AZ-802 Chương 13 5 Labs Ngày tạo: 22/05/2026

Windows Server Security Baseline và Hardening

Áp dụng baseline bảo mật cho Windows Server: firewall, audit, TLS, SMB hardening, local admin và security options.

Thông tin thực hành

Exam: AZ-802 — Windows Server Hybrid Administrator

Ngày tạo: 22/05/2026

Nền tảng: Windows Server 2022/2025 lab, Windows 11, Azure, WAC

Ưu tiên: PowerShell/CLI trước, GUI là cách 02

Lý thuyết gắn gọn

Security baseline

Security baseline là bộ cấu hình bảo mật khuyến nghị cho hệ điều hành và workload. Nó giúp giảm bề mặt tấn công, chuẩn hóa cấu hình và đáp ứng audit.

Windows Firewall

Windows Firewall kiểm soát traffic inbound/outbound trên server. Không nên tắt firewall toàn bộ; nên mở đúng port cần thiết và ghi chú lý do.

Audit Policy

Audit Policy quyết định sự kiện bảo mật nào được ghi vào Security Event Log, như đăng nhập, thay đổi quyền, thay đổi policy và truy cập tài nguyên nhạy cảm.

TLS hardening

TLS hardening là tắt giao thức/cipher yếu và ưu tiên phiên bản TLS an toàn. Điều này quan trọng với dịch vụ web, API hoặc LDAPs.

SMB security

SMB security gồm SMB signing, tắt SMBv1, kiểm soát guest access và phân quyền đúng. SMBv1 là rủi ro lớn và nên bị loại bỏ.

Ghi chú tình huống doanh nghiệp

  • Không áp cấu hình trực tiếp lên production. Dùng OU/lab server/snapshot trước.
  • Ưu tiên PowerShell để lặp lại được, audit được và dùng trong automation.
  • GUI/WAC/Server Manager dùng để đối chiếu, vận hành hoặc đào tạo người mới.
  • Mỗi lab cần có evidence: output lệnh, Event Log, screenshot hoặc trạng thái Azure resource.

Bài tập lab step-by-step

LAB-061 PowerShell Windows Server Windows Admin Center

Áp dụng Windows Server baseline

Nền tảng thực hành: PowerShell, Windows Server, Windows Admin Center

Terminal: Windows Terminal / PowerShell 7; CMD nếu lab yêu cầu; Linux/macOS Terminal chỉ dùng cho Azure CLI từ máy quản trị.

Phiên bản: Windows Server 2022 hoặc 2025 lab, Windows 11 admin workstation, Windows Admin Center latest, Azure CLI 2.x, Az PowerShell 12.x+. Ngày tạo: 22/05/2026.

Cách 01 — PowerShell / CLI ưu tiên

  1. Mở PowerShell Administrator hoặc Group Policy Management.
  2. Xác định baseline/security policy cần áp dụng.
  3. Cấu hình policy/feature/security control theo lab.
  4. Kiểm tra bằng PowerShell và Event Viewer.
  5. Ghi lại trạng thái trước/sau hardening.
  6. Tạo rollback plan trước khi áp dụng rộng.
  7. Đối chiếu bằng Windows Security/WAC/Portal nếu phù hợp.
  8. Cleanup cấu hình demo nếu cần.
PowerShell / CLI mẫu
Get-ComputerInfo | Select-Object CsName,WindowsProductName,OsVersion
Get-Service | Select-Object -First 10
Get-EventLog -LogName System -Newest 10

Cách 02 — GUI / Windows Admin Center / Server Manager / Azure Portal

  1. Mở Windows Admin Center, Server Manager/MMC hoặc Azure Portal tùy lab.
  2. Chọn đúng server, role hoặc Azure resource lab.
  3. Tạo/cấu hình theo nội dung lab.
  4. Mở Overview, Event Viewer, Activity Log hoặc Monitoring để kiểm tra.
  5. Chụp screenshot cấu hình chính.
  6. Cleanup nếu không dùng.
Kiểm tra kết quả

Có output PowerShell/CLI, screenshot GUI/WAC/Portal hoặc Event Log chứng minh cấu hình hoạt động đúng.

Cleanup

Xóa VM, Resource Group, GPO/object demo, vault, policy assignment hoặc cấu hình lab nếu không còn dùng.

LAB-062 PowerShell Windows Server Windows Admin Center

Cấu hình Windows Firewall rule

Nền tảng thực hành: PowerShell, Windows Server, Windows Admin Center

Terminal: Windows Terminal / PowerShell 7; CMD nếu lab yêu cầu; Linux/macOS Terminal chỉ dùng cho Azure CLI từ máy quản trị.

Phiên bản: Windows Server 2022 hoặc 2025 lab, Windows 11 admin workstation, Windows Admin Center latest, Azure CLI 2.x, Az PowerShell 12.x+. Ngày tạo: 22/05/2026.

Cách 01 — PowerShell / CLI ưu tiên

  1. Mở PowerShell Administrator hoặc Group Policy Management.
  2. Xác định baseline/security policy cần áp dụng.
  3. Cấu hình policy/feature/security control theo lab.
  4. Kiểm tra bằng PowerShell và Event Viewer.
  5. Ghi lại trạng thái trước/sau hardening.
  6. Tạo rollback plan trước khi áp dụng rộng.
  7. Đối chiếu bằng Windows Security/WAC/Portal nếu phù hợp.
  8. Cleanup cấu hình demo nếu cần.
PowerShell / CLI mẫu
Get-ComputerInfo | Select-Object CsName,WindowsProductName,OsVersion
Get-Service | Select-Object -First 10
Get-EventLog -LogName System -Newest 10

Cách 02 — GUI / Windows Admin Center / Server Manager / Azure Portal

  1. Mở Windows Admin Center, Server Manager/MMC hoặc Azure Portal tùy lab.
  2. Chọn đúng server, role hoặc Azure resource lab.
  3. Tạo/cấu hình theo nội dung lab.
  4. Mở Overview, Event Viewer, Activity Log hoặc Monitoring để kiểm tra.
  5. Chụp screenshot cấu hình chính.
  6. Cleanup nếu không dùng.
Kiểm tra kết quả

Có output PowerShell/CLI, screenshot GUI/WAC/Portal hoặc Event Log chứng minh cấu hình hoạt động đúng.

Cleanup

Xóa VM, Resource Group, GPO/object demo, vault, policy assignment hoặc cấu hình lab nếu không còn dùng.

LAB-063 PowerShell Windows Server Windows Admin Center Azure Portal Azure CLI

Bật audit policy

Nền tảng thực hành: PowerShell, Windows Server, Windows Admin Center, Azure Portal, Azure CLI

Terminal: Windows Terminal / PowerShell 7; CMD nếu lab yêu cầu; Linux/macOS Terminal chỉ dùng cho Azure CLI từ máy quản trị.

Phiên bản: Windows Server 2022 hoặc 2025 lab, Windows 11 admin workstation, Windows Admin Center latest, Azure CLI 2.x, Az PowerShell 12.x+. Ngày tạo: 22/05/2026.

Cách 01 — PowerShell / CLI ưu tiên

  1. Đăng nhập Azure CLI: `az login`.
  2. Chọn subscription lab: `az account set --subscription <SUBSCRIPTION_ID>`.
  3. Tạo hoặc chọn Resource Group lab.
  4. Tạo/onboard/cấu hình tài nguyên Azure theo lab.
  5. Chạy lệnh PowerShell/Azure CLI để xác minh trạng thái.
  6. Mở Azure Portal để đối chiếu trạng thái resource.
  7. Ghi lại Resource ID, screenshot và output CLI.
  8. Cleanup Resource Group, policy assignment, vault hoặc Arc resource nếu không dùng.
PowerShell / CLI mẫu
Get-ComputerInfo | Select-Object CsName,WindowsProductName,OsVersion
Get-Service | Select-Object -First 10
Get-EventLog -LogName System -Newest 10

Cách 02 — GUI / Windows Admin Center / Server Manager / Azure Portal

  1. Mở Windows Admin Center, Server Manager/MMC hoặc Azure Portal tùy lab.
  2. Chọn đúng server, role hoặc Azure resource lab.
  3. Tạo/cấu hình theo nội dung lab.
  4. Mở Overview, Event Viewer, Activity Log hoặc Monitoring để kiểm tra.
  5. Chụp screenshot cấu hình chính.
  6. Cleanup nếu không dùng.
Kiểm tra kết quả

Có output PowerShell/CLI, screenshot GUI/WAC/Portal hoặc Event Log chứng minh cấu hình hoạt động đúng.

Cleanup

Xóa VM, Resource Group, GPO/object demo, vault, policy assignment hoặc cấu hình lab nếu không còn dùng.

LAB-064 PowerShell Windows Server Windows Admin Center Server Manager/MMC

Hardening SMB signing

Nền tảng thực hành: PowerShell, Windows Server, Windows Admin Center, Server Manager/MMC

Terminal: Windows Terminal / PowerShell 7; CMD nếu lab yêu cầu; Linux/macOS Terminal chỉ dùng cho Azure CLI từ máy quản trị.

Phiên bản: Windows Server 2022 hoặc 2025 lab, Windows 11 admin workstation, Windows Admin Center latest, Azure CLI 2.x, Az PowerShell 12.x+. Ngày tạo: 22/05/2026.

Cách 01 — PowerShell / CLI ưu tiên

  1. Mở PowerShell Administrator trên file server lab.
  2. Cài role File Server/DFS/FSRM nếu cần.
  3. Tạo thư mục, SMB share và phân quyền NTFS/share.
  4. Cấu hình DFS/FSRM/Azure File Sync hoặc migration theo lab.
  5. Kiểm tra truy cập từ client domain.
  6. Kiểm tra Event Viewer, SMB sessions và quyền truy cập.
  7. Ghi lại permission matrix và kết quả validate.
  8. Cleanup share, sync group hoặc migration demo.
PowerShell / CLI mẫu
New-Item -ItemType Directory -Path D:\Shares\Data
New-SmbShare -Name Data -Path D:\Shares\Data -FullAccess 'CORP\GG-IT-Admins'
Get-SmbShare -Name Data

Cách 02 — GUI / Windows Admin Center / Server Manager / Azure Portal

  1. Mở Windows Admin Center, Server Manager/MMC hoặc Azure Portal tùy lab.
  2. Chọn đúng server, role hoặc Azure resource lab.
  3. Tạo/cấu hình theo nội dung lab.
  4. Mở Overview, Event Viewer, Activity Log hoặc Monitoring để kiểm tra.
  5. Chụp screenshot cấu hình chính.
  6. Cleanup nếu không dùng.
Kiểm tra kết quả

Có output PowerShell/CLI, screenshot GUI/WAC/Portal hoặc Event Log chứng minh cấu hình hoạt động đúng.

Cleanup

Xóa VM, Resource Group, GPO/object demo, vault, policy assignment hoặc cấu hình lab nếu không còn dùng.

LAB-065 PowerShell Windows Server Windows Admin Center

Kiểm tra security event logs

Nền tảng thực hành: PowerShell, Windows Server, Windows Admin Center

Terminal: Windows Terminal / PowerShell 7; CMD nếu lab yêu cầu; Linux/macOS Terminal chỉ dùng cho Azure CLI từ máy quản trị.

Phiên bản: Windows Server 2022 hoặc 2025 lab, Windows 11 admin workstation, Windows Admin Center latest, Azure CLI 2.x, Az PowerShell 12.x+. Ngày tạo: 22/05/2026.

Cách 01 — PowerShell / CLI ưu tiên

  1. Mở PowerShell Administrator hoặc Group Policy Management.
  2. Xác định baseline/security policy cần áp dụng.
  3. Cấu hình policy/feature/security control theo lab.
  4. Kiểm tra bằng PowerShell và Event Viewer.
  5. Ghi lại trạng thái trước/sau hardening.
  6. Tạo rollback plan trước khi áp dụng rộng.
  7. Đối chiếu bằng Windows Security/WAC/Portal nếu phù hợp.
  8. Cleanup cấu hình demo nếu cần.
PowerShell / CLI mẫu
Get-ComputerInfo | Select-Object CsName,WindowsProductName,OsVersion
Get-Service | Select-Object -First 10
Get-EventLog -LogName System -Newest 10

Cách 02 — GUI / Windows Admin Center / Server Manager / Azure Portal

  1. Mở Windows Admin Center, Server Manager/MMC hoặc Azure Portal tùy lab.
  2. Chọn đúng server, role hoặc Azure resource lab.
  3. Tạo/cấu hình theo nội dung lab.
  4. Mở Overview, Event Viewer, Activity Log hoặc Monitoring để kiểm tra.
  5. Chụp screenshot cấu hình chính.
  6. Cleanup nếu không dùng.
Kiểm tra kết quả

Có output PowerShell/CLI, screenshot GUI/WAC/Portal hoặc Event Log chứng minh cấu hình hoạt động đúng.

Cleanup

Xóa VM, Resource Group, GPO/object demo, vault, policy assignment hoặc cấu hình lab nếu không còn dùng.

← Chương trước Chương sau →
Zalo