امنیت فضای مجازی، بالاترین اولویت راهبران شبکه است. با توجه به اهمیت موضوع، برای نخستین بار شرکت مایکروسافت اقدام به عرضه دوره آموزشی منتهی به مدرک بین‌المللی در زمینه امنیت در ویندوز سرور 2016 نموده است. این دوره آموزشی که با کد 70-744 ارائه شده است دارای عنوان Securing Windows Server 2016 است که در مسیر دریافت مدرک MSCE یکی از دوره‌های آموزشی است که داوطلب باید آن را بگذراند. با توجه به اینکه در این کتاب تمامی فناوری‌ها و امکانات و قابلیت‌های موجود در ویندوز سرور برای ایجاد و حفظ امنیت ارائه شده است، بنابراین مطالعه آن برای همه راهبران شبکه و امنیت، مراکز داده و فضاهای ابری و متخصصان و مدرسان دوره‌های امنیت سرور و فضای مجازی توصیه می‌شود.

فصل اول 1
پیاده سازی راه حل های امن سازی سرور 1
مهارت 1.1: پیکر بندی رمز نگاری دیسک و فایل 1
تعیین سخت افزار و firmware مورد نیاز برای Secure Boot و عملیات کلیدی رمز نگاری 2
UEFI 2
Secure Boot 3
TPM 4
فعال سازی BitLocker برای استفاده در Secure Boot به همراه کنترل مشمولیت BCD 4
پیاده سازی BitLocker Drive Encryption (BDE) 5
پیکربندی BitLocker با استفاده و یا بدون استفاده از TPM 6
پیاده سازی فناوری BitLocker در ماشین های مجازی Hyper-V 10
پیاده سازی فناوری BitLocker در دیسک های CSV و SAN 11
پیکربندی Network Unlock 11
مراحل اجرای فناوری Network Unlock 12
پیاده سازی BitLocker Recovery Process 13
مدیریت سیستم فایل رمز نگاری شده (EFS – Encrypted File System) 19
مهارت 1.2: پیاده سازی راه حل های ارتقا و بروز رسانی سرور 21
نصب و پیکربندی سرویس WSUS 21
ایجاد گروه های رایانه ها و پیکربندی های بروز رسانی خودکار (Automatic Update) 25
مدیریت بروز رسانی ها با استفاده از WSUS 27
پیکربندی گزارش ها در WSUS 28
اشکال یابی در پیکربندی و اجرای سرویس دهنده WSUS 30
مهارت 1.3: پیاده سازی محافظ های بدافزار 31
پیاده سازی راه حل های ضد بد افزار با استفاده از Windows Defender 32
مدیریت Windows Defender در سیستم عامل ویندوز سرور 2016 33
پیکربندی Windows Defender از طریق Group Policy 36
پیاده سازی قراردادهای AppLocker 36
پیاده سازی Control Flow Guard 41
پیاده سازی آیین نامه های Device Guard 43
ایجاد آیین نامه های قراردادی Code Integrity 45
مهارت 1.4: حفاظت از اطلاعات هویتی 48
نیازهای سیستم برای استفاده از فناوری Credential Guard 50
پیکربندی Credential Guard با استفاده از WMI و دستورات خط فرمان 53
پیاده سازی فناروی NTLM blocking 54
مهارت 1.5: ایجاد حدنصاب های امنیت 55
نصب و پیکربندی فناوری SCM 55
پیاده سازی آیین نامه های امنیتی برای سرورهای موجود در دامنه و سرورهای مستقل 62
LocalGPO 62
خلاصه فصل 64
سنجش فراگیری 67
پاسخ های سنجش فراگیری 68
فصل دوم 69
ایمن سازی ساختار مجازی سازی شده 69
مهارت 2.1: پیاده سازی راه حل Guarded Fabric 69
نصب و پیکربندی Host Guardian Service (HGS) 70
پیکربندی گواهی امضا تائید راهبر یا TPM-trusted 73
Hardware Security Module (HSM) 78
مهارت 2.2: پیاده سازی ماشین های مجازی محافظ دار با پشتیبانی از رمز نگاری 87
تعیین نیازمندی ها و موارد کاربرد استفاده از ماشین های مجازی محافظ دار 87
امنیت مبتنی بر مجازی سازی 88
ایجاد ماشین مجازی محافظ دار با استفاده از Hyper-V 89
ایجاد ماشین مجازی محافظ دار بدون استفاده از SCVMM 90
ایجاد فایل محافظت شده (PDK) 91
محیط کاربری ایزوله شده (IUM – Isolated User Mode) 93
تعیین نیاز ها و موارد کاربرد استفاده از ماشین های مجازی رمزنگاری شده 97
خلاصه فصل 101
سنجش فراگیری 102
پاسخ های سنجش فراگیری 103
فصل سوم 105
ایجاد ساختار شبکه امن 105
مهارت 3.1: پیکربندی فایروال ویندوز 105
پیکربندی فایروال ویندوز با استفاده از Advanced Security 106
مشاهده فهرست و برون ریزی آیین نامه ها با استفاده از دستور پاورشل netsh 114
پیکربندی و پیاده سازی پروفایل های مکانی شبکه با استفاده از Group Policy 115
انواع آیین نامه های ارتباط امن با استفاده از IPsec 118
تعریف آیین نامه امنیت ارتباط با استفاده از Group Policy 118
تعریف آیین نامه امنیت ارتباط در IPsec Console 120
پیکربندی فایروال ویندوز برای مجوز اجرا و یا مسدودسازی نرم افزار 124
پیکربندی استثناهای تائید هویت شده در فایروال 126
مهارت 3.2: پیاده سازی فایروال گسترده شده نرم افزاری تعریف شده 128
تعیین نیازها و سناریوهای مربوط به پیاده سازی Distributed Firewall با استفاده از شبکه نرم افزاری تعریف شده 128
مایکروسافت Azure و SDN 128
شروع کار با سرویس Netwrok Controller 130
تعیین موارد کاربرد آیین نامه های Distributed Firewall و گروه های امنیتی شبکه 132
Azure Stack و مالکیت چندگانه 132
سخنی در مورد شبکه مجازی سازی شده Hyper-V 133
مهارت 3.3: ترافیک امن شبکه 134
روش های برقراری امنیت و پیاده سازی آنها در پروتکل SMB 3.1.1 135
فعال سازی رمزنگاری پروتکل SMB در فضاهای ذخیره سازی اشتراکی (SMB Shares) 137
پیکربندی ورود به سرور SMB (SMB signing) 139
ترافیک امن DNS با استفاده از DNSSEC و آیین نامه های DNS 140
Name Resolution Policy Table (NRPT) 143
آیین نامه های DNS 144
نصب و پیکربندی Microsoft Message Analyzer (MMA) برای آنالیز ترافیک شبکه 146
خلاصه فصل 149
سنجش فراگیری 151
پاسخ سنجش فراگیری 152
فصل چهارم 154
مدیریت هویت های ویژه 154
مهارت 4.1: پیاده سازی دامنه های راهبری با قابلیت Enhanced Security Administrative Environment 154
تشخیص موارد کاربرد و نیازهای پیاده سازی طراحی و معمای فارست ESAEبرای ایجاد فارست راهبری اختصاصی 155
منبع تمیز برای ساختاره راهبری 160
مهارت 4.2: پیاده سازی Just-In-Time Administration 161
ایجاد یک فارست راهبری (bastion) جدید در محیط اکتیو دایرکتوری موجود با استفاده از MIM 161
پیکربندی ارتباط مطمئن بین فارست محافظ (bastion) و فارست عملیاتی 163
پیکربندی پورتال وب سرویس MIM 167
ایجاد و پیکربندی آیین نامه های MIM 170
پیاده سازی حساب کاری راهبر از نوع Just-In-Time با استفاد ه از آیین نامه مبتنی بر زمان 171
مشخص کردن آیین نامه های مبتنی بر زمان 173
مهارت 4.3: پیاده سازی Jusdt-Enough-Administration 176
فعال سازی فناوری JEA برروی ویندوز سرور 2016 177
ایجاد نقطه کاربری JEA 185
پیاده سازی پیمانه DSC 190
استفاده از xJea 190
مهارت 4.4: پیاده سازی PAM (Privileged Access Management) و URA (Users Rights Assignments) 191
پیاده سازی فناوری PAW 191
مراحل پیاده سازی فناوری PAW 194
پیکربندی آیین نامه های URA (User Rights Assignment) 195
فعال سازی و پیکربندی Remote Credential Guard برای میزکار راه دور 203
مهارت 4.5: پیاده سازی راه حل های Local Administrator Password 206
نصب و پیکربندی ابزار LAPS 206
پیاده سازی LAPS در سمت کاربر 210
خلاصه فصل 215
سنجش فراگیری 217
پاسخ های سنجش فراگیری 218
فصل پنجم 219
پیاده سازی راه حل های شناسایی تهدید 219
مهارت 5.1: پیکربندی پیشرفته آیین نامه های ممیزی 219
مشخص کردن تفاوت ها و موارد کاربرد استفاده از Local Audit Policy و Advanced Auditing Policies 220
اولویت ها در آیین نامه های ممیزی 228
پیاده سازی ممیزی با استفاده از Group Policy و Auditpol.exe 229
استفاده از Auditpol.exe 234
پیاده سازی ممیزی با استفاده از پاورشل ویندوز 237
ایجاد آیین نامه ممیزی با استفاده از عبارت توصیفی 239
پیکربندی آیین نامه ممیزی برای فعالیت PNP 240
پیکربندی آیین نامه ممیزی Group Policy Membership 241
مهارت 5.2: نصب و پیکربندی Microsoft Advanced Threat Analytics 245
تعیین موارد کاربرد ابزار ATA 246
تعیین نیازها برای اجرای ابزار ATA 248
Port mirroring 251
Event Forwarding 253
نصب و پیکربندی ATA Gateway بر روی یک سرور اختصاصی 254
مرور و ویرایش فعالیت های مشکوک بر روی Attack Time Line 262
مهارت 5.3: آشنایی با راه حل های شناسایی تهدید با استفاده از Operation Management Suite 265
آشنایی با موارد کاربرد و استفاده از OMS 265
بررسی بد افزارها (Antimaleware assessment) 272
امنیت و ممیزی (Security and Audit) 274
آشنایی با موارد کاربرد آنالیز رخدادها (log analytics) 275
خلاصه فصل 279
سوال های سنجش فراگیری 281
پاسخ سوال های سنجش فراگیری 282
فصل ششم 283
ایجاد امنیت برای عملیات کاری خاص 283
مهارت 6.1: ساختار امن برای سرورهای عملیاتی و محیط توسعه نرم افزار 283
آشنایی با موارد کاربرد، پشتیبانی از سرورهای عملیاتی و توسعه نانو سرور 283
ایجاد نانو سرور در ماشین مجازی 290
پیکربندی Windows Remote Management (WinRM) 297
پیاده سازی آیین نامه های امنیتی نانو سرور با استفاده از DSC (Desired State Configuration) 299
آشنایی با موارد کاربرد و پیش نیازهای استفاده از محفظه های ویندوز و محفظه های Hyper-V 302
ویندوز سرور 2016 و داکر (Docker) 304
مهارت 6.2: پیاده سازی فایل سرور امن با استفاده از DAC (Dynamic Access Control) 307
نصب سرویس File Server Resource Manager (FSRM) 308
پیکربندی فضای مجاز ذخیره سازی (quotas) 310
پیکربندی کنترل کننده های فایل (file screens) 319
پیکربندی عملیات مدیریت فایل 324
پیکربندی File Classification Infrastructure با استفاده از FSRM 328
پیاده سازی Work Folders 335
ایجاد فضای همگام سازی اشتراکی (Sync Shares) 336
پیکربندی کاربران سرویس Work Folders 337