Course 23744-B: Windows Server 2016 のセキュリティ

この 5 日間の講師主導のコースでは、IT プロフェッショナルに、管理する IT インフラストラクチャのセキュリティを強化する方法を説明します。このコースでは、最初に、重要なことはネットワーク侵害がすでに起こっていると想定することであると強調し、続いて、管理者の資格情報と権限を保護し、管理者が必要なときに必要なタスクのみを実行できるようにする方法を説明します。

また、このコースでは、マルウェアの脅威を軽減する方法、Windows Server 2016 の監査と Advanced Threat Analysis 機能を使用してセキュリティの問題を特定する方法、Nano Server、コンテナーなどの新しい展開オプションを使用してセキュリティを強化する方法を詳しく説明します。暗号化とダイナミック アクセス制御を使用してファイル アクセスを保護する方法、およびネットワークのセキュリティを強化する方法についても説明します。

Audience profile

このコースは、Windows Server 2016 ネットワークのセキュリティを管理する必要がある IT プロフェッショナルを対象とします。主に、インターネットとクラウド サービスへの管理されたアクセスを備え、ドメイン ベースの Windows Server 環境として構成されたネットワークを操作するプロフェッショナルの方々です。

MCP 試験「70-744: Securing Windows Server 2016」の資格を取得したいと考えている方にもこのコースは役立ちます。

Job role: Developer

Skills gained

  • Windows Server を保護することができます。
  • アプリケーション開発およびサーバー ワークロード インフラストラクチャを保護することができます。
  • セキュリティ ベースラインを管理することができます。

Prerequisites

このコースの受講者は、次の前提条件を満たす必要があります。

  • コース 23740、23741、および 23742 を修了、または同等のものを修了している。
  • TCP/IP、ユーザー データグラム プロトコル (UDP)、ドメイン ネーム システム (DNS) などのネットワークの基礎について、実務でしっかりと理解している。
  • Active Directory ドメイン サービス (AD DS) の原則を実務でしっかりと理解している。
  • Microsoft Hyper-V 仮想化の基礎を実務でしっかりと理解している。
  • Windows Server のセキュリティ プリンシパルを理解している。

Course outline

セクション 1: 攻撃と侵害の検出と Sysinternals ツール

この章では、侵害の検出、攻撃の種類とベクトル、サイバー犯罪について、および Sysinternals ツール スイートを使用してシステムのアクティビティを分析する方法を説明します。

レッスン

  • 攻撃の理解
  • セキュリティ侵害の検出
  • Sysinternals ツールによるアクティビティの検証

ラボ : 攻撃の種類の特定

  • Sysinternals ツールの確認

この章により、次のことを習得できます。

  • 起こり得る攻撃の種類を説明することができます。
  • セキュリティの侵害を検出する方法を説明することができます。
  • Sysinternals Suite のツールを使用して、アクティビティを検証する方法を説明することができます。

セクション 2: 資格情報の保護と特権アクセス

この章では、ユーザー権利とセキュリティ オプションの構成方法、Credential Guard を使用して資格情報を保護する方法、Privileged Access Workstation の実装方法、ローカル管理者アカウントのパスワードを管理するための Local Administrator Password Solution の管理と展開の方法について説明します。

レッスン

  • ユーザー権利の理解
  • コンピューター アカウントおよびサービス アカウント
  • 資格情報の保護
  • Privileged Access Workstation とジャンプ サーバー
  • Local Administrator Password Solution

ラボ : ユーザーの権利、セキュリティ オプション、およびグループ管理サービス アカウントの実装

  • ユーザー権利とアカウント セキュリティ オプションの構成
  • 特権の委任
  • グループ管理サービス アカウントの作成
  • 問題のあるアカウントの特定

ラボ : LAPS の構成と展開

  • LAPS のインストールと構成

  • LAPS の展開とテスト

  • ユーザー権利を構成することができます。

  • コンピューター アカウントとサービス アカウントを実装することができます。

  • 資格情報を保護することができます。

  • Privileged Access Workstation とジャンプ サーバーの構成方法を説明することができます。

  • Local Administrator Password Solution (LAPS) を構成することができます。

セクション 3: Just Enough Administration による管理者権限の制限

この章では、Just Enough Administration (JEA) 機能を展開し、構成する方法を説明します。

レッスン

  • JEA の理解
  • JEA の検証と展開

ラボ : JEA による管理者権限の制限

  • 役割機能ファイルの作成
  • セッション構成ファイルの作成
  • JEA エンドポイントの作成
  • JEA エンドポイントの接続とテスト
  • 別のコンピューターへの JEA 構成の展開

この章により、次のことを習得できます。

  • JEA を理解することができます。
  • JEA を検証して展開することができます。

セクション 4: 特権アクセス管理と管理フォレスト

この章では、Enhanced Security Administrative Environment (ESAE) フォレスト、Microsoft Identity Manager (MIM)、および Just-In-Time (JIT) 管理 (特権アクセス管理とも呼ばれる) の概念を説明します。

レッスン

  • ESAE フォレスト
  • Microsoft Identity Manager の概要
  • JIT 管理と PAM の概要

ラボ : PAM による管理者権限の制限

  • セキュリティへの階層化アプローチ
  • 信頼関係とシャドウ プリンシパルの構成
  • 特権アクセスの要求
  • PAM ロールの管理

この章により、次のことを習得できます。

  • ESAE フォレストを説明することができます。
  • MIM を説明することができます。
  • JIT 管理と PAM を理解することができます。

セクション 5: マルウェアおよび脅威の軽減

この章では、Windows Defender、AppLocker、および Device Guard 機能の構成方法を説明します。

レッスン

  • Windows Defender の構成と管理
  • ソフトウェアの制限
  • Device Guard 機能の構成と使用
  • EMET の展開と使用

ラボ : AppLocker、Windows Defender、Device Guard 規則、および EMET によるアプリケーションのセキュリティ保護

  • Windows Defender の構成
  • AppLocker の構成
  • Device Guard の構成
  • EMET の展開と使用

この章により、次のことを習得できます。

  • Windows Defender を構成して管理することができます。
  • ソフトウェアの制限のポリシーおよび AppLocker を使用することができます。
  • Device Guard を構成して使用することができます。
  • EMET を展開して使用することができます。

セクション 6: 詳細な監査とログ分析によるアクティビティの分析

この章では、詳細な監査と Windows PowerShell トランスクリプトの使用方法を説明します。

レッスン

  • 監査の概要
  • 詳細な監査
  • Windows PowerShell の監査とログ

ラボ : 詳細な監査の構成

  • ファイル システム アクセスの監査の構成
  • ドメイン サインインの監査
  • 監査ポリシーの詳細な構成の管理
  • Windows PowerShell のログ記録と監査

この章により、次のことを習得できます。

  • 監査を説明することができます。
  • 詳細な監査を理解することができます。
  • Windows PowerShell の監査とログを構成することができます。

セクション 7: Microsoft Advanced Threat Analytics と Microsoft Operations Management Suite の展開と構成

この章では、Microsoft Advanced Threat Analytics ツールと Microsoft Operations Management Suite (OMS) について説明し、これらを使用して Windows Server 展開のセキュリティを監視し、分析する方法を詳しく説明します。

レッスン

  • ATA の展開と構成
  • Microsoft Operations Management Suite の準備および展開

ラボ : ATA と Microsoft Operations Management Suite の展開

  • ATA の準備と展開
  • Microsoft Operations Management Suite の準備および展開

この章により、次のことを習得できます。

  • ATA を展開して、構成することができます。
  • Microsoft Operations Management Suite を展開して、構成することができます。

セクション 8: 仮想化インフラストラクチャのセキュリティ保護

この章では、シールドされた VM と暗号化サポート VM を含め、保護されたファブリックの仮想マシン (VM) の構成方法を説明します。

レッスン

  • 保護されたファブリック
  • シールドされた仮想マシンおよび暗号化サポート仮想マシン

ラボ : 管理者が信頼する構成証明およびシールドされた VM により保護されたファブリック

  • 管理者が信頼する構成証明により保護されたファブリックの展開
  • シールドされた VM の展開
  • 保護されたファブリックを構成することができます。
  • シールドされた VM および暗号化サポート VM を説明することができます。

この章により、次のことを習得できます。

  • 保護されたファブリックを構成することができます。
  • シールドされた VM および暗号化サポート VM を説明することができます。

セクション 9: アプリケーション開発およびサーバー ワークロード インフラストラクチャのセキュリティ保護

この章では、Security Compliance Manager を使用してベースラインを構成、管理、および展開する方法を含め、Security Compliance Manager について説明します。また、Nano Server、Hyper-V コンテナー、および Windows Server コンテナーの展開と構成の方法も説明します。

レッスン

  • SCM の使用
  • Nano Server の紹介
  • コンテナーの理解

ラボ : SCM の使用

  • Windows Server 2016 のセキュリティ ベースラインの構成
  • Windows Server 2016 のセキュリティ ベースラインの展開

ラボ : Nano Server の展開と構成

  • Nano Server の展開と管理とセキュリティ
  • Hyper-V コンテナーの展開と管理

この章により、次のことを習得できます。

  • SCM をインストールして、セキュリティ ベースラインを作成および展開することができます。
  • Windows Server 2016 の Nano Server を展開することができます。
  • Windows Server 2016 で Windows Server コンテナーと Hyper-V コンテナーを構成することができます。

セクション 10: データの保護と計画

この章では、暗号化ファイル システム (EFS) と BitLocker ドライブ暗号化を構成して、格納されているデータを保護する方法を説明します。

レッスン

  • 暗号化と暗号化されたファイルへのアクセスの回復
  • BitLocker によるデータの保護

ラボ : 暗号化と BitLocker によるデータの保護

  • 暗号化と暗号化されたファイルへのアクセスの回復
  • BitLocker によるデータの保護

この章により、次のことを習得できます。

  • 暗号化を計画して、実装することができます。
  • BitLocker を計画して、実装することができます。

セクション 11: ファイル サービスの最適化およびセキュリティ保護

この章では、ファイル サーバー リソース マネージャー (FSRM) を構成して、ファイル サービスを最適化する方法を説明します。暗号化や BitLocker を使用して、デバイスのデータを保護する方法を説明します。また、ダイナミック アクセス制御を構成して、共有ファイルへのアクセスを管理する方法も説明します。

レッスン

  • ファイル サーバー リソース マネージャー
  • 分類およびファイル管理タスクの実装
  • ダイナミック アクセス制御

ラボ : クォータとファイル スクリーン処理

  • ファイル サーバー リソース マネージャーのクォータの構成
  • ファイル スクリーンと記憶域レポートの構成

ラボ : ダイナミック アクセス制御の実装

  • ダイナミック アクセス制御の実装の準備
  • ダイナミック アクセス制御の実装
  • ダイナミック アクセス制御の検証と修復

この章により、次のことを習得できます。

  • FSRM を説明することができます。
  • 分類およびファイル管理タスクを実装することができます。
  • ダイナミック アクセス制御を実装することができます。

セクション 12: ファイアウォールと暗号化によるネットワーク トラフィックのセキュリティ保護

この章では、Windows Server のファイアウォールについて説明します。IPsec を使用してネットワーク トラフィックを保護する方法も説明します。

レッスン

  • ネットワーク関連のセキュリティの脅威の理解
  • セキュリティが強化された Windows ファイアウォールの理解
  • IPsec の構成
  • データセンター ファイアウォール

ラボ : セキュリティが強化された Windows ファイアウォールの構成

  • 受信の規則の作成とテスト
  • 送信の規則の作成とテスト
  • 接続セキュリティの規則の作成とテスト

この章により、次のことを習得できます。

  • ネットワーク関連のセキュリティの脅威とその軽減方法を説明することができます。
  • セキュリティが強化された Windows ファイアウォールを構成することができます。
  • IPsec を構成することができます。
  • データセンター ファイアウォールを説明することができます。

セクション 13: ネットワーク トラフィックのセキュリティ保護

この章では、ネットワーク トラフィックを保護する方法、および Microsoft Message Analyzer、サーバー メッセージ ブロック (SMB) 暗号化、ドメイン ネーム システム セキュリティ拡張機能 (DNSSEC) の使用方法を説明します。

レッスン

  • 高度な DNS 設定の構成
  • Message Analyzer によるネットワーク トラフィックの検査
  • SMB トラフィックのセキュリティ保護と分析

ラボ : DNS のセキュリティ保護

  • DNSSEC の構成とテスト
  • DNS ポリシーと RRL の構成

ラボ : Microsoft Message Analyzer と SMB 暗号化

  • Message Analyzer のインストールと使用
  • SMB 共有での SMB 暗号化の構成と確認

この章により、次のことを習得できます。

  • 高度な DNS 設定を構成することができます。
  • Message Analyzer を使用することができます。
  • SMB トラフィックをセキュリティで保護することができます。

セクション 14: Windows Server の更新

この章では、Windows Server Update Services (WSUS) を使用して、Windows Server とクライアントに更新プログラムを展開する方法を説明します。

レッスン

  • WSUS の概要
  • WSUS による更新プログラムの展開

ラボ : 更新管理の実装

  • WSUS サーバーの役割の実装
  • 更新プログラムの設定の構成

この章により、次のことを習得できます。

  • WSUS の役割を説明することができます。
  • WSUS 更新管理プロセスを説明することができます。