Serveur d'impression

Liste de contrôle de renforcement de Windows Server – Serveur d’impression

Le 16 octobre 2019 - 9 minutes de lecture

Le renforcement de Windows Server implique l’identification et la résolution des vulnérabilités de sécurité. Voici les meilleures pratiques de sécurisation de Windows Server que vous pouvez mettre en œuvre immédiatement pour réduire le risque d'attaques qui compromettent vos systèmes et vos données critiques.

Sécurité organisationnelle

  • Conservez un enregistrement d'inventaire pour chaque serveur qui documente clairement sa configuration de base et enregistre chaque modification apportée au serveur.
  • Testez soigneusement et validez chaque modification proposée sur le matériel ou le logiciel du serveur avant de la modifier dans l'environnement de production.
  • Effectuer régulièrement une évaluation des risques. Utilisez les résultats pour mettre à jour votre plan de gestion des risques et maintenez une liste de tous les serveurs avec des priorités pour vous assurer que les vulnérabilités de sécurité sont corrigées rapidement.
  • Conservez tous les serveurs au même niveau de révision

Préparation de Windows Server

  • Protégez les machines nouvellement installées du trafic réseau hostile jusqu'à ce que le système d'exploitation soit installé et renforcé. Renforcez chaque nouveau serveur dans un réseau DMZ non ouvert à Internet.
  • Définissez un mot de passe BIOS / firmware pour empêcher toute modification non autorisée des paramètres de démarrage du serveur.
  • Désactivez la connexion administrative automatique à la console de récupération.
  • Configurez la séquence d'amorçage du périphérique pour empêcher le démarrage non autorisé à partir d'un autre support.

Installation de Windows Server

  • Assurez-vous que le système ne s’est pas arrêté pendant l’installation.
  • Utilisez l'assistant de configuration de la sécurité pour créer une configuration système basée sur le rôle spécifique requis.
  • Assurez-vous que tous les correctifs, correctifs et service packs appropriés sont appliqués rapidement. Les correctifs de sécurité corrigent des vulnérabilités connues que des attaquants pourraient autrement exploiter pour compromettre un système. Après avoir installé Windows Server, mettez-le immédiatement à jour avec les derniers correctifs via WSUS ou SCCM.
  • Activer la notification automatique de la disponibilité des correctifs. Chaque fois qu'un correctif est publié, il doit être analysé, testé et appliqué rapidement avec WSUS ou SCCM.

Renforcement de la sécurité du compte utilisateur

  • Assurez-vous que vos mots de passe administrateur et système respectent les meilleures pratiques en matière de mot de passe. En particulier, vérifiez que les mots de passe des comptes privilégiés ne sont pas basés sur un mot du dictionnaire mais comportent au moins 15 caractères, avec des lettres, des chiffres, des caractères spéciaux et des caractères invisibles (CTRL ˆ). Assurez-vous que tous les mots de passe sont modifiés tous les 90 jours.
  • Configurez la stratégie de groupe de verrouillage de compte conformément aux meilleures pratiques de verrouillage de compte.
  • Empêcher les utilisateurs de créer et de se connecter avec des comptes Microsoft.
  • Désactiver le compte invité.
  • N'autorisez pas les autorisations «tout le monde» à s'appliquer aux utilisateurs anonymes.
  • N'autorisez pas l'énumération anonyme des comptes et des partages SAM.
  • Désactiver la traduction anonyme de SID / Nom.
  • Désactivez ou supprimez rapidement les comptes utilisateur inutilisés.

Configuration de la sécurité du réseau

  • Activez le pare-feu Windows dans tous les profils (domaine, privé, public) et configurez-le pour bloquer le trafic entrant par défaut.
  • Effectuez un blocage de port au niveau des paramètres réseau. Effectuez une analyse pour déterminer quels ports doivent être ouverts et limiter l'accès à tous les autres ports.
  • Limitez l'accès des utilisateurs authentifiés à chaque ordinateur à partir du réseau.
  • N'accordez à aucun utilisateur le droit «d'agir en tant que partie du système d'exploitation».
  • Refuser aux comptes d'invités la possibilité de se connecter en tant que service, en tant que travail par lots, localement ou via RDP.
  • Si RDP est utilisé, définissez le niveau de cryptage de la connexion RDP sur élevé.
  • Supprimer Activer la recherche LMhosts.
  • Désactivez NetBIOS sur TCP / IP.
  • Supprimez ncacn_ip_tcp.
  • Configurez le client réseau Microsoft et le serveur réseau Microsoft pour toujours signer numériquement les communications.
  • Désactivez l'envoi de mots de passe non chiffrés aux serveurs SMB tiers.
  • N'autorisez aucun accès aux partages de manière anonyme.
  • Autoriser le système local à utiliser l'identité de l'ordinateur pour NTLM.
  • Désactiver le repli de session NULL système local.
  • Configurez les types de chiffrement autorisés pour Kerberos.
  • Ne stockez pas les valeurs de hachage LAN Manager.
  • Définissez le niveau d'authentification LAN Manager pour autoriser uniquement NTLMv2 et refuser LM et NTLM.
  • Supprimer le fichier et imprimer le partage à partir des paramètres réseau. Le partage de fichiers et d'impression pourrait permettre à quiconque de se connecter à un serveur et d'accéder à des données critiques sans nécessiter d'identifiant ou de mot de passe.

Configuration de la sécurité du registre

  • Assurez-vous que tous les administrateurs prennent le temps de bien comprendre le fonctionnement du registre et l'objectif de chacune de ses différentes clés. La plupart des vulnérabilités du système d'exploitation Windows peuvent être corrigées en modifiant des clés spécifiques, comme indiqué ci-dessous.
  • Configurez les autorisations du registre. Protégez le registre des accès anonymes. Interdire l'accès au registre distant si non requis.
  • Définissez MaxCachedSockets (REG_DWORD) sur 0.
  • Définissez SmbDeviceEnabled (REG_DWORD) sur 0.
  • Définissez AutoShareServer sur 0.
  • Définissez AutoShareWks sur 0.
  • Supprimez toutes les données de valeur DANS la clé NullSessionPipes.
  • Supprimez toutes les données de valeur DANS la clé NullSessionShares.

Paramètres de sécurité généraux

  • Désactiver les services inutiles. La plupart des serveurs ont l'installation par défaut du système d'exploitation, qui contient souvent des services superflus qui ne sont pas nécessaires au fonctionnement du système et qui représentent une faille de sécurité. Par conséquent, il est essentiel de supprimer tous les services inutiles du système.
  • Supprimez les composants Windows inutiles. Tous les composants Windows inutiles doivent être supprimés des systèmes critiques pour maintenir les serveurs dans un état sécurisé.
  • Activez le système EFS (Encrypting File System) intégré avec NTFS ou BitLocker sur Windows Server.
  • Si le poste de travail dispose d'une mémoire vive (RAM) importante, désactivez le fichier d'échange Windows. Cela augmentera les performances et la sécurité car aucune donnée sensible ne peut être écrite sur le disque dur.
  • Ne pas utiliser AUTORUN. Sinon, du code non approuvé peut être exécuté à l'insu de l'utilisateur. Par exemple, des attaquants peuvent insérer un CD dans la machine et provoquer l'exécution de leur propre script.
  • Avant que l'utilisateur ne se connecte, affichez les mentions légales suivantes: «Toute utilisation non autorisée de cet ordinateur et des ressources réseau est interdite…»
  • Exiger Ctrl + Alt + Suppr pour les connexions interactives.
  • Configurez une limite d'inactivité de la machine pour protéger les sessions interactives inactives.
  • Assurez-vous que tous les volumes utilisent le système de fichiers NTFS.
  • Configurez les autorisations de fichier / dossier local. Une autre procédure de sécurité importante, mais souvent négligée, consiste à verrouiller les autorisations de niveau fichier pour le serveur. Par défaut, Windows n'applique aucune restriction spécifique sur les fichiers ou dossiers locaux. le groupe Tout le monde reçoit des autorisations complètes sur la plupart des ordinateurs. Supprimez ce groupe et accordez plutôt l'accès aux fichiers et aux dossiers à l'aide de groupes basés sur les rôles basés sur le principe des moindres privilèges. Tous les efforts doivent être faits pour supprimer Guest, Everyone et ANONYMOUS LOGON des listes de droits des utilisateurs. Avec cette configuration, Windows sera plus sécurisé.
  • Définissez la date et l'heure du système et configurez-le pour qu'il se synchronise avec les serveurs de temps du domaine.
  • Configurez un écran de veille pour verrouiller automatiquement l’écran de la console s’il est laissé sans surveillance.

Paramètres de stratégie d'audit

  • Activer la stratégie d'audit conformément aux meilleures pratiques de la stratégie d'audit. La stratégie d'audit Windows définit les types d'événements écrits dans les journaux de sécurité de vos serveurs Windows.
  • Configurez la méthode de conservation du journal des événements pour qu'elle écrase si nécessaire et que la taille puisse atteindre 4 Go.
  • Configurez l'envoi des journaux à SIEM pour la surveillance.

Guide de sécurité du logiciel

  • Installez et activez le logiciel anti-virus. Configurez-le pour mettre à jour quotidiennement.
  • Installez et activez le logiciel anti-spyware. Configurez-le pour mettre à jour quotidiennement.
  • Installez le logiciel pour vérifier l'intégrité des fichiers critiques du système d'exploitation. Windows possède une fonctionnalité appelée Protection des ressources Windows qui vérifie automatiquement certains fichiers de clé et les remplace s'ils sont endommagés.

La finalisation

  • Créez une image de chaque système d'exploitation à l'aide de GHOST ou de Clonezilla pour simplifier l'installation et le renforcement de Windows Server.
  • Entrez votre clé de licence Windows Server 2016/2012/2008/200/2003.
  • Entrez le serveur dans le domaine et appliquez vos stratégies de groupe de domaine.

Windows Server est un système sous-jacent essentiel pour Active Directory, les serveurs de bases de données et de fichiers, les applications métier, les services Web et de nombreux autres éléments importants d'une infrastructure informatique. L'audit de Windows Server est un impératif absolu pour la majorité des organisations. Netwrix Auditor for Windows Server automatise l'audit des modifications, des configurations et des événements de sécurité pour aider les organisations à améliorer leur sécurité, rationaliser les efforts de conformité et optimiser les opérations de routine.



Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.