SlideShare a Scribd company logo

Windows Server 2012 R2による ガバナンス強化

Tetsuya Yokoyama
Tetsuya Yokoyama

2015年6月3日(水)に名古屋で開催された無料セミナーのプレゼンテーション

1 of 37
Download to read offline
グローバル ナレッジ ネットワーク株式会社 横山哲也 Windows Server 2012 R2による ガバナンス強化
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 自己紹介 2003年~ マイクロソフトMVP (Directory Services) 2012年のみ「Virtual Machines」 好きなガバナンス機能 グループポリシー 最近の著書・雑誌記事 プロが教えるWindows Server 2012システム管理(監修・共著) アスキーメディアワークス グループポリシー逆引きリファレンス厳選92(監修・共著) 日経BP ソーシャルメディア ブログ: ヨコヤマ企画(http://yp.g20k.jp) その他 Twitter & Facebook 2
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. はじめに 目標 想定するリスクに対して、 適切なクライアント管理計画を選択する 想定するリスクに対して、 適切なサーバーの障害・災害対策を選択する 個人的なお勧め度合い  ……ぜひ導入しましょう  ……コスト(費用と手間)がかかりますがお勧め  ……要件を満たせばお勧め 簡単なデモは随時入れていきます 3
 機能制限・自動設定  更新プログラムの自動構成  WiFiアクセスポイント  アクセス許可の拡張  ファイルの分類管理  ファイルの暗号化  ネットワークの暗号化 クライアント管理計画
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 機能制限・自動設定: グループポリシー グループポリシー コンピューターの構成の自動化(強制) ユーザーの構成の自動化(強制) Active Directory必須 OU OU ドメイン GPO グループポリシー オブジェクト GPO GPO GPO サイト 5
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 機能制限・自動設定: グループポリシーの利用 グループポリシーオブジェクト 関連するポリシーの集合体 例: [スクリーンセーバーの強制]と[パスワード保護] ポリシー数 コンピューターの構成: 約2,000 ユーザーの構成: 約1,500 グループポリシーの[基本設定] Windows Server 2008からの新機能 従来のグループポリシーでできなかったことが簡単に - 例: デスクトップにファイルを配布 自動設定したいことがあれば、 まずグループポリシーを探す 6
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 更新プログラムの自動構成: グループポリシーで自動化 Windows Update WSUS (Windows Server Update Services) 7 Microsoft Update Microsoft Update 必要なものだけ承認
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 更新プログラムの自動構成: 注意点 インターネット接続…WSUSにのみ必要 ネットワーク回線…BITSを使うので効率が良い Background Intelligent Transfer Services ディスク容量…配布したいものだけをダウンロード 承認作業…条件を指定した自動承認可能 注意 8 何らかの不具合があり、マイクロソフトが取り下げても それがWSUSに反映されるまではインストールが可能
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. WiFiアクセスポイント: グループポリシーで自動化 透過的でセキュアな無線 LAN 環境を構築 ユーザーは一切の設定が不要 暗号化通信を強制 (暗号鍵の自動更新) Windows認証または電子証明書による強固な認証 9 認証情報の転送 認証 証明書 暗号化通信 グループ ポリシー ・接続先 SSID ・暗号化方式 ・認証方式 ・証明書の自動発行/更新 証明機関 Active Directory RADIUS (NPS) WAP
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. アクセス許可の拡張 集約型アクセス制御 Windows Server 2012 ファイルサーバー Windows Server 2012 Active Directory ファイル分類管理 (FCI) リソースプロパティの自動構成 10 要求の種類 リソース プロパティ 集約型 アクセス規則 集約型 アクセス ポリシー 集約型 アクセス規則 集約型 アクセス規則
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. デモ: 集約型アクセス制御 管理者: Active Directory管理センター 要求の種類の確認 リソースプロパティの確認 集約型アクセス規則の作成 集約型アクセスポリシーの作成 管理者: グループポリシー 集約型アクセスポリシーの展開 利用者 アクセス許可の指定 11
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. アクセス許可の拡張: 集約型アクセス制御の利点と課題 従来のアクセス許可の課題 利用者はビジネスを知っているがACLは分からない 集約型アクセス制御の利点 管理者がアクセス許可ポリシーを集中管理 利用者はアクセス許可ポリシーを1つ選ぶだけ 12 集約型アクセス制御の課題 設定階層が深い 従来のNTFSは無効にならない(累積する) Windows Server 2012/Windows 8以降のみ利用可能
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの分類管理 (FCI: File Classification Infrastructure) Step 1: 保存ファイルに属性を追加 フォルダーやファイル内容に対するルール設定 Step 2: 追加した属性を参照して実行 指定したフォルダーに移動 AD RMSによる暗号化 任意のコマンドを実行 利用例 1. 特定のフォルダーのファイルに[個人情報]の属性追加 2. [個人情報]ラベル指定のファイルをAD RMS暗号化 13 保存 分類 管理
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの暗号化 EFS…Windows 2000以降 目的: 個人ファイルの暗号化 欠点: 構築や回復手順が面倒(実質的に証明機関必須) その他…集中管理が困難 Officeパスワード ZIPパスワード 14 アプリケーション AD RMS…Office製品 ファイルシステム EFS…個人ファイルの保護 ディスク装置 BitLockerドライブ暗号化…内蔵 BitLocker to Go…メディア 暗号化は回復用の準備を忘れずに
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの暗号化の利用例: AD RMS 適用アプリケーション Word/Excel/PowerPoint/Outlook 利用可能なユーザー 社内ユーザー…社内RMSサーバーで認証 社外ユーザー…公開Web経由で認証 機能 暗号化 + 操作制限 = 権利制御 (印刷不可、再配布不可) 具体的には メニューの無効化 クリップボードの無効化 15
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの暗号化の利用例: BitLockerドライブ暗号化 BitLockerドライブ暗号化 目的: ドライブ盗難による情報漏えいリスクを軽減 利用形態 TPMのみ…PCごと盗まれた場合は無力 TPM + パスワード…手軽・長いパスワードは利用困難 TPM + USBメモリキー…安全・USBメモリ必須 回復キー 正常時に保存しておく(印刷したものを金庫に保管) Active Directoryに保存可能 付加機能 TPMによる起動システムの整合性確認(改ざん防止) 16
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの暗号化の利用例: BitLocker to Go リムーバブルメディアの保護 パスワード利用 グループポリシーによる強制 17
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ネットワークの暗号化 18 アプリケーション層 SMB暗号化 …共有フォルダー プレゼンテーション層 S/MIME …電子メールなど セッション層 トランスポート層 TLS (SSL) …アプリケーション対応 インターネットワーク層 IPセキュリティ …プロトコルごとの選択 データリンク層 WiFi暗号化 …AESなど 物理層
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ネットワークの暗号化の利用例 共有フォルダーのアクセスを自動的に暗号化 Windows Server 2012からの新機能 サーバーマネージャーで構成 IP Security 持ち込みPCを許可するが、サーバーアクセスを拒否 - Webプロキシーなど暗号化の例外設定も可能 暗号化キーをグループポリシーで配布 - ドメインに参加するだけで設定が完了 例: 2004年札幌市 http://download.microsoft.com/download/3/6/d/ 36d1fb59-0ff0-420f-80e1-c87fb7f66ceb/4059-MT1.pdf 19
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. クライアント管理計画のまとめ  機能制限・自動設定  更新プログラムの自動構成  WiFiアクセスポイント  アクセス許可の拡張  ファイルの分類管理  ファイルの暗号化  ネットワークの暗号化 20
 システム管理者のパスワードポリシー強化  ブランチオフィスのドメインコントローラー管理  ファイルサーバーの障害対策  Hyper-VレプリカによるBCP  AzureバックアップによるDR サーバーの障害・災害対策
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. システム管理者のパスワードポリシー強化 従来のパスワードポリシー ドメイン単位 きめ細かなパスワードポリシー Windows Server 2008以降 セキュリティグループまたはユーザー単位のポリシー Windows Server 2012からGUI設定可 22
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ブランチオフィスのドメインコントローラー管理: 課題 ブランチオフィス(地方拠点)の問題点 低速WAN回線 少ないサーバーリソース 比較的低い物理セキュリティ 専任のシステム管理者不在 ブランチオフィスの現状 ドメインコントローラー兼ファイルサーバー パートタイムシステム管理者 23  DC盗難によるディレクトリ情報流出  不慣れなファイルサーバー管理者がドメインを破壊
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ブランチオフィスのドメインコントローラー管理: 解決策 読み取り専用ドメインコントローラー (RODC) パスワードを原則保存しない ブランチ勤務の一般ユーザーのみ保存するように構成 ブランチ勤務の管理者のパスワードを保存する場合は パスワードポリシーを強化すること サーバー管理者とドメイン管理者を分離 24 DC盗難によるディレクトリ情報流出が最小限 不慣れなファイルサーバー管理者からドメインを保護
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策 操作ミスによる削除からの回復 ディスク障害対策 サーバー障害対策 25
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策: 操作ミスからの回復 以前のバージョン = 定期的なスナップショット 実際の変更分のみディスク消費 26 サーバー設定 クライアント操作
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策: ディスク障害対策 記憶域プールと仮想ディスク ミラー (2方向 & 3方向) パリティ (RAID 5 & RAID 6) 物理ディスク 仮想ディスク 3方向ミラーRAID-6 記憶域プール 27
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策: サーバー障害対策(1/2) 分散ファイルシステム DFS名前空間 DFS-R (複製) 特徴 差分圧縮転送 スケールアウト可能(LAN/WAN) データの一貫性を保証しない - 読み取り専用DFSも検討 28 DFS ルート DFS ルート 共有 フォルダ 共有 フォルダ 共有 フォルダ 共有 フォルダ DFS ルート DFS ルート 共有 フォルダ 共有 フォルダ 共有 フォルダ 共有 フォルダ 複製 複製 複製
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策: サーバー障害対策(2/2) 従来の高可用性ファイル サーバー アクティブなノードは1台 Active / Passive スケール アウト ファイル サーバー メタデータの更新を特定のノードで管理 データ転送は複数のノードから行う Active / Active 特徴 データの一貫性 スケールアウト可能(通常はLAN内) 透過フェールオーバー(SMB 3.0) 汎用サーバーには向かない (仮想マシンやSQL Server用) クラスター クラスター メタデータのみ 特定ノードが管理 29
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. Hyper-VレプリカによるBCP Hyper-Vへの複製 Microsoft Azureへの複製 複製先のTCP/IP構成 DHCPクライアントとして構成 Hyper-V管理ツールで固定アドレスを割り当て 30 複製プライマリVM レプリカVM 差分を複製
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. Hyper-VレプリカによるBCP: 利用パターン 複製間隔…30秒 / 5分 / 15分…常に差分複製 回復方法…いずれも手動 BCP状態からの復元方法…いずれも手動 31 状況 操作対象 データ損失 フェールオーバー プライマリ停止 非計画停止 レプリカ 可能性あり 計画フェールオーバー プライマリ停止 計画停止 プライマリ なし テストフェールオーバー 正常稼動 並行稼動 レプリカ なし 以前の状態に戻したい そのまま使いたい フェールオーバー 取り消し 反転 計画フェールオーバー 計画フェールオーバー N/A(操作不要) テストフェールオーバー 中止(テスト仮想マシン削除) N/A(想定外) ※テストフェールオーバーでは、仮想マシンの複製が別の仮想ネットワークを使って起動
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. AzureバックアップによるDR(災害対策) Widows Serverバックアップの保存先を変更 Azureバックアップ (オンラインバックアップ) システム状態のバックアップ不可 32
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. サーバーの障害・災害対策のまとめ  システム管理者のパスワードポリシー強化  ブランチオフィスのドメインコントローラー管理  ファイルサーバーの障害対策  Hyper-VレプリカによるBCP  AzureバックアップによるDR 33
本日のまとめ
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. まとめ: 主なテクノロジー クライアント管理 グループポリシー WSUS 集約型アクセス制御 ファイルの分類管理 AD RMS BitLocker SMB暗号化 IP Security サーバー管理 RODC 以前のバージョン 記憶域プール DFS-R スケールアウト ファイルサーバー Hyper-Vレプリカ Azureバックアップ 35
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. まとめ 36  http://www.globalknowledge.co.jp/reference/ms/ 詳しくは マイクロソフト認定トレーニング  グループポリシー逆引きリファレンス厳選92(日経BP) お勧め参考書
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.

Recommended

App controllerとSPFで実現するハイブリッドクラウド
App controllerとSPFで実現するハイブリッドクラウドApp controllerとSPFで実現するハイブリッドクラウド
App controllerとSPFで実現するハイブリッドクラウドTakashi Kanai
 
乗り遅れるな!IBMが本気で取り組む新世代クラウドサービスを徹底解説
乗り遅れるな!IBMが本気で取り組む新世代クラウドサービスを徹底解説乗り遅れるな!IBMが本気で取り組む新世代クラウドサービスを徹底解説
乗り遅れるな!IBMが本気で取り組む新世代クラウドサービスを徹底解説
Kimihiko Kitase
 
地に足がついたクラウドのお話
地に足がついたクラウドのお話地に足がついたクラウドのお話
地に足がついたクラウドのお話
Toshiaki Baba
 
AIIT学生会主催勉強会 クラウドのお話
AIIT学生会主催勉強会 クラウドのお話AIIT学生会主催勉強会 クラウドのお話
AIIT学生会主催勉強会 クラウドのお話
Toshiaki Baba
 
20130614 Interop SDN ShowCase-OpenStage2-MidoNet with Sakura Internet
20130614 Interop SDN ShowCase-OpenStage2-MidoNet with Sakura Internet20130614 Interop SDN ShowCase-OpenStage2-MidoNet with Sakura Internet
20130614 Interop SDN ShowCase-OpenStage2-MidoNet with Sakura Internet
Midokura
 
2016年冬 IBMクラウド最新動向と概要
2016年冬 IBMクラウド最新動向と概要2016年冬 IBMクラウド最新動向と概要
2016年冬 IBMクラウド最新動向と概要
Kimihiko Kitase
 
[G-Tech2014講演資料] Microsoft Azureで負荷分散された仮想マシンを作ってみよう ~Amazon Web Servicesと比べな...
[G-Tech2014講演資料] Microsoft Azureで負荷分散された仮想マシンを作ってみよう ~Amazon Web Servicesと比べな...[G-Tech2014講演資料] Microsoft Azureで負荷分散された仮想マシンを作ってみよう ~Amazon Web Servicesと比べな...
[G-Tech2014講演資料] Microsoft Azureで負荷分散された仮想マシンを作ってみよう ~Amazon Web Servicesと比べな...
Trainocate Japan, Ltd.
 
Sc2012概説 120512
Sc2012概説 120512Sc2012概説 120512
Sc2012概説 120512
wintechq
 

Recommended

App controllerとSPFで実現するハイブリッドクラウド
App controllerとSPFで実現するハイブリッドクラウドApp controllerとSPFで実現するハイブリッドクラウド
App controllerとSPFで実現するハイブリッドクラウドTakashi Kanai
 
乗り遅れるな!IBMが本気で取り組む新世代クラウドサービスを徹底解説
乗り遅れるな!IBMが本気で取り組む新世代クラウドサービスを徹底解説乗り遅れるな!IBMが本気で取り組む新世代クラウドサービスを徹底解説
乗り遅れるな!IBMが本気で取り組む新世代クラウドサービスを徹底解説
Kimihiko Kitase
 
地に足がついたクラウドのお話
地に足がついたクラウドのお話地に足がついたクラウドのお話
地に足がついたクラウドのお話
Toshiaki Baba
 
AIIT学生会主催勉強会 クラウドのお話
AIIT学生会主催勉強会 クラウドのお話AIIT学生会主催勉強会 クラウドのお話
AIIT学生会主催勉強会 クラウドのお話
Toshiaki Baba
 
20130614 Interop SDN ShowCase-OpenStage2-MidoNet with Sakura Internet
20130614 Interop SDN ShowCase-OpenStage2-MidoNet with Sakura Internet20130614 Interop SDN ShowCase-OpenStage2-MidoNet with Sakura Internet
20130614 Interop SDN ShowCase-OpenStage2-MidoNet with Sakura Internet
Midokura
 
2016年冬 IBMクラウド最新動向と概要
2016年冬 IBMクラウド最新動向と概要2016年冬 IBMクラウド最新動向と概要
2016年冬 IBMクラウド最新動向と概要
Kimihiko Kitase
 
[G-Tech2014講演資料] Microsoft Azureで負荷分散された仮想マシンを作ってみよう ~Amazon Web Servicesと比べな...
[G-Tech2014講演資料] Microsoft Azureで負荷分散された仮想マシンを作ってみよう ~Amazon Web Servicesと比べな...[G-Tech2014講演資料] Microsoft Azureで負荷分散された仮想マシンを作ってみよう ~Amazon Web Servicesと比べな...
[G-Tech2014講演資料] Microsoft Azureで負荷分散された仮想マシンを作ってみよう ~Amazon Web Servicesと比べな...
Trainocate Japan, Ltd.
 
Sc2012概説 120512
Sc2012概説 120512Sc2012概説 120512
Sc2012概説 120512
wintechq
 
闘うITエンジニアのためのLinuxセキュリティ講座
闘うITエンジニアのためのLinuxセキュリティ講座闘うITエンジニアのためのLinuxセキュリティ講座
闘うITエンジニアのためのLinuxセキュリティ講座
Toshiharu Harada, Ph.D
 
VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
Shinobu Yasuda
 
Microsoft Intelligent Edge Technologies
Microsoft Intelligent Edge TechnologiesMicrosoft Intelligent Edge Technologies
Microsoft Intelligent Edge Technologies
Takeshi Fukuhara
 
V cd5.1 basichandson_v3
V cd5.1 basichandson_v3V cd5.1 basichandson_v3
V cd5.1 basichandson_v3Yoshinori Sato
 
販売店向けコールセンターシステム開発
販売店向けコールセンターシステム開発販売店向けコールセンターシステム開発
販売店向けコールセンターシステム開発
Cybozucommunity
 
N211 sc12 sp1概要_osamut_公開版
N211 sc12 sp1概要_osamut_公開版N211 sc12 sp1概要_osamut_公開版
N211 sc12 sp1概要_osamut_公開版Osamu Takazoe
 
SCUGJ第18回勉強会:よろしい、ならばVMMだ
SCUGJ第18回勉強会:よろしい、ならばVMMだSCUGJ第18回勉強会:よろしい、ならばVMMだ
SCUGJ第18回勉強会:よろしい、ならばVMMだ
wind06106
 
Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119wintechq
 
くまあず Nchikita 140628-2
くまあず Nchikita 140628-2くまあず Nchikita 140628-2
くまあず Nchikita 140628-2
wintechq
 
中小企業のために作られたWindows Server Essentialsとは
中小企業のために作られたWindows Server Essentialsとは 中小企業のために作られたWindows Server Essentialsとは
中小企業のために作られたWindows Server Essentialsとは
Masahiko Sada
 
次世代の企業ITインフラを支えるエンジニアとは
次世代の企業ITインフラを支えるエンジニアとは次世代の企業ITインフラを支えるエンジニアとは
次世代の企業ITインフラを支えるエンジニアとは
Trainocate Japan, Ltd.
 
脅威へ、しなやかかつ持続可能に対応するためのIaC環境 ~循環型IaC~ (CloudNative Security Conference 2022 プレ...
脅威へ、しなやかかつ持続可能に対応するためのIaC環境 ~循環型IaC~ (CloudNative Security Conference 2022 プレ...脅威へ、しなやかかつ持続可能に対応するためのIaC環境 ~循環型IaC~ (CloudNative Security Conference 2022 プレ...
脅威へ、しなやかかつ持続可能に対応するためのIaC環境 ~循環型IaC~ (CloudNative Security Conference 2022 プレ...
NTT DATA Technology & Innovation
 
SC2012 VMM SP1 Update ヒーロー島 版
SC2012 VMM SP1 Update ヒーロー島 版SC2012 VMM SP1 Update ヒーロー島 版
SC2012 VMM SP1 Update ヒーロー島 版
Kishima Masakazu
 
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
Tetsuya Yokoyama
 
【IMJ】デジタルマーケティングを加速させるヒントがここに imj jelly cms 事例活用セミナー
【IMJ】デジタルマーケティングを加速させるヒントがここに imj jelly cms 事例活用セミナー【IMJ】デジタルマーケティングを加速させるヒントがここに imj jelly cms 事例活用セミナー
【IMJ】デジタルマーケティングを加速させるヒントがここに imj jelly cms 事例活用セミナーIMJ Corporation
 
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)kumo2010
 
【VMware】jp developer-summit_2012_final_for_print
【VMware】jp developer-summit_2012_final_for_print【VMware】jp developer-summit_2012_final_for_print
【VMware】jp developer-summit_2012_final_for_printVMwareKK
 
ソフトウェア資産管理とIT投資マネジメントの関係性
ソフトウェア資産管理とIT投資マネジメントの関係性ソフトウェア資産管理とIT投資マネジメントの関係性
ソフトウェア資産管理とIT投資マネジメントの関係性
Tetsu Kawata
 
【de:code 2020】 二兎追う者は二兎を得る!クラウド VDI で利便性とセキュリティのどちらも手に入れる!
【de:code 2020】 二兎追う者は二兎を得る!クラウド VDI で利便性とセキュリティのどちらも手に入れる!【de:code 2020】 二兎追う者は二兎を得る!クラウド VDI で利便性とセキュリティのどちらも手に入れる!
【de:code 2020】 二兎追う者は二兎を得る!クラウド VDI で利便性とセキュリティのどちらも手に入れる!
日本マイクロソフト株式会社
 
ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~
ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~
ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~
Kimihiko Kitase
 
マイクロソフト認定技術者試験(MCP) Microsoft Azure
マイクロソフト認定技術者試験(MCP) Microsoft Azureマイクロソフト認定技術者試験(MCP) Microsoft Azure
マイクロソフト認定技術者試験(MCP) Microsoft Azure
Tetsuya Yokoyama
 
meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」
meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」
meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」
Tetsuya Yokoyama
 

More Related Content

Similar to Windows Server 2012 R2による ガバナンス強化

闘うITエンジニアのためのLinuxセキュリティ講座
闘うITエンジニアのためのLinuxセキュリティ講座闘うITエンジニアのためのLinuxセキュリティ講座
闘うITエンジニアのためのLinuxセキュリティ講座
Toshiharu Harada, Ph.D
 
VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
Shinobu Yasuda
 
Microsoft Intelligent Edge Technologies
Microsoft Intelligent Edge TechnologiesMicrosoft Intelligent Edge Technologies
Microsoft Intelligent Edge Technologies
Takeshi Fukuhara
 
V cd5.1 basichandson_v3
V cd5.1 basichandson_v3V cd5.1 basichandson_v3
V cd5.1 basichandson_v3Yoshinori Sato
 
販売店向けコールセンターシステム開発
販売店向けコールセンターシステム開発販売店向けコールセンターシステム開発
販売店向けコールセンターシステム開発
Cybozucommunity
 
N211 sc12 sp1概要_osamut_公開版
N211 sc12 sp1概要_osamut_公開版N211 sc12 sp1概要_osamut_公開版
N211 sc12 sp1概要_osamut_公開版Osamu Takazoe
 
SCUGJ第18回勉強会:よろしい、ならばVMMだ
SCUGJ第18回勉強会:よろしい、ならばVMMだSCUGJ第18回勉強会:よろしい、ならばVMMだ
SCUGJ第18回勉強会:よろしい、ならばVMMだ
wind06106
 
Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119wintechq
 
くまあず Nchikita 140628-2
くまあず Nchikita 140628-2くまあず Nchikita 140628-2
くまあず Nchikita 140628-2
wintechq
 
中小企業のために作られたWindows Server Essentialsとは
中小企業のために作られたWindows Server Essentialsとは 中小企業のために作られたWindows Server Essentialsとは
中小企業のために作られたWindows Server Essentialsとは
Masahiko Sada
 
次世代の企業ITインフラを支えるエンジニアとは
次世代の企業ITインフラを支えるエンジニアとは次世代の企業ITインフラを支えるエンジニアとは
次世代の企業ITインフラを支えるエンジニアとは
Trainocate Japan, Ltd.
 
脅威へ、しなやかかつ持続可能に対応するためのIaC環境 ~循環型IaC~ (CloudNative Security Conference 2022 プレ...
脅威へ、しなやかかつ持続可能に対応するためのIaC環境 ~循環型IaC~ (CloudNative Security Conference 2022 プレ...脅威へ、しなやかかつ持続可能に対応するためのIaC環境 ~循環型IaC~ (CloudNative Security Conference 2022 プレ...
脅威へ、しなやかかつ持続可能に対応するためのIaC環境 ~循環型IaC~ (CloudNative Security Conference 2022 プレ...
NTT DATA Technology & Innovation
 
SC2012 VMM SP1 Update ヒーロー島 版
SC2012 VMM SP1 Update ヒーロー島 版SC2012 VMM SP1 Update ヒーロー島 版
SC2012 VMM SP1 Update ヒーロー島 版
Kishima Masakazu
 
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
Tetsuya Yokoyama
 
【IMJ】デジタルマーケティングを加速させるヒントがここに imj jelly cms 事例活用セミナー
【IMJ】デジタルマーケティングを加速させるヒントがここに imj jelly cms 事例活用セミナー【IMJ】デジタルマーケティングを加速させるヒントがここに imj jelly cms 事例活用セミナー
【IMJ】デジタルマーケティングを加速させるヒントがここに imj jelly cms 事例活用セミナーIMJ Corporation
 
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)kumo2010
 
【VMware】jp developer-summit_2012_final_for_print
【VMware】jp developer-summit_2012_final_for_print【VMware】jp developer-summit_2012_final_for_print
【VMware】jp developer-summit_2012_final_for_printVMwareKK
 
ソフトウェア資産管理とIT投資マネジメントの関係性
ソフトウェア資産管理とIT投資マネジメントの関係性ソフトウェア資産管理とIT投資マネジメントの関係性
ソフトウェア資産管理とIT投資マネジメントの関係性
Tetsu Kawata
 
【de:code 2020】 二兎追う者は二兎を得る!クラウド VDI で利便性とセキュリティのどちらも手に入れる!
【de:code 2020】 二兎追う者は二兎を得る!クラウド VDI で利便性とセキュリティのどちらも手に入れる!【de:code 2020】 二兎追う者は二兎を得る!クラウド VDI で利便性とセキュリティのどちらも手に入れる!
【de:code 2020】 二兎追う者は二兎を得る!クラウド VDI で利便性とセキュリティのどちらも手に入れる!
日本マイクロソフト株式会社
 
ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~
ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~
ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~
Kimihiko Kitase
 

Similar to Windows Server 2012 R2による ガバナンス強化 (20)

闘うITエンジニアのためのLinuxセキュリティ講座
闘うITエンジニアのためのLinuxセキュリティ講座闘うITエンジニアのためのLinuxセキュリティ講座
闘うITエンジニアのためのLinuxセキュリティ講座
 
VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
VMwareとIBMクラウドの提携で広がるハイブリッド・クラウドの世界
 
Microsoft Intelligent Edge Technologies
Microsoft Intelligent Edge TechnologiesMicrosoft Intelligent Edge Technologies
Microsoft Intelligent Edge Technologies
 
V cd5.1 basichandson_v3
V cd5.1 basichandson_v3V cd5.1 basichandson_v3
V cd5.1 basichandson_v3
 
販売店向けコールセンターシステム開発
販売店向けコールセンターシステム開発販売店向けコールセンターシステム開発
販売店向けコールセンターシステム開発
 
N211 sc12 sp1概要_osamut_公開版
N211 sc12 sp1概要_osamut_公開版N211 sc12 sp1概要_osamut_公開版
N211 sc12 sp1概要_osamut_公開版
 
SCUGJ第18回勉強会:よろしい、ならばVMMだ
SCUGJ第18回勉強会:よろしい、ならばVMMだSCUGJ第18回勉強会:よろしい、ならばVMMだ
SCUGJ第18回勉強会:よろしい、ならばVMMだ
 
Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119Active directory のセキュリティ対策 130119
Active directory のセキュリティ対策 130119
 
くまあず Nchikita 140628-2
くまあず Nchikita 140628-2くまあず Nchikita 140628-2
くまあず Nchikita 140628-2
 
中小企業のために作られたWindows Server Essentialsとは
中小企業のために作られたWindows Server Essentialsとは 中小企業のために作られたWindows Server Essentialsとは
中小企業のために作られたWindows Server Essentialsとは
 
次世代の企業ITインフラを支えるエンジニアとは
次世代の企業ITインフラを支えるエンジニアとは次世代の企業ITインフラを支えるエンジニアとは
次世代の企業ITインフラを支えるエンジニアとは
 
脅威へ、しなやかかつ持続可能に対応するためのIaC環境 ~循環型IaC~ (CloudNative Security Conference 2022 プレ...
脅威へ、しなやかかつ持続可能に対応するためのIaC環境 ~循環型IaC~ (CloudNative Security Conference 2022 プレ...脅威へ、しなやかかつ持続可能に対応するためのIaC環境 ~循環型IaC~ (CloudNative Security Conference 2022 プレ...
脅威へ、しなやかかつ持続可能に対応するためのIaC環境 ~循環型IaC~ (CloudNative Security Conference 2022 プレ...
 
SC2012 VMM SP1 Update ヒーロー島 版
SC2012 VMM SP1 Update ヒーロー島 版SC2012 VMM SP1 Update ヒーロー島 版
SC2012 VMM SP1 Update ヒーロー島 版
 
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
今さら聞けない! Windows Server 2016 Active Directoryドメインサービス入門
 
【IMJ】デジタルマーケティングを加速させるヒントがここに imj jelly cms 事例活用セミナー
【IMJ】デジタルマーケティングを加速させるヒントがここに imj jelly cms 事例活用セミナー【IMJ】デジタルマーケティングを加速させるヒントがここに imj jelly cms 事例活用セミナー
【IMJ】デジタルマーケティングを加速させるヒントがここに imj jelly cms 事例活用セミナー
 
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
 
【VMware】jp developer-summit_2012_final_for_print
【VMware】jp developer-summit_2012_final_for_print【VMware】jp developer-summit_2012_final_for_print
【VMware】jp developer-summit_2012_final_for_print
 
ソフトウェア資産管理とIT投資マネジメントの関係性
ソフトウェア資産管理とIT投資マネジメントの関係性ソフトウェア資産管理とIT投資マネジメントの関係性
ソフトウェア資産管理とIT投資マネジメントの関係性
 
【de:code 2020】 二兎追う者は二兎を得る!クラウド VDI で利便性とセキュリティのどちらも手に入れる!
【de:code 2020】 二兎追う者は二兎を得る!クラウド VDI で利便性とセキュリティのどちらも手に入れる!【de:code 2020】 二兎追う者は二兎を得る!クラウド VDI で利便性とセキュリティのどちらも手に入れる!
【de:code 2020】 二兎追う者は二兎を得る!クラウド VDI で利便性とセキュリティのどちらも手に入れる!
 
ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~
ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~
ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~
 

More from Tetsuya Yokoyama

マイクロソフト認定技術者試験(MCP) Microsoft Azure
マイクロソフト認定技術者試験(MCP) Microsoft Azureマイクロソフト認定技術者試験(MCP) Microsoft Azure
マイクロソフト認定技術者試験(MCP) Microsoft Azure
Tetsuya Yokoyama
 
meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」
meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」
meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」
Tetsuya Yokoyama
 
今さら聞けない! Active Directoryドメインサービス入門
今さら聞けない! Active Directoryドメインサービス入門今さら聞けない! Active Directoryドメインサービス入門
今さら聞けない! Active Directoryドメインサービス入門
Tetsuya Yokoyama
 
Azure AD DSドメインに仮想マシンを参加させる
Azure AD DSドメインに仮想マシンを参加させるAzure AD DSドメインに仮想マシンを参加させる
Azure AD DSドメインに仮想マシンを参加させる
Tetsuya Yokoyama
 
Hyper-V、オンプレミスでもコンテナを
Hyper-V、オンプレミスでもコンテナをHyper-V、オンプレミスでもコンテナを
Hyper-V、オンプレミスでもコンテナを
Tetsuya Yokoyama
 
Azure Active Directory Domain Services (Azure ADDS) キホンのキ
Azure Active Directory Domain Services (Azure ADDS) キホンのキAzure Active Directory Domain Services (Azure ADDS) キホンのキ
Azure Active Directory Domain Services (Azure ADDS) キホンのキ
Tetsuya Yokoyama
 
Microsoft Azureを使ったバックアップの基礎
Microsoft Azureを使ったバックアップの基礎Microsoft Azureを使ったバックアップの基礎
Microsoft Azureを使ったバックアップの基礎
Tetsuya Yokoyama
 
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~
Tetsuya Yokoyama
 

More from Tetsuya Yokoyama (8)

マイクロソフト認定技術者試験(MCP) Microsoft Azure
マイクロソフト認定技術者試験(MCP) Microsoft Azureマイクロソフト認定技術者試験(MCP) Microsoft Azure
マイクロソフト認定技術者試験(MCP) Microsoft Azure
 
meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」
meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」
meet the author「ひと目でわかるAzure 基本から学ぶサーバー&ネットワーク構築 第3版」
 
今さら聞けない! Active Directoryドメインサービス入門
今さら聞けない! Active Directoryドメインサービス入門今さら聞けない! Active Directoryドメインサービス入門
今さら聞けない! Active Directoryドメインサービス入門
 
Azure AD DSドメインに仮想マシンを参加させる
Azure AD DSドメインに仮想マシンを参加させるAzure AD DSドメインに仮想マシンを参加させる
Azure AD DSドメインに仮想マシンを参加させる
 
Hyper-V、オンプレミスでもコンテナを
Hyper-V、オンプレミスでもコンテナをHyper-V、オンプレミスでもコンテナを
Hyper-V、オンプレミスでもコンテナを
 
Azure Active Directory Domain Services (Azure ADDS) キホンのキ
Azure Active Directory Domain Services (Azure ADDS) キホンのキAzure Active Directory Domain Services (Azure ADDS) キホンのキ
Azure Active Directory Domain Services (Azure ADDS) キホンのキ
 
Microsoft Azureを使ったバックアップの基礎
Microsoft Azureを使ったバックアップの基礎Microsoft Azureを使ったバックアップの基礎
Microsoft Azureを使ったバックアップの基礎
 
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~
パケット解析にまつわるお話 ~ネットワークモニターとHyper-V~
 

Windows Server 2012 R2による ガバナンス強化

  • 2. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 自己紹介 2003年~ マイクロソフトMVP (Directory Services) 2012年のみ「Virtual Machines」 好きなガバナンス機能 グループポリシー 最近の著書・雑誌記事 プロが教えるWindows Server 2012システム管理(監修・共著) アスキーメディアワークス グループポリシー逆引きリファレンス厳選92(監修・共著) 日経BP ソーシャルメディア ブログ: ヨコヤマ企画(http://yp.g20k.jp) その他 Twitter & Facebook 2
  • 3. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. はじめに 目標 想定するリスクに対して、 適切なクライアント管理計画を選択する 想定するリスクに対して、 適切なサーバーの障害・災害対策を選択する 個人的なお勧め度合い  ……ぜひ導入しましょう  ……コスト(費用と手間)がかかりますがお勧め  ……要件を満たせばお勧め 簡単なデモは随時入れていきます 3
  • 4.  機能制限・自動設定  更新プログラムの自動構成  WiFiアクセスポイント  アクセス許可の拡張  ファイルの分類管理  ファイルの暗号化  ネットワークの暗号化 クライアント管理計画
  • 5. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 機能制限・自動設定: グループポリシー グループポリシー コンピューターの構成の自動化(強制) ユーザーの構成の自動化(強制) Active Directory必須 OU OU ドメイン GPO グループポリシー オブジェクト GPO GPO GPO サイト 5
  • 6. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 機能制限・自動設定: グループポリシーの利用 グループポリシーオブジェクト 関連するポリシーの集合体 例: [スクリーンセーバーの強制]と[パスワード保護] ポリシー数 コンピューターの構成: 約2,000 ユーザーの構成: 約1,500 グループポリシーの[基本設定] Windows Server 2008からの新機能 従来のグループポリシーでできなかったことが簡単に - 例: デスクトップにファイルを配布 自動設定したいことがあれば、 まずグループポリシーを探す 6
  • 7. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 更新プログラムの自動構成: グループポリシーで自動化 Windows Update WSUS (Windows Server Update Services) 7 Microsoft Update Microsoft Update 必要なものだけ承認
  • 8. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. 更新プログラムの自動構成: 注意点 インターネット接続…WSUSにのみ必要 ネットワーク回線…BITSを使うので効率が良い Background Intelligent Transfer Services ディスク容量…配布したいものだけをダウンロード 承認作業…条件を指定した自動承認可能 注意 8 何らかの不具合があり、マイクロソフトが取り下げても それがWSUSに反映されるまではインストールが可能
  • 9. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. WiFiアクセスポイント: グループポリシーで自動化 透過的でセキュアな無線 LAN 環境を構築 ユーザーは一切の設定が不要 暗号化通信を強制 (暗号鍵の自動更新) Windows認証または電子証明書による強固な認証 9 認証情報の転送 認証 証明書 暗号化通信 グループ ポリシー ・接続先 SSID ・暗号化方式 ・認証方式 ・証明書の自動発行/更新 証明機関 Active Directory RADIUS (NPS) WAP
  • 10. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. アクセス許可の拡張 集約型アクセス制御 Windows Server 2012 ファイルサーバー Windows Server 2012 Active Directory ファイル分類管理 (FCI) リソースプロパティの自動構成 10 要求の種類 リソース プロパティ 集約型 アクセス規則 集約型 アクセス ポリシー 集約型 アクセス規則 集約型 アクセス規則
  • 11. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. デモ: 集約型アクセス制御 管理者: Active Directory管理センター 要求の種類の確認 リソースプロパティの確認 集約型アクセス規則の作成 集約型アクセスポリシーの作成 管理者: グループポリシー 集約型アクセスポリシーの展開 利用者 アクセス許可の指定 11
  • 12. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. アクセス許可の拡張: 集約型アクセス制御の利点と課題 従来のアクセス許可の課題 利用者はビジネスを知っているがACLは分からない 集約型アクセス制御の利点 管理者がアクセス許可ポリシーを集中管理 利用者はアクセス許可ポリシーを1つ選ぶだけ 12 集約型アクセス制御の課題 設定階層が深い 従来のNTFSは無効にならない(累積する) Windows Server 2012/Windows 8以降のみ利用可能
  • 13. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの分類管理 (FCI: File Classification Infrastructure) Step 1: 保存ファイルに属性を追加 フォルダーやファイル内容に対するルール設定 Step 2: 追加した属性を参照して実行 指定したフォルダーに移動 AD RMSによる暗号化 任意のコマンドを実行 利用例 1. 特定のフォルダーのファイルに[個人情報]の属性追加 2. [個人情報]ラベル指定のファイルをAD RMS暗号化 13 保存 分類 管理
  • 14. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの暗号化 EFS…Windows 2000以降 目的: 個人ファイルの暗号化 欠点: 構築や回復手順が面倒(実質的に証明機関必須) その他…集中管理が困難 Officeパスワード ZIPパスワード 14 アプリケーション AD RMS…Office製品 ファイルシステム EFS…個人ファイルの保護 ディスク装置 BitLockerドライブ暗号化…内蔵 BitLocker to Go…メディア 暗号化は回復用の準備を忘れずに
  • 15. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの暗号化の利用例: AD RMS 適用アプリケーション Word/Excel/PowerPoint/Outlook 利用可能なユーザー 社内ユーザー…社内RMSサーバーで認証 社外ユーザー…公開Web経由で認証 機能 暗号化 + 操作制限 = 権利制御 (印刷不可、再配布不可) 具体的には メニューの無効化 クリップボードの無効化 15
  • 16. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの暗号化の利用例: BitLockerドライブ暗号化 BitLockerドライブ暗号化 目的: ドライブ盗難による情報漏えいリスクを軽減 利用形態 TPMのみ…PCごと盗まれた場合は無力 TPM + パスワード…手軽・長いパスワードは利用困難 TPM + USBメモリキー…安全・USBメモリ必須 回復キー 正常時に保存しておく(印刷したものを金庫に保管) Active Directoryに保存可能 付加機能 TPMによる起動システムの整合性確認(改ざん防止) 16
  • 17. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルの暗号化の利用例: BitLocker to Go リムーバブルメディアの保護 パスワード利用 グループポリシーによる強制 17
  • 18. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ネットワークの暗号化 18 アプリケーション層 SMB暗号化 …共有フォルダー プレゼンテーション層 S/MIME …電子メールなど セッション層 トランスポート層 TLS (SSL) …アプリケーション対応 インターネットワーク層 IPセキュリティ …プロトコルごとの選択 データリンク層 WiFi暗号化 …AESなど 物理層
  • 19. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ネットワークの暗号化の利用例 共有フォルダーのアクセスを自動的に暗号化 Windows Server 2012からの新機能 サーバーマネージャーで構成 IP Security 持ち込みPCを許可するが、サーバーアクセスを拒否 - Webプロキシーなど暗号化の例外設定も可能 暗号化キーをグループポリシーで配布 - ドメインに参加するだけで設定が完了 例: 2004年札幌市 http://download.microsoft.com/download/3/6/d/ 36d1fb59-0ff0-420f-80e1-c87fb7f66ceb/4059-MT1.pdf 19
  • 20. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. クライアント管理計画のまとめ  機能制限・自動設定  更新プログラムの自動構成  WiFiアクセスポイント  アクセス許可の拡張  ファイルの分類管理  ファイルの暗号化  ネットワークの暗号化 20
  • 21.  システム管理者のパスワードポリシー強化  ブランチオフィスのドメインコントローラー管理  ファイルサーバーの障害対策  Hyper-VレプリカによるBCP  AzureバックアップによるDR サーバーの障害・災害対策
  • 22. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. システム管理者のパスワードポリシー強化 従来のパスワードポリシー ドメイン単位 きめ細かなパスワードポリシー Windows Server 2008以降 セキュリティグループまたはユーザー単位のポリシー Windows Server 2012からGUI設定可 22
  • 23. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ブランチオフィスのドメインコントローラー管理: 課題 ブランチオフィス(地方拠点)の問題点 低速WAN回線 少ないサーバーリソース 比較的低い物理セキュリティ 専任のシステム管理者不在 ブランチオフィスの現状 ドメインコントローラー兼ファイルサーバー パートタイムシステム管理者 23  DC盗難によるディレクトリ情報流出  不慣れなファイルサーバー管理者がドメインを破壊
  • 24. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ブランチオフィスのドメインコントローラー管理: 解決策 読み取り専用ドメインコントローラー (RODC) パスワードを原則保存しない ブランチ勤務の一般ユーザーのみ保存するように構成 ブランチ勤務の管理者のパスワードを保存する場合は パスワードポリシーを強化すること サーバー管理者とドメイン管理者を分離 24 DC盗難によるディレクトリ情報流出が最小限 不慣れなファイルサーバー管理者からドメインを保護
  • 25. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策 操作ミスによる削除からの回復 ディスク障害対策 サーバー障害対策 25
  • 26. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策: 操作ミスからの回復 以前のバージョン = 定期的なスナップショット 実際の変更分のみディスク消費 26 サーバー設定 クライアント操作
  • 27. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策: ディスク障害対策 記憶域プールと仮想ディスク ミラー (2方向 & 3方向) パリティ (RAID 5 & RAID 6) 物理ディスク 仮想ディスク 3方向ミラーRAID-6 記憶域プール 27
  • 28. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策: サーバー障害対策(1/2) 分散ファイルシステム DFS名前空間 DFS-R (複製) 特徴 差分圧縮転送 スケールアウト可能(LAN/WAN) データの一貫性を保証しない - 読み取り専用DFSも検討 28 DFS ルート DFS ルート 共有 フォルダ 共有 フォルダ 共有 フォルダ 共有 フォルダ DFS ルート DFS ルート 共有 フォルダ 共有 フォルダ 共有 フォルダ 共有 フォルダ 複製 複製 複製
  • 29. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. ファイルサーバーの障害対策: サーバー障害対策(2/2) 従来の高可用性ファイル サーバー アクティブなノードは1台 Active / Passive スケール アウト ファイル サーバー メタデータの更新を特定のノードで管理 データ転送は複数のノードから行う Active / Active 特徴 データの一貫性 スケールアウト可能(通常はLAN内) 透過フェールオーバー(SMB 3.0) 汎用サーバーには向かない (仮想マシンやSQL Server用) クラスター クラスター メタデータのみ 特定ノードが管理 29
  • 30. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. Hyper-VレプリカによるBCP Hyper-Vへの複製 Microsoft Azureへの複製 複製先のTCP/IP構成 DHCPクライアントとして構成 Hyper-V管理ツールで固定アドレスを割り当て 30 複製プライマリVM レプリカVM 差分を複製
  • 31. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. Hyper-VレプリカによるBCP: 利用パターン 複製間隔…30秒 / 5分 / 15分…常に差分複製 回復方法…いずれも手動 BCP状態からの復元方法…いずれも手動 31 状況 操作対象 データ損失 フェールオーバー プライマリ停止 非計画停止 レプリカ 可能性あり 計画フェールオーバー プライマリ停止 計画停止 プライマリ なし テストフェールオーバー 正常稼動 並行稼動 レプリカ なし 以前の状態に戻したい そのまま使いたい フェールオーバー 取り消し 反転 計画フェールオーバー 計画フェールオーバー N/A(操作不要) テストフェールオーバー 中止(テスト仮想マシン削除) N/A(想定外) ※テストフェールオーバーでは、仮想マシンの複製が別の仮想ネットワークを使って起動
  • 32. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. AzureバックアップによるDR(災害対策) Widows Serverバックアップの保存先を変更 Azureバックアップ (オンラインバックアップ) システム状態のバックアップ不可 32
  • 33. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. サーバーの障害・災害対策のまとめ  システム管理者のパスワードポリシー強化  ブランチオフィスのドメインコントローラー管理  ファイルサーバーの障害対策  Hyper-VレプリカによるBCP  AzureバックアップによるDR 33
  • 35. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. まとめ: 主なテクノロジー クライアント管理 グループポリシー WSUS 集約型アクセス制御 ファイルの分類管理 AD RMS BitLocker SMB暗号化 IP Security サーバー管理 RODC 以前のバージョン 記憶域プール DFS-R スケールアウト ファイルサーバー Hyper-Vレプリカ Azureバックアップ 35
  • 36. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved. まとめ 36  http://www.globalknowledge.co.jp/reference/ms/ 詳しくは マイクロソフト認定トレーニング  グループポリシー逆引きリファレンス厳選92(日経BP) お勧め参考書
  • 37. Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.