Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesListe de contrôle
Liste de vérification du durcissement de Windows Server

Liste de vérification du durcissement de Windows Server

Bien que déployer des serveurs dans leur état par défaut puisse être le moyen le plus rapide de les rendre opérationnels, cela est nettement insuffisant en termes de sécurité. Dès leur sortie de la boîte, les serveurs sont optimisés pour la facilité d'utilisation — ce qui se fait souvent au détriment de la sécurité.

Cette mise en garde est particulièrement importante pour les systèmes Windows Server en raison du rôle essentiel qu'ils jouent dans l'écosystème Microsoft, y compris pour l'authentification et l'autorisation. En investissant un peu plus de temps pour configurer vos systèmes Windows Server de manière sécurisée, vous pouvez considérablement réduire votre surface d'attaque.

Pour aider, ce guide propose une liste de contrôle complète des meilleures pratiques de durcissement de Windows Server. Tout d'abord, nous couvrirons Windows Server lui-même : utilisateurs, fonctionnalités, rôles, services, etc. Mais ensuite, nous fournirons un guide de durcissement Windows pour une variété d'autres aspects de l'environnement informatique qui impactent également la sécurité et la disponibilité de Windows Server, tels que la configuration du réseau et du pare-feu, la configuration des applications et des services, la gestion des accès et les politiques d'audit. Enfin, nous offrirons une solution qui simplifie considérablement le processus de durcissement des serveurs.

Préparation du serveur

Le durcissement du serveur commence même avant d'installer le système d'exploitation. Pour fournir une base solide pour la sécurité du serveur, suivez les étapes suivantes :

  • Établissez et maintenez un inventaire détaillé de tous vos serveurs.
  • Isolez les nouveaux serveurs du réseau et du trafic internet jusqu'à ce qu'ils soient entièrement sécurisés.
  • Sécurisez le BIOS/firmware avec un mot de passe robuste.
  • Désactivez la connexion administrative automatique à la console de récupération.
  • Configurez l'ordre de démarrage des appareils pour empêcher le démarrage à partir de supports alternatifs.

Mettez à jour l'installation de Windows Server et maintenez-la à jour

Après avoir installé le système d'exploitation Windows Server, mettez-le immédiatement à jour avec les derniers correctifs pour atténuer les vulnérabilités connues. Les mises à jour peuvent être téléchargées directement depuis Microsoft ou via Window Server Update Services (WSUS) ou System Center Configuration Manager (SCCM).

Pour aider à sécuriser vos serveurs, activez la notification automatique de la disponibilité des correctifs et installez les mises à jour rapidement. Cependant, avant de déployer un correctif, un hotfix ou un service pack, assurez-vous de le tester soigneusement pour vérifier qu'il fonctionne correctement dans votre environnement spécifique.

Renforcement de la sécurité des comptes utilisateurs

Dès qu'un serveur est déployé et à jour concernant les correctifs de sécurité, procédez à la configuration de la sécurité des utilisateurs pour atténuer le risque d'accès non autorisé. Les meilleures pratiques de configuration des utilisateurs clés comprennent les suivantes :

  • Désactivez le compte invité sur chaque serveur.
  • Renommez le compte Administrateur local ou désactivez-le et créez un nouveau compte avec un nom unique.
  • Minimisez à la fois l'appartenance et les permissions des groupes intégrés tels que Local System (NT AUTHORITY\System), Network Service (NT AUTHORITY\NetworkService), Administrateurs, Opérateurs de sauvegarde, Utilisateurs et Tout le monde. Par exemple, pour éviter un accès à distance illimité à vos serveurs, assurez-vous de modifier le paramètre par défaut accordant le droit ‘Accéder à cet ordinateur depuis le réseau’ au groupe Tout le monde.
  • Assurez-vous que les mots de passe des comptes système et administrateur respectent les meilleures pratiques en matière de mots de passe. En particulier, exigez que ces mots de passe aient au moins 15 caractères et utilisent un mélange de lettres, de chiffres et de caractères spéciaux, et qu'ils soient changés tous les 90 à 180 jours.
  • Configurez une politique de verrouillage de compte conformément aux bonnes pratiques de verrouillage de compte.
  • Désactiver la traduction anonyme SID/Nom.
  • Désactivez ou supprimez rapidement les comptes d'utilisateurs inutilisés.
  • Exigez que les administrateurs de serveur se connectent en utilisant un compte administrateur local plutôt qu'un compte de domaine privilégié afin de limiter le risque de problèmes ou de compromissions à l'échelle du domaine.

Configuration des fonctionnalités et des rôles

Une autre meilleure pratique importante pour renforcer la sécurité des serveurs Windows consiste à supprimer toutes les fonctionnalités et rôles qui ne sont pas nécessaires à la finalité prévue du serveur. Cette stratégie réduit la surface d'attaque et rend également le serveur plus facile à gérer.

Configuration des applications et services

De même, minimisez le nombre d'applications, de services et de protocoles qui sont installés sur chaque serveur. En particulier, n'installez aucun navigateur web supplémentaire sur le serveur et restreignez l'accès au web pour tous les utilisateurs.

Limiter les applications et les services fonctionnant sur un serveur réduit sa surface d'attaque et simplifie également la gestion des mises à jour et des correctifs.

Configuration du réseau

La configuration de votre réseau a un impact considérable sur la sécurité de vos serveurs Windows. Voici quelques pratiques clés de configuration réseau que vous devriez suivre.

  • Isolez le serveur des réseaux ou segments non fiables en utilisant des VLAN, du sous-réseau ou d'autres techniques de ségrégation réseau. Cette stratégie limite l'exposition du serveur aux menaces potentielles.
  • Assurez-vous que les configurations DNS et de nom d'hôte sont précises pour prévenir les manipulations liées au DNS.
  • Mettez en œuvre des restrictions d'IP et des règles de filtrage pour contrôler quelles adresses IP ou plages peuvent communiquer avec le serveur. Cela aide à limiter l'accès non autorisé et l'exposition aux attaques.
  • Si l'administration à distance est nécessaire, limitez l'accès RDP à des adresses IP spécifiques ou à des réseaux pour aider à prévenir l'accès non autorisé.
  • Désactivez à la fois NetBIOS sur TCP/IP et la recherche LMHosts à moins qu'ils ne soient requis pour des logiciels ou du matériel hérité.

Configuration du pare-feu

Pour protéger vos serveurs Windows contre les accès non autorisés et le trafic malveillant, suivez ces meilleures pratiques de configuration de pare-feu :

  • Activez le pare-feu Windows.
  • Configurez chaque profil de pare-feu Windows (Domaine, Privé et Public) pour bloquer par défaut le trafic entrant. Lorsqu'un accès entrant est nécessaire pour un serveur, limitez-le aux protocoles essentiels, ports et adresses IP spécifiques.
  • Ouvrez uniquement les ports réseau nécessaires ; restreignez ou refusez l'accès pour tous les autres ports.

Configuration de l'heure réseau (NTP)

NTP est essentiel pour garantir des horodatages précis sur les événements, ce qui aide les organisations à se protéger contre les attaques de type usurpation temporelle et de relecture.

Désignez un serveur spécifique comme étant le chronométreur principal et configurez-le pour se synchroniser avec une source d'horloge atomique de confiance. Ensuite, établissez une politique qui exige que tous les serveurs et postes de travail synchronisent leur heure exclusivement avec ce serveur.

Configuration du registre

Configurer correctement les paramètres du registre et contrôler les modifications qui y sont apportées est également essentiel pour la sécurité des serveurs. Les meilleures pratiques comprennent ce qui suit :

  • Si le service de Registre à distance n'est pas nécessaire, désactivez-le. S'il est nécessaire, contrôlez strictement l'accès à celui-ci.
  • Désactivez les paramètres "NullSessionPipes" et "NullSessionShares" pour limiter l'accès anonyme aux ressources réseau.
  • Autorisez uniquement les utilisateurs autorisés et les administrateurs à modifier les clés de registre critiques et les sous-clés.

Chiffrement

Pour renforcer la sécurité des serveurs, il est conseillé d'activer et de configurer le chiffrement de lecteur BitLocker pour le lecteur système entier, ainsi que pour tout autre lecteur contenant des données. Pour une protection des données plus détaillée, envisagez d'utiliser le système de chiffrement de fichiers (EFS) pour chiffrer des fichiers individuels.

Pour garantir la confidentialité et l'intégrité des données à travers le réseau, vous pouvez mettre en œuvre IPsec pour chiffrer le trafic réseau entre les serveurs.

Access Management

La gestion des accès est un composant critique de la liste de contrôle de durcissement Windows car elle contrôle qui peut accéder à quelles ressources informatiques et quel niveau d'accès ils ont. Les meilleures pratiques de gestion des accès comprennent ce qui suit :

  • Appliquez le principe du moindre privilège en accordant aux utilisateurs et aux processus les droits minimaux nécessaires pour effectuer leurs tâches. En particulier, soyez très judicieux concernant l'octroi de permissions au groupe Everyone.
  • Autorisez uniquement les utilisateurs authentifiés à accéder à n'importe quel ordinateur depuis le réseau.
  • Configurez les types de chiffrement autorisés pour l'authentification Kerberos.
  • Ne stockez pas les valeurs de hachage LAN Manager.
  • Désactivez le partage de fichiers et d'imprimantes s'il n'est pas nécessaire.
  • Désactivez le protocole NTLMv1 à moins qu'il ne soit nécessaire pour prendre en charge une technologie plus ancienne.

Configuration de l'accès à distance

Le protocole Remote Desktop Protocol (RDP) est une cible courante pour les pirates, il ne devrait donc être activé que si nécessaire. Si le RDP est activé, réglez le niveau de chiffrement de la connexion RDP sur élevé.

De plus, accordez des droits d'accès à distance uniquement aux utilisateurs spécifiques qui en ont besoin et utilisez, si possible, l'authentification multifacteur (MFA) pour ajouter une couche supplémentaire de protection.

Pratiques générales de renforcement de la sécurité

Envisagez de mettre en œuvre ces meilleures pratiques générales de sécurité :

  • Désactivez l'utilisation de supports amovibles, tels que les clés USB, pour atténuer le risque d'exfiltration de données et d'injection de logiciels malveillants.
  • Affichez un avis légal comme le suivant avant que l'utilisateur ne se connecte : « L'utilisation non autorisée de cet ordinateur et des ressources réseau est interdite. »
  • Exigez Ctrl+Alt+Del pour les connexions interactives et configurez une limite de temps pour mettre fin automatiquement aux sessions interactives inactives.
  • Si le serveur dispose de suffisamment de RAM, envisagez de désactiver le fichier d'échange Windows pour améliorer les performances et renforcer la sécurité en empêchant que des données sensibles soient écrites sur le disque dur.

Guide de durcissement de Windows Server : Recommandations supplémentaires

Parmi les autres recommandations de renforcement, on peut citer les suivantes :

  • Effectuez des évaluations des risques régulières et utilisez-les pour mettre à jour votre plan de gestion des risques.
  • Utilisez une solution de sécurité des points de terminaison pour protéger vos serveurs et autres machines. Windows Defender est inclus par défaut, mais des solutions tierces sont également disponibles. Envisagez également une protection anti-espion.
  • Installez une solution de prévention des pertes de données (DLP) pour aider à protéger les informations sensibles contre les accès inappropriés et les fuites.
  • Surveillez les activités susceptibles de compromettre la sécurité du serveur. Les journaux natifs fournissent un certain aperçu ; ces journaux peuvent être examinés à l'aide de l'Observateur d'événements Windows. Mais pour des capacités de journalisation et de surveillance plus complètes, mettez en œuvre une solution d'audit d'entreprise qui offre non seulement une surveillance mais aussi des fonctionnalités avancées telles que l'analyse du comportement utilisateur (UBA), des alertes en temps réel et une réponse automatisée aux incidents.

Comment Netwrix peut aider

Netwrix Change Tracker simplifie considérablement le durcissement et la gestion de configuration des serveurs Windows. En particulier, il :

  • Rend facile l'établissement de configurations de base sécurisées conformes aux normes telles que celles du Center for Internet Security (CIS) et du US Department of Defense Security Technical Implementation Guide (STIG)
  • Détecte automatiquement les écarts ou la dérive par rapport à vos configurations de base en utilisant la technologie de surveillance de l'intégrité des systèmes et des fichiers (FIM)
  • Se coordonne avec votre solution de gestion des services informatiques (ITSM) pour identifier les changements de configuration inattendus et alerter les administrateurs
  • Accélère la réponse aux incidents en fournissant des informations détaillées sur les modifications
  • Rationalise les audits de conformité avec des rapports prêts à l'emploi couvrant NIST, PCI DSS, CMMC, STIG et NERC CIP.

Partager sur

Ressources associées

Approfondissez avec nos ressources associées

Centre de ressources
eBook

Faciliter la prévention de la perte de données avec les solutions Netwrix

Prévention des pertes de données
eBook

Déploiement de logiciels sur Windows : douloureux mais pas nécessaire

Endpoint Management