• +32 9 277 90 00
  • info@itaf.eu
  • Lu – Ven: 09:00 – 18:00
  • Néerlandais
  • Anglais

6 étapes importantes dans l’implémentation de Windows Server

Partager cette publication

Partager sur facebook
Partager sur linkedin
Partager sur twitter
Partager sur email

Tout le monde sait qu’un serveur Windows prêt à l’emploi ne peut pas disposer de toutes les mesures de sécurité nécessaires pour passer directement à la production, bien que Microsoft ait amélioré la configuration par défaut dans chaque version de serveur. Les meilleures pratiques spécifiques varient en fonction des besoins, mais le fait de suivre ces six étapes avant de soumettre un serveur à Internet vous protégera contre les exploits les plus courants. Beaucoup d’entre elles sont des recommandations standard qui s’appliquent aux serveurs ou à n’importe quelle version, tandis que certaines sont spécifiques à Windows, explorant certaines des façons dont vous pouvez resserrer la plateforme de serveur Microsoft.

1. Configuration utilisateur et configuration réseau

L’édition Windows Server moderne vous oblige à le faire, mais assurez-vous que le mot de passe du compte administrateur local est réinitialisé sur quelque chose de sécurisé. De plus, désactivez l’administrateur local dans la mesure du possible. Il existe très peu de scénarios où ce compte est requis et comme il s’agit d’une cible d’attaque populaire, il doit être désactivé pour éviter qu’il ne soit exploité. Avec ce compte à l’écart, vous devez configurer un compte administrateur à utiliser. Vous pouvez soit ajouter un compte de domaine approprié, si votre serveur est membre d’un Active Directory (AD), soit créer un nouveau compte local et le placer dans le groupe d’administrateurs.
N’oubliez pas de protéger vos mots de passe. Utilisez une stratégie de mot de passe fort pour vous assurer que les comptes sur le serveur ne peuvent pas être compromis. Si votre serveur est membre d’AD, la stratégie de mot de passe sera définie au niveau du domaine dans la stratégie de domaine par défaut. Les serveurs autonomes peuvent être définis dans l’éditeur de stratégie local. Dans les deux cas, une bonne politique de mot de passe établira au moins les éléments suivants:

  • Exigences de complexité et de longueur – la force du mot de passe
  • Expiration du mot de passe – durée de validité du mot de passe
  • Historique des mots de passe – combien de temps avant que les mots de passe précédents puissent être réutilisés
  • Verrouillage du compte – combien de tentatives de mot de passe ont échoué avant la suspension du compte

1.1 Configuration réseau de Windows Server

Les serveurs de production doivent avoir une adresse IP statique afin que les clients puissent les trouver de manière fiable. Cette IP doit être dans un segment protégé, derrière un firewall. Configurez au moins deux serveurs DNS pour la redondance et vérifiez la résolution des noms à l’aide de nslookup à partir de l’invite des commandes. Assurez-vous que le serveur possède un enregistrement DNS valide avec le nom que vous souhaitez, ainsi qu’un enregistrement PTR pour les recherches inversées. Notez que la propagation des modifications DNS peut prendre plusieurs heures sur Internet, les adresses de production doivent donc être établies bien avant une fenêtre de mise en ligne. Enfin, désactivez tous les services réseau que le serveur n’utilisera pas, tels que IPv6. Cela dépend de votre environnement et tout changement ici doit être bien testé avant d’entrer en production.

2. Fonctionnalités Windows, configuration des rôles et installation des mises à jour

Microsoft utilise des rôles et des fonctionnalités pour gérer les packages de système d’exploitation. Les rôles sont essentiellement une collection de fonctionnalités conçues dans un but spécifique, donc généralement les rôles peuvent être choisis si le serveur en contient un, puis les fonctionnalités peuvent être personnalisées à partir de là. Deux choses tout aussi importantes à faire sont 1) assurez-vous que tout ce dont vous avez besoin est installé (version du framework f.e.NET ou IIS); sans les bonnes pièces, vos applications ne fonctionneront pas. 2) Désinstallez tout ce dont vous n’avez pas besoin. Les packages étrangers étendent inutilement la surface d’attaque du serveur et doivent être supprimés autant que possible. Les serveurs doivent être conçus en fonction de la nécessité et dépouillés pour que les pièces nécessaires fonctionnent aussi facilement et rapidement que possible.

2.1 Mettre à jour l’installation ou Windows Server

La meilleure façon de sécuriser votre serveur est de le maintenir à jour. Cela ne signifie pas nécessairement vivre à la fine pointe et appliquer des mises à jour dès leur publication avec peu ou pas de tests, mais simplement avoir un processus pour s’assurer que les mises à jour sont appliquées dans une fenêtre raisonnable.
Il existe différents types de mises à jour: les correctifs ont tendance à corriger une seule vulnérabilité; les correctifs sont un groupe de packages qui corrigent plusieurs vulnérabilités, peut-être liées, et les Service Packs sont des mises à jour d’un large éventail de vulnérabilités, comprenant des dizaines ou des centaines de correctifs individuels. Gardez à l’esprit que la version du système d’exploitation est également un type ou une mise à jour, et l’utilisation de versions de serveur vieilles de plusieurs années vous place loin derrière la courbe de sécurité. Si votre calendrier de production le permet, vous devez configurer des mises à jour automatiques sur votre serveur. Il est cependant beaucoup plus dangereux de laisser un système de production non corrigé que de le mettre à jour automatiquement, au moins pour les correctifs critiques. Dans la mesure du possible, les mises à jour doivent être échelonnées, de sorte que les environnements de test reçoivent environ une semaine plus tôt, permettant aux équipes d’observer leur comportement.

3. Configuration NTP et configuration du firewall

Une différence de temps de seulement 5 minutes interrompra complètement les ouvertures de session Windows et diverses autres fonctions qui reposent sur la sécurité de Kerberos. Les serveurs membres du domaine verront leur heure automatiquement synchronisée avec un contrôleur de domaine lors de leur adhésion au domaine, mais les serveurs autonomes doivent avoir NTP configuré pour se synchroniser avec une source externe afin que l’horloge reste précise.

3.1 Configuration du firewall sur Windows Server

Si vous créez un serveur Web, par exemple, vous n’ouvrirez des ports Web (80 et 443) à ce serveur qu’à partir d’Internet. Si le serveur a d’autres fonctions telles que le bureau à distance (RDP) pour la gestion, elles ne devraient être disponibles que via une connexion VPN, garantissant que les personnes non autorisées ne peuvent pas exploiter le port à volonté à partir du net.
Le firewall Windows Server est un firewall logiciel décent intégré qui permet la configuration ou le trafic basé sur les ports depuis le système d’exploitation. Sur un serveur autonome, ou tout serveur sans firewall matériel en face de lui, le firewall Windows Server fournira au moins une certaine protection contre les attaques réseau en limitant la surface d’attaque aux ports autorisés.

4. Accès à distance et configuration des services

Comme mentionné, si vous utilisez RDP (Remote Desktop Platform), assurez-vous qu’il n’est accessible que via VPN. Si vous le laisser ouvert à Internet cela ne garantit pas que vous serez piraté, mais il offre aux pirates potentiels une autre incursion dans votre serveur. Assurez-vous que RDP n’est accessible qu’aux utilisateurs autorisés. Par défaut, tous les administrateurs peuvent utiliser RDP une fois qu’il est activé sur le serveur. Des personnes supplémentaires peuvent rejoindre le groupe Utilisateurs du Bureau à distance pour y accéder sans devenir administrateurs.
En plus de RDP, divers autres mécanismes d’accès à distance tels que Powershell et SSH doivent être soigneusement verrouillés s’ils sont utilisés et rendus accessibles uniquement dans un environnement VPN.

4.1 Configuration du service sur Windows Server

Le serveur Windows dispose d’un ensemble de services par défaut qui démarrent automatiquement et s’exécutent en arrière-plan. Beaucoup d’entre eux sont nécessaires au fonctionnement du système d’exploitation, mais certains ne le sont pas et doivent être désactivés s’ils ne sont pas utilisés. En suivant la même logique que le firewall, nous voulons minimiser la surface d’attaque du serveur en désactivant tout autre que la fonctionnalité principale. Les versions plus anciennes de MS Server ont plus de services inutiles que les plus récents, alors vérifiez attentivement tous les serveurs 2008 ou 2003 (!)
Enfin, chaque service s’exécute dans le contexte de sécurité ou un utilisateur spécifique. Pour les services Windows par défaut, il s’agit souvent des comptes Système local, Service local ou Service réseau. Cette configuration peut fonctionner la plupart du temps, mais pour les services d’application et d’utilisateur, les meilleures pratiques dictent la configuration de comptes spécifiques au service, localement ou dans AD, pour gérer ces services avec le minimum d’accès nécessaire. Cela empêche les acteurs malveillants qui ont compromis une application d’étendre ce compromis à d’autres zones du serveur ou du domaine.

5. Durcissement supplémentaire

Microsoft fournit des analyseurs de meilleures pratiques basés sur le rôle et la version du serveur qui peuvent vous aider à renforcer davantage vos systèmes en analysant et en faisant des recommandations. Bien que le contrôle de compte d’utilisateur (UAC) veuille empêcher les applications de s’exécuter comme vous le faites sans votre consentement. Cela empêche les logiciels malveillants de s’exécuter en arrière-plan et les sites Web malveillants de lancer des programmes d’installation ou d’autres codes. Laissez UAC activé autant que possible.

Les conseils de ce guide aident à sécuriser le système d’exploitation Windows, mais chaque application doit également s’exécuter de manière renforcée. Les applications de serveur Microsoft courantes telles que MSSQL et Exchange ont des mécanismes de sécurité spécifiques qui peuvent les protéger contre les attaques telles que les ransomwares, assurez-vous de rechercher et d’ajuster chaque application pour une résilience maximale. Si vous créez un serveur Web, vous pouvez également suivre notre guide de renforcement pour améliorer sa sécurité face à Internet.

6. Journalisation et surveillance

Enfin, vous devez vous assurer que vos journaux et votre surveillance sont configurés et capturer les données que vous souhaitez afin qu’en cas de problème, vous puissiez trouver rapidement ce dont vous avez besoin et y remédier. La journalisation fonctionne différemment selon que votre serveur fait partie d’un domaine. Les ouvertures de session de domaine sont traitées par les contrôleurs de domaine, et en tant que tels, ils ont les journaux d’audit pour cette activité, pas le système local. Les serveurs autonomes auront des audits de sécurité disponibles et peuvent être configurés pour afficher les passes et / ou les échecs.

Les valeurs par défaut des journaux sont presque toujours beaucoup trop petites pour surveiller les applications de production complexes. En tant que tel, l’espace disque doit être alloué lors des générations de serveurs pour la journalisation, en particulier pour les applications comme MS Exchange. Les journaux doivent être sauvegardés conformément aux politiques de rétention de votre organisation, puis effacés pour faire place à des événements plus récents. Envisagez une solution de gestion centralisée des journaux si la gestion individuelle des journaux sur les serveurs devient écrasante. Comme un serveur syslog dans le monde Linux, un visualiseur d’événements centralisé pour les serveurs Windows peut aider à accélérer les temps de dépannage et de correction pour les environnements moyens à grands.

6.1 Surveillance

Que vous utilisiez le moniteur de performances Windows intégré ou une solution tierce qui utilise un client ou SNMP pour collecter des données, vous devez collecter des informations sur les performances sur chaque serveur. Des éléments tels que l’espace disque disponible, l’utilisation du processeur et de la mémoire, l’activité du réseau et même la température doivent être constamment analysés et enregistrés afin que les anomalies puissent être facilement identifiées et traitées.

Installation de Windows Server et comment ITAF peut-il vous aider?

Chacune de ces étapes peut prendre un certain temps à mettre en œuvre, surtout si vous effectuez cette opération pour la première fois. Mais en établissant une configuration et une infrastructure de serveur de routine ou initiale, vous pouvez vous assurer que les nouvelles machines de votre environnement seront résilientes. Pour toute question relative à la configuration de votre communication serveur à serveur, veuillez nous contactez et nous serons heureux de vous aider.

Autres articles de cette catégorie
Contenu non lu
Vous avez encore des sujets plus intéressants à découvrir 90%
Défiler vers le haut