コース 20744-C: Securing Windows Server 2016

この 5 日間のインストラクタ指導のコースでは、 IT 専門家が管理する IT インフラストラクチャのセキュリティを強化する方法を学びます。本コースでは、ネットワーク侵害がすでに発生していると仮定することの重要性を強調することから始まり、管理者が必要なときに必要なタスクのみを実行できるように管理者の資格情報と権利を保護する方法を教えます。

本コースでは、 Windows Server 2016 の監査機能と高度な脅威分析機能を使用して、セキュリティの問題を特定する方法について説明します。また、マルウェアの脅威を軽減し、仮想化プラットフォームを保護し、 Nano サーバーやコンテナなどの導入オプションを使用して、セキュリティを強化する方法についても学びます。また、暗号化と動的アクセス制御を使用してファイルへのアクセスを保護する方法、およびネットワークのセキュリティを強化する方法についても解説します。

聴衆プロファイル

本コースは、 Windows Server 2016 ネットワークを安全に管理する必要のある IT 専門家を対象としています。これらの専門家は、通常、インターネットやクラウドサービスへのアクセスを管理された Windows Server ドメインベースの環境として構成されたネットワークで作業を行います。

70-744 Windows サーバーのセキュリティを確保する、という試験の認定を求める受講者は、本コースの恩恵を受けることができます。

職務: 管理者

習得したスキル

  • Windows Server のセキュリティ確保
  • 資格情報を保護し、特権アクセスワークステーションを実装する。
  • Just Enough Administration で管理者権限を制限する。

前提条件

受講者は IT 分野で 2 年以上の経験を持ち、 以下の条件を満たしている方です。

  • コース 740、 741、 742、または同等のコースを修了していること。
  • TCP/IP、ユーザーデータグラムプロトコル(UDP)、ドメインネームシステム(DNS)など、ネットワークの基礎をしっかりと理解し、実践的な知識を身につけていること。
  • Active Directory Domain Services (AD DS) の原則をしっかりと理解し、実践的に理解していること。
  • Microsoft Hyper-V 仮想化の基礎をしっかりと理解し、実践的に理解していること。
  • Windows Server のセキュリティ原則を理解していること。

コースのアウトライン

モジュール 1: 攻撃、違反検出、および Sysinternals

本モジュールでは、インフラストラクチャの基盤が Microsoft 製品である環境でのセキュリティについて受講者が考えるように、コースを構成しています。本モジュールでは、受講者に「違反を想定する」という一般理論を教え、攻撃のタイムラインやベクトルなど、起こりうるさまざまなタイプの攻撃を理解してもらうことから始めます。さらに、受講者は、主要なリソース、インシデントを検出したときにどのように対応するか、組織の直接のニーズと立法要件がどのようにセキュリティポリシーを決定するかについて考えるようになります。

レッスン

  • 攻撃の理解
  • セキュリティ違反の検出
  • Sysinternals ツールによるアクティビティの調査

ラボ: 基本的な違反検出およびインシデント対応戦略

  • 攻撃者の種類の特定
  • Sysinternals ツールの探索

本モジュールを終了すると、受講者は以下のことができるようになります:

  • 起こりうる攻撃の種類を説明する。
  • セキュリティ違反の検出方法について説明する。
  • Sysinternals suite のツールを使用してアクティビティを調べる方法を説明する。

モジュール 2: 資格情報と特権アクセスの保護

本モジュールでは、ユーザーのアカウントと権限、コンピュータとサービスアカウント、資格情報、特権アクセスワークステーション、およびローカル管理者パスワードソリューションについて説明します。本モジュールでは、ユーザー権限とセキュリティオプションの設定、 Credential Guard を使用したクレデンシャルの保護、特権アクセスワークステーションの実装、ローカル管理者パスワードソリューションの管理と展開について学びます。

レッスン

  • ユーザー権限についての理解
  • コンピュータおよびサービスアカウント
  • 資格情報の保護
  • 特権アクセスワークステーションとジャンプサーバー
  • ローカル管理者のパスワードソリューション

ラボ: ユーザー権限、セキュリティオプション、およびグループ管理サービスアカウントの実装

  • ユーザー権限とアカウントセキュリティオプションの設定
  • 権限の委任
  • グループ管理サービスアカウントの作成
  • 問題のあるアカウントの検索

ラボ: LAP の設定と配置

  • LAP のインストールと設定
  • LAP の導入とテスト

本モジュールを終了すると、受講者は以下のことができるようになります:

  • ユーザー権限を設定する。
  • コンピュータおよびサービスアカウントを実装する。
  • 資格情報を保護する。
  • 特権アクセスワークステーションおよびジャンプサーバーの設定方法を説明する。
  • ローカル管理者パスワードソリューション (LAPS) を設定する。

モジュール 3: Just Enough Administration による管理者権限の制限

本モジュールでは、 受講者が Windows PowerShell リモートセッションを介してロールベースのアクセス制御 (RBAC) の原則を適用できるようにする管理技術である Just Enough Administration (JEA) の展開と設定方法について説明します。

レッスン

  • JEA の理解
  • JEA の検証と展開

ラボ: JEA による管理者権限の制限

  • ロール機能ファイルの作成
  • セッション構成ファイルの作成
  • JEA エンドポイントの作成
  • JEA エンドポイントの接続とテスト
  • 別のコンピュータへの JEA 設定の導入

本モジュールを終了すると、受講者は以下のことができるようになります:

  • JEA を理解する。
  • JEA を検証し、展開する。

モジュール 4: 特権アクセス管理と管理フォレスト

本モジュールでは、拡張セキュリティ管理環境 (ESAE) フォレスト、 Microsoft Identity Manager (MIM)、Just In Time (JIT) 管理、または特権アクセス管理 (PAM)の概念について説明します。

レッスン

  • ESAE フォレスト
  • Microsoft Identity 管理者の概要
  • JIT 管理と PAM の概要

ラボ: PAM による管理者権限の制限

  • セキュリティへの階層型アプローチ
  • 信頼関係とシャドウプリンシパルのの設定
  • 特権アクセスのリクエスト
  • PAM ロールの管理

本モジュールを終了すると、受講者は以下のことができるようになります:

  • ESAE フォレストについて説明する。
  • MIM について説明する。
  • JIT 管理と PAM を理解する。

モジュール 5: マルウェアと脅威の軽減

本モジュールでは、 Windows Defender、 Windows AppLocker、 Microsoft Device Guard、 Windows Defender Application Guard、Windows Defender Exploit Guard などのツールの使用方法を説明します。

レッスン

  • Windows Defender の設定と管理
  • ソフトウェアの制限
  • デバイスガード機能の設定と使用

ラボ: Windows Defender、 AppLocker、およびデバイスガード規則によるアプリケーションのセキュリティ保護

  • Windows Defender の設定
  • AppLocker の設定
  • デバイスガード の設定

本モジュールを終了すると、受講者は以下のことができるようになります:

  • Windows Defender を設定し、管理する。
  • ソフトウェア制限ポリシーと AppLocker を使用する。
  • デバイスガード機能を設定し、使用する。

モジュール 6: 高度な監査とログ分析によるアクティビティの分析

本モジュールでは、監査について概説した後、高度な監査および Windows PowerShell 監査とロギングの設定方法について詳しく説明します。

レッスン

  • 監査の概要
  • 高度な監査
  • Windows PowerShell の監査とロギング

ラボ: 高度な監査の設定

  • ファイルシステムアクセスの監査の設定
  • ドメインサインインの監査
  • 高度な監査ポリシー設定の管理
  • Windows PowerShell のロギングと監査

本モジュールを終了すると、受講者は以下のことができるようになります:

  • 監査について説明する。
  • 高度な監査を理解する。
  • Windows PowerShell の監査とロギングを設定する。

モジュール 7: Advanced Threat Analytics および Microsoft Operations Management Suite の導入と設定

本モジュールでは、 Microsoft Advanced Threat Analytics ツールと Microsoft Operations Management Suite (OMS) について説明します。また、Windows Server 導入のセキュリティの監視と分析にどのように使用できるかについても説明します。また、オンプレミスとクラウドの両方のワークロードのセキュリティ構成を管理・監視できる Microsoft Azure Security Center についても学びます。

レッスン

  • ATA の導入と設定
  • Microsoft Operations Management Suite の導入と設定
  • Azure Security Center の導入と設定

ラボ: ATA、Microsoft Operations Management Suite、および Azure Security Center の導入

  • ATA の準備と導入
  • Microsoft Operations Management Suite の準備と導入
  • Azure Security Center の導入と設定

本モジュールを終了すると、受講者は以下のことができるようになります:

  • ATA を導入して設定する。
  • Microsoft Operations Management Suite を導入して設定する。
  • Azure Security Center を導入して設定する。

モジュール 8: セキュアな仮想化インフラストラクチャ

本モジュールでは、Guarded Fabric VM の構成方法を説明し、シールド付き VM と暗号化サポート付き VM の要件も含めて説明します。

レッスン

  • ガード付きファブリック
  • シールドおよび暗号化対応の仮想マシン

ラボ: 管理者に信頼された認証とシールドされた VM を備えたガード付きファブリック

  • 管理者に信頼された認証によるガード付きファブリックの展開
  • シールド VM の展開

本モジュールを終了すると、受講者は以下のことができるようになります:

  • ガード付きファブリックを構成する。
  • シールドおよび暗号化対応の VM について説明する。

モジュール 9: アプリケーション開発およびサーバー ワークロード インフラストラクチャのセキュリティ保護

本モジュールでは、 セキュリティ設定の作成と適用に使用できるツールセットを無料でダウンロードできる SCT について説明します。また、ワークロードをコンテナ化することで、アプリケーションおよびコンピュートリソースのサイズと範囲を縮小することで、プラットフォームのセキュリティを向上させる方法についても学びます。

レッスン

  • SCT の使用
  • コンテナについての理解

ラボ: SCT の使用

  • Windows Server 2016 のセキュリティベースラインの設定
  • Windows Server 2016 のセキュリティベースラインの導入

ラボ: コンテナの導入と設定

  • Windows コンテナの導入と管理

本モジュールを終了すると、受講者は以下のことができるようになります:

  • SCT をインストールし、セキュリティベースラインを作成して展開する。
  • Windows Server 2016 で Windows コンテナと Hyper-V コンテナを構成する。

モジュール 10: データの計画と開発

本モジュールでは、ファイルシステム (EFS) の暗号化と BitLocker ドライブの暗号化を設定して、静止時のデータを保護する方法を説明します。また、 Azure Information Protection を使用してクラウドに保護を拡張する方法についても学びます。

レッスン

  • 暗号の計画と実装
  • BitLocker の計画と実装
  • Azure 情報保護を使用したデータの保護

ラボ: 暗号化と BitLocker の使用によるデータの保護

  • 暗号化されたファイルへのアクセスの暗号化とアクセス回復
  • BitLocker を使用したデータの保護

本モジュールを終了すると、受講者は以下のことができるようになります:

  • 暗号を計画して実装する。
  • BitLocker を計画して実装する。
  • Azure Information Protection を計画して実装する。

モジュール 11: ファイルサービスの最適化とセキュリティ保護

本モジュールでは、ファイルサーバーリソースマネージャ (FSRM) と分散ファイルシステム (DFS) を構成することによってファイルサービスを最適化する方法について説明します。受講者はまた、ダイナミックアクセスコントロール (DAC) を設定して共有ファイルへのアクセスを管理する方法についても学びます。

レッスン

  • ファイルサーバーリソースマネージャ
  • 分類・ファイル管理業務の実施
  • ダイナミックアクセスコントロール

ラボ: クォータとファイル審査

  • ファイルサーバーリソースマネージャのクォータの設定
  • ファイルのスクリーニングと保存レポートの設定

ラボ: ダイナミックアクセスコントロールの実装

  • ダイナミックアクセスコントロールを実装するための準備
  • ダイナミックアクセスコントロールの実装
  • ダイナミックアクセスコントロールの検証と修正

本モジュールを終了すると、受講者は以下のことができるようになります:

  • ファイルサーバーリソースマネージャについて説明する。
  • 分類・ファイル管理業務を実施する。
  • ダイナミックアクセスコントロールを実装する。

モジュール 12: ファイアウォールと暗号化を使用したネットワークトラフィックの保護

本モジュールでは、組織の保護戦略の重要部分としての Windows ファイアウォールを使用する方法について説明します。インターネットプロトコルセキュリティ (IPsec)を使用してネットワークトラフィックを暗号化し、ネットワーク上にセキュリティゾーンを確立する方法を説明します。また、受講者は、オンプレミスの仮想環境を保護するために使用できるデータセンター(DataCenter)ファイアウォール機能についても学びます。

レッスン

  • ネットワーク関連のセキュリティ脅威の理解
  • 高度なセキュリティを備えた Windows ファイアウォールの理解
  • IPsec の設定
  • データセンター(DataCenter)ファイアウォール

ラボ: 高度なセキュリティを備えた Windows ファイアウォールを構成する

  • インバウンドルールの作成とテスト
  • アウトバウンドルールの作成とテスト
  • 接続セキュリティルールの作成とテスト

本モジュールを終了すると、受講者は以下のことができるようになります:

  • ネットワーク関連のセキュリティ脅威とその軽減方法について説明する。
  • 高度なセキュリティを備えた Windows ファイアウォールを構成する。
  • IPsec を設定する。
  • データセンター(DataCenter)ファイアウォールについて説明する。

モジュール 13: ネットワークトラフィックの確保

本モジュールでは、ネットワークセキュリティの脅威を軽減するために使用できる Windows Server 2016 テクノロジーの一部について説明します。ネットワークトラフィックを保護するためにDNSSECを設定し、Microsoft Message Analyzerを使用してネットワークトラフィックを監視する方法について説明します。本モジュールでは、 Server Message Block (SMB)トラフィックを保護する方法についても説明します。

レッスン

  • 高度な DNS 設定の構成
  • Message Analyzer を使用したネットワークトラフィックの調査
  • SMB トラフィックの保護と分析

ラボ: DNS のセキュリティ保護

  • DNSSEC の設定とテスト
  • DNS ポリシーと RRL の設定

ラボ: Microsoft Message Analyzer および SMB 暗号化

  • Message Analyzer のインストールと使用
  • SMB 共有での SMB 暗号化の設定と検証

本モジュールを終了すると、受講者は以下のことができるようになります:

  • 高度な DNS 設定を構成する。
  • Message Analyzer を使用する。
  • SMB トラフィックを保護する。