nouvelles
NOUVEAU : Accès au LLM via API depuis le panneau de contrôle
Serverspace Black Friday
DF
Le 29 juin 2022
Mise à jour en juin 7, 2023

sécurisé Windows Server

Windows

Check-list des sécurisés Windows Server:

La question de la sécurité des serveurs a été et sera pertinente. Considérons les règles de base pour assurer la sécurité des serveurs exécutant le système d'exploitation de la famille Windows Server.

Installez régulièrement les mises à jour du système d'exploitation et des logiciels installés.

Dans la vie de tous les jours, il existe une opinion selon laquelle Windows n'a pas besoin de mises à jour et il est généralement préférable de les désactiver, soi-disant "pour que le système ne soit pas vidé". C'est l'une des plus grosses erreurs. Il est important d'installer les mises à jour en temps opportun, en particulier les mises à jour critiques. Cette tâche est simplifiée par un utilitaire spécial, qui peut être trouvé sur le site officiel de Windows Update.

Il est également important de maintenir à jour les logiciels connexes installés, y compris le SGBD, divers frameworks, etc.

Utilisez des logiciels provenant de sources fiables.

Nous vous recommandons de vous assurer que la source est fiable, avant de télécharger le package d'installation du logiciel, y compris Open Source. Il arrive souvent qu'une ressource visuellement similaire au site officiel distribue un logiciel déjà compromis (Fishing). Un fichier contenant un code malveillant peut être ajouté au package d'installation.

Configurer correctement le firewall.

Il est important de comprendre que le serveur est accessible depuis Internet. Pour cette raison, le système d'exploitation doit être protégé par tout périphérique agissant comme un firewall. S'il n'y a pas de tels dispositifs, alors le Windows Firewall sera le dernier espoir de protection contre les connexions non autorisées au serveur.

Moins il y a de ports TCP/UDP disponibles de l'extérieur, moins il y a de chances qu'il attaque le serveur. Dans ce cas, il est important de comprendre ce que vous devez bloquer. Si on parle d'un serveur web, alors les ports TCP 80 et 443 doivent être laissés disponibles (le service écoute sur ces ports par défaut).

Il s'agissait de ports publics, mais n'oubliez pas qu'il existe des ports dont l'accès doit être assuré selon le principe de la liste « blanche », c'est-à-dire uniquement à un certain groupe de personnes. Exemple de ports :

  • 3389 - RDP (Protocole de bureau à distance);
  • 135-139 - NetBIOS ;
  • 445 - Samba (partage de fichiers et de dossiers) ;
  • 5000 - 5050 - FTP en mode passif ;
  • 1433 - 1434 - Ports SQL ;
  • 3306 - port standard pour MySQL;
  • 53 - DNS

Il n'est pas difficile de créer une règle. Ouvrir Menu Démarrer→ Panneau de configuration → Système et sécurité → Outils d'administration → Windows Firewall avec la sécurité avancée.

Windows Server Manager

Dans le programmeram fenêtre, droite-click sur "Règles pour les connexions entrantes". Dans le menu contextuel qui s'ouvre, sélectionnez "Créer une règle...".

Creating a rule

 

Renommez le compte administrateur.

Utilisez plusieurs comptes d'administrateur.

Si plusieurs personnes administrent le serveur, vous devez créer un compte individuel pour chacune. Une telle mesure vous permettra de retrouver le coupable de ce qui s'est passé.

Utilisez un compte utilisateur avec des droits limités.

Il n'est pas toujours nécessaire d'utiliser un compte avec des droits d'administration pour effectuer les tâches quotidiennes. Nous vous recommandons de créer un compte avec des droits limités. Si le compte est compromis, l'attaquant devra essayer d'obtenir les droits d'administrateur et faire certaines mauvaises choses sera beaucoup plus complexe pour lui. De plus, une telle mesure peut aider à sauver le serveur de ses propres actions.

En cas d'accès non autorisé sous le compte administrateur, l'attaquant aura un accès complet au système.

Limitez le partage de fichiers et de dossiers, activez la protection par mot de passe.

Nous vous recommandons fortement de ne pas partager les connexions avec des utilisateurs anonymes ou sans mot de passe. Même si les fichiers stockés dans des dossiers n'ont aucune valeur, rien n'empêche un attaquant de remplacer votre fichier par un fichier au contenu malveillant. Les conséquences d'un tel changement peuvent être très différentes.

En plus d'utiliser la protection par mot de passe, nous vous recommandons de restreindre différents utilisateurs dans le niveau d'accès aux fichiers et aux dossiers (lecture, écriture, modification).

Activer la demande de mot de passe pour se connecter lors de la sortie du mode inactif, ainsi que la déconnexion des sessions en cas d'inactivité.

Lorsque vous utilisez un serveur physique (non distant ou virtuel), il est recommandé d'activer l'invite de mot de passe utilisateur au réveil. Ce paramètre est configuré dans le panneau de configuration : Panneau de configuration → Tous les éléments du panneau de configuration → Options d'alimentation.

Il est également important de définir des limites d'inactivité des utilisateurs et de demander un mot de passe "au retour". Cela exclura la possibilité qu'une autre personne se connecte au nom de l'utilisateur s'il a quitté ou oublié de fermer le RDP session. Pour configurer cet élément, utilisez le secpol.msc réglage de la politique locale.

Utilisez l'assistant de configuration de la sécurité.

(SCW - Assistant de configuration de la sécurité) vous permet de créer des fichiers XML de politiques de sécurité, qui peuvent ensuite être transférés vers d'autres serveurs. Ces politiques comprennent non seulement les règles d'utilisation des services, mais également les paramètres généraux du système et Firewall règles.

Configurez correctement les politiques de sécurité.

En plus de la configuration initiale des stratégies de groupe Active Directory, elles doivent être périodiquement révisées et reconfigurées. C'est l'un des principaux moyens d'assurer la sécurité des Windows Infrastructure.

Pour faciliter la gestion des stratégies de groupe, vous pouvez utiliser non seulement l'utilitaire gpmc.msc intégré à Windows Server, mais aussi le (Responsable Conformité SCM-Sécurité).

, utilitaire proposé par Microsoft.

Utilisez des stratégies de sécurité locales.

En plus d'utiliser les stratégies de sécurité de groupe Active Directory, vous devez également utiliser des stratégies locales qui affectent les droits des utilisateurs distants et des comptes locaux.

Pour gérer les politiques locales, vous pouvez utiliser le composant logiciel enfichable "Politique de sécurité locale" approprié, appelé par le secpol.msc commande de Démarrer -> Exécuter (Windows touche + R).

Protéger le service Bureau à distance (RDP).

  1. Block RDP connexions pour les utilisateurs avec un mot de passe vide.

La présence d'utilisateurs sans mot de passe est inacceptable, mais si cela ne peut être évité, vous pouvez au moins désactiver la connexion à RDP. Pour ce faire, ouvrez Démarrer → Outils d'administration.

Windows Administartive tools

Dans le répertoire qui s'ouvre, lancez le Stratégie de sécurité locale.

Local Security Policy

Dans la fenêtre Stratégies de sécurité locales, à gauche, sélectionnez Politiques locales → Options de sécurité. Dans la partie principale de la fenêtre, on retrouve "Comptes : limitez l'utilisation de mots de passe vides par le compte local à la connexion à la console uniquement".

Limit local account use of blank passwords

Sélectionnez cet élément en double-cliet déplacez le commutateur sur "Hors Ligne" positionner. Appuyez sur la "OK" bouton.

Disable Local security setting

Modifier le défaut RDP port TCP.

Remplacer les numéros de port TCP des services standards par d'autres valeurs peut bien augmenter la sécurité du serveur, l'essentiel est de ne pas oublier le nouveau numéro de port.

Pour modifier un port :

  1. Ouvrez le Windows Éditeur du registre - Windows + R
  2. Au cas où, nous créons une copie de sauvegarde du registre (Fichier → Exporter)
  3. Agrandir la branche HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TCP et, dans la partie droite de la fenêtre, trouvez le PortNumber parameter.
  4. Port number
  5. Ouvrez l'option en double-clipiquer la souris. Dans la fenêtre qui s'ouvre, sélectionnez le Système de calcul : Décimal, spécifiez une nouvelle valeur de port, click le "OK" et fermez la fenêtre de l'éditeur de registre.

Changing Port Number

Afin de pouvoir se connecter au serveur, nous créons une règle appropriée pour le Windows Firewall. Droite-click sur "Règles entrantes"et sélectionnez"Nouvelle règle" dans le menu contextuel.

New rule for Windows Firewall

Dans le "Assistants", sélectionnez "Pour Porto »

Choosing "For Port"

Puis sélectionnez "Protocole TCP","Ports locaux spécifiques” et spécifiez un nouveau numéro de port.

Select a new port

L'étape suivante consiste à sélectionner "Autoriser la connexion"

Allow connection

Nous configurons pour quels réseaux la règle s'appliquera, nous marquons les nécessaires avec daws.

Put all ticks

À l'étape finale, spécifiez le nom de la règle et sa description.

Select a name and optionally a description for your rule

Redémarrez le serveur pour appliquer les modifications.

Pour se connecter à un bureau distant, nous utilisons maintenant une adresse IP ou un nom de domaine, et spécifions le port par deux-points.

Checking new rule

Configurez la passerelle des services Terminal Server.

Le service « TS (Remote Desktop Services) Gateway » permet de sécuriser une connexion bureau à distance en utilisant le HTTPprotocole S(SSL), évitant ainsi à l'administrateur système d'avoir à configurer un VPN. L'outil est capable de contrôler de manière exhaustive l'accès aux machines, ainsi que de définir des règles d'autorisation et des exigences pour les utilisateurs distants, par exemple :

  • Utilisateurs ou groupes d'utilisateurs autorisés à se connecter aux ressources du réseau interne ;
  • Ressources réseau auxquelles les utilisateurs peuvent se connecter ;
  • Si cliles ordinateurs ent doivent être membres d'Active Directory ;
  • Si cliLes utilisateurs doivent utiliser une authentification basée sur une carte à puce ou un mot de passe, ou peuvent utiliser l'une des méthodes d'authentification ci-dessus.

La logique de fonctionnement de la passerelle de bureau à distance nécessite l'utilisation d'une machine distincte. Cependant, il n'interdit pas l'utilisation d'une machine virtuelle autonome.

Installez le service de passerelle TS.

Ouvrez le gestionnaire de serveur.

Open a Server Manager

Sélectionnez "Ajouter des rôles et des fonctionnalités"

Creating a rule

Au "Type d'installation” étape, sélectionnez “Installer des rôles et des fonctionnalités".

Select role

L'étape suivante consiste à sélectionner le serveur actuel.

Select a server

Rôle de serveur - Service de bureau à distance.

Choosing a Remote Desktop

Passons au service de rôle. Sélectionner "Passerelle Bureau à distance".

Install Remote Desktop Gateway

Nous passons à l'étape de confirmation, click le "Vidir rapide" bouton.

Accept installing

Installation d'un certificat SSL.

Après avoir installé le rôle, dans la fenêtre du gestionnaire de serveur, sélectionnez Outils → Services Bureau à distance → Gestionnaire de passerelle Bureau à distance.

Remote Desktop Gateway Manager

Dans la fenêtre qui s'ouvre, dans sa partie gauche, click sur l'icône du serveur. Dans la partie principale de la fenêtre, sélectionnez "Afficher et modifier les propriétés du certificat".

Properties

Dans le "Propriétés» qui s'ouvre, allez dans le «Certificat SSLonglet ". Sélectionnez l'élément "Créer un certificat auto-signé", click le bouton "Créer et importer un certificat".

SSL Sertificate

Si vous disposez d'un certificat créé précédemment, vous pouvez utiliser l'une des options ci-dessous, en fonction de la personne qui l'a émis.

Dans la nouvelle fenêtre, vérifiez les paramètres. Si tout est correct, click "OK ».

Creating a SSL

Avec une nouvelle fenêtre, le système vous informera de la création réussie du certificat et vous donnera le chemin d'accès au fichier.

Created certificate

Accédez à la fenêtre des propriétés du serveur. Click "Appliquer".

Apply a new certificate

Il ne reste plus qu'à configurer les stratégies de groupe.

Dans le "Gestionnaire de passerelle de bureau à distance", dans la colonne de gauche, développez la branche du serveur, sélectionnez"Politiques internes", puis "Politiques d'autorisation de connexion”. Dans la colonne de droite de la même fenêtre, sélectionnez "Créer une nouvelle politique » "Wizard ».

New policy in the RD Gateway Manager

Dans la nouvelle fenêtre, sélectionnez "Créer uniquement une stratégie d'autorisation de connexion Bureau à distance", click "Suivant".

Only RD CAP

Spécifiez le nom souhaité pour la stratégie. Nous vous recommandons d'entrer le nom en latin.

A name for a new policy

L'étape suivante consiste à choisir une méthode d'authentification pratique - un mot de passe ou un carte à puce. Laissez seulement "Mot de Passe" vérifié. Click le "Ajouter un groupe..."

Adding a group

Dans la fenêtre de sélection de groupe, click sur le "Avancé" bouton.

Advanced

La taille de la fenêtre va changer. Click sur le "Rechercher" bouton. Dans les résultats trouvés, sélectionnez "Administrateurs de domaine"Et click le "OK" bouton.

Adding a new group

Dans la fenêtre de sélection de groupe, vérifiez les noms d'objets sélectionnés et click "OK ».

Check the selected group

Le groupe a été ajouté. Pour passer à l'étape suivante, click le "Suivant" bouton.

À l'étape suivante, sélectionnez l'élément "Activer la redirection d'appareils pour tous cliappareils ent" et click "Suivant ».

Enable device redirection

Configurez des délais d'expiration de session. Et les actions après leur expiration. Nous vous recommandons de déconnecter la session afin que les processus utilisateur en arrière-plan ne prennent pas CPU le temps. Click "Suivant".

CPU time

A la dernière étape, on visualise le résumé, click "Finition ».

Click Finish
Pour confirmer la création de la stratégie, click "Fermer".

Click Close

Configurez une stratégie d'autorisation de ressources.

Le processus se déroule de la même manière que le précédent.

Dans la fenêtre Remote Desktop Gateway Manager, développez le Politiques → Politiques d'autorisation de connexion bifurquer. Dans la partie droite de la fenêtre, sélectionnez "Créer une nouvelle stratégie" → "Assistant".

New policy in the RD Gateway Manager

Dans la fenêtre qui s'ouvre, sélectionnez "Créer uniquement une stratégie d'autorisation de ressources de bureau à distance", click le "Suivant" bouton.

Onlu RD RAP

 

La première étape consiste à spécifier le nom souhaité pour la stratégie d'autorisation. Nous vous recommandons fortement de spécifier le nom en latin. Nous appuyons sur le "Suivant"Bouton.

Name for new RD RAP

 

Dans la fenêtre de sélection de groupe, click sur le "Avancé" bouton.

Advanced

La fenêtre se redimensionnera. Appuyez sur la "Rechercher". Dans les résultats de la recherche, recherchez "Administrateurs de domaine"Et click le "OK" bouton.

Adding a new group

Dans la fenêtre de sélection de groupe, vérifiez les noms d'objets sélectionnés et click "OK ».

Check the selected group

Le groupe a été ajouté. Pour passer à l'étape suivante, click le "Suivant" bouton.

 

Dans l'étape suivante, nous autorisons les utilisateurs à se connecter à n'importe quelle ressource réseau. Pour ce faire, sélectionnez l'option appropriée et click le "Suivant"Bouton.

Any networks

Configurez les ports autorisés. Si le port du RDP serveur n'a pas été modifié, puis laissez 3389. Click "Suivant ».

Select a port

La dernière étape consiste à vérifier les paramètres et click le "Finition"Bouton.

Finish

Dans la fenêtre mise à jour, click "Fermer".

Close

Isolez les rôles de serveur. Désactivez les services inutilisés.

Au stade de la planification préliminaire de l'architecture du réseau, l'une des tâches principales est de planifier les risques en cas de défaillance de tout élément du réseau. Il peut y avoir de nombreuses raisons à cela - de la panne de l'équipement au "piratage" de l'extérieur. Plus il y a de rôles attribués au serveur, plus les conséquences seront graves en cas de défaillance du serveur. Pour minimiser les risques et les dommages, vous devez, si possible, délimiter les rôles des serveurs au stade de la conception. La désactivation des services et des rôles de serveur nécessaires aura également un effet positif sur son fonctionnement.

Le cas idéal est qu'un serveur exécute une fonction spécifique, telle qu'un contrôleur de domaine, un serveur de fichiers ou un serveur de terminaux. En pratique, une telle séparation des rôles est difficile à réaliser.

L'isolation des rôles peut également être gérée par des serveurs virtuels. Les technologies de virtualisation modernes offrent un haut niveau de performance et de stabilité, alors que ni l'administrateur ni l'utilisateur ne subissent de restrictions. Un matériel correctement sélectionné et des pièces logicielles configurées peuvent remplacer à part entière tout un parc d'équipements.

Vue d'ensemble Windows Nano-serveur.

Nano serveur est devenu un développement ultérieur de Windows Server Core. Cette version du kit de distribution exclut l'utilisation d'une interface utilisateur graphique. Toute la gestion est axée sur WMI - Windows Instrumentation de gestion, ainsi que Windows PowerShell. Cette Windows Server distribution a 92 % moins de recommandations de sécurité critiques. Nano Server est uniquement disponible pour les clients Microsoft Software Assurance et les plates-formes de cloud computing telles que Microsoft Azure et Amazon Web Services. Commençant par Windows Server build 1709, Nano Server ne peut être installé qu'à l'intérieur d'un hôte de conteneur.

Voter:
4 sur 5
Note moyenne : 4.5
Noté par : 4
1101 CT Amsterdam Pays-Bas, Herikerbergweg 292
+31 20 262-58-98
700 300
ITGLOBAL.COM NL
700 300
Nous utilisons des cookies pour rendre votre expérience sur le Serverspace meilleur. En poursuivant votre navigation sur notre site, vous acceptez nos
Utilisation des cookies et Politique de confidentialité.