Différences entre versions de « Sécuriser sa machine Windows »
| (8 versions intermédiaires par 3 utilisateurs non affichées) | |||
| Ligne 44 : | Ligne 44 : | ||
* Mettre un mot de passe suffisamment "compliqué" (au moins 8 caractères comportant minuscules, majuscules, chiffres et caractères spéciaux) | * Mettre un mot de passe suffisamment "compliqué" (au moins 8 caractères comportant minuscules, majuscules, chiffres et caractères spéciaux) | ||
* Ne jamais divulguer de mot de passe, par voie orale ou écrite | * Ne jamais divulguer de mot de passe, par voie orale ou écrite | ||
| + | |||
| + | ==ICMP Comment activer ou désactiver (bloquer) le ping sous Windows== | ||
| + | |||
| + | Pour des raisons de sécurité, il est souvent conseillé de désactiver le ping. Cela permet entre autre de se prémunir contre les scans réseaux, dont les plus basiques sont souvent effectués avec un ping successif de toutes les adresse IP d'une plage donnée. En revanche pour faciliter les opérations de maintenance il est plus confortable pour les administrateurs d’avoir un serveur qui répond normalement au ping. | ||
| + | |||
| + | Pour [[https://fr-wiki.ikoula.com/fr/ICMP_Comment_activer_ou_d%C3%A9sactiver_(bloquer)_le_ping_sous_Linux/Windows | activer/désactiver le ping]] | ||
==Pare-feu== | ==Pare-feu== | ||
| Ligne 54 : | Ligne 60 : | ||
RDP (''Remote Desktop Protocol'') correspondant à l'accès bureau à distance, indispensable pour administrer votre serveur passe par défaut par le port 3389.<br> | RDP (''Remote Desktop Protocol'') correspondant à l'accès bureau à distance, indispensable pour administrer votre serveur passe par défaut par le port 3389.<br> | ||
Il est recommandé de modifier ce port afin de limiter les tentatives d'accès sur votre serveur.<br> | Il est recommandé de modifier ce port afin de limiter les tentatives d'accès sur votre serveur.<br> | ||
| + | |||
| + | <div style="background-color: #FF9999;"> '''Avertissement''': Attention a bien ouvrir le port dans le pare-feu avant de changer le port RDP pour éviter de vous retrouver bloqué lorsque vous redémarrerez le service.</div> | ||
| + | |||
Pour cela : | Pour cela : | ||
* Faites ''Windows + R'' pour ouvrir la boite de dialogue ''Exécuter'' (ou ''Run'') | * Faites ''Windows + R'' pour ouvrir la boite de dialogue ''Exécuter'' (ou ''Run'') | ||
| Ligne 61 : | Ligne 70 : | ||
* Double cliquez sur la clé pour l'éditer | * Double cliquez sur la clé pour l'éditer | ||
* Choisissez ''Decimal'' et indiquez une valeur de port comprise entre '''1''' et '''65535''' | * Choisissez ''Decimal'' et indiquez une valeur de port comprise entre '''1''' et '''65535''' | ||
| + | * Redémarrez le service de Bureau à Distance | ||
<div style="background-color: #FF9999;"> '''Avertissement''': Attention de ne pas indiquer un port utilisé par un autre service. Pour vérifier les ports ouvert vous pouvez utiliser des logiciels comme "Process Monitor" ou vérifier en ligne de commande avec des commandes comme "netstat"</div> | <div style="background-color: #FF9999;"> '''Avertissement''': Attention de ne pas indiquer un port utilisé par un autre service. Pour vérifier les ports ouvert vous pouvez utiliser des logiciels comme "Process Monitor" ou vérifier en ligne de commande avec des commandes comme "netstat"</div> | ||
| − | ==IPBan élimination des botnets== | + | == IPBan élimination des botnets == |
| − | Le IPBan permets d'éliminer les | + | Le IPBan permets d'éliminer les botnets et les attaques par "Brute force". <br> |
IPBan améliore la sécurité et les performances de vos machines et place les mauvais acteurs dans une règle de blocage du pare-feu. | IPBan améliore la sécurité et les performances de vos machines et place les mauvais acteurs dans une règle de blocage du pare-feu. | ||
Lien de téléchargement: https://github.com/DigitalRuby/IPBan/releases | Lien de téléchargement: https://github.com/DigitalRuby/IPBan/releases | ||
| − | ===Installation=== | + | === Installation === |
| − | + | * Créer un dossier à la racine de votre disque C: avec le nom "IPBAN" | |
| + | * Télécharger le fichier en .zip depuis l'URL et le décompresser vers C:\IPBAN | ||
| − | + | === Exécution IPBAN comme service Windows=== | |
| − | + | L'ajout d'IPBAN comme service Windows permettra à votre serveur de se lancer automatiquement à chaque démarrage. <br> | |
| + | Le service fonctionnera en "arrière-plan" et ne sera donc pas que visible dans le gestionnaire de tâches. | ||
| − | + | ==== Lancement CMD ==== | |
| − | |||
| − | Ouvrir | + | * Ouvrir un onglet CMD en "Administrateur" |
| − | + | * "Touche Windows" taper "CMD" -> clic droit "Exécuter comme administrateur" | |
| − | + | ==== Création service ==== | |
sc.exe create IPBAN binpath= "C:\IPBAN\DigitalRuby.IPBan" | sc.exe create IPBAN binpath= "C:\IPBAN\DigitalRuby.IPBan" | ||
| − | + | ==== Paramétrage service ==== | |
| + | |||
| + | * Il faut ouvrir le gestionnaire de services -> touche WINDOWS+R -> taper "services.msc" | ||
| + | * Chercher votre service "IPBAN" -> clic droit -> propriétés | ||
| + | * Sur l'onglet, changer le type de démarrage en "automatique" et ensuite cliquer sur "Démarrer" | ||
| + | |||
| + | [[Fichier:IPban-1.JPG|250px]] | ||
| − | + | ==== Vérification fonctionnement ==== | |
| − | + | Pour information les adresses IP's sont bloquées sur votre Firewall Windows sur une des nouvelles règles créées en "Trafic entrant" : | |
| − | + | [[Fichier:IPban-2.JPG|350px]] | |
| − | + | Pour visualiser la console il vous suffit de lancer l'exécutable C:\IPBAN\DigitalRuby.IPBan <br> | |
| + | L'IPban tournera toujours en arrière plan même si vous fermez la console. | ||
==Vérification== | ==Vérification== | ||
Version actuelle datée du 9 septembre 2024 à 15:49
Introduction
Assurer la sécurité de sa machine est un point essentiel qui ne doit pas être sous-estimé sous peine de devenir la cible de diverses attaques. La puissance actuelle des ordinateurs rendant aujourd'hui des techniques d'intrusions comme l'attaque par force brute ou bruteforce très simple à mettre en œuvre pour obtenir un accès administrateur à la machine cible en un temps réduit.
Vous trouverez sur cette page une liste non exhaustive de pistes afin de sécuriser votre serveur Windows sur différents points tels que le compte l'anti-virus, le pare-feu, les mises à jour, ...
Sur un serveur de production, pensez à effectuer ces opérations pendant les heures creuses afin de minimiser l'impact de vos actions.
Mises à jour
L'un des pré-requis essentiel à la sécurité de son serveur est de maintenir son système d'exploitation à la version la plus à jour possible. Un nombre important de failles découvertes sont rapidement corrigées par Microsoft qui publie régulièrement des patchs de sécurité, dans la mesure du possible il faut toujours conserver son système à jour et ainsi éviter les failles de sécurité.
La mise à jour d'un système d'exploitation Windows se fait via l'outil Windows Update.
Liens utiles concernant Windows Update :
https://support.microsoft.com/fr-ch/help/949104/how-to-update-the-windows-update-agent-to-the-latest-version
Le processus de mise à jour est simple :
- Allez dans le Menu démarrer
- Tapez Windows Update dans le menu
- Sélectionnez Windows Update, le gestionnaire de mise à jour se lance
- Faites Check for updates afin que Windows récupère la liste complète des mises à jour importantes et facultatives sans les appliquer
- En cliquant sur le nombre de mises à jour disponibles vous affichez un menu vous permettant de choisir les mises à jour que vous souhaitez installer
- Cliquez ensuite sur Install Updates afin d'installer les mises à jour sélectionnées
- Windows va appliquer les mises à jour
Anti Virus
L'installation d'une solution antivirale sur un serveur est essentiel dans une politique de sécurisation.
De nombreuses solutions, gratuites ou payantes existent. Le choix de la solution est à votre préférence. Vous devez simplement vérifier la compatibilité entre le logiciel anti-virus et votre système.
Par défaut la solution MSE (Microsoft Security Essentials) offre une protection suffisante : https://support.microsoft.com/fr-fr/help/14210/security-essentials-download
Gestion Utilisateur
Vos serveurs sont livrés avec un utilisateur administrateur et un mot de passe par défaut.
Il est important de gérer vos accès en créant d'autres utilisateurs possédant chacun des accès spécifique.
Il est important également d'adopter une politique de mot de passe pour chacun de vos utilisateurs (et principalement "administrateur") en respectant les conseils suivants :
- Changez régulièrement les mots de passe
- Mettre un mot de passe suffisamment "compliqué" (au moins 8 caractères comportant minuscules, majuscules, chiffres et caractères spéciaux)
- Ne jamais divulguer de mot de passe, par voie orale ou écrite
ICMP Comment activer ou désactiver (bloquer) le ping sous Windows
Pour des raisons de sécurité, il est souvent conseillé de désactiver le ping. Cela permet entre autre de se prémunir contre les scans réseaux, dont les plus basiques sont souvent effectués avec un ping successif de toutes les adresse IP d'une plage donnée. En revanche pour faciliter les opérations de maintenance il est plus confortable pour les administrateurs d’avoir un serveur qui répond normalement au ping.
Pour [| activer/désactiver le ping]
Pare-feu
L'une des principales étapes de sécurisation passe par la mise en place d'un pare-feu (ou "firewall").
Le pare-feu peut être un logiciel installé directement sur votre serveur ou un équipement situé en amont de votre serveur (ayant l'avantage de décharger votre serveur des tâches de gestion de traffic entrant et sortant).
Dans tous les cas il vous faudra étudier vos besoins pour déterminer quel port vous avez besoin d'ouvrir et à qui.
il est conseillé d'ouvrir seulement les ports dont vous avez besoin (en fonction de vos services) et de bloquer tous les autres.
Gestion Port RDP
RDP (Remote Desktop Protocol) correspondant à l'accès bureau à distance, indispensable pour administrer votre serveur passe par défaut par le port 3389.
Il est recommandé de modifier ce port afin de limiter les tentatives d'accès sur votre serveur.
Pour cela :
- Faites Windows + R pour ouvrir la boite de dialogue Exécuter (ou Run)
- Tapez regedit pour ouvrir l'éditeur de la base de registre
- Déroulez l'arborescence pour accéder à la clé suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber
- Double cliquez sur la clé pour l'éditer
- Choisissez Decimal et indiquez une valeur de port comprise entre 1 et 65535
- Redémarrez le service de Bureau à Distance
IPBan élimination des botnets
Le IPBan permets d'éliminer les botnets et les attaques par "Brute force".
IPBan améliore la sécurité et les performances de vos machines et place les mauvais acteurs dans une règle de blocage du pare-feu.
Lien de téléchargement: https://github.com/DigitalRuby/IPBan/releases
Installation
- Créer un dossier à la racine de votre disque C: avec le nom "IPBAN"
- Télécharger le fichier en .zip depuis l'URL et le décompresser vers C:\IPBAN
Exécution IPBAN comme service Windows
L'ajout d'IPBAN comme service Windows permettra à votre serveur de se lancer automatiquement à chaque démarrage.
Le service fonctionnera en "arrière-plan" et ne sera donc pas que visible dans le gestionnaire de tâches.
Lancement CMD
- Ouvrir un onglet CMD en "Administrateur"
- "Touche Windows" taper "CMD" -> clic droit "Exécuter comme administrateur"
Création service
sc.exe create IPBAN binpath= "C:\IPBAN\DigitalRuby.IPBan"
Paramétrage service
- Il faut ouvrir le gestionnaire de services -> touche WINDOWS+R -> taper "services.msc"
- Chercher votre service "IPBAN" -> clic droit -> propriétés
- Sur l'onglet, changer le type de démarrage en "automatique" et ensuite cliquer sur "Démarrer"
Vérification fonctionnement
Pour information les adresses IP's sont bloquées sur votre Firewall Windows sur une des nouvelles règles créées en "Trafic entrant" :
Pour visualiser la console il vous suffit de lancer l'exécutable C:\IPBAN\DigitalRuby.IPBan
L'IPban tournera toujours en arrière plan même si vous fermez la console.
Vérification
Voici notre FAQ de vérification de l'intégrité de votre système Windows : Quelques éléments utiles pour une vérification de l'intégrité de son système sous Windows