Check-list des sécurisés Windows Server:
- Installez régulièrement les mises à jour du système d'exploitation et des logiciels installés.
- Utiliser des logiciels provenant de sources fiables
- Configurer correctement le firewall
- Renommer le compte administrateur
- Utiliser plusieurs comptes administrateur
- Utiliser un compte utilisateur avec des droits limités
- Restreindre le partage de fichiers et de dossiers, activer la protection par mot de passe
- Activer la demande de mot de passe pour se connecter lors de la sortie du mode inactif, ainsi que la déconnexion des sessions en cas d'inactivité
- Utiliser l'assistant de configuration de la sécurité
- Configurer correctement les politiques de sécurité
- Utiliser les politiques de sécurité locales
- Protéger le service Bureau à distance (RDP)
- Configurer la passerelle des services Terminal Server
- Installer le service de passerelle TS
- Installer un certificat SSL
- Il ne reste plus qu'à configurer les stratégies de groupe
- Isolez les rôles de serveur. Désactiver les services inutilisés
La question de la sécurité des serveurs a été et sera pertinente. Considérons les règles de base pour assurer la sécurité des serveurs exécutant le système d'exploitation de la famille Windows Server.
Installez régulièrement les mises à jour du système d'exploitation et des logiciels installés.
Dans la vie de tous les jours, il existe une opinion selon laquelle Windows n'a pas besoin de mises à jour et il est généralement préférable de les désactiver, soi-disant "pour que le système ne soit pas vidé". C'est l'une des plus grosses erreurs. Il est important d'installer les mises à jour en temps opportun, en particulier les mises à jour critiques. Cette tâche est simplifiée par un utilitaire spécial, qui peut être trouvé sur le site officiel de Windows Update.
Il est également important de maintenir à jour les logiciels connexes installés, y compris le SGBD, divers frameworks, etc.
Utilisez des logiciels provenant de sources fiables.
Nous vous recommandons de vous assurer que la source est fiable, avant de télécharger le package d'installation du logiciel, y compris Open Source. Il arrive souvent qu'une ressource visuellement similaire au site officiel distribue un logiciel déjà compromis (Fishing). Un fichier contenant un code malveillant peut être ajouté au package d'installation.
Configurer correctement le firewall.
Il est important de comprendre que le serveur est accessible depuis Internet. Pour cette raison, le système d'exploitation doit être protégé par tout périphérique agissant comme un firewall. S'il n'y a pas de tels dispositifs, alors le Windows Firewall sera le dernier espoir de protection contre les connexions non autorisées au serveur.
Moins il y a de ports TCP/UDP disponibles de l'extérieur, moins il y a de chances qu'il attaque le serveur. Dans ce cas, il est important de comprendre ce que vous devez bloquer. Si on parle d'un serveur web, alors les ports TCP 80 et 443 doivent être laissés disponibles (le service écoute sur ces ports par défaut).
Il s'agissait de ports publics, mais n'oubliez pas qu'il existe des ports dont l'accès doit être assuré selon le principe de la liste « blanche », c'est-à-dire uniquement à un certain groupe de personnes. Exemple de ports :
- 3389 - RDP (Protocole de bureau à distance);
- 135-139 - NetBIOS ;
- 445 - Samba (partage de fichiers et de dossiers) ;
- 5000 - 5050 - FTP en mode passif ;
- 1433 - 1434 - Ports SQL ;
- 3306 - port standard pour MySQL;
- 53 - DNS
Il n'est pas difficile de créer une règle. Ouvrir Menu Démarrer→ Panneau de configuration → Système et sécurité → Outils d'administration → Windows Firewall avec la sécurité avancée.
Dans le programmeram fenêtre, droite-click sur "Règles pour les connexions entrantes". Dans le menu contextuel qui s'ouvre, sélectionnez "Créer une règle...".
Renommez le compte administrateur.
Utilisez plusieurs comptes d'administrateur.
Si plusieurs personnes administrent le serveur, vous devez créer un compte individuel pour chacune. Une telle mesure vous permettra de retrouver le coupable de ce qui s'est passé.
Utilisez un compte utilisateur avec des droits limités.
Il n'est pas toujours nécessaire d'utiliser un compte avec des droits d'administration pour effectuer les tâches quotidiennes. Nous vous recommandons de créer un compte avec des droits limités. Si le compte est compromis, l'attaquant devra essayer d'obtenir les droits d'administrateur et faire certaines mauvaises choses sera beaucoup plus complexe pour lui. De plus, une telle mesure peut aider à sauver le serveur de ses propres actions.
En cas d'accès non autorisé sous le compte administrateur, l'attaquant aura un accès complet au système.
Limitez le partage de fichiers et de dossiers, activez la protection par mot de passe.
Nous vous recommandons fortement de ne pas partager les connexions avec des utilisateurs anonymes ou sans mot de passe. Même si les fichiers stockés dans des dossiers n'ont aucune valeur, rien n'empêche un attaquant de remplacer votre fichier par un fichier au contenu malveillant. Les conséquences d'un tel changement peuvent être très différentes.
En plus d'utiliser la protection par mot de passe, nous vous recommandons de restreindre différents utilisateurs dans le niveau d'accès aux fichiers et aux dossiers (lecture, écriture, modification).
Activer la demande de mot de passe pour se connecter lors de la sortie du mode inactif, ainsi que la déconnexion des sessions en cas d'inactivité.
Lorsque vous utilisez un serveur physique (non distant ou virtuel), il est recommandé d'activer l'invite de mot de passe utilisateur au réveil. Ce paramètre est configuré dans le panneau de configuration : Panneau de configuration → Tous les éléments du panneau de configuration → Options d'alimentation.
Il est également important de définir des limites d'inactivité des utilisateurs et de demander un mot de passe "au retour". Cela exclura la possibilité qu'une autre personne se connecte au nom de l'utilisateur s'il a quitté ou oublié de fermer le RDP session. Pour configurer cet élément, utilisez le secpol.msc réglage de la politique locale.
Utilisez l'assistant de configuration de la sécurité.
(SCW - Assistant de configuration de la sécurité) vous permet de créer des fichiers XML de politiques de sécurité, qui peuvent ensuite être transférés vers d'autres serveurs. Ces politiques comprennent non seulement les règles d'utilisation des services, mais également les paramètres généraux du système et Firewall règles.
Configurez correctement les politiques de sécurité.
En plus de la configuration initiale des stratégies de groupe Active Directory, elles doivent être périodiquement révisées et reconfigurées. C'est l'un des principaux moyens d'assurer la sécurité des Windows Infrastructure.
Pour faciliter la gestion des stratégies de groupe, vous pouvez utiliser non seulement l'utilitaire gpmc.msc intégré à Windows Server, mais aussi le (Responsable Conformité SCM-Sécurité).
, utilitaire proposé par Microsoft.
Utilisez des stratégies de sécurité locales.
En plus d'utiliser les stratégies de sécurité de groupe Active Directory, vous devez également utiliser des stratégies locales qui affectent les droits des utilisateurs distants et des comptes locaux.
Pour gérer les politiques locales, vous pouvez utiliser le composant logiciel enfichable "Politique de sécurité locale" approprié, appelé par le secpol.msc commande de Démarrer -> Exécuter (Windows touche + R).
Protéger le service Bureau à distance (RDP).
- Block RDP connexions pour les utilisateurs avec un mot de passe vide.
La présence d'utilisateurs sans mot de passe est inacceptable, mais si cela ne peut être évité, vous pouvez au moins désactiver la connexion à RDP. Pour ce faire, ouvrez Démarrer → Outils d'administration.
Dans le répertoire qui s'ouvre, lancez le Stratégie de sécurité locale.
Dans la fenêtre Stratégies de sécurité locales, à gauche, sélectionnez Politiques locales → Options de sécurité. Dans la partie principale de la fenêtre, on retrouve "Comptes : limitez l'utilisation de mots de passe vides par le compte local à la connexion à la console uniquement".
Sélectionnez cet élément en double-cliet déplacez le commutateur sur "Hors Ligne" positionner. Appuyez sur la "OK" bouton.
Modifier le défaut RDP port TCP.
Remplacer les numéros de port TCP des services standards par d'autres valeurs peut bien augmenter la sécurité du serveur, l'essentiel est de ne pas oublier le nouveau numéro de port.
Pour modifier un port :
- Ouvrez le Windows Éditeur du registre - Windows + R
- Au cas où, nous créons une copie de sauvegarde du registre (Fichier → Exporter)
- Agrandir la branche HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TCP et, dans la partie droite de la fenêtre, trouvez le PortNumber parameter.
- Ouvrez l'option en double-clipiquer la souris. Dans la fenêtre qui s'ouvre, sélectionnez le Système de calcul : Décimal, spécifiez une nouvelle valeur de port, click le "OK" et fermez la fenêtre de l'éditeur de registre.
Afin de pouvoir se connecter au serveur, nous créons une règle appropriée pour le Windows Firewall. Droite-click sur "Règles entrantes"et sélectionnez"Nouvelle règle" dans le menu contextuel.
Dans le "Assistants", sélectionnez "Pour Porto »
Puis sélectionnez "Protocole TCP","Ports locaux spécifiques” et spécifiez un nouveau numéro de port.
L'étape suivante consiste à sélectionner "Autoriser la connexion"
Nous configurons pour quels réseaux la règle s'appliquera, nous marquons les nécessaires avec daws.
À l'étape finale, spécifiez le nom de la règle et sa description.
Redémarrez le serveur pour appliquer les modifications.
Pour se connecter à un bureau distant, nous utilisons maintenant une adresse IP ou un nom de domaine, et spécifions le port par deux-points.
Configurez la passerelle des services Terminal Server.
Le service « TS (Remote Desktop Services) Gateway » permet de sécuriser une connexion bureau à distance en utilisant le HTTPprotocole S(SSL), évitant ainsi à l'administrateur système d'avoir à configurer un VPN. L'outil est capable de contrôler de manière exhaustive l'accès aux machines, ainsi que de définir des règles d'autorisation et des exigences pour les utilisateurs distants, par exemple :
- Utilisateurs ou groupes d'utilisateurs autorisés à se connecter aux ressources du réseau interne ;
- Ressources réseau auxquelles les utilisateurs peuvent se connecter ;
- Si cliles ordinateurs ent doivent être membres d'Active Directory ;
- Si cliLes utilisateurs doivent utiliser une authentification basée sur une carte à puce ou un mot de passe, ou peuvent utiliser l'une des méthodes d'authentification ci-dessus.
La logique de fonctionnement de la passerelle de bureau à distance nécessite l'utilisation d'une machine distincte. Cependant, il n'interdit pas l'utilisation d'une machine virtuelle autonome.
Installez le service de passerelle TS.
Ouvrez le gestionnaire de serveur.
Sélectionnez "Ajouter des rôles et des fonctionnalités"
Au "Type d'installation” étape, sélectionnez “Installer des rôles et des fonctionnalités".
L'étape suivante consiste à sélectionner le serveur actuel.
Rôle de serveur - Service de bureau à distance.
Passons au service de rôle. Sélectionner "Passerelle Bureau à distance".
Nous passons à l'étape de confirmation, click le "Installer" bouton.
Installation d'un certificat SSL.
Après avoir installé le rôle, dans la fenêtre du gestionnaire de serveur, sélectionnez Outils → Services Bureau à distance → Gestionnaire de passerelle Bureau à distance.
Dans la fenêtre qui s'ouvre, dans sa partie gauche, click sur l'icône du serveur. Dans la partie principale de la fenêtre, sélectionnez "Afficher et modifier les propriétés du certificat".
Dans le "Propriétés» qui s'ouvre, allez dans le «Certificat SSLonglet ". Sélectionnez l'élément "Créer un certificat auto-signé", click le bouton "Créer et importer un certificat".
Si vous disposez d'un certificat créé précédemment, vous pouvez utiliser l'une des options ci-dessous, en fonction de la personne qui l'a émis.
Dans la nouvelle fenêtre, vérifiez les paramètres. Si tout est correct, click "OK ».
Avec une nouvelle fenêtre, le système vous informera de la création réussie du certificat et vous donnera le chemin d'accès au fichier.
Accédez à la fenêtre des propriétés du serveur. Click "Appliquer".
Il ne reste plus qu'à configurer les stratégies de groupe.
Dans le "Gestionnaire de passerelle de bureau à distance", dans la colonne de gauche, développez la branche du serveur, sélectionnez"Politiques internes", puis "Politiques d'autorisation de connexion”. Dans la colonne de droite de la même fenêtre, sélectionnez "Créer une nouvelle politique » → "Wizard ».
Dans la nouvelle fenêtre, sélectionnez "Créer uniquement une stratégie d'autorisation de connexion Bureau à distance", click "Suivant".
Spécifiez le nom souhaité pour la stratégie. Nous vous recommandons d'entrer le nom en latin.
L'étape suivante consiste à choisir une méthode d'authentification pratique - un mot de passe ou un carte à puce. Laissez seulement "Mot de Passe" vérifié. Click le "Ajouter un groupe..."
Dans la fenêtre de sélection de groupe, click sur le "Avancé" bouton.
La taille de la fenêtre va changer. Click sur le "Rechercher" bouton. Dans les résultats trouvés, sélectionnez "Administrateurs de domaine"Et click le "OK" bouton.
Dans la fenêtre de sélection de groupe, vérifiez les noms d'objets sélectionnés et click "OK ».
Le groupe a été ajouté. Pour passer à l'étape suivante, click le "Suivant" bouton.
À l'étape suivante, sélectionnez l'élément "Activer la redirection d'appareils pour tous cliappareils ent" et click "Suivant ».
Configurez des délais d'expiration de session. Et les actions après leur expiration. Nous vous recommandons de déconnecter la session afin que les processus utilisateur en arrière-plan ne prennent pas CPU le temps. Click "Suivant".
A la dernière étape, on visualise le résumé, click "Finition ».
Pour confirmer la création de la stratégie, click "Fermer".
Configurez une stratégie d'autorisation de ressources.
Le processus se déroule de la même manière que le précédent.
Dans la fenêtre Remote Desktop Gateway Manager, développez le Politiques → Politiques d'autorisation de connexion bifurquer. Dans la partie droite de la fenêtre, sélectionnez "Créer une nouvelle stratégie" → "Assistant".
Dans la fenêtre qui s'ouvre, sélectionnez "Créer uniquement une stratégie d'autorisation de ressources de bureau à distance", click le "Suivant" bouton.
La première étape consiste à spécifier le nom souhaité pour la stratégie d'autorisation. Nous vous recommandons fortement de spécifier le nom en latin. Nous appuyons sur le "Suivant"Bouton.
Dans la fenêtre de sélection de groupe, click sur le "Avancé" bouton.
La fenêtre se redimensionnera. Appuyez sur la "Rechercher". Dans les résultats de la recherche, recherchez "Administrateurs de domaine"Et click le "OK" bouton.
Dans la fenêtre de sélection de groupe, vérifiez les noms d'objets sélectionnés et click "OK ».
Le groupe a été ajouté. Pour passer à l'étape suivante, click le "Suivant" bouton.
Dans l'étape suivante, nous autorisons les utilisateurs à se connecter à n'importe quelle ressource réseau. Pour ce faire, sélectionnez l'option appropriée et click le "Suivant"Bouton.
Configurez les ports autorisés. Si le port du RDP serveur n'a pas été modifié, puis laissez 3389. Click "Suivant ».
La dernière étape consiste à vérifier les paramètres et click le "Finition"Bouton.
Dans la fenêtre mise à jour, click "Fermer".
Isolez les rôles de serveur. Désactivez les services inutilisés.
Au stade de la planification préliminaire de l'architecture du réseau, l'une des tâches principales est de planifier les risques en cas de défaillance de tout élément du réseau. Il peut y avoir de nombreuses raisons à cela - de la panne de l'équipement au "piratage" de l'extérieur. Plus il y a de rôles attribués au serveur, plus les conséquences seront graves en cas de défaillance du serveur. Pour minimiser les risques et les dommages, vous devez, si possible, délimiter les rôles des serveurs au stade de la conception. La désactivation des services et des rôles de serveur nécessaires aura également un effet positif sur son fonctionnement.
Le cas idéal est qu'un serveur exécute une fonction spécifique, telle qu'un contrôleur de domaine, un serveur de fichiers ou un serveur de terminaux. En pratique, une telle séparation des rôles est difficile à réaliser.
L'isolation des rôles peut également être gérée par des serveurs virtuels. Les technologies de virtualisation modernes offrent un haut niveau de performance et de stabilité, alors que ni l'administrateur ni l'utilisateur ne subissent de restrictions. Un matériel correctement sélectionné et des pièces logicielles configurées peuvent remplacer à part entière tout un parc d'équipements.
Vue d'ensemble Windows Nano-serveur.
Nano serveur est devenu un développement ultérieur de Windows Server Core. Cette version du kit de distribution exclut l'utilisation d'une interface utilisateur graphique. Toute la gestion est axée sur WMI - Windows Instrumentation de gestion, ainsi que Windows PowerShell. Cette Windows Server distribution a 92 % moins de recommandations de sécurité critiques. Nano Server est uniquement disponible pour les clients Microsoft Software Assurance et les plates-formes de cloud computing telles que Microsoft Azure et Amazon Web Services. Commençant par Windows Server build 1709, Nano Server ne peut être installé qu'à l'intérieur d'un hôte de conteneur.