sécurisé Windows Server

Check-list des sécurisés Windows Server:

• Installez régulièrement les mises à jour du système d'exploitation et des logiciels installés.
• Utiliser des logiciels provenant de sources fiables
• Configurer correctement le pare-feu
• Renommer le compte administrateur
• Utiliser plusieurs comptes administrateur
• Utiliser un compte utilisateur avec des droits limités
• Restreindre le partage de fichiers et de dossiers, activer la protection par mot de passe
• Activer la demande de mot de passe pour se connecter lors de la sortie du mode inactif, ainsi que la déconnexion des sessions en cas d'inactivité
• Utiliser l'assistant de configuration de la sécurité
• Configurer correctement les politiques de sécurité
• Utiliser les politiques de sécurité locales
• Protéger le service Bureau à distance (RDP)
• Configurer la passerelle des services Terminal Server
• Installer le service de passerelle TS
• Installer un certificat SSL
• Il ne reste plus qu'à configurer les stratégies de groupe
• Isolez les rôles de serveur. Désactiver les services inutilisés

La question de la sécurité des serveurs a été et sera pertinente. Considérons les règles de base pour assurer la sécurité des serveurs exécutant le système d'exploitation de la famille Windows Server.

Serveurs Cloud à partir de 4 € / moisIntel Xeon Gold 6254 3.1 GHz CPU, SLA 99,9%, canal 100 MbpsEssai

Dans la vie de tous les jours, il existe une opinion selon laquelle Windows n'a pas besoin de mises à jour et il est généralement préférable de les désactiver, soi-disant "pour que le système ne soit pas vidé". C'est l'une des plus grosses erreurs. Il est important d'installer les mises à jour en temps opportun, en particulier les mises à jour critiques. Cette tâche est simplifiée par un utilitaire spécial, qui peut être trouvé sur le site officiel de Windows Update.

Il est également important de maintenir à jour les logiciels associés installés, notamment les SGBD, les différents frameworks, etc.

Nous vous recommandons de vous assurer que la source est fiable, avant de télécharger le package d'installation du logiciel, y compris Open Source. Il arrive souvent qu'une ressource visuellement similaire au site officiel distribue un logiciel déjà compromis (Fishing). Un fichier contenant un code malveillant peut être ajouté au package d'installation.

Il est important de comprendre que le serveur est accessible depuis Internet. Pour cette raison, le système d'exploitation doit être protégé par tout dispositif agissant comme un pare-feu. S'il n'y a pas de tels dispositifs, alors le Windows Firewall sera le dernier espoir de protection contre les connexions non autorisées au serveur.

Moins il y a de ports TCP/UDP disponibles de l'extérieur, moins il y a de chances qu'il attaque le serveur. Dans ce cas, il est important de comprendre ce que vous devez bloquer. Si on parle d'un serveur web, alors les ports TCP 80 et 443 doivent être laissés disponibles (le service écoute sur ces ports par défaut).

Il s'agissait de ports publics, mais n'oubliez pas qu'il existe des ports dont l'accès doit être assuré selon le principe de la liste « blanche », c'est-à-dire uniquement à un certain groupe de personnes. Exemple de ports :

• 3389 - RDP (Protocole de bureau à distance);
• 135-139 - NetBIOS ;
• 445 - Samba (partage de fichiers et de dossiers) ;
• 5000 - 5050 - FTP en mode passif ;
• 1433 - 1434 - Ports SQL ;
• 3306 - port standard pour MySQL;
• 53 - DNS

Il n'est pas difficile de créer une règle. Ouvrir Menu Démarrer→ Panneau de configuration → Système et sécurité → Outils d'administration → Windows Firewall avec la sécurité avancée.

Dans la fenêtre du programme, faites un clic droit sur "Règles pour les connexions entrantes". Dans le menu contextuel qui s'ouvre, sélectionnez "Créer une règle...".

Si plusieurs personnes administrent le serveur, vous devez créer un compte individuel pour chacune. Une telle mesure vous permettra de retrouver le coupable de ce qui s'est passé.

Il n'est pas toujours nécessaire d'utiliser un compte avec des droits d'administration pour effectuer les tâches quotidiennes. Nous vous recommandons de créer un compte avec des droits limités. Si le compte est compromis, l'attaquant devra essayer d'obtenir les droits d'administrateur et faire certaines mauvaises choses sera beaucoup plus complexe pour lui. De plus, une telle mesure peut aider à sauver le serveur de ses propres actions.

En cas d'accès non autorisé sous le compte administrateur, l'attaquant aura un accès complet au système.

Nous vous recommandons fortement de ne pas partager les connexions avec des utilisateurs anonymes ou sans mot de passe. Même si les fichiers stockés dans des dossiers n'ont aucune valeur, rien n'empêche un attaquant de remplacer votre fichier par un fichier au contenu malveillant. Les conséquences d'un tel changement peuvent être très différentes.

En plus d'utiliser la protection par mot de passe, nous vous recommandons de restreindre différents utilisateurs dans le niveau d'accès aux fichiers et aux dossiers (lecture, écriture, modification).

Lorsque vous utilisez un serveur physique (non distant ou virtuel), il est recommandé d'activer l'invite de mot de passe utilisateur au réveil. Ce paramètre est configuré dans le panneau de configuration : Panneau de configuration → Tous les éléments du panneau de configuration → Options d'alimentation.

Il est également important de définir des limites d'inactivité des utilisateurs et de demander un mot de passe "au retour". Cela exclura la possibilité qu'une autre personne se connecte au nom de l'utilisateur s'il a quitté ou oublié de fermer le RDP session. Pour configurer cet élément, utilisez le secpol.msc réglage de la politique locale.

(SCW - Assistant de configuration de la sécurité) vous permet de créer des fichiers XML de politiques de sécurité, qui peuvent ensuite être transférés vers d'autres serveurs. Ces politiques comprennent non seulement les règles d'utilisation des services, mais également les paramètres généraux du système et Firewall règles.

En plus de la configuration initiale des stratégies de groupe Active Directory, elles doivent être périodiquement révisées et reconfigurées. C'est l'un des principaux moyens d'assurer la sécurité des Windows Infrastructure.

Pour faciliter la gestion des stratégies de groupe, vous pouvez utiliser non seulement l'utilitaire gpmc.msc intégré à Windows Server, mais aussi le (Responsable Conformité SCM-Sécurité).

, utilitaire proposé par Microsoft.

En plus d'utiliser les stratégies de sécurité de groupe Active Directory, vous devez également utiliser des stratégies locales qui affectent les droits des utilisateurs distants et des comptes locaux.

Pour gérer les politiques locales, vous pouvez utiliser le composant logiciel enfichable "Politique de sécurité locale" approprié, appelé par le secpol.msc commande de Démarrer -> Exécuter (Windows touche + R).

1. Bloquer RDP connexions pour les utilisateurs avec un mot de passe vide.

La présence d'utilisateurs sans mot de passe est inacceptable, mais si cela ne peut être évité, vous pouvez au moins désactiver la connexion à RDP. Pour ce faire, ouvrez Démarrer → Outils d'administration.

Dans le répertoire qui s'ouvre, lancez le Stratégie de sécurité locale.

Dans la fenêtre Stratégies de sécurité locales, à gauche, sélectionnez Politiques locales → Options de sécurité. Dans la partie principale de la fenêtre, on retrouve "Comptes : limitez l'utilisation de mots de passe vides par le compte local à la connexion à la console uniquement".

Sélectionnez cet élément en double-cliquant et déplacez le commutateur sur «Hors Ligne" positionner. Appuyez sur la "OK" bouton.

Modifier le défaut RDP port TCP.

Remplacer les numéros de port TCP des services standards par d'autres valeurs peut bien augmenter la sécurité du serveur, l'essentiel est de ne pas oublier le nouveau numéro de port.

Pour modifier un port :

1. Ouvrez le Windows Éditeur du registre - Windows + R
2. Au cas où, nous créons une copie de sauvegarde du registre (Fichier → Exporter)
3. Agrandir la branche HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TCP et, dans la partie droite de la fenêtre, recherchez le paramètre PortNumber.
5. Ouvrez l'option en double-cliquant sur la souris. Dans la fenêtre qui s'ouvre, sélectionnez l'option Système de calcul : Décimal, spécifiez une nouvelle valeur de port, cliquez sur «OK" et fermez la fenêtre de l'éditeur de registre.

Afin de pouvoir se connecter au serveur, nous créons une règle appropriée pour le Windows Firewall. Faites un clic droit sur "Règles entrantes"et sélectionnez"Nouvelle règle" dans le menu contextuel.

Dans le "Assistants", sélectionnez "Pour Porto »

Puis sélectionnez "Protocole TCP","Ports locaux spécifiques” et spécifiez un nouveau numéro de port.

L'étape suivante consiste à sélectionner "Autoriser la connexion"

Nous configurons pour quels réseaux la règle s'appliquera, nous marquons ceux nécessaires avec des daws.

À l'étape finale, spécifiez le nom de la règle et sa description.

Redémarrez le serveur pour appliquer les modifications.

Pour se connecter à un bureau distant, nous utilisons maintenant une adresse IP ou un nom de domaine, et spécifions le port par deux-points.

Le service « TS (Remote Desktop Services) Gateway » permet de sécuriser une connexion bureau à distance en utilisant le HTTPprotocole S(SSL), évitant ainsi à l'administrateur système d'avoir à configurer un VPN. L'outil est capable de contrôler de manière exhaustive l'accès aux machines, ainsi que de définir des règles d'autorisation et des exigences pour les utilisateurs distants, par exemple :

• Utilisateurs ou groupes d'utilisateurs autorisés à se connecter aux ressources du réseau interne ;
• Ressources réseau auxquelles les utilisateurs peuvent se connecter ;
• Si les ordinateurs clients doivent être membres d’Active Directory ;
• Si les clients doivent utiliser une authentification par carte à puce ou par mot de passe, ou peuvent utiliser l'une des méthodes d'authentification ci-dessus.

La logique de fonctionnement de la passerelle de bureau à distance nécessite l'utilisation d'une machine distincte. Cependant, il n'interdit pas l'utilisation d'une machine virtuelle autonome.

Ouvrez le gestionnaire de serveur.

Sélectionnez "Ajouter des rôles et des fonctionnalités"

Au "Type d'installation” étape, sélectionnez “Installer des rôles et des fonctionnalités".

L'étape suivante consiste à sélectionner le serveur actuel.

Rôle de serveur - Service de bureau à distance.

Passons au service de rôle. Sélectionner "Passerelle Bureau à distance".

Nous passons à l'étape de confirmation, cliquez sur le bouton "Installer" bouton.

Après avoir installé le rôle, dans la fenêtre du gestionnaire de serveur, sélectionnez Outils → Services Bureau à distance → Gestionnaire de passerelle Bureau à distance.

Dans la fenêtre qui s'ouvre, dans sa partie gauche, cliquez sur l'icône du serveur. Dans la partie principale de la fenêtre, sélectionnez "Afficher et modifier les propriétés du certificat".

Dans le "Propriétés» qui s'ouvre, allez dans le «Certificat SSLonglet ". Sélectionnez l'élément "Créer un certificat auto-signé", cliquez sur le bouton "Créer et importer un certificat".

Si vous disposez d'un certificat créé précédemment, vous pouvez utiliser l'une des options ci-dessous, en fonction de la personne qui l'a émis.

Dans la nouvelle fenêtre, vérifiez les paramètres. Si tout est correct, cliquez sur «OK ».

Avec une nouvelle fenêtre, le système vous informera de la création réussie du certificat et vous donnera le chemin d'accès au fichier.

Accédez à la fenêtre des propriétés du serveur. Cliquez sur «Appliquer".

Dans le "Gestionnaire de passerelle de bureau à distance", dans la colonne de gauche, développez la branche du serveur, sélectionnez"Politiques internes", puis "Politiques d'autorisation de connexion”. Dans la colonne de droite de la même fenêtre, sélectionnez "Créer une nouvelle politique » → "Wizard ».

Dans la nouvelle fenêtre, sélectionnez "Créer uniquement une stratégie d'autorisation de connexion Bureau à distance", Cliquez sur "Suivant".

Spécifiez le nom souhaité pour la stratégie. Nous vous recommandons d'entrer le nom en latin.

L'étape suivante consiste à choisir une méthode d'authentification pratique - un mot de passe ou un carte à puce. Laissez seulement "Mot de Passe" coché. Cliquez sur le bouton "Ajouter un groupe..."

Dans la fenêtre de sélection de groupe, cliquez sur le bouton «Avancé" bouton.

La taille de la fenêtre va changer. Cliquez sur le bouton «Rechercher" bouton. Dans les résultats trouvés, sélectionnez "Administrateurs de domaine" et cliquez sur le "OK" bouton.

Dans la fenêtre de sélection de groupe, vérifiez les noms des objets sélectionnés et cliquez sur «OK ».

Le groupe a été ajouté. Pour passer à l'étape suivante, cliquez sur le bouton "Suivant" bouton.

À l'étape suivante, sélectionnez l'élément "Activer la redirection de périphérique pour tous les périphériques clients"Et cliquez sur"Suivant ».

Configurez des délais d'expiration de session. Et les actions après leur expiration. Nous vous recommandons de déconnecter la session afin que les processus utilisateur en arrière-plan ne prennent pas CPU heure. Cliquez sur "Suivant".

À la dernière étape, nous visualisons le résumé, cliquez sur «Finition ».

Pour confirmer la création de la politique, cliquez sur «Fermer".

Configurez une stratégie d'autorisation de ressources.

Le processus se déroule de la même manière que le précédent.

Dans la fenêtre Remote Desktop Gateway Manager, développez le Politiques → Politiques d'autorisation de connexion bifurquer. Dans la partie droite de la fenêtre, sélectionnez "Créer une nouvelle stratégie" → "Assistant".

Dans la fenêtre qui s'ouvre, sélectionnez "Créer uniquement une stratégie d'autorisation de ressources de bureau à distance", clique le "Suivant" bouton.

La première étape consiste à spécifier le nom souhaité pour la stratégie d'autorisation. Nous vous recommandons fortement de spécifier le nom en latin. Nous appuyons sur le "Suivant"Bouton.

Dans la fenêtre de sélection de groupe, cliquez sur le bouton «Avancé" bouton.

La fenêtre se redimensionnera. Appuyez sur la "Rechercher". Dans les résultats de la recherche, recherchez "Administrateurs de domaine" et cliquez sur le "OK" bouton.

Dans la fenêtre de sélection de groupe, vérifiez les noms des objets sélectionnés et cliquez sur «OK ».

Le groupe a été ajouté. Pour passer à l'étape suivante, cliquez sur le bouton "Suivant" bouton.

Dans l'étape suivante, nous permettons aux utilisateurs de se connecter à n'importe quelle ressource réseau. Pour ce faire, sélectionnez l'option appropriée et cliquez sur le bouton «Suivant"Bouton.

Configurez les ports autorisés. Si le port du RDP le serveur n'a pas été modifié, alors laissez 3389. Cliquez sur «Suivant ».

La dernière étape consiste à vérifier les paramètres et à cliquer sur «Finition"Bouton.

Dans la fenêtre mise à jour, cliquez sur «Fermer".

Au stade de la planification préliminaire de l'architecture du réseau, l'une des tâches principales est de planifier les risques en cas de défaillance de tout élément du réseau. Il peut y avoir de nombreuses raisons à cela - de la panne de l'équipement au "piratage" de l'extérieur. Plus il y a de rôles attribués au serveur, plus les conséquences seront graves en cas de défaillance du serveur. Pour minimiser les risques et les dommages, vous devez, si possible, délimiter les rôles des serveurs au stade de la conception. La désactivation des services et des rôles de serveur nécessaires aura également un effet positif sur son fonctionnement.

Le cas idéal est qu'un serveur exécute une fonction spécifique, telle qu'un contrôleur de domaine, un serveur de fichiers ou un serveur de terminaux. En pratique, une telle séparation des rôles est difficile à réaliser.

L'isolation des rôles peut également être gérée par des serveurs virtuels. Les technologies de virtualisation modernes offrent un haut niveau de performance et de stabilité, alors que ni l'administrateur ni l'utilisateur ne subissent de restrictions. Un matériel correctement sélectionné et des pièces logicielles configurées peuvent remplacer à part entière tout un parc d'équipements.

Vue d'ensemble Windows Nano-serveur.

Nano serveur est devenu un développement ultérieur de Windows Server Core. Cette version du kit de distribution exclut l'utilisation d'une interface utilisateur graphique. Toute la gestion est axée sur WMI - Windows Instrumentation de gestion, ainsi que Windows PowerShell. Cette Windows Server distribution a 92 % moins de recommandations de sécurité critiques. Nano Server est uniquement disponible pour les clients Microsoft Software Assurance et les plates-formes de cloud computing telles que Microsoft Azure et Amazon Web Services. Commençant par Windows Server build 1709, Nano Server ne peut être installé qu'à l'intérieur d'un hôte de conteneur.

Serveurs Cloud à partir de 4 € / moisIntel Xeon Gold 6254 3.1 GHz CPU, SLA 99,9%, canal 100 MbpsEssai