AccueilServeur d'impressionListe de contrôle de renforcement de Windows Server 2012 R2 – ISO – Bureau de la sécurité des informations – Serveur d’impression
Serveur d'impression

Liste de contrôle de renforcement de Windows Server 2012 R2 – ISO – Bureau de la sécurité des informations – Serveur d’impression

Le 4 mars 2020 - 15 minutes de lecture

1

Si d'autres alternatives ne sont pas disponibles, cela peut être accompli en installant un routeur / pare-feu SOHO entre le réseau et l'hôte à protéger.

2

L'assistant de configuration de la sécurité peut simplifier considérablement le renforcement du serveur. Une fois le rôle de l'hôte défini, l'assistant de configuration de la sécurité peut aider à créer une configuration système basée spécifiquement sur ce rôle. Cependant, il ne supprime pas complètement la nécessité d'apporter d'autres modifications de configuration. Plus d'informations sont disponibles sur: Assistant de configuration de la sécurité.

3

Il existe plusieurs méthodes disponibles pour vous aider à appliquer les correctifs en temps opportun:

Service de mise à jour Microsoft

  • Microsoft Update vérifie votre ordinateur pour identifier les correctifs manquants et vous permet de les télécharger et de les installer.
  • Ceci est différent de la "Windows Update" qui est la valeur par défaut sur Windows. Microsoft Update inclut des mises à jour pour de nombreux autres produits Microsoft, tels que Office et Forefront Client Security.
  • Ce service est uniquement compatible avec Internet Explorer.


Windows AutoUpdate via WSUS
ITS propose un serveur Windows Server Update Services pour une utilisation sur le campus à l'aide des propres serveurs de mise à jour de Microsoft. Il comprend des mises à jour pour d'autres produits Microsoft, tout comme Microsoft Update, et fournit un contrôle administratif supplémentaire pour le déploiement de logiciels.

Analyseur de sécurité Microsoft Baseline
Il s'agit d'une application gratuite basée sur l'hôte qui peut être téléchargée auprès de Microsoft. En plus de détailler les correctifs manquants, cet outil effectue également des vérifications des paramètres de sécurité de base et fournit des informations sur la résolution des problèmes détectés.

4

Configurer les mises à jour automatiques à partir du panneau de configuration des mises à jour automatiques

  • Sur la plupart des serveurs, vous devez choisir soit "Télécharger les mises à jour pour moi, mais laissez-moi choisir quand les installer", soit "M'avertir mais ne pas les télécharger ni les installer automatiquement".
  • Le serveur Campus Windows Server Update Services peut être utilisé comme source de mises à jour automatiques.
5 La configuration des paramètres de longueur minimale de mot de passe n'est importante que si une autre méthode pour garantir la conformité aux normes de mot de passe de l'université n'est pas en place. La politique d'utilisation et de sécurité des ressources d'informations requiert que les mots de passe comportent au moins 8 caractères. Il est fortement recommandé que les mots de passe comportent au moins 14 caractères (ce qui est également la recommandation du CIS).

6

La configuration du paramètre de complexité du mot de passe n'est importante que si une autre méthode pour garantir la conformité aux normes de mot de passe de l'université n'est pas en place. La politique d'utilisation et de sécurité des ressources d'informations requiert que les mots de passe contiennent des lettres, des chiffres et des caractères spéciaux.

sept

Si cette option est activée, le système stockera les mots de passe en utilisant une forme de cryptage faible susceptible de compromettre. Cette configuration est désactivée par défaut.

8

Au lieu des valeurs recommandées CIS, la stratégie de verrouillage de compte doit être configurée comme suit:

  • Durée de verrouillage du compte – 5 minutes
  • Seuil de verrouillage du compte – 5 tentatives infructueuses
  • Réinitialiser le compteur de verrouillage du compte – 5 minutes
11 Tout compte avec ce rôle est autorisé à se connecter à la console. Par défaut, cela inclut les utilisateurs des groupes Administrateurs, Utilisateurs et Opérateurs de sauvegarde. Il est peu probable que les utilisateurs non administratifs aient besoin de ce niveau d'accès et, dans les cas où le serveur n'est pas physiquement sécurisé, l'octroi de ce droit peut faciliter une compromission de l'appareil. 13 Le texte de la bannière d'avertissement officielle de l'université se trouve sur le site Web des STI. Vous pouvez ajouter des informations localisées à la bannière tant que la bannière universitaire est incluse. 14

L'utilisation de comptes Microsoft peut être bloquée en configurant l'objet de stratégie de groupe à: 

Configuration ordinateur  Paramètres Windows  Paramètres de sécurité  Stratégies locales 
Options de sécurité  Comptes: bloquer les comptes Microsoft

Ce paramètre peut être vérifié en auditant la clé de registre:

HKEY_LOCAL_MACHINE  Software  Microsoft  Windows  CurrentVersion  Policies  System  NoConnectedUser
42

Les informations d'ouverture de session pour les comptes de domaine peuvent être mises en cache localement pour permettre aux utilisateurs qui se sont déjà authentifiés de le faire à nouveau même si un contrôleur de domaine ne peut pas être contacté. Par défaut, 10 comptes seront mis en cache localement, mais il y a un risque qu'en cas de compromis, un attaquant puisse localiser les informations d'identification mises en cache et utiliser une attaque par force brute pour découvrir les mots de passe. Par conséquent, il est recommandé de réduire cette valeur afin que moins d'informations d'identification soient mises en danger et que les informations d'identification soient mises en cache pendant des périodes plus courtes dans le cas de périphériques fréquemment connectés par plusieurs utilisateurs.

L'objet de stratégie de groupe ci-dessous doit être défini sur 4 ouvertures de session ou moins:

Configuration ordinateur  Paramètres Windows  Paramètres de sécurité  Stratégies locales 
Options de sécurité  Connexion interactive: nombre de connexions précédentes à mettre en cache (dans
contrôleur de domaine de cas n'est pas disponible)
43

La stratégie d'audit de connexion au compte enregistre les résultats des tests de validation des informations d'identification soumises pour les demandes de connexion au compte d'utilisateur. Le serveur faisant autorité pour les informations d'identification doit avoir cette stratégie d'audit activée. Pour les machines membres du domaine, cette stratégie n'enregistrera que les événements des comptes d'utilisateurs locaux.

Configurez l'objet de stratégie de groupe ci-dessous pour qu'il corresponde aux paramètres d'audit répertoriés:

Configuration ordinateur  Paramètres Windows  Paramètres de sécurité 
Configuration de stratégie d'audit avancée  Stratégies d'audit  Connexion au compte
  • Validation des informations d'identification – Succès et échec
44

Configurez l'objet de stratégie de groupe ci-dessous pour qu'il corresponde aux paramètres d'audit répertoriés:

Configuration ordinateur  Paramètres Windows  Paramètres de sécurité 
Configuration de stratégie d'audit avancée  Stratégies d'audit  Gestion de compte
  • Gestion des comptes d'ordinateurs – réussite et échec
  • Autres événements de gestion de compte – Succès et échecs
  • Gestion des groupes de sécurité – réussite et échec
  • Gestion des comptes d'utilisateurs – réussite et échec
45

Configurez l'objet de stratégie de groupe ci-dessous pour qu'il corresponde aux paramètres d'audit répertoriés:

Configuration ordinateur  Paramètres Windows  Paramètres de sécurité 
Configuration de stratégie d'audit avancée  Stratégies d'audit  Ouverture / fermeture de session
  • Verrouillage de compte – Succès
  • Déconnexion – Succès
  • Ouverture de session – Succès et échec
  • Autres événements d'ouverture / fermeture de session – Succès et échec
  • Ouverture de session spéciale – Succès
46

Configurez l'objet de stratégie de groupe ci-dessous pour qu'il corresponde aux paramètres d'audit répertoriés:

Configuration ordinateur  Paramètres Windows  Paramètres de sécurité 
Configuration de stratégie d'audit avancée  Stratégies d'audit  Changement de stratégie
  • Changement de politique d'audit – Succès et échec
  • Changement de politique d'authentification – Succès
47

Configurez l'objet de stratégie de groupe ci-dessous pour qu'il corresponde aux paramètres d'audit répertoriés:

Configuration ordinateur  Paramètres Windows  Paramètres de sécurité 
Configuration de stratégie d'audit avancée  Stratégies d'audit  Utilisation des privilèges
  • Utilisation sensible des privilèges – Succès et échec

48

L'université requiert les paramètres de journal des événements suivants au lieu de ceux recommandés par la référence CIS:

  • Application: taille maximale du journal – 32,768 KB
  • Sécurité: taille maximale du journal 196 608 Ko
  • Configuration: taille maximale du journal – 32,768 KB
  • Système: taille maximale du journal – 32,768 KB

La méthode de rétention recommandée pour tous les journaux est la suivante: Écraser les événements de plus de 14 jours

Ce sont des exigences minimales. Le journal le plus important ici est le journal de sécurité. 100 Mo est un minimum suggéré, mais si vous disposez d'un service à volume élevé, augmentez la taille du fichier pour vous assurer qu'au moins 14 jours de journaux de sécurité sont disponibles. Vous pouvez augmenter le nombre de jours que vous conservez ou vous pouvez définir les fichiers journaux pour ne pas écraser les événements.

Notez que si le journal des événements atteint sa taille maximale et qu'aucun événement antérieur au nombre de jours que vous avez spécifié n'existe pour être supprimé, ou si vous avez désactivé le remplacement des événements, aucun nouvel événement ne sera enregistré. Cela peut se produire délibérément comme une tentative d'un attaquant de couvrir ses traces. Pour les services critiques fonctionnant avec Cat 1 ou d'autres données sensibles, vous devez utiliser syslog, Splunk, Intrust ou un service similaire pour envoyer les journaux à un autre appareil.

Une autre option consiste à configurer Windows pour faire pivoter automatiquement les fichiers journaux des événements lorsqu'un journal des événements atteint sa taille maximale, comme décrit dans l'article http://support.microsoft.com/kb/312571 à l'aide de l'entrée de Registre AutoBackupLogFiles.

49

Il est fortement recommandé que les journaux soient expédiés à partir de n'importe quel appareil de catégorie I vers un service comme Splunk, qui assure l'agrégation, le traitement et la surveillance en temps réel des événements, entre autres. Cela permet de garantir que les journaux sont préservés et inchangés en cas de compromis, en plus de permettre une analyse proactive des journaux de plusieurs appareils.

Les licences Splunk sont disponibles gratuitement via ITS. ITS maintient également un service Splunk à gestion centralisée qui peut être exploité.

52

Configurez les droits des utilisateurs pour qu'ils soient aussi sécurisés que possible, en suivant les recommandations de la section 2.2 du benchmark CIS. Il faut s'efforcer de supprimer Guest, Everyone et ANONYMOUS LOGON des listes de droits d'utilisateur.

53

Les volumes au format FAT ou FAT32 peuvent être convertis en NTFS à l'aide de l'utilitaire convert.exe fourni par Microsoft. Microsoft a fourni des instructions sur la façon d'effectuer la conversion. Les serveurs Windows utilisés avec des données de catégorie I doivent utiliser le système de fichiers NTFS pour toutes les partitions où les données de catégorie I doivent être stockées.

54

Soyez extrêmement prudent, car la définition d'autorisations incorrectes sur les fichiers et dossiers système peut rendre un système inutilisable.

55

Soyez extrêmement prudent, car la définition d'autorisations incorrectes sur les entrées de registre peut rendre un système inutilisable.

56

Certains outils d'administration à distance, tels que Microsoft Systems Management Server, nécessitent un accès de registre à distance aux périphériques gérés. La désactivation de l'accès au registre distant peut entraîner l'échec de ces services. Si l'accès au registre distant n'est pas requis, il est recommandé d'arrêter et de désactiver le service de registre distant.

Si l'accès au registre à distance est requis, les chemins d'accès au registre accessibles à distance doivent toujours être configurés pour être aussi restrictifs que possible. L'objet de stratégie de groupe ci-dessous contrôle les chemins de registre disponibles à distance:

Configuration ordinateur  Paramètres Windows  Paramètres de sécurité  Stratégies locales 
Options de sécurité  Accès réseau: chemins de registre accessibles à distance

Cet objet doit être défini pour autoriser l'accès uniquement à:

  • System CurrentControlSet Control ProductOptions
  • System CurrentControlSet Control Server Applications
  • Logiciel Microsoft Windows NT CurrentVersion

D'autres restrictions sur les chemins et sous-chemins de registre accessibles à distance peuvent être configurées avec l'objet de stratégie de groupe:

Configuration ordinateur  Paramètres Windows  Paramètres de sécurité  Stratégies locales 
Options de sécurité  Accès réseau: chemins et sous-chemins de registre accessibles à distance

57

Par défaut, les membres du domaine synchronisent leur heure avec les contrôleurs de domaine à l'aide du service de temps Windows de Microsoft. Le contrôleur de domaine doit être configuré pour synchroniser son heure avec une source de temps externe, telle que les serveurs de temps réseau de l'université.

ITS Networking exploite deux serveurs NTPv4 de couche 2 (NTP version 4) pour les services de synchronisation horaire du réseau pour les administrateurs de réseau universitaires.

58

ITS fournit FireAMP, un service antivirus géré basé sur le cloud, gratuit pour tous les appareils appartenant à l'université. Pour plus d'informations sur l'obtention et l'utilisation de FireAMP, consultez le site http://www.utexas.edu/its/products/antivirus/.

59

Le logiciel anti-spyware ne doit être installé que si le serveur est utilisé pour parcourir des sites Web non spécifiquement liés à l'administration du serveur, ce qui n'est pas recommandé. ITS fournit un logiciel anti-spyware sans frais supplémentaires. Au minimum, SpyBot Search and Destroy doit être installé. Nous recommandons également l'installation d'une application anti-spyware secondaire, telle que SpyWare Blaster, EMS Free Surfer ou AdAware. SpyWare Blaster et EMS Free Surfer sont disponibles auprès de BevoWare.

Une mesure supplémentaire qui peut être prise consiste à installer Firefox avec les modules complémentaires NoScript et uBlock.

60

FireAMP est la solution AV recommandée. Microsoft Forefront peut également être utilisé et peut être configuré directement ou via l'utilisation de GPO, ce qui peut simplifier la gestion de plusieurs serveurs.

61

Spyware Blaster – L'activation de la fonctionnalité de mise à jour automatique nécessite l'achat d'un abonnement supplémentaire.
SpyBot Search and Destroy – Les tâches de mise à jour automatique peuvent être créées à l'intérieur du programme lui-même et sont planifiées à l'aide du Planificateur de tâches Windows.

  1. Dans l'application Spybot, cliquez sur Mode -> Affichage avancé.
  2. Cliquez sur Paramètres sur le côté gauche de la fenêtre.
  3. Vous devriez maintenant voir une option intitulée «Planificateur». Sélectionnez cette option.
  4. L'ajout de la tâche à mettre à jour automatiquement est relativement simple.

62

Windows fournit le système de fichiers de cryptage en tant que mécanisme intégré pour permettre le cryptage des fichiers et dossiers des utilisateurs individuels. Soyez conscient des mises en garde impliquées dans l'utilisation d'EFS avant de l'implémenter pour une utilisation générale, cependant. D'autres options telles que PGP et GNUPG existent également.

Une autre option de chiffrement à considérer est le chiffrement du disque entier, qui chiffre tout le contenu du lecteur au lieu de seulement des fichiers et des dossiers spécifiques. Windows est livré avec BitLocker pour cela.

Si le cryptage est utilisé conjointement avec des données de catégorie I, l'une des solutions répertoriées dans les méthodes de cryptage approuvées (EID requis) doit être mise en œuvre.

63

Windows a une fonctionnalité appelée Protection des ressources Windows qui vérifie automatiquement certains fichiers clés et les remplace s'ils sont corrompus. Il est activé par défaut.

Vous pouvez effectuer un audit beaucoup plus en profondeur à l'aide de Tripwire. Les versions modernes de Tripwire nécessitent l'achat de licences pour pouvoir l'utiliser. La console de gestion Tripwire peut être très utile pour gérer des installations plus complexes.

64

Ce paramètre est configuré par l'objet de stratégie de groupe à:

 Configuration ordinateur  Modèles d'administration  Composants Windows  Services Bureau à distance 
Hôte de session Bureau à distance  Sécurité

Cet objet de stratégie doit être configuré comme suit:

  • Définir le niveau de chiffrement de la connexion client – Élevé
  • Nécessite l'utilisation d'une couche de sécurité spécifique pour les connexions distantes (RDP) – SSL (TLS 1.0)
  • Exiger l'authentification des utilisateurs pour les connexions à distance à l'aide de l'authentification au niveau du réseau – Activé

69

  1. Ouvrez le panneau de configuration Propriétés d'affichage.
  2. Sélectionnez l'onglet Économiseur d'écran.
  3. Sélectionnez un économiseur d'écran dans la liste. Bien qu'il y en ait plusieurs disponibles, envisagez d'en utiliser un simple tel que "Vide".
  4. La valeur pour Attendez ne devrait pas dépasser 15 minutes.
  5. Sélectionnez le À la reprise, protection par mot de passe option.

Articles relatifs:

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.