Scribd
Importer
40 vues15 pages

Module 9 - Ver2019

windows server 19

Transféré par

kesraoui0109
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
40 vues15 pages

Module 9 - Ver2019

windows server 19

Transféré par

kesraoui0109
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Module 9 : Implanter des mesures de sécurité de base.

9.1 Identifier les différentes stratégies de sécurité :

Voici une liste non exhaustive des différentes stratégies de sécurité qu’on peut mettre en place :

✔ Utilisation du pare-feu Windows sur les serveurs et les clients.


✔ Réaliser les mises à jour des produits Microsoft
✔ Restreindre l’accès distant au réseau de l’entreprise.
✔ Utilisation d’un anti-virus sur les serveurs et les clients
✔ Utiliser les politiques de groupes (GPO) pour renforcer la sécurité.
✔ Restreindre l’installation de logiciels par les clients.
✔ Protection physique (BIOS, salle de serveurs, équipements de réseaux)
✔ Désinstaller les applications non utilisées sur les serveurs.
✔ Audits et surveillance permanente du réseau (outils, fichiers journaux, ...)
✔ etc...

Exercice :
Complétez la liste.

9.2 Mise à jours du système d’exploitation en rapport avec les correctifs concernant la
sécurité.

If faut être au courant des vulnérabilités des OS constituant le parc informatique de votre entreprise
et s’assurer que les mises à jours (partchs) de corrections sont installées. IL existe des sites Web
spécialisé pour dresser les dernières vulnérabilités.

Dans un milieu de production il faut s’assurer que les serveurs et les clients sont à jours.
Pour limiter la bande passante utilisé pour le trafic des mises à jours on peut déployer un serveur
WSUS.

Vérifier si les mises à jours sont activées sur un serveur Windows 2012R2 et après pour Windows
2016.
✔ Pour Windows 2012R2 :

En cliquant sur Modifier les paramètres, on peut changer la manière de télécharger et d’installer les
mises à jours.
On a aussi la possibilité de voir tous les mises à jours installés.
On peut aussi supprimer une mise à jours.

Après que j’ai laissé le système chercher les mise à jours:

Si je clique sur le lien des "134 mises à jours importants sont disponibles".
On peut installer toutes les mises à jours ou sélectionner uniquement certaines mises à jours et les
installer.

✔ Pour Windows 2016/2019:

Les fenêtres de configurations dont différentes.

On peut configurer les mises à ajours soit à partir du gestionnaire de serveur ou de l’outil
"Paramètres".

– Les mises à jours à partir du Gestionnaire de serveur de Windows 2016/2019:

Ici devant "Windows Update", on a des informations des mises à jour.


On voit que le système n’a pas eu de mise à jour (c’est un environnement de test), car pour
"Dernière mise à jour installées" on l’état "Jamais".

Et pour "Dernière recherche de mise à jour" on a l'information qu’aujourd’hui à 13:35, le système


a commencé à chercher les mises à jours.

Si on clique sur la deuxième option "Télécharger les mises à jours uniquement à l'aide de
Windows Update", on est ramené sur cette fenêtre (de l’outil Paramètres) qui nous montre les
mises à jours disponibles et l’avancement des téléchargements.
– Les mises à jours à partir de l’outil "Paramètres".

Dans rechercher sur Windows, taper "Paramètres".

Cliquons sur "Mises à jours et sécurité":

On sera ramené vers le même fenêtre de toute à l’heure.


On peut consulter les mises à jours installées, en allant dans le panneau de configuration ->
Programmes et fonctionnalités -> Afficher les mises à jours installées.

Dans la fenêtre "Paramètres", l'option "Modifier les heures d’activités" nous permet de définir une
plage horaire que Windows ne redémarre pas le serveur.
9.3 Configuration d’un pare-feu :

Les systèmes d’exploitation de Microsoft viennent avec un par-feu intégré. Dans un milieu de
production il faut laisser le pare-feu activé.

Sur le serveur Windows 2016 lors de l’installation d’un rôle ou des fonctionnalités, normalement
Windows active des règles de pare-feu pour la bonne marche de l’application en question, si non on
peut les activer manuellement ou créer de nouvelles règles.

Dans la partie exercice on va voir comment activer une règle de pare-feu.

9.4 Utilisation d’un scanneur de ports :

Un scanneur de port et un outil qui scanne une machine, un ensemble de machines ou tout un sous-
réseau.
Il permet de déterminer les ports ouverts, ou filtrés d’une machine. Il permet aussi de déterminer la
nature des services et de leurs versions qui roulent derrières ces ports ouverts. Il permet aussi de
connaitre le type de l’OS d’une machine.

Dans la partie Exercice on verra l’installation d’un scanneur de ports.

9.5 Mise en route et arrêt de services pour minimiser les risques des services réseaux.

Sur un serveur il faut installer uniquement les rôles et fonctionnalités qui sont utilisés, car installer
des fonctionnalités qui ne sont pas utilisés va charger des services inutiles donc consommer les
ressources systèmes (CPU, RAM, sollicitation des E/S disque, etc) et augmenter les vulnérabilités
du serveur.
Pour optimiser un serveur et réduire la surface d’attaque il est judicieux de dresser les services
inutiles et les configurer pour qu’ils ne démarrent pas à chaque démarrage du système ou les
désactiver si d’autres service ne dépendent pas d’eux.

À partir de "Server Manager" -> Outils -> Services:


Dans "Type de démarrage", on a :

✔ Manuel :

Généralement il faut le démarrer manuellement. Il arrive que Windows le démarre automatiquement


vu les dépendances des services.
✔ Automatique : Le service est en cours d’exécution, car il démarre automatiquement à
chaque démarrage de Windows.
✔ Désactiver :

Il faut le positionner sur Automatique ou Manuel pour pouvoir le démarrer.


9.6 Configuration du cryptage des fichiers.

Windows présente deux technologies pour le chiffrement de données : BitLocker et EFS.

BitLocker permet de chiffrer des volumes entiers dans leur intégralité (partitions de disques durs,
disques durs en entier, clés USB,…).

EFS permet de chiffrer des dossiers ou des fichiers choisis par l’utilisateur, seule l’utilisateur qui a
chiffré pourra y accéder. Quand nous activons EFS, le cryptage et le décryptage des données sont
transparents à l’utilisateur. EFS fait partie de NTFS.

On verra dans la partie exercice le principe d’utilisation de EFS.

9.7 Gestion des journaux de sécurité :

L’Observateur d’événements (EventViewer) permet de consulter les fichiers journaux (Les logs) de
Windows pour le système Windows, les applications et la sécurité.

Gestionnaire de serveur -> Outils -> Observateur d’événements.

Lorsque la journalisation de sécurité est activée (elle est désactivée par défaut sous Windows), elle
enregistre les événements liés à la sécurité, tels que les tentatives d’ouverture de session et l’accès
aux ressources.
Les types d’événements : Information, erreur (error) représenté en rouge et avertissement (warning)
représenté en jaune.

Il existe aussi des applications tierce partie pour la classification et la centralisation des fichiers
journaux.

Vous aimerez peut-être aussi