Sécuriser sa machine Windows
Introduction
Assurer la sécurité de sa machine est un point essentiel qui ne doit pas être sous-estimé sous peine de devenir la cible de diverses attaques. La puissance actuelle des ordinateurs rendant aujourd'hui des techniques d'intrusions comme l'attaque par force brute ou bruteforce très simple à mettre en œuvre pour obtenir un accès administrateur à la machine cible en un temps réduit.
Vous trouverez sur cette page une liste non exhaustive de pistes afin de sécuriser votre serveur Windows sur différents points tels que le compte l'anti-virus, le pare-feu, les mises à jour, ...
Sur un serveur de production, pensez à effectuer ces opérations pendant les heures creuses afin de minimiser l'impact de vos actions.
Mises à jour
L'un des pré-requis essentiel à la sécurité de son serveur est de maintenir son système d'exploitation à la version la plus à jour possible. Un nombre important de failles découvertes sont rapidement corrigées par Microsoft qui publie régulièrement des patchs de sécurité, dans la mesure du possible il faut toujours conserver son système à jour et ainsi éviter les failles de sécurité.
La mise à jour d'un système d'exploitation Windows se fait via l'outil Windows Update.
Liens utiles concernant Windows Update :
https://support.microsoft.com/fr-ch/help/949104/how-to-update-the-windows-update-agent-to-the-latest-version
Le processus de mise à jour est simple :
- Allez dans le Menu démarrer
- Tapez Windows Update dans le menu
- Sélectionnez Windows Update, le gestionnaire de mise à jour se lance
- Faites Check for updates afin que Windows récupère la liste complète des mises à jour importantes et facultatives sans les appliquer
- En cliquant sur le nombre de mises à jour disponibles vous affichez un menu vous permettant de choisir les mises à jour que vous souhaitez installer
- Cliquez ensuite sur Install Updates afin d'installer les mises à jour sélectionnées
- Windows va appliquer les mises à jour
Anti Virus
L'installation d'une solution antivirale sur un serveur est essentiel dans une politique de sécurisation.
De nombreuses solutions, gratuites ou payantes existent. Le choix de la solution est à votre préférence. Vous devez simplement vérifier la compatibilité entre le logiciel anti-virus et votre système.
Par défaut la solution MSE (Microsoft Security Essentials) offre une protection suffisante : https://support.microsoft.com/fr-fr/help/14210/security-essentials-download
Gestion Utilisateur
Vos serveurs sont livrés avec un utilisateur administrateur et un mot de passe par défaut.
Il est important de gérer vos accès en créant d'autres utilisateurs possédant chacun des accès spécifique.
Il est important également d'adopter une politique de mot de passe pour chacun de vos utilisateurs (et principalement "administrateur") en respectant les conseils suivants :
- Changez régulièrement les mots de passe
- Mettre un mot de passe suffisamment "compliqué" (au moins 8 caractères comportant minuscules, majuscules, chiffres et caractères spéciaux)
- Ne jamais divulguer de mot de passe, par voie orale ou écrite
Pare-feu
L'une des principales étapes de sécurisation passe par la mise en place d'un pare-feu (ou "firewall").
Le pare-feu peut être un logiciel installé directement sur votre serveur ou un équipement situé en amont de votre serveur (ayant l'avantage de décharger votre serveur des tâches de gestion de traffic entrant et sortant).
Dans tous les cas il vous faudra étudier vos besoins pour déterminer quel port vous avez besoin d'ouvrir et à qui.
il est conseillé d'ouvrir seulement les ports dont vous avez besoin (en fonction de vos services) et de bloquer tous les autres.
Gestion Port RDP
RDP (Remote Desktop Protocol) correspondant à l'accès bureau à distance, indispensable pour administrer votre serveur passe par défaut par le port 3389.
Il est recommandé de modifier ce port afin de limiter les tentatives d'accès sur votre serveur.
Pour cela :
- Faites Windows + R pour ouvrir la boite de dialogue Exécuter (ou Run)
- Tapez regedit pour ouvrir l'éditeur de la base de registre
- Déroulez l'arborescence pour accéder à la clé suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber
- Double cliquez sur la clé pour l'éditer
- Choisissez Decimal et indiquez une valeur de port comprise entre 1 et 65535
IPBan élimination des botnets
Le IPBan permets d'éliminer les bot nets et les attaques par "Brute force". IPBan améliore la sécurité et les performances de vos machines et place les mauvais acteurs dans une règle de blocage du pare-feu.
Lien de téléchargement: https://github.com/DigitalRuby/IPBan/releases
Installation
- Veuillez bien créer un dossier à la racine de votre disque c: avec le nom "IPBAN".
- Télécharger le fichier en *.zip depuis le URL et le décompresser vers c:\IPBAN
Exécuter IPBAN comme service Windows
L'ajout d'IPBAN comme service Windows permettra à votre serveur de se lancer automatiquement à chaque démarrage. Le service fonctionnera en "arrière-plan" et ne sera donc pas que visible dans le gestionnaire de tâches.
Ouvrir une onglet CMD en "Administrateur" WIN+R insérer cmd clique droit "exécuter comme administrateur"
Pour créer le service.
sc.exe create IPBAN binpath= "C:\IPBAN\DigitalRuby.IPBan"
Paramétrer le service.
Il faut ouvrir le gestionnaire de services. (services.msc) touche WIN+R
Chercher votre service "IPBAN" clique droit et propriétés.
Sur l'onglet changer le Type de démarrage en "automatique" et en suit cliquer sur Démarrer.
Vérification
Voici notre FAQ de vérification de l'intégrité de votre système Windows : Quelques éléments utiles pour une vérification de l'intégrité de son système sous Windows