Avant de déployer vos serveurs Windows Server 2016, je vous invite à consulter la Checklist ci-dessous.
Celle-ci contient + de 70 paramètres de sécurité & hardening Windows vous permettant de mieux protéger et sécuriser vos plateformes Windows Server 2016.
Note : 90% des paramètres /options listés ci-après d’applique également à Windows Server 2012 R2/2012 mais aussi 2008 R2/2008.
Informations techniques
Nom du serveur | ||
Adresse MAC | ||
Adresse IP | ||
Masque de sous-réseau | ||
Passerelle par défaut | ||
Serveur DNS #1 | ||
Serveur DNS #2 | ||
Compte Administrateur local | ||
VM (Oui /Non) | Si Physique, Asset TAG : | |
RAM | ||
CPU | ||
Nombre de Disques /vDisques | ||
Configuration RAID | ||
LAN /VLAN | ||
Date |
Checklist
Etape | Action | Statut | Commentaire |
Préparation & Installation | |||
1 | Si nouvelle installation, isoler le serveur du réseau jusqu’à ce qu’il soit protégé et sécurisé (voir sections suivantes) | ||
2 | Utiliser l’Assistant Configuration de la Sécurité (SCW : Security Configuration Wizard) pour créer et configurer une stratégie de sécurité à appliquer sur le serveur. | ||
Services Packs & Correctifs | |||
3 | Installer les derniers Services Packs et correctifs depuis Microsoft Windows Update (ou WSUS : Windows Server Update Services) | ||
4 | Configurer les notifications automatiques de la disponibilité des mises à jour et correctifs | ||
Stratégies de comptes utilisateurs | |||
5 | Définir une longueur minimale du mot de passe | ||
6 | Définir les exigences de complexité du mot de passe | ||
7 | Ne pas enregistrer les mots de passe en utilisant un chiffrement réversible | ||
8 | Définir un seuil et une durée de verrouillage des comptes | ||
Attribution des droits utilisateurs | |||
9 | Autoriser l’accès au serveur à partir du réseau aux administrateurs et aux utilisateurs authentifiés uniquement | ||
10 | Ne pas attribuer le droit « Agir en tant que partie du système d’exploitation » aux utilisateurs standards | ||
11 | Autoriser l’ouverture de session locale aux Administrateurs uniquement | ||
12 | Refuser le droit « Ouvrir une session en tant que Service » aux utilisateurs invités, et ce localement ou à distance via Connexion Bureau à distance. | ||
Paramètres de sécurité | |||
13 | Configurer un message d’avertissement à afficher lors de la tentative d’ouverture de Session. Celui-ci doit indiquer que l’accès au serveur est réservé aux personnes habilitées. | ||
14 | Ne pas autoriser les utilisateurs du réseau à créer et ouvrir une session à l’aide d’un compte Microsoft | ||
15 | Désactiver le compte « Invité » | ||
16 | Requérir la combinaison de touches Ctrl+Alt+Suppr pour les ouvertures de session interactives | ||
17 | Configurer la limite d’inactivité du serveur pour protéger les sessions interactives | ||
18 | Configurer le Client réseau Microsoft pour signer les communications numériquement (toujours) | ||
19 | Configurer le Client réseau Microsoft pour signer les communications numériquement (lorsque le serveur l’accepte) | ||
20 | Configurer le Serveur réseau Microsoft pour signer les communications numériquement (toujours) | ||
21 | Configurer le Serveur réseau Microsoft pour signer les communications numériquement (lorsque les clients l’acceptent) | ||
22 | Désactiver l’envoi de mots de passe non chiffrés à des serveurs SMB tiers | ||
Paramètres des journaux d’événements | |||
23 | Configurer une Taille maximale des journaux d’événements | ||
24 | Configurer une Méthode de conversation des journaux d’événements | ||
25 | Configurer une Durée de stockage des journaux d’événements | ||
26 | Configurer l’envoi de journaux | ||
Contrôles d’Accès au réseau | |||
27 | Désactiver la traduction de noms/SID anonymes | ||
28 | Ne pas autoriser l’énumération anonyme des comptes SAM et partages réseau | ||
29 | Ne pas attribuer et appliquer de permissions « Tout le monde » aux utilisateurs anonymes | ||
30 | Ne pas autoriser les canaux nommés qui sont accessibles de manière anonyme | ||
31 | Restreindre l’accès anonyme aux canaux nommés et partages | ||
32 | Ne pas autoriser l’accès aux partages réseau de manière anonyme | ||
33 | Requérir le partage « Classique » et Modèle de sécurité pour les comptes locaux | ||
Paramètres de Sécurité : Réseau | |||
34 | Autoriser « Système Local » à utiliser l’identité de l’ordinateur pour NTLM | ||
35 | Désactiver le recours session Local système NULL | ||
36 | Configurer les types de cryptage autorisés pour Kerberos | ||
37 | Ne pas stocker de valeurs de hachage de niveau LAN Manager | ||
38 | Configurer le niveau d’authentification LAN Manager pour autoriser NTLMv2 et refuser LM & NTLM | ||
39 | Activer le Pare-feu Windows sur les trois profils : Domaine – Privé – Public | ||
40 | Configurer le Pare-feu Windows pour bloquer tout traffic entrant sur les trois profils | ||
Paramètres de Sécurité : Connexions Bureau à distance | |||
41 | Activer l’authentification au niveau du réseau (NLA : Network Level Authentication) | ||
42 | Utiliser le niveau de chiffrement « Elevé » afin de protéger les données RDP à l’aide d’un chiffrement renforcé sur 128 bits | ||
43 | Configurer un certificat SSL sur le serveur et forcer l’utilisation de la couche de sécurité « SSL » | ||
44 | Toujours demander le mot de passe à la connexion | ||
45 | Configurer une Passerelle RDS pour gérer les accès depuis l’extérieur. | ||
46 | Si possible, forcer l’utilisation de l’authentification forte (e.i carte à puce) | ||
47 | Activer la fonctionnalité « Remote CredentialGuard » | ||
Paramètres de Sécurité : Serveur Membre du domaine AD | |||
48 | Chiffrer ou signer numériquement les données des canaux sécurisés (toujours) | ||
49 | Chiffrer numériquement les données des canaux sécurisés (lorsque cela est possible) | ||
50 | Signer numériquement les données des canaux sécurisés (lorsque cela est possible) | ||
51 | Exiger les clés de sessions fortes (Windows 2000 ou ultérieur) | ||
52 | Configurer le nombre de demandes d’ouverture de session précédentes à mettre en cache | ||
Paramètres de Stratégies d’Audit | |||
53 | Auditer les événements d’ouverture de session sur un compte | ||
54 | Auditer la gestion des comptes utilisateur | ||
55 | Auditer les ouvertures et fermetures de sessions | ||
56 | Auditer les changements de stratégie | ||
57 | Auditer l’utilisation des privilèges | ||
Paramètres de sécurité : OS | |||
58 | Si possible, convertir le serveur en mode « Core » | ||
59 | Désinstaller ou désactiver les services non utilisés | ||
60 | Désinstaller ou supprimer (binaires) tous les rôles et fonctionnalités non utilisés | ||
61 | Fermer tous les ports non utilisés | ||
62 | Supprimer ou désactiver les comptes utilisateurs non utilisés | ||
63 | Restreindre au maximum les droits aux utilisateurs du réseau | ||
64 | Vérifier que tous les volumes utilisent le système de fichier « NTFS » | ||
65 | Configurer les permissions au niveau du Registre | ||
66 | Si possible, désactiver l’accès distant au Registre | ||
67 | Installer et activer un anti-virus & anti-spyware | ||
68 | Configurer l’anti-virus & anti-spyware pour se mettre à jour automatiquement | ||
69 | Configurer la date & heure système, synchroniser ensuite l’horloge avec un serveur de temps (Serveur NTP : Network Time Protocol) | ||
70 | Si possible, activer le chiffrement de lecteur BitLocker | ||
Sécurité Physique | |||
71 | Protéger l’accès au BIOS à l’aide d’un mot de passe | ||
72 | Protéger l’accès aux consoles de gestion (e.i console iLO) à l’aide d’un mot de passe | ||
73 | Ne pas autoriser l’arrêt du système sans avoir ouvert de session Windows | ||
74 | Configurer l’ordre de boot pour éviter tout démarrage d’un média non autorisé | ||
75 | Configurer un écran de veille pour verrouiller l’écran (affichage) après un certain temps d’inactivité | ||
Informations additionnelles | |||
76 | Utiliser l’outil MBSA (Microsoft Baseline Security Analyzer) pour analyser et auditer la sécurité de votre serveur |
Télécharger ce document (format PDF)
Cette Checklist est disponible (format PDF) en téléchargement gratuit depuis la Gallery TechNet.
Vous pouvez download le document ici.
Bonne lecture.
Vos feedbacks sont les bienvenus :).
#HK