Le renforcement de Windows Server implique l’identification et la résolution des vulnérabilités de sécurité. Voici les meilleures pratiques de sécurisation de Windows Server que vous pouvez mettre en œuvre immédiatement pour réduire le risque d'attaques qui compromettent vos systèmes et vos données critiques.\nSécurité organisationnelle
"},{"id":"text-2","type":"text","heading":"","plain_text":"Conservez un enregistrement d'inventaire pour chaque serveur qui documente clairement sa configuration de base et enregistre chaque modification apportée au serveur.\nTestez soigneusement et validez chaque modification proposée sur le matériel ou le logiciel du serveur avant de la modifier dans l'environnement de production.\nEffectuer régulièrement une évaluation des risques. Utilisez les résultats pour mettre à jour votre plan de gestion des risques et maintenez une liste de tous les serveurs avec des priorités pour vous assurer que les vulnérabilités de sécurité sont corrigées rapidement.\nConservez tous les serveurs au même niveau de révision","html":"Conservez un enregistrement d'inventaire pour chaque serveur qui documente clairement sa configuration de base et enregistre chaque modification apportée au serveur.\nTestez soigneusement et validez chaque modification proposée sur le matériel ou le logiciel du serveur avant de la modifier dans l'environnement de production.\nEffectuer régulièrement une évaluation des risques. Utilisez les résultats pour mettre à jour votre plan de gestion des risques et maintenez une liste de tous les serveurs avec des priorités pour vous assurer que les vulnérabilités de sécurité sont corrigées rapidement.\nConservez tous les serveurs au même niveau de révision
"},{"id":"text-3","type":"text","heading":"","plain_text":"Préparation de Windows Server","html":"Préparation de Windows Server
"},{"id":"text-4","type":"text","heading":"","plain_text":"Protégez les machines nouvellement installées du trafic réseau hostile jusqu'à ce que le système d'exploitation soit installé et renforcé. Renforcez chaque nouveau serveur dans un réseau DMZ non ouvert à Internet.\nDéfinissez un mot de passe BIOS / firmware pour empêcher toute modification non autorisée des paramètres de démarrage du serveur.\nDésactivez la connexion administrative automatique à la console de récupération.\nConfigurez la séquence d'amorçage du périphérique pour empêcher le démarrage non autorisé à partir d'un autre support.","html":"Protégez les machines nouvellement installées du trafic réseau hostile jusqu'à ce que le système d'exploitation soit installé et renforcé. Renforcez chaque nouveau serveur dans un réseau DMZ non ouvert à Internet.\nDéfinissez un mot de passe BIOS / firmware pour empêcher toute modification non autorisée des paramètres de démarrage du serveur.\nDésactivez la connexion administrative automatique à la console de récupération.\nConfigurez la séquence d'amorçage du périphérique pour empêcher le démarrage non autorisé à partir d'un autre support.
"},{"id":"text-5","type":"text","heading":"","plain_text":"Installation de Windows Server","html":"Installation de Windows Server
"},{"id":"text-6","type":"text","heading":"","plain_text":"Assurez-vous que le système ne s’est pas arrêté pendant l’installation.\nUtilisez l'assistant de configuration de la sécurité pour créer une configuration système basée sur le rôle spécifique requis.\nAssurez-vous que tous les correctifs, correctifs et service packs appropriés sont appliqués rapidement. Les correctifs de sécurité corrigent des vulnérabilités connues que des attaquants pourraient autrement exploiter pour compromettre un système. Après avoir installé Windows Server, mettez-le immédiatement à jour avec les derniers correctifs via WSUS ou SCCM.\nActiver la notification automatique de la disponibilité des correctifs. Chaque fois qu'un correctif est publié, il doit être analysé, testé et appliqué rapidement avec WSUS ou SCCM.","html":"Assurez-vous que le système ne s’est pas arrêté pendant l’installation.\nUtilisez l'assistant de configuration de la sécurité pour créer une configuration système basée sur le rôle spécifique requis.\nAssurez-vous que tous les correctifs, correctifs et service packs appropriés sont appliqués rapidement. Les correctifs de sécurité corrigent des vulnérabilités connues que des attaquants pourraient autrement exploiter pour compromettre un système. Après avoir installé Windows Server, mettez-le immédiatement à jour avec les derniers correctifs via WSUS ou SCCM.\nActiver la notification automatique de la disponibilité des correctifs. Chaque fois qu'un correctif est publié, il doit être analysé, testé et appliqué rapidement avec WSUS ou SCCM.
"},{"id":"text-7","type":"text","heading":"","plain_text":"Renforcement de la sécurité du compte utilisateur","html":"Renforcement de la sécurité du compte utilisateur
"},{"id":"text-8","type":"text","heading":"","plain_text":"Assurez-vous que vos mots de passe administrateur et système respectent les meilleures pratiques en matière de mot de passe. En particulier, vérifiez que les mots de passe des comptes privilégiés ne sont pas basés sur un mot du dictionnaire mais comportent au moins 15 caractères, avec des lettres, des chiffres, des caractères spéciaux et des caractères invisibles (CTRL ˆ). Assurez-vous que tous les mots de passe sont modifiés tous les 90 jours.\nConfigurez la stratégie de groupe de verrouillage de compte conformément aux meilleures pratiques de verrouillage de compte.\nEmpêcher les utilisateurs de créer et de se connecter avec des comptes Microsoft.\nDésactiver le compte invité.\nN'autorisez pas les autorisations «tout le monde» à s'appliquer aux utilisateurs anonymes.\nN'autorisez pas l'énumération anonyme des comptes et des partages SAM.\nDésactiver la traduction anonyme de SID / Nom.\nDésactivez ou supprimez rapidement les comptes utilisateur inutilisés.","html":"Assurez-vous que vos mots de passe administrateur et système respectent les meilleures pratiques en matière de mot de passe. En particulier, vérifiez que les mots de passe des comptes privilégiés ne sont pas basés sur un mot du dictionnaire mais comportent au moins 15 caractères, avec des lettres, des chiffres, des caractères spéciaux et des caractères invisibles (CTRL ˆ). Assurez-vous que tous les mots de passe sont modifiés tous les 90 jours.\nConfigurez la stratégie de groupe de verrouillage de compte conformément aux meilleures pratiques de verrouillage de compte.\nEmpêcher les utilisateurs de créer et de se connecter avec des comptes Microsoft.\nDésactiver le compte invité.\nN'autorisez pas les autorisations «tout le monde» à s'appliquer aux utilisateurs anonymes.\nN'autorisez pas l'énumération anonyme des comptes et des partages SAM.\nDésactiver la traduction anonyme de SID / Nom.\nDésactivez ou supprimez rapidement les comptes utilisateur inutilisés.
"},{"id":"text-9","type":"text","heading":"","plain_text":"Configuration de la sécurité du réseau","html":"Configuration de la sécurité du réseau
"},{"id":"text-10","type":"text","heading":"","plain_text":"Activez le pare-feu Windows dans tous les profils (domaine, privé, public) et configurez-le pour bloquer le trafic entrant par défaut.\nEffectuez un blocage de port au niveau des paramètres réseau. Effectuez une analyse pour déterminer quels ports doivent être ouverts et limiter l'accès à tous les autres ports.\nLimitez l'accès des utilisateurs authentifiés à chaque ordinateur à partir du réseau.\nN'accordez à aucun utilisateur le droit «d'agir en tant que partie du système d'exploitation».\nRefuser aux comptes d'invités la possibilité de se connecter en tant que service, en tant que travail par lots, localement ou via RDP.\nSi RDP est utilisé, définissez le niveau de cryptage de la connexion RDP sur élevé.\nSupprimer Activer la recherche LMhosts.\nDésactivez NetBIOS sur TCP / IP.\nSupprimez ncacn_ip_tcp.\nConfigurez le client réseau Microsoft et le serveur réseau Microsoft pour toujours signer numériquement les communications.\nDésactivez l'envoi de mots de passe non chiffrés aux serveurs SMB tiers.\nN'autorisez aucun accès aux partages de manière anonyme.\nAutoriser le système local à utiliser l'identité de l'ordinateur pour NTLM.\nDésactiver le repli de session NULL système local.\nConfigurez les types de chiffrement autorisés pour Kerberos.\nNe stockez pas les valeurs de hachage LAN Manager.\nDéfinissez le niveau d'authentification LAN Manager pour autoriser uniquement NTLMv2 et refuser LM et NTLM.\nSupprimer le fichier et imprimer le partage à partir des paramètres réseau. Le partage de fichiers et d'impression pourrait permettre à quiconque de se connecter à un serveur et d'accéder à des données critiques sans nécessiter d'identifiant ou de mot de passe.","html":"Activez le pare-feu Windows dans tous les profils (domaine, privé, public) et configurez-le pour bloquer le trafic entrant par défaut.\nEffectuez un blocage de port au niveau des paramètres réseau. Effectuez une analyse pour déterminer quels ports doivent être ouverts et limiter l'accès à tous les autres ports.\nLimitez l'accès des utilisateurs authentifiés à chaque ordinateur à partir du réseau.\nN'accordez à aucun utilisateur le droit «d'agir en tant que partie du système d'exploitation».\nRefuser aux comptes d'invités la possibilité de se connecter en tant que service, en tant que travail par lots, localement ou via RDP.\nSi RDP est utilisé, définissez le niveau de cryptage de la connexion RDP sur élevé.\nSupprimer Activer la recherche LMhosts.\nDésactivez NetBIOS sur TCP / IP.\nSupprimez ncacn_ip_tcp.\nConfigurez le client réseau Microsoft et le serveur réseau Microsoft pour toujours signer numériquement les communications.\nDésactivez l'envoi de mots de passe non chiffrés aux serveurs SMB tiers.\nN'autorisez aucun accès aux partages de manière anonyme.\nAutoriser le système local à utiliser l'identité de l'ordinateur pour NTLM.\nDésactiver le repli de session NULL système local.\nConfigurez les types de chiffrement autorisés pour Kerberos.\nNe stockez pas les valeurs de hachage LAN Manager.\nDéfinissez le niveau d'authentification LAN Manager pour autoriser uniquement NTLMv2 et refuser LM et NTLM.\nSupprimer le fichier et imprimer le partage à partir des paramètres réseau. Le partage de fichiers et d'impression pourrait permettre à quiconque de se connecter à un serveur et d'accéder à des données critiques sans nécessiter d'identifiant ou de mot de passe.
"},{"id":"text-11","type":"text","heading":"","plain_text":"Configuration de la sécurité du registre","html":"Configuration de la sécurité du registre
"},{"id":"text-12","type":"text","heading":"","plain_text":"Assurez-vous que tous les administrateurs prennent le temps de bien comprendre le fonctionnement du registre et l'objectif de chacune de ses différentes clés. La plupart des vulnérabilités du système d'exploitation Windows peuvent être corrigées en modifiant des clés spécifiques, comme indiqué ci-dessous.\nConfigurez les autorisations du registre. Protégez le registre des accès anonymes. Interdire l'accès au registre distant si non requis.\nDéfinissez MaxCachedSockets (REG_DWORD) sur 0.\nDéfinissez SmbDeviceEnabled (REG_DWORD) sur 0.\nDéfinissez AutoShareServer sur 0.\nDéfinissez AutoShareWks sur 0.\nSupprimez toutes les données de valeur DANS la clé NullSessionPipes.\nSupprimez toutes les données de valeur DANS la clé NullSessionShares.","html":"Assurez-vous que tous les administrateurs prennent le temps de bien comprendre le fonctionnement du registre et l'objectif de chacune de ses différentes clés. La plupart des vulnérabilités du système d'exploitation Windows peuvent être corrigées en modifiant des clés spécifiques, comme indiqué ci-dessous.\nConfigurez les autorisations du registre. Protégez le registre des accès anonymes. Interdire l'accès au registre distant si non requis.\nDéfinissez MaxCachedSockets (REG_DWORD) sur 0.\nDéfinissez SmbDeviceEnabled (REG_DWORD) sur 0.\nDéfinissez AutoShareServer sur 0.\nDéfinissez AutoShareWks sur 0.\nSupprimez toutes les données de valeur DANS la clé NullSessionPipes.\nSupprimez toutes les données de valeur DANS la clé NullSessionShares.
"},{"id":"text-13","type":"text","heading":"","plain_text":"Paramètres de sécurité généraux","html":"Paramètres de sécurité généraux
"},{"id":"text-14","type":"text","heading":"","plain_text":"Désactiver les services inutiles. La plupart des serveurs ont l'installation par défaut du système d'exploitation, qui contient souvent des services superflus qui ne sont pas nécessaires au fonctionnement du système et qui représentent une faille de sécurité. Par conséquent, il est essentiel de supprimer tous les services inutiles du système.\nSupprimez les composants Windows inutiles. Tous les composants Windows inutiles doivent être supprimés des systèmes critiques pour maintenir les serveurs dans un état sécurisé.\nActivez le système EFS (Encrypting File System) intégré avec NTFS ou BitLocker sur Windows Server.\nSi le poste de travail dispose d'une mémoire vive (RAM) importante, désactivez le fichier d'échange Windows. Cela augmentera les performances et la sécurité car aucune donnée sensible ne peut être écrite sur le disque dur.\nNe pas utiliser AUTORUN. Sinon, du code non approuvé peut être exécuté à l'insu de l'utilisateur. Par exemple, des attaquants peuvent insérer un CD dans la machine et provoquer l'exécution de leur propre script.\nAvant que l'utilisateur ne se connecte, affichez les mentions légales suivantes: «Toute utilisation non autorisée de cet ordinateur et des ressources réseau est interdite…»\nExiger Ctrl + Alt + Suppr pour les connexions interactives.\nConfigurez une limite d'inactivité de la machine pour protéger les sessions interactives inactives.\nAssurez-vous que tous les volumes utilisent le système de fichiers NTFS.\nConfigurez les autorisations de fichier / dossier local. Une autre procédure de sécurité importante, mais souvent négligée, consiste à verrouiller les autorisations de niveau fichier pour le serveur. Par défaut, Windows n'applique aucune restriction spécifique sur les fichiers ou dossiers locaux. le groupe Tout le monde reçoit des autorisations complètes sur la plupart des ordinateurs. Supprimez ce groupe et accordez plutôt l'accès aux fichiers et aux dossiers à l'aide de groupes basés sur les rôles basés sur le principe des moindres privilèges. Tous les efforts doivent être faits pour supprimer Guest, Everyone et ANONYMOUS LOGON des listes de droits des utilisateurs. Avec cette configuration, Windows sera plus sécurisé.\nDéfinissez la date et l'heure du système et configurez-le pour qu'il se synchronise avec les serveurs de temps du domaine.\nConfigurez un écran de veille pour verrouiller automatiquement l’écran de la console s’il est laissé sans surveillance.","html":"Désactiver les services inutiles. La plupart des serveurs ont l'installation par défaut du système d'exploitation, qui contient souvent des services superflus qui ne sont pas nécessaires au fonctionnement du système et qui représentent une faille de sécurité. Par conséquent, il est essentiel de supprimer tous les services inutiles du système.\nSupprimez les composants Windows inutiles. Tous les composants Windows inutiles doivent être supprimés des systèmes critiques pour maintenir les serveurs dans un état sécurisé.\nActivez le système EFS (Encrypting File System) intégré avec NTFS ou BitLocker sur Windows Server.\nSi le poste de travail dispose d'une mémoire vive (RAM) importante, désactivez le fichier d'échange Windows. Cela augmentera les performances et la sécurité car aucune donnée sensible ne peut être écrite sur le disque dur.\nNe pas utiliser AUTORUN. Sinon, du code non approuvé peut être exécuté à l'insu de l'utilisateur. Par exemple, des attaquants peuvent insérer un CD dans la machine et provoquer l'exécution de leur propre script.\nAvant que l'utilisateur ne se connecte, affichez les mentions légales suivantes: «Toute utilisation non autorisée de cet ordinateur et des ressources réseau est interdite…»\nExiger Ctrl + Alt + Suppr pour les connexions interactives.\nConfigurez une limite d'inactivité de la machine pour protéger les sessions interactives inactives.\nAssurez-vous que tous les volumes utilisent le système de fichiers NTFS.\nConfigurez les autorisations de fichier / dossier local. Une autre procédure de sécurité importante, mais souvent négligée, consiste à verrouiller les autorisations de niveau fichier pour le serveur. Par défaut, Windows n'applique aucune restriction spécifique sur les fichiers ou dossiers locaux. le groupe Tout le monde reçoit des autorisations complètes sur la plupart des ordinateurs. Supprimez ce groupe et accordez plutôt l'accès aux fichiers et aux dossiers à l'aide de groupes basés sur les rôles basés sur le principe des moindres privilèges. Tous les efforts doivent être faits pour supprimer Guest, Everyone et ANONYMOUS LOGON des listes de droits des utilisateurs. Avec cette configuration, Windows sera plus sécurisé.\nDéfinissez la date et l'heure du système et configurez-le pour qu'il se synchronise avec les serveurs de temps du domaine.\nConfigurez un écran de veille pour verrouiller automatiquement l’écran de la console s’il est laissé sans surveillance.
"},{"id":"text-15","type":"text","heading":"","plain_text":"Paramètres de stratégie d'audit","html":"Paramètres de stratégie d'audit
"},{"id":"text-16","type":"text","heading":"","plain_text":"Activer la stratégie d'audit conformément aux meilleures pratiques de la stratégie d'audit. La stratégie d'audit Windows définit les types d'événements écrits dans les journaux de sécurité de vos serveurs Windows.\nConfigurez la méthode de conservation du journal des événements pour qu'elle écrase si nécessaire et que la taille puisse atteindre 4 Go.\nConfigurez l'envoi des journaux à SIEM pour la surveillance.","html":"Activer la stratégie d'audit conformément aux meilleures pratiques de la stratégie d'audit. La stratégie d'audit Windows définit les types d'événements écrits dans les journaux de sécurité de vos serveurs Windows.\nConfigurez la méthode de conservation du journal des événements pour qu'elle écrase si nécessaire et que la taille puisse atteindre 4 Go.\nConfigurez l'envoi des journaux à SIEM pour la surveillance.
"},{"id":"text-17","type":"text","heading":"","plain_text":"Guide de sécurité du logiciel","html":"Guide de sécurité du logiciel
"},{"id":"text-18","type":"text","heading":"","plain_text":"Installez et activez le logiciel anti-virus. Configurez-le pour mettre à jour quotidiennement.\nInstallez et activez le logiciel anti-spyware. Configurez-le pour mettre à jour quotidiennement.\nInstallez le logiciel pour vérifier l'intégrité des fichiers critiques du système d'exploitation. Windows possède une fonctionnalité appelée Protection des ressources Windows qui vérifie automatiquement certains fichiers de clé et les remplace s'ils sont endommagés.","html":"Installez et activez le logiciel anti-virus. Configurez-le pour mettre à jour quotidiennement.\nInstallez et activez le logiciel anti-spyware. Configurez-le pour mettre à jour quotidiennement.\nInstallez le logiciel pour vérifier l'intégrité des fichiers critiques du système d'exploitation. Windows possède une fonctionnalité appelée Protection des ressources Windows qui vérifie automatiquement certains fichiers de clé et les remplace s'ils sont endommagés.
"},{"id":"text-19","type":"text","heading":"","plain_text":"La finalisation","html":"La finalisation
"},{"id":"text-20","type":"text","heading":"","plain_text":"Créez une image de chaque système d'exploitation à l'aide de GHOST ou de Clonezilla pour simplifier l'installation et le renforcement de Windows Server.\nEntrez votre clé de licence Windows Server 2016/2012/2008/200/2003.\nEntrez le serveur dans le domaine et appliquez vos stratégies de groupe de domaine.","html":"Créez une image de chaque système d'exploitation à l'aide de GHOST ou de Clonezilla pour simplifier l'installation et le renforcement de Windows Server.\nEntrez votre clé de licence Windows Server 2016/2012/2008/200/2003.\nEntrez le serveur dans le domaine et appliquez vos stratégies de groupe de domaine.
"},{"id":"text-21","type":"text","heading":"","plain_text":"Windows Server est un système sous-jacent essentiel pour Active Directory, les serveurs de bases de données et de fichiers, les applications métier, les services Web et de nombreux autres éléments importants d'une infrastructure informatique. L'audit de Windows Server est un impératif absolu pour la majorité des organisations. Netwrix Auditor for Windows Server automatise l'audit des modifications, des configurations et des événements de sécurité pour aider les organisations à améliorer leur sécurité, rationaliser les efforts de conformité et optimiser les opérations de routine.","html":"Windows Server est un système sous-jacent essentiel pour Active Directory, les serveurs de bases de données et de fichiers, les applications métier, les services Web et de nombreux autres éléments importants d'une infrastructure informatique. L'audit de Windows Server est un impératif absolu pour la majorité des organisations. Netwrix Auditor for Windows Server automatise l'audit des modifications, des configurations et des événements de sécurité pour aider les organisations à améliorer leur sécurité, rationaliser les efforts de conformité et optimiser les opérations de routine.
"},{"id":"text-22","type":"text","heading":"","plain_text":"Click to rate this post!\n \n [Total: 0 Average: 0]","html":"Click to rate this post!\n \n [Total: 0 Average: 0]
"}],"sections":[{"id":"text-1","heading":"Text","content":"Le renforcement de Windows Server implique l’identification et la résolution des vulnérabilités de sécurité. Voici les meilleures pratiques de sécurisation de Windows Server que vous pouvez mettre en œuvre immédiatement pour réduire le risque d'attaques qui compromettent vos systèmes et vos données critiques.\nSécurité organisationnelle"},{"id":"text-2","heading":"Text","content":"Conservez un enregistrement d'inventaire pour chaque serveur qui documente clairement sa configuration de base et enregistre chaque modification apportée au serveur.\nTestez soigneusement et validez chaque modification proposée sur le matériel ou le logiciel du serveur avant de la modifier dans l'environnement de production.\nEffectuer régulièrement une évaluation des risques. Utilisez les résultats pour mettre à jour votre plan de gestion des risques et maintenez une liste de tous les serveurs avec des priorités pour vous assurer que les vulnérabilités de sécurité sont corrigées rapidement.\nConservez tous les serveurs au même niveau de révision"},{"id":"text-3","heading":"Text","content":"Préparation de Windows Server"},{"id":"text-4","heading":"Text","content":"Protégez les machines nouvellement installées du trafic réseau hostile jusqu'à ce que le système d'exploitation soit installé et renforcé. Renforcez chaque nouveau serveur dans un réseau DMZ non ouvert à Internet.\nDéfinissez un mot de passe BIOS / firmware pour empêcher toute modification non autorisée des paramètres de démarrage du serveur.\nDésactivez la connexion administrative automatique à la console de récupération.\nConfigurez la séquence d'amorçage du périphérique pour empêcher le démarrage non autorisé à partir d'un autre support."},{"id":"text-5","heading":"Text","content":"Installation de Windows Server"},{"id":"text-6","heading":"Text","content":"Assurez-vous que le système ne s’est pas arrêté pendant l’installation.\nUtilisez l'assistant de configuration de la sécurité pour créer une configuration système basée sur le rôle spécifique requis.\nAssurez-vous que tous les correctifs, correctifs et service packs appropriés sont appliqués rapidement. Les correctifs de sécurité corrigent des vulnérabilités connues que des attaquants pourraient autrement exploiter pour compromettre un système. Après avoir installé Windows Server, mettez-le immédiatement à jour avec les derniers correctifs via WSUS ou SCCM.\nActiver la notification automatique de la disponibilité des correctifs. Chaque fois qu'un correctif est publié, il doit être analysé, testé et appliqué rapidement avec WSUS ou SCCM."},{"id":"text-7","heading":"Text","content":"Renforcement de la sécurité du compte utilisateur"},{"id":"text-8","heading":"Text","content":"Assurez-vous que vos mots de passe administrateur et système respectent les meilleures pratiques en matière de mot de passe. En particulier, vérifiez que les mots de passe des comptes privilégiés ne sont pas basés sur un mot du dictionnaire mais comportent au moins 15 caractères, avec des lettres, des chiffres, des caractères spéciaux et des caractères invisibles (CTRL ˆ). Assurez-vous que tous les mots de passe sont modifiés tous les 90 jours.\nConfigurez la stratégie de groupe de verrouillage de compte conformément aux meilleures pratiques de verrouillage de compte.\nEmpêcher les utilisateurs de créer et de se connecter avec des comptes Microsoft.\nDésactiver le compte invité.\nN'autorisez pas les autorisations «tout le monde» à s'appliquer aux utilisateurs anonymes.\nN'autorisez pas l'énumération anonyme des comptes et des partages SAM.\nDésactiver la traduction anonyme de SID / Nom.\nDésactivez ou supprimez rapidement les comptes utilisateur inutilisés."},{"id":"text-9","heading":"Text","content":"Configuration de la sécurité du réseau"},{"id":"text-10","heading":"Text","content":"Activez le pare-feu Windows dans tous les profils (domaine, privé, public) et configurez-le pour bloquer le trafic entrant par défaut.\nEffectuez un blocage de port au niveau des paramètres réseau. Effectuez une analyse pour déterminer quels ports doivent être ouverts et limiter l'accès à tous les autres ports.\nLimitez l'accès des utilisateurs authentifiés à chaque ordinateur à partir du réseau.\nN'accordez à aucun utilisateur le droit «d'agir en tant que partie du système d'exploitation».\nRefuser aux comptes d'invités la possibilité de se connecter en tant que service, en tant que travail par lots, localement ou via RDP.\nSi RDP est utilisé, définissez le niveau de cryptage de la connexion RDP sur élevé.\nSupprimer Activer la recherche LMhosts.\nDésactivez NetBIOS sur TCP / IP.\nSupprimez ncacn_ip_tcp.\nConfigurez le client réseau Microsoft et le serveur réseau Microsoft pour toujours signer numériquement les communications.\nDésactivez l'envoi de mots de passe non chiffrés aux serveurs SMB tiers.\nN'autorisez aucun accès aux partages de manière anonyme.\nAutoriser le système local à utiliser l'identité de l'ordinateur pour NTLM.\nDésactiver le repli de session NULL système local.\nConfigurez les types de chiffrement autorisés pour Kerberos.\nNe stockez pas les valeurs de hachage LAN Manager.\nDéfinissez le niveau d'authentification LAN Manager pour autoriser uniquement NTLMv2 et refuser LM et NTLM.\nSupprimer le fichier et imprimer le partage à partir des paramètres réseau. Le partage de fichiers et d'impression pourrait permettre à quiconque de se connecter à un serveur et d'accéder à des données critiques sans nécessiter d'identifiant ou de mot de passe."},{"id":"text-11","heading":"Text","content":"Configuration de la sécurité du registre"},{"id":"text-12","heading":"Text","content":"Assurez-vous que tous les administrateurs prennent le temps de bien comprendre le fonctionnement du registre et l'objectif de chacune de ses différentes clés. La plupart des vulnérabilités du système d'exploitation Windows peuvent être corrigées en modifiant des clés spécifiques, comme indiqué ci-dessous.\nConfigurez les autorisations du registre. Protégez le registre des accès anonymes. Interdire l'accès au registre distant si non requis.\nDéfinissez MaxCachedSockets (REG_DWORD) sur 0.\nDéfinissez SmbDeviceEnabled (REG_DWORD) sur 0.\nDéfinissez AutoShareServer sur 0.\nDéfinissez AutoShareWks sur 0.\nSupprimez toutes les données de valeur DANS la clé NullSessionPipes.\nSupprimez toutes les données de valeur DANS la clé NullSessionShares."},{"id":"text-13","heading":"Text","content":"Paramètres de sécurité généraux"},{"id":"text-14","heading":"Text","content":"Désactiver les services inutiles. La plupart des serveurs ont l'installation par défaut du système d'exploitation, qui contient souvent des services superflus qui ne sont pas nécessaires au fonctionnement du système et qui représentent une faille de sécurité. Par conséquent, il est essentiel de supprimer tous les services inutiles du système.\nSupprimez les composants Windows inutiles. Tous les composants Windows inutiles doivent être supprimés des systèmes critiques pour maintenir les serveurs dans un état sécurisé.\nActivez le système EFS (Encrypting File System) intégré avec NTFS ou BitLocker sur Windows Server.\nSi le poste de travail dispose d'une mémoire vive (RAM) importante, désactivez le fichier d'échange Windows. Cela augmentera les performances et la sécurité car aucune donnée sensible ne peut être écrite sur le disque dur.\nNe pas utiliser AUTORUN. Sinon, du code non approuvé peut être exécuté à l'insu de l'utilisateur. Par exemple, des attaquants peuvent insérer un CD dans la machine et provoquer l'exécution de leur propre script.\nAvant que l'utilisateur ne se connecte, affichez les mentions légales suivantes: «Toute utilisation non autorisée de cet ordinateur et des ressources réseau est interdite…»\nExiger Ctrl + Alt + Suppr pour les connexions interactives.\nConfigurez une limite d'inactivité de la machine pour protéger les sessions interactives inactives.\nAssurez-vous que tous les volumes utilisent le système de fichiers NTFS.\nConfigurez les autorisations de fichier / dossier local. Une autre procédure de sécurité importante, mais souvent négligée, consiste à verrouiller les autorisations de niveau fichier pour le serveur. Par défaut, Windows n'applique aucune restriction spécifique sur les fichiers ou dossiers locaux. le groupe Tout le monde reçoit des autorisations complètes sur la plupart des ordinateurs. Supprimez ce groupe et accordez plutôt l'accès aux fichiers et aux dossiers à l'aide de groupes basés sur les rôles basés sur le principe des moindres privilèges. Tous les efforts doivent être faits pour supprimer Guest, Everyone et ANONYMOUS LOGON des listes de droits des utilisateurs. Avec cette configuration, Windows sera plus sécurisé.\nDéfinissez la date et l'heure du système et configurez-le pour qu'il se synchronise avec les serveurs de temps du domaine.\nConfigurez un écran de veille pour verrouiller automatiquement l’écran de la console s’il est laissé sans surveillance."},{"id":"text-15","heading":"Text","content":"Paramètres de stratégie d'audit"},{"id":"text-16","heading":"Text","content":"Activer la stratégie d'audit conformément aux meilleures pratiques de la stratégie d'audit. La stratégie d'audit Windows définit les types d'événements écrits dans les journaux de sécurité de vos serveurs Windows.\nConfigurez la méthode de conservation du journal des événements pour qu'elle écrase si nécessaire et que la taille puisse atteindre 4 Go.\nConfigurez l'envoi des journaux à SIEM pour la surveillance."},{"id":"text-17","heading":"Text","content":"Guide de sécurité du logiciel"},{"id":"text-18","heading":"Text","content":"Installez et activez le logiciel anti-virus. Configurez-le pour mettre à jour quotidiennement.\nInstallez et activez le logiciel anti-spyware. Configurez-le pour mettre à jour quotidiennement.\nInstallez le logiciel pour vérifier l'intégrité des fichiers critiques du système d'exploitation. Windows possède une fonctionnalité appelée Protection des ressources Windows qui vérifie automatiquement certains fichiers de clé et les remplace s'ils sont endommagés."},{"id":"text-19","heading":"Text","content":"La finalisation"},{"id":"text-20","heading":"Text","content":"Créez une image de chaque système d'exploitation à l'aide de GHOST ou de Clonezilla pour simplifier l'installation et le renforcement de Windows Server.\nEntrez votre clé de licence Windows Server 2016/2012/2008/200/2003.\nEntrez le serveur dans le domaine et appliquez vos stratégies de groupe de domaine."},{"id":"text-21","heading":"Text","content":"Windows Server est un système sous-jacent essentiel pour Active Directory, les serveurs de bases de données et de fichiers, les applications métier, les services Web et de nombreux autres éléments importants d'une infrastructure informatique. L'audit de Windows Server est un impératif absolu pour la majorité des organisations. Netwrix Auditor for Windows Server automatise l'audit des modifications, des configurations et des événements de sécurité pour aider les organisations à améliorer leur sécurité, rationaliser les efforts de conformité et optimiser les opérations de routine."},{"id":"text-22","heading":"Text","content":"Click to rate this post!\n \n [Total: 0 Average: 0]"}],"media":{"primary_image":"https://tutos-gameserver.fr/wp-content/uploads/2019/10/WS_1037.jpg"},"relations":[{"rel":"canonical","href":"https://tutos-gameserver.fr/2019/10/16/liste-de-controle-de-renforcement-de-windows-server-serveur-dimpression/"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/10/16/liste-de-controle-de-renforcement-de-windows-server-serveur-dimpression/llm","type":"text/html"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/10/16/liste-de-controle-de-renforcement-de-windows-server-serveur-dimpression/llm.json","type":"application/json"},{"rel":"llm-manifest","href":"https://tutos-gameserver.fr/llm-endpoints-manifest.json","type":"application/json"}],"http_headers":{"X-LLM-Friendly":"1","X-LLM-Schema":"1.1.0","Content-Security-Policy":"default-src 'none'; img-src * data:; style-src 'unsafe-inline'"},"license":"CC BY-ND 4.0","attribution_required":true,"allow_cors":false}