Checklist

de renforcement
de la sécurité de
Windows Server
Table des matières
Sécurité organisationnelle 3

Préparation de Windows Server 3

Installation de Windows Server 4

Renforcement de la sécurité des comptes d’utilisateur 4

Configuration de la sécurité du réseau 5

Configuration de la sécurité du registre 6

Paramètres généraux de sécurité 7

Paramètres de la politique d’audit 8

Guide de sécurité logicielle 8

Finalisation 8

À propos de Netwrix 9

2
Le renforcement de la sécurité de Windows Server implique d’identifier et de remédier aux vulnérabilités
de sécurité. Voici les principales bonnes pratiques de renforcement de la sécurité de Windows Server, que
vous pouvez mettre en œuvre immédiatement pour réduire le risque que des attaquants compromettent
vos systèmes et vos données critiques.

Sécurité organisationnelle
 Tenez un registre d’inventaire pour chaque serveur, qui documente clairement sa configuration de
base et chaque modification qui lui est apportée.

 Testez et validez rigoureusement chaque modification proposée pour le matériel ou les logiciels du
serveur avant de l’appliquer dans l’environnement de production.

 Effectuez régulièrement une évaluation des risques. Servez-vous des résultats pour actualiser votre
plan de gestion des risques et tenez à jour une liste hiérarchisée de tous les serveurs, afin de remédier
rapidement aux vulnérabilités de sécurité.

 Maintenez tous les serveurs au même niveau de révision

Préparation de Windows Server

 Protégez les machines nouvellement installées de tout trafic réseau hostile jusqu’à ce que le
système d’exploitation soit installé et sécurisé. Renforcez la sécurité de chaque nouveau serveur
dans une zone démilitarisée isolée d’Internet.

 Définissez un mot de passe BIOS/firmware pour empêcher toute modification non autorisée des
paramètres de démarrage du serveur.

 Désactivez la connexion administrative automatique à la console de récupération.

 Configurez l’ordre de démarrage des périphériques de manière à empêcher tout démarrage

nonautorisé depuis un autre support.

3
Installation de Windows Server
 Veillez à ce que le système ne s’arrête pas au cours de l’installation.

 Utilisez l’Assistant Configuration de la sécurité pour créer une configuration système basée sur le
rôle spécifique requis.

 Veillez à ce que tous les correctifs et Service Packs appropriés soient appliqués rapidement. Les
correctifs de sécurité résolvent les vulnérabilités connues que des attaquants pourraient exploiter
pour compromettre un système. Après avoir installé Windows Server, mettez immédiatement celui-
ci à jour avec les derniers correctifs via WSUS ou SCCM.

 Activez la notification automatique de disponibilité des correctifs. Chaque fois qu’un correctif est
publié, il doit être analysé, testé et appliqué en temps opportun via WSUS ou SCCM.

Renforcement de la sécurité des comptes

d’utilisateur
 Assurez-vous que vos mots de passe administratifs et système sont conformes aux bonnes
pratiques en matière de mots de passe. Vérifiez notamment que les mots de passe des comptes
privilégiés ne soient pas basés sur un mot du dictionnaire et qu’ils contiennent au moins 15
caractères, dont des lettres, des chiffres, des caractères spéciaux et des caractères invisibles (CTRL ˆ)
intercalés. Assurez-vous que tous les mots de passe sont changés tous les 90 jours.

 Configurez la stratégie de groupe de verrouillage des comptes conformément aux bonnes pratiques
de verrouillage des comptes.

 Interdisez aux utilisateurs de créer des comptes Microsoft et de s’y connecter.

 Désactivez le compte invité.

 Veillez à ce que les autorisations « tout le monde » ne s’appliquent pas aux utilisateurs anonymes.

 N’autorisez pas l’énumération anonyme des comptes SAM et des partages.

 Désactivez la traduction de noms/SID anonymes.

 Désactivez ou supprimez rapidement les comptes d’utilisateur inutilisés.

4
Configuration de la sécurité du réseau
 Activez le pare-feu Windows pour tous les profils (domaine, privé, public) et configurez-le de
manière à bloquer le trafic entrant par défaut.

 Bloquez les ports au niveau des paramètres réseau. Effectuez une analyse pour déterminer quels
ports doivent être ouverts et restreignez l’accès à tous les autres ports.

 Restreignez la possibilité d’accéder à chaque ordinateur du réseau aux utilisateurs authentifiés

uniquement.

 N’accordez à aucun utilisateur le droit « Agir en tant que partie du système d’exploitation ».

 Refusez aux comptes invités la possibilité de se connecter en tant que service, en tant que
traitement par lots, localement ou via RDP.

 En cas d’utilisation de RDP, réglez le niveau de chiffrement de la connexion RDP sur élevé.

 Supprimez « Activer la recherche LMhosts ».

 Désactivez « NetBIOS sur TCP/IP ».

 Supprimez ncacn_ip_tcp.

 Configurez le client réseau et le serveur réseau Microsoft de manière à ce que les communications
soient toujours signées numériquement.

 Désactivez l’envoi de mots de passe non chiffrés à des serveurs SMB tiers.

 N’autorisez aucun accès anonyme aux partages.

 Autorisez le système local à utiliser l’identité de l’ordinateur pour NTLM.

 Désactivez le retour à des sessions NULL avec le système local.

 Configurez les types de chiffrement autorisés pour Kerberos.

 Ne stockez pas les valeurs de hachage du gestionnaire de réseau local.

5
  Définissez le niveau d’authentification du gestionnaire de réseau local de manière à autoriser
uniquement NTLMv2 et à refuser LM et NTLM.

 Supprimer le partage de fichiers et d’impression des paramètres réseau. Le partage de fichiers et

d’impression est susceptible d’autoriser n’importe qui à se connecter à un serveur et à accéder à des
données critiques sans ID utilisateur ni mot de passe.

Configuration de la sécurité du registre

 Veillez à ce que tous les administrateurs prennent le temps de bien comprendre le fonctionnement
du registre et le but de chacune de ses différentes clés. La plupart des vulnérabilités du
système d’exploitation Windows peuvent être corrigées en modifiant des clés spécifiques, comme
détaillé ci-dessous.

 Configurez les autorisations du registre. Protégez le registre contre les accès anonymes. Interdisez
l’accès à distance au registre si cela n’est pas nécessaire.

 Réglez MaxCachedSockets (REG_DWORD) sur 0.

 Réglez SmbDeviceEnabled (REG_DWORD) sur 0.

 Réglez AutoShareServer sur 0.

 Réglez AutoShareWks sur 0.

 Supprimez toutes les données de valeur DANS la clé NullSessionPipes.

 Supprimez toutes les données de valeur DANS la clé NullSessionShares.

6
Paramètres généraux de sécurité
 Désactivez les services inutiles. La plupart des serveurs disposent de l’installation par défaut
du système d’exploitation, qui contient souvent des services externes non
nécessaires au fonctionnement du système et représentant une vulnérabilité de sécurité. Il est
donc impératif de supprimer tous les services inutiles du système.

 Supprimez les composants Windows inutiles. Tous les composants Windows inutiles
doivent être supprimés des systèmes critiques, afin de maintenir les serveurs dans un état sécurisé.

 Activez le système de chiffrement de fichiers (EFS) intégré avec NTFS ou BitLocker sur
Windows Server.

 Si le poste de travail possède suffisamment de mémoire vive (RAM), désactivez le fichier

d’échange Windows. Ceci augmentera les performances et la sécurité car aucune donnée
sensible ne pourra être écrite sur le disque dur.

 N’utilisez pas AUTORUN. Sinon, un code non fiable pourrait être exécuté à l’insu de l’utilisateur ;
des attaquants pourraient, par exemple, mettre un CD dans la machine et faire exécuter leur
propre script.

 Affichez un avis juridique comme ci-dessous avant la connexion de l’utilisateur : « Toute

utilisation non autorisée de cet ordinateur et des ressources du réseau est interdite... »

 Exigez Ctrl+Alt+Suppr pour les connexions interactives.

 Définissez une limite d’inactivité des machines pour protéger les sessions interactives inactives.

 Assurez-vous que tous les volumes utilisent le système de fichiers NTFS.

 Configurez les autorisations des fichiers/dossiers locaux. Une autre procédure de

sécurité importante mais souvent négligée consiste à verrouiller les autorisations de niveau
fichier des serveurs. Par défaut, Windows n’applique pas de restrictions spécifiques sur les fichiers
ou dossiers locaux ; le groupe « Tout le monde » dispose de toutes les autorisations pour la
majeure partie de la machine. Supprimez ce groupe et accordez plutôt l’accès aux fichiers et aux
dossiers en utilisant des groupes basés sur les rôles selon le principe du moindre privilège.
Tous les efforts doivent être entrepris pour supprimer Invité, Tout le monde et CONNEXION
ANONYME des listes de droits des utilisateurs. Une telle configuration rendra Windows plus sûr.

7
  Réglez la date et l’heure du système et configurez-les de sorte qu’elles soient synchronisées avec
les serveurs de temps du domaine.

 Configurez un économiseur d’écran de manière à verrouiller automatiquement l’écran de la

console s’il est laissé sans surveillance.

Paramètres de la politique d’audit

 Appliquez une politique d’audit conformément aux bonnes pratiques en la matière. La politique
d’audit de Windows définit quels types d’événements sont écrits dans les journaux de sécurité de
vos serveurs Windows.

 Configurez la méthode de conservation du journal des événements avec une taille maximale de 4
Go et écrasement selon les besoins.

 Configurez l’envoi des journaux au SIEM aux fins de surveillance.

Guide de sécurité logicielle

 Installez et activez un logiciel antivirus. Configurez-le de manière à ce qu’il soit mis à
jour quotidiennement.

 Installez et activez un logiciel anti-logiciels espions. Configurez-le de manière à ce qu’il soit mis à
jour quotidiennement.

 Installez un logiciel de vérification de l’intégrité des fichiers critiques du système

d’exploitation. Windows dispose d’une fonction appelée « Protection des ressources
Windows », qui vérifie automatiquement certains fichiers clés et les remplace s’ils sont
corrompus.

Finalisation
 Faites une image de chaque système d’exploitation en utilisant GHOST ou Clonezilla pour simplifier
l’installation et le renforcement de la sécurité de Windows Server.

 Saisissez votre clé de licence Windows Server 2016/2012/2008/2003.

 Entrez le serveur dans le domaine et appliquez vos stratégies de groupe pour le domaine.

8
À propos de Netwrix
Netwrix est un éditeur de logiciels qui permet aux professionnels de la sécurité et de la gouvernance de
l’information de reprendre le contrôle des données sensibles, réglementées et stratégiques, quel que soit
leur emplacement. Plus de 10 000 organisations du monde entier s’appuient sur les solutions Netwrix pour
sécuriser leurs données sensibles, tirer pleinement parti des contenus d’entreprise, réussir les audits de
conformité en déployant moins d’efforts et en dépensant moins et améliorer la productivité de leurs
équipes informatiques et de leurs travailleurs du savoir.

Fondée en 2006, Netwrix a obtenu plus de 150 distinctions sectorielles et a été sélectionnée dans les listes
Inc. 5000 et Deloitte Technology Fast 500, qui recensent les entreprises à la croissance la plus rapide aux
États-Unis.
Pour en savoir plus, visitez [Link].

Siège social :
300 Spectrum Center Drive, Suite 200, Irvine, CA 92618
Tél : +33 9 75 18 11 19 Gratuit : 888-638-9749 EMEA : +44 (0) 203-588-3023 [Link]/social
 Renforcez la sécurité
de votre infrastructure
de serveurs Windows
avec Netwrix Auditor

Limitez votre surface d’attaque en vérifiant

régulièrement la configuration des serveurs pour
voir s’il y a des écarts par rapport à une référence
connue et fiable

Détectez les événements de sécurité critiques

avant qu’ils n’entraînent une violation

Enquêtez sur les modifications suspectes apportées

aux objets et aux paramètres de vos serveurs

Télécharger un essai de 20 jours