[OS Hardening] Checklist que vous devez connaître pour mieux sécuriser votre infrastructure Windows Server 2016

Avant de déployer vos serveurs Windows Server 2016, je vous invite à consulter la Checklist ci-dessous.

Celle-ci contient + de 70 paramètres de sécurité & hardening Windows vous permettant de mieux protéger et sécuriser vos plateformes Windows Server 2016.

Note : 90% des paramètres /options listés ci-après d’applique également à Windows Server 2012 R2/2012 mais aussi 2008 R2/2008.

 

Informations techniques

Nom du serveur
Adresse MAC
Adresse IP
Masque de sous-réseau
Passerelle par défaut
Serveur DNS #1
Serveur DNS #2
Compte Administrateur local
VM (Oui /Non)		Si Physique, Asset TAG :
RAM
CPU
Nombre de Disques /vDisques
Configuration RAID
LAN /VLAN
Date

Checklist

Etape	Action	Statut	Commentaire
	Préparation & Installation
1	Si nouvelle installation, isoler le serveur du réseau jusqu’à ce qu’il soit protégé et sécurisé (voir sections suivantes)
2	Utiliser l’Assistant Configuration de la Sécurité (SCW : Security Configuration Wizard) pour créer et configurer une stratégie de sécurité à appliquer sur le serveur.
	Services Packs & Correctifs
3	Installer les derniers Services Packs et correctifs depuis Microsoft Windows Update (ou WSUS : Windows Server Update Services)
4	Configurer les notifications automatiques de la disponibilité des mises à jour et correctifs
	Stratégies de comptes utilisateurs
5	Définir une longueur minimale du mot de passe
6	Définir les exigences de complexité du mot de passe
7	Ne pas enregistrer les mots de passe en utilisant un chiffrement réversible
8	Définir un seuil et une durée de verrouillage des comptes
	Attribution des droits utilisateurs
9	Autoriser l’accès au serveur à partir du réseau aux administrateurs et aux utilisateurs authentifiés uniquement
10	Ne pas attribuer le droit « Agir en tant que partie du système d’exploitation » aux utilisateurs standards
11	Autoriser l’ouverture de session locale aux Administrateurs uniquement
12	Refuser le droit « Ouvrir une session en tant que Service » aux utilisateurs invités, et ce localement ou à distance via Connexion Bureau à distance.
	Paramètres de sécurité
13	Configurer un message d’avertissement à afficher lors de la tentative d’ouverture de Session. Celui-ci doit indiquer que l’accès au serveur est réservé aux personnes habilitées.
14	Ne pas autoriser les utilisateurs du réseau à créer et ouvrir une session à l’aide d’un compte Microsoft
15	Désactiver le compte « Invité »
16	Requérir la combinaison de touches Ctrl+Alt+Suppr pour les ouvertures de session interactives
17	Configurer la limite d’inactivité du serveur pour protéger les sessions interactives
18	Configurer le Client réseau Microsoft pour signer les communications numériquement (toujours)
19	Configurer le Client réseau Microsoft pour signer les communications numériquement (lorsque le serveur l’accepte)
20	Configurer le Serveur réseau Microsoft pour signer les communications numériquement (toujours)
21	Configurer le Serveur réseau Microsoft pour signer les communications numériquement (lorsque les clients l’acceptent)
22	Désactiver l’envoi de mots de passe non chiffrés à des serveurs SMB tiers
	Paramètres des journaux d’événements
23	Configurer une Taille maximale des journaux d’événements
24	Configurer une Méthode de conversation des journaux d’événements
25	Configurer une Durée de stockage des journaux d’événements
26	Configurer l’envoi de journaux
	Contrôles d’Accès au réseau
27	Désactiver la traduction de noms/SID anonymes
28	Ne pas autoriser l’énumération anonyme des comptes SAM et partages réseau
29	Ne pas attribuer et appliquer de permissions « Tout le monde » aux utilisateurs anonymes
30	Ne pas autoriser les canaux nommés qui sont accessibles de manière anonyme
31	Restreindre l’accès anonyme aux canaux nommés et partages
32	Ne pas autoriser l’accès aux partages réseau de manière anonyme
33	Requérir le partage « Classique » et Modèle de sécurité pour les comptes locaux
	Paramètres de Sécurité : Réseau
34	Autoriser « Système Local » à utiliser l’identité de l’ordinateur pour NTLM
35	Désactiver le recours session Local système NULL
36	Configurer les types de cryptage autorisés pour Kerberos
37	Ne pas stocker de valeurs de hachage de niveau LAN Manager
38	Configurer le niveau d’authentification LAN Manager pour autoriser NTLMv2 et refuser LM & NTLM
39	Activer le Pare-feu Windows sur les trois profils : Domaine – Privé – Public
40	Configurer le Pare-feu Windows pour bloquer tout traffic entrant sur les trois profils
	Paramètres de Sécurité : Connexions Bureau à distance
41	Activer l’authentification au niveau du réseau (NLA : Network Level Authentication)
42	Utiliser le niveau de chiffrement « Elevé » afin de protéger les données RDP à l’aide d’un chiffrement renforcé sur 128 bits
43	Configurer un certificat SSL sur le serveur et forcer l’utilisation de la couche de sécurité « SSL »
44	Toujours demander le mot de passe à la connexion
45	Configurer une Passerelle RDS pour gérer les accès depuis l’extérieur.
46	Si possible, forcer l’utilisation de l’authentification forte (e.i carte à puce)
47	Activer la fonctionnalité « Remote CredentialGuard »
	Paramètres de Sécurité : Serveur Membre du domaine AD
48	Chiffrer ou signer numériquement les données des canaux sécurisés (toujours)
49	Chiffrer numériquement les données des canaux sécurisés (lorsque cela est possible)
50	Signer numériquement les données des canaux sécurisés (lorsque cela est possible)
51	Exiger les clés de sessions fortes (Windows 2000 ou ultérieur)
52	Configurer le nombre de demandes d’ouverture de session précédentes à mettre en cache
	Paramètres de Stratégies d’Audit
53	Auditer les événements d’ouverture de session sur un compte
54	Auditer la gestion des comptes utilisateur
55	Auditer les ouvertures et fermetures de sessions
56	Auditer les changements de stratégie
57	Auditer l’utilisation des privilèges
	Paramètres de sécurité : OS
58	Si possible, convertir le serveur en mode « Core »
59	Désinstaller ou désactiver les services non utilisés
60	Désinstaller ou supprimer (binaires) tous les rôles et fonctionnalités non utilisés
61	Fermer tous les ports non utilisés
62	Supprimer ou désactiver les comptes utilisateurs non utilisés
63	Restreindre au maximum les droits aux utilisateurs du réseau
64	Vérifier que tous les volumes utilisent le système de fichier « NTFS »
65	Configurer les permissions au niveau du Registre
66	Si possible, désactiver l’accès distant au Registre
67	Installer et activer un anti-virus & anti-spyware
68	Configurer l’anti-virus & anti-spyware pour se mettre à jour automatiquement
69	Configurer la date & heure système, synchroniser ensuite l’horloge avec un serveur de temps (Serveur NTP : Network Time Protocol)
70	Si possible, activer le chiffrement de lecteur BitLocker
	Sécurité Physique
71	Protéger l’accès au BIOS à l’aide d’un mot de passe
72	Protéger l’accès aux consoles de gestion (e.i console iLO) à l’aide d’un mot de passe
73	Ne pas autoriser l’arrêt du système sans avoir ouvert de session Windows
74	Configurer l’ordre de boot pour éviter tout démarrage d’un média non autorisé
75	Configurer un écran de veille pour verrouiller l’écran (affichage) après un certain temps d’inactivité
	Informations additionnelles
76	Utiliser l’outil MBSA (Microsoft Baseline Security Analyzer) pour analyser et auditer la sécurité de votre serveur

 

Télécharger ce document (format PDF)

Cette Checklist est disponible (format PDF) en téléchargement gratuit depuis la Gallery TechNet.

Vous pouvez download le document ici.

Bonne lecture.

Vos feedbacks sont les bienvenus :).

#HK

[Azure CLI 2.0] HowTo #N°5 : Gérer la facturation Azure (Azure Billing)

 

Useful Info : Si vous n’avez pas encore consulté les 4 premiers HowTo Azure CLI 2.0, ceux-ci sont disponibles aux URLs ci-après:

HowTo #N°1 : Connecter l’interface Azure CLI 2.0 à votre abonnement Azure

HowTo #N°2 : Créer et gérer les groupes de ressources Azure

HowTo #N°3 Créer et gérer les réseaux virtuels Azure (VNET : Virtual Network)

HowTo #N°4 Créer et gérer les Machines Virtuelles Azure (Azure VM)

 

Introduction 

Pour pouvoir suivre votre utilisation/consommation Azure et consulter vos factures, Microsoft fournis différents outils (Graphique & CLI) pour consulter et gérer cette partie facturation (Billing) Azure de manière efficace.

Trois principaux outils vous permettent aujourd’hui de gérer la facturation Azure :

Le nouveau portail Azure : portal.azure.com

Windows PowerShell : utilisation du module PS Azure

Azure CLI 2.0 : via l’utilisation de la commande az billing

Nous allons découvrir à travers cet article la troisième méthode qu’est l’utilisation de l’interface Azure CLI 2.0

Alors comment ça marche ?

#1. Gestion de la facturation Azure

Saisissez az billing -h pour en savoir plus sur les sous-commandes disponibles :

Comme illustré dans la screenshot ci-dessus, deux sous-commandes sont disponibles :

az billing invoice : vous permet d’obtenir les factures pour votre abonnement Azure

az billing period : vous permet d’obtenir les périodes de facturations pour votre abonnement Azure

 

Pour lister toutes les factures disponibles pour votre abonnement Azure, saisissez la commande suivante :

az billing invoice list –out table

Si vous souhaitez télécharger une ou plusieurs factures, vous devez d’abord générer leur URL de téléchargement, pour ce faire, l’une des deux commandes ci-dessous est utilisée :

az billing invoice list –generate-download-url –out jsonc

ou

az billing invoice list -d –out jsonc

Astuce : Vous avez pu constater que la valeur du paramètre –output n’est pas « table » cette fois-ci, car ce format de sorti n’est pas supporté avec le paramètre -d (ou –generate-download-url). En effet, si vous exécutez la même commande en spécifiant –out table, les URL de téléchargement ne sont pas retournées, voir capture d’écran ci-dessous:

 

Pour afficher plus de détails sur une facture spécifique, exécutez la commande suivante :

az billing invoice show -n Nom_Facture –out table

Dans l’exemple suivant la facture  « 201712-417363190482647 » est appelée, la commande suivante est donc exécutée :

az billing invoice show -n 201712-417363190482647 –out table

Si vous souhaitez télécharger une facture spécifique (201712-417363190482647 dans l’exemple suivant), la commande suivante est utilisée (remplacement de la valeur du paramètre –output par jsonc):

az billing invoice show -n 201712-417363190482647 –out jsonc

Notez ensuite la valeur du paramètre « URL« :

Enfin, il suffit de copier l’URL « https://billinginsightsstore02.blog.core.windows.net/invoice/XXXXXXX » et la coller directement dans barre l’adresse de votre navigateur Web pour accéder à la facture (format PDF) :

#2. Gestion des périodes de facturation

Pour lister cette fois-ci les périodes de facturation, la commande suivante est à exécuter :

az billing period list –out table

Pour afficher plus de détails sur une période de facturation spécifique, exécutez la commande suivante en spécifiant le nom de la période :

az billing period -n 201801-1 –out table 

Le HowTo N°6 est en cours de finalisation, donc restez connectés :).

#HK

[IIS – Security & Hardening] HowTo #N° 1 : Définir le Default Path d’AppCmd.exe

 

Introduction à l’outil CLI « APPCMD.exe »

AppCmd.exe est un Outil en ligne de commande (CLI) fourni avec le rôle Windows Server « IIS ».

C’est un outil d’administration très puissant qui vous permet (entre autres) de :

Créer, configurer et gérer des Sites IIS

Créer, configurer et gérer des Applis et Pools d’Applications IIS

Créer, configurer et gérer des Virtual Directories (Répertoire virtuels IIS)

Démarrer, arrête et recycler les Pools d’application

Afficher/Visualiser des informations sur les Worker Process

…Etc

Pour finir, AppCmd.exe vous permet non seulement de réaliser toutes les tâches d’administration classiques que vous pouvez effectuer depuis l’outil graphique IIS Manager (InetMgr.exe) mais aussi d’industrialiser /d’automatiser à l’aide de scripts Bat(ch) toute tâche d’administration /configuration fastidieuse et répétitive.

 

Définir le chemin par défaut d’AppCmd.exe

Les Best Practices IIS consistent à définir (forcer) le chemin by default de l’outil AppCmd.exe au niveau de la %var% d’environnement %PATH%, cette opération vous faciltera l’utilisation de l’outil car vous pourrez l’appeler depuis n’importe quel CMD Folder et vous n’aurez donc plus à faire du CD (Change Directory) à chaque fois que vous souhaitez appeler /lancer AppCmd.exe

Pour ce faire, la commande ci-dessous est à exécuter sur tous les serveurs IIS Server faisant parti de votre infrastructure système MS (Windows Server 2008 et ultérieur).

SETX PATH « %PATH%;%WINDIR%\System32\inetsrv » /M

Saisissez ensuite la commande suivante pour vérifier que la valeur de la variable %PATH% a bien été Updatée :

Echo %PATH%

Vous pouvez également vérifier le contenu de la variable %PATH% depuis les propriétés systèmes du serveur IIS > Variables d’environnement

Et voilà le tour est joué :).

Stay Connected, plusieurs HowTo IIS sont en cours de préparation.

N’hésitez pas à vous abonner à mon Blog pour rester informé de toute nouvelle publication ^^

See you soon.

#HK

[Azure France Preview!] Microsoft Azure est enfin arrivé en France !

Great News

Aujourd’hui commence la preview Azure en France, pour tous les clients, partenaires et ISV (Independent Software Vendor) de Microsoft à travers le monde.

Microsoft Azure est désormais disponible depuis deux régions en France. En savoir plus…

Vous pouvez également Follow ce programme (Azure France Preview) en vous inscrivant sur la page suivante :

http://formulaires.microsoft.fr/page/UHUZDE-AzurePreview

[Azure CLI 2.0] HowTo : Updater (Mettre à jour) votre interface Azure CLI 2.0

 

Hello Azure Guys,

Si vous êtes amenés à gérer vos ressources Cloud Azure via l’interface Azure CLI 2.0, vous devriez penser à checker de manière régulière les nouvelles Releases d’Azure CLI proposées/publiées par l’équipe MS Azure Corp, car de nouvelles commandes /sous-commandes sont fournies avec celle-ci.

Note : Le Releases History d’Azure CLI 2.0 est disponible ici. N’hésitez pas à consulter cette page si vous voulez en savoir plus.

 

Prenons l’exemple suivant : ma machine d’administration (sous WS10) ayant l’interface Azure CLI 2.0 d’installée et dont la version actuelle est la 2.0.17

Comme illustré dans l’image ci-dessous, mon interface Az CLI 2.0 n’inclut pas encore les nouvelles commandes telle que BatchAI (Azure Batch  Artificial Intelligence) :

 

HowTo : Updater son interface Azure CLI 2.0

Lancez l’Invite de commande (CMD.exe) en tant qu’Administrateur et saisissez la commande suivante :

Az Component Update 

ou

Az Component Update –debug pour afficher de plus amples informations sur d’éventuels problèmes rencontrés lors du processus d’Update /Upgrade : affichage des journaux de Debug (Debug Logs).

Une fois l’update terminée, les messages suivants sont affichés :

Enfin, saisissez Az –version pour noter la nouvelle version de l’interface CLI installée sur votre machine :

Maintenant que mon interface Az CLI 2.0 est mise à jour, je vais simplement ressaisir Az -h pour faire réapparaître la liste complète des commandes disponibles :

Comme montré dans la screenshot ci-dessus, les nouvelles commandes telles que « BatchAI » sont désormais intégrées et disponibles sur mon interface Azure CLI 2.0.

Stay connected, de nouveaux posts autour d’Azure & Azure CLI seront bientôt publiés :).

A bientôt

#HK.