Checklist de renforcement
de la sécurité de Windows Server

{{ firstError }}
Nous nous chargeons de la sécurité de vos données.
Politique de confidentialité

Le renforcement de la sécurité de Windows Server implique d’identifier et de remédier aux vulnérabilités de sécurité. Voici les principales bonnes pratiques de renforcement de la sécurité de Windows Server, que vous pouvez mettre en œuvre immédiatement pour réduire le risque que des attaquants compromettent vos systèmes et vos données critiques.

Sécurité organisationnelle

  • Tenez un registre d’inventaire pour chaque serveur, qui documente clairement sa configuration de base et chaque modification qui lui est apportée.
  • Testez et validez rigoureusement chaque modification proposée pour le matériel ou les logiciels du serveur avant de l’appliquer dans l’environnement de production.
  • Effectuez régulièrement une évaluation des risques. Servez-vous des résultats pour actualiser votre plan de gestion des risques et tenez à jour une liste hiérarchisée de tous les serveurs, afin de remédier rapidement aux vulnérabilités de sécurité.
  • Maintenez tous les serveurs au même niveau de révision

Préparation de Windows Server

  • Protégez les machines nouvellement installées de tout trafic réseau hostile jusqu’à ce que le système d’exploitation soit installé et sécurisé. Renforcez la sécurité de chaque nouveau serveur dans une zone démilitarisée isolée d’Internet.
  • Définissez un mot de passe BIOS/firmware pour empêcher toute modification non autorisée des paramètres de démarrage du serveur.
  • Désactivez la connexion administrative automatique à la console de récupération.
  • Configurez l’ordre de démarrage des périphériques de manière à empêcher tout démarrage non autorisé depuis un autre support.

Installation de Windows Server

  • Veillez à ce que le système ne s’arrête pas au cours de l’installation.
  • Utilisez l’Assistant Configuration de la sécurité pour créer une configuration système basée sur le rôle spécifique requis.
  • Veillez à ce que tous les correctifs et Service Packs appropriés soient appliqués rapidement. Les correctifs de sécurité résolvent les vulnérabilités connues que des attaquants pourraient exploiter pour compromettre un système. Après avoir installé Windows Server, mettez immédiatement celui-ci à jour avec les derniers correctifs via WSUS ou SCCM.
  • Activez la notification automatique de disponibilité des correctifs. Chaque fois qu’un correctif est publié, il doit être analysé, testé et appliqué en temps opportun via WSUS ou SCCM.

Renforcement de la sécurité des comptes d’utilisateur

  • Assurez-vous que vos mots de passe administratifs et système sont conformes aux bonnes pratiques en matière de mots de passe (en anglais). Vérifiez notamment que les mots de passe des comptes privilégiés ne soient pas basés sur un mot du dictionnaire et qu’ils contiennent au moins 15 caractères, dont des lettres, des chiffres, des caractères spéciaux et des caractères invisibles (CTRL ˆ) intercalés. Assurez-vous que tous les mots de passe sont changés tous les 90 jours.
  • Configurez la stratégie de groupe de verrouillage des comptes conformément aux bonnes pratiques de verrouillage des comptes (en anglais).
  • Interdisez aux utilisateurs de créer des comptes Microsoft et de s’y connecter.
  • Désactivez le compte invité.
  • Veillez à ce que les autorisations « tout le monde » ne s’appliquent pas aux utilisateurs anonymes.
  • N’autorisez pas l’énumération anonyme des comptes SAM et des partages.
  • Désactivez la traduction de noms/SID anonymes.
  • Désactivez ou supprimez rapidement les comptes d’utilisateur inutilisés.

Configuration de la sécurité du réseau

  • Activez le pare-feu Windows pour tous les profils (domaine, privé, public) et configurez-le de manière à bloquer le trafic entrant par défaut.
  • Bloquez les ports au niveau des paramètres réseau. Effectuez une analyse pour déterminer quels ports doivent être ouverts et restreignez l’accès à tous les autres ports.
  • Restreignez la possibilité d’accéder à chaque ordinateur du réseau aux utilisateurs authentifiés uniquement.
  • N’accordez à aucun utilisateur le droit « Agir en tant que partie du système d’exploitation ».
  • Refusez aux comptes invités la possibilité de se connecter en tant que service, en tant que traitement par lots, localement ou via RDP.
  • En cas d’utilisation de RDP, réglez le niveau de chiffrement de la connexion RDP sur élevé.
  • Supprimez « Activer la recherche LMhosts ».
  • Désactivez « NetBIOS sur TCP/IP ».
  • Supprimez ncacn_ip_tcp.
  • Configurez le client réseau et le serveur réseau Microsoft de manière à ce que les communications soient toujours signées numériquement.
  • Désactivez l’envoi de mots de passe non chiffrés à des serveurs SMB tiers.
  • N’autorisez aucun accès anonyme aux partages.
  • Autorisez le système local à utiliser l’identité de l’ordinateur pour NTLM.
  • Désactivez le retour à des sessions NULL avec le système local.
  • Configurez les types de chiffrement autorisés pour Kerberos.
  • Ne stockez pas les valeurs de hachage du gestionnaire de réseau local.
  • Définissez le niveau d’authentification du gestionnaire de réseau local de manière à autoriser uniquement NTLMv2 et à refuser LM et NTLM.
  • Supprimer le partage de fichiers et d’impression des paramètres réseau. Le partage de fichiers et d’impression est susceptible d’autoriser n’importe qui à se connecter à un serveur et à accéder à des données critiques sans ID utilisateur ni mot de passe.

Configuration de la sécurité du registre

  • Veillez à ce que tous les administrateurs prennent le temps de bien comprendre le fonctionnement du registre et le but de chacune de ses différentes clés. La plupart des vulnérabilités du système d’exploitation Windows peuvent être corrigées en modifiant des clés spécifiques, comme détaillé ci-dessous.
  • Configurez les autorisations du registre. Protégez le registre contre les accès anonymes. Interdisez l’accès à distance au registre si cela n’est pas nécessaire.
  • Réglez MaxCachedSockets (REG_DWORD) sur 0.
  • Réglez SmbDeviceEnabled (REG_DWORD) sur 0.
  • Réglez AutoShareServer sur 0.
  • Réglez AutoShareWks sur 0.
  • Supprimez toutes les données de valeur DANS la clé NullSessionPipes.
  • Supprimez toutes les données de valeur DANS la clé NullSessionShares.

Paramètres généraux de sécurité

  • Désactivez les services inutiles. La plupart des serveurs disposent de l’installation par défaut du système d’exploitation, qui contient souvent des services externes non nécessaires au fonctionnement du système et représentant une vulnérabilité de sécurité. Il est donc impératif de supprimer tous les services inutiles du système.
  • Supprimez les composants Windows inutiles. Tous les composants Windows inutiles doivent être supprimés des systèmes critiques, afin de maintenir les serveurs dans un état sécurisé.
  • Activez le système de chiffrement de fichiers (EFS) intégré avec NTFS ou BitLocker sur Windows Server.
  • Si le poste de travail possède suffisamment de mémoire vive (RAM), désactivez le fichier d’échange Windows. Ceci augmentera les performances et la sécurité car aucune donnée sensible ne pourra être écrite sur le disque dur.
  • N’utilisez pas AUTORUN. Sinon, un code non fiable pourrait être exécuté à l’insu de l’utilisateur ; des attaquants pourraient, par exemple, mettre un CD dans la machine et faire exécuter leur propre script.
  • Affichez un avis juridique comme ci-dessous avant la connexion de l’utilisateur : « Toute utilisation non autorisée de cet ordinateur et des ressources du réseau est interdite... »
  • Exigez Ctrl+Alt+Suppr pour les connexions interactives.
  • Définissez une limite d’inactivité des machines pour protéger les sessions interactives inactives.
  • Assurez-vous que tous les volumes utilisent le système de fichiers NTFS.
  • Configurez les autorisations des fichiers/dossiers locaux. Une autre procédure de sécurité importante mais souvent négligée consiste à verrouiller les autorisations de niveau fichier des serveurs. Par défaut, Windows n’applique pas de restrictions spécifiques sur les fichiers ou dossiers locaux ; le groupe « Tout le monde » dispose de toutes les autorisations pour la majeure partie de la machine. Supprimez ce groupe et accordez plutôt l’accès aux fichiers et aux dossiers en utilisant des groupes basés sur les rôles selon le principe du moindre privilège. Tous les efforts doivent être entrepris pour supprimer Invité, Tout le monde et CONNEXION ANONYME des listes de droits des utilisateurs. Une telle configuration rendra Windows plus sûr.
  • Réglez la date et l’heure du système et configurez-les de sorte qu’elles soient synchronisées avec les serveurs de temps du domaine.
  • Configurez un économiseur d’écran de manière à verrouiller automatiquement l’écran de la console s’il est laissé sans surveillance.

Paramètres de la politique d’audit

  • Appliquez une politique d’audit conformément aux bonnes pratiques en la matière (en anglais). La politique d’audit de Windows définit quels types d’événements sont écrits dans les journaux de sécurité de vos serveurs Windows.
  • Configurez la méthode de conservation du journal des événements avec une taille maximale de 4 Go et écrasement selon les besoins.
  • Configurez l’envoi des journaux au SIEM aux fins de surveillance.

Guide de sécurité logicielle

  • Installez et activez un logiciel antivirus. Configurez-le de manière à ce qu’il soit mis à jour quotidiennement.
  • Installez et activez un logiciel anti-logiciels espions. Configurez-le de manière à ce qu’il soit mis à jour quotidiennement.
  • Installez un logiciel de vérification de l’intégrité des fichiers critiques du système d’exploitation. Windows dispose d’une fonction appelée « Protection des ressources Windows », qui vérifie automatiquement certains fichiers clés et les remplace s’ils sont corrompus.

Finalisation

  • Faites une image de chaque système d’exploitation en utilisant GHOST ou Clonezilla pour simplifier l’installation et le renforcement de la sécurité de Windows Server.
  • Saisissez votre clé de licence Windows Server 2016/2012/2008/2003.
  • Entrez le serveur dans le domaine et appliquez vos stratégies de groupe pour le domaine.

Windows Server est un système sous-jacent essentiel pour Active Directory, les serveurs de bases de données et de fichiers, les applications métier, les services Web et de nombreux autres éléments importants de l’infrastructure informatique. Il est indispensable,pour la plupart des organisations, d’auditer Windows Server. Netwrix Auditor for Windows Server automatise l’audit des modifications, des configurations et des événements de sécurité, afin que les organisations puissent améliorer leur posture de sécurité, rationaliser leurs efforts de conformité et optimiser leurs opérations courantes.

Bonnes pratiques recommandées