認証)を無効化。リモデ接続ユーザのパスワードを無期限にしている場合は考慮不要。
     
     　参考手順：
     
     　https://support.microsoft.com/ja-jp/help/2858371
     
     　NLAを完全無効化しRDPセッション確立前に資格情報を要求しないようにする
   • リモデログイン時にパスワード期限切れ警告を出す日数を変更。デフォルトは5日前。
     
     　参考手順：https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/interactive-logon-prompt-user-to-change-password-before-expiration

2. Internet Explorerの設定

   • インターネットオプションでホームページを about:blank に
   • インターネットオプションの詳細タブでTLS1.0、1.1を無効化
   • IEセキュリティ強化の無効化（必要に応じて）
     
     　参考手順：【Windows Server 2016】IEセキュリティ強化を無効にする

3. フォルダオプションの設定

   • [有効] タイトルバーに完全なパスを表示する
   • [選択] 隠しファイル、隠しフォルダー、および隠しドライブを表示する
   • [無効] 登録されている拡張子は表示しない

4. ファイル削除時に確認メッセージを表示

   • デスクトップのごみ箱アイコンを右クリックしてプロパティ->”削除の確認メッセージを表示する”にチェック

5. タスクバー表示設定をカスタマイズ
   　参考手順：https://www.rem-system.com/win2016-11tec/#4

6. ログイン時のサーバーマネージャー自動起動を抑止
   　参考手順：@IT | Windows Serverへのログオン時にサーバーマネージャーを自動起動させないようにする

Windows Update

下記を参考に実施
【さくらVPS】Windows Server 2016 の Windows Update の自動更新を無効化する

1. Windows Update の自動更新を無効化
2. Windows Update の実行

共通ソフトウェアのインストール

システムの要件に応じて共通ソフトウェアをインストール。
ジョブスケジューラのAgent等、インストール時に管理サーバ側で認識/設定が必要になるようなものはテンプレートに入れない。
今回は下記をインストール。

• Java (Open JDK)
  　参考手順：Windows 版 OpenJDK インストール手順 @ryo-sato

• .NET Framework

  • .NET Framework はインストールされているバージョンをプログラム一覧等から確認出来ず、レジストリエディタの値から判断する必要がある。
  • 下記ページでPowerShellを使って簡単に情報を取得する方法が紹介されている。
    
    インストールされている全ての .NET Framework のバージョンを列挙する @asterisk9101