9 conseils indispensables pour sécuriser les serveurs Windows

Windows Server fait partie des systèmes d'exploitation les plus couramment utilisés pour alimenter les serveurs. En raison de la nature de l'opération qui implique généralement les entreprises, la sécurité de Windows Server est essentielle pour les données d'entreprise.

Par défaut, Windows Server a mis en place des mesures de sécurité. Mais vous pouvez faire plus pour vous assurer que vos serveurs Windows disposent d'une défense suffisante contre les menaces potentielles. Voici quelques conseils essentiels pour sécuriser votre serveur Windows.

1. Gardez votre serveur Windows à jour

Bien que cela puisse sembler évident, la plupart des serveurs installés avec des images Windows Server ne disposent pas des dernières mises à jour de sécurité et de performances. L'installation des derniers correctifs de sécurité est cruciale pour protéger votre système contre les attaques malveillantes.

Si vous avez configuré un nouveau serveur Windows ou reçu des informations d'identification pour un, assurez-vous de télécharger et d'installer toutes les dernières mises à jour disponibles pour votre ordinateur. Vous pouvez différer la mise à jour des fonctionnalités pendant un certain temps, mais vous devez installer les mises à jour de sécurité dès qu'elles sont disponibles.

2. Installez uniquement les composants essentiels du système d'exploitation via Windows Server Core

Sur Windows Server 2012 et versions ultérieures, vous pouvez utiliser le système d'exploitation dans son mode principal. Le mode de code Windows Server est une option d'installation minimale qui installe Windows Server sans l'interface graphique, ce qui signifie des fonctionnalités réduites.

L'installation de Windows Server Core présente de nombreux avantages. Le plus évident étant l'avantage de la performance. Vous pouvez utiliser le même matériel pour améliorer les performances grâce à des composants de système d'exploitation inutilisés, ce qui réduit les exigences en matière de RAM et de processeur, une meilleure disponibilité et un meilleur temps de démarrage et moins de correctifs.

Bien que les avantages en termes de performances soient appréciables, les avantages de sécurité sont encore meilleurs. Attaquer un système avec moins d'outils et de vecteurs d'attaque est plus difficile que de pirater un système d'exploitation entièrement basé sur l'interface graphique. Windows Server Core réduit la surface d'attaque, offre des outils Windows Server RSAT (Remote Server Administration) et la possibilité de passer du Core au GUI.

3. Protégez le compte administrateur

Le compte d'utilisateur par défaut dans Windows Server est nommé Administrateur . En conséquence, la plupart des attaques par force brute visent ce compte. Pour protéger le compte, vous pouvez le renommer en autre chose. Vous pouvez également désactiver complètement le compte d'administrateur local et créer un nouveau compte d'administrateur.

Une fois que vous avez désactivé le compte d'administrateur local, vérifiez si un compte d'invité local est disponible. Les comptes d'invités locaux sont les moins sécurisés, il est donc préférable de les éliminer dans la mesure du possible. Utilisez le même traitement pour les comptes d'utilisateurs inutilisés.

Une bonne politique de mot de passe qui nécessite des changements de mot de passe réguliers, des mots de passe complexes et longs avec des chiffres, des caractères et des caractères spéciaux peuvent vous aider à sécuriser les comptes d'utilisateurs contre les attaques par force brute .

4. Configuration NTP

Il est important de configurer votre serveur pour synchroniser l'heure avec les serveurs NTP (Network Time Synchronization) afin d'éviter une dérive d'horloge. Ceci est essentiel car même une différence de quelques minutes peut interrompre diverses fonctions, y compris la connexion Windows.

Les organisations utilisent des périphériques réseau qui utilisent des horloges internes ou s'appuient sur un serveur de temps Internet public pour la synchronisation. Les serveurs membres du domaine ont généralement leur heure synchronisée avec un contrôleur de domaine. Cependant, les serveurs autonomes vous obligeront à configurer NTP sur une source externe pour empêcher les attaques de relecture.

5. Activer et configurer le pare-feu et l'antivirus Windows

Les serveurs Windows sont fournis avec un pare-feu et un antivirus intégrés. Sur les serveurs dépourvus de pare-feu matériels, le pare-feu Windows peut réduire la surface d'attaque et fournir une protection décente contre les cyberattaques en limitant le trafic aux voies nécessaires. Cela dit, un pare-feu basé sur le matériel ou sur le cloud offrira plus de protection et allégera la charge de votre serveur.

La configuration du pare-feu peut être une tâche compliquée et difficile à maîtriser au début. Cependant, s'ils ne sont pas correctement configurés, les ports ouverts accessibles aux clients non autorisés peuvent présenter un risque de sécurité énorme pour les serveurs. Notez également les règles créées pour son utilisation et les autres attributs pour de futures références.

6. Bureau à distance sécurisé (RDP)

Si vous utilisez RDP (Remote Desktop Protocol), assurez-vous qu'il n'est pas ouvert à Internet. Pour empêcher tout accès non autorisé, modifiez le port par défaut et limitez l'accès RDP à une adresse IP spécifique si vous avez accès à une adresse IP dédiée. Vous pouvez également décider qui peut accéder et utiliser RDP, car il est activé par défaut pour tous les utilisateurs du serveur.

Adoptez également toutes les autres mesures de sécurité de base pour sécuriser RDP, y compris l'utilisation d'un mot de passe fort, l'activation de l'authentification à deux facteurs, la mise à jour du logiciel, la restriction de l'accès via des paramètres de pare-feu avancés, l'activation de l'authentification au niveau du réseau et la configuration d'un verrouillage de compte. politique.

En relation: Top des logiciels d'accès à distance pour contrôler votre PC Windows de n'importe où

7. Activer le chiffrement de lecteur BitLocker

Semblable à Windows 10 Professionnel, l'édition serveur du système d'exploitation est fournie avec un outil de chiffrement de lecteur intégré appelé BitLocker . Il est considéré comme l'un des meilleurs outils de cryptage par les professionnels de la sécurité car il vous permet de crypter l'intégralité de votre disque dur même si la sécurité physique de votre serveur est violée.

Pendant le chiffrement, BitLocker capture des informations sur votre ordinateur et les utilise pour vérifier l'authenticité de l'ordinateur. Une fois vérifié, vous pouvez vous connecter à votre ordinateur en utilisant le mot de passe. Lorsqu'une activité suspecte est détectée, BitLocker vous demande de saisir la clé de récupération . À moins que la clé de déchiffrement ne soit fournie, les données resteront verrouillées.

Si vous êtes novice en matière de chiffrement de disque dur, consultez ce guide détaillé sur l'utilisation de BitLocker dans Windows 10 .

8. Utilisez Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) est un outil de sécurité gratuit utilisé par les professionnels de l'informatique pour aider à gérer la sécurité de leurs serveurs. Il peut rechercher les problèmes de sécurité et les mises à jour manquantes avec le serveur et recommander des conseils de correction conformément aux recommandations de sécurité de Microsoft.

Lorsqu'il est utilisé, MBSA recherchera les vulnérabilités administratives de Windows telles que des mots de passe faibles, la présence de vulnérabilités SQL et IIS et les mises à jour de sécurité manquantes sur les systèmes individuels. Il peut également analyser un individu ou un groupe d'ordinateurs par adresse IP, domaine et autres attributs. Enfin, un rapport de sécurité détaillé sera préparé et affiché sur l'interface utilisateur graphique en HTML.

9. Configurer la surveillance des journaux et désactiver les ports réseau inutiles

Tous les services ou protocoles qui ne sont pas nécessaires ou utilisés par Windows Server et les composants installés doivent être désactivés. Vous pouvez exécuter une analyse des ports pour vérifier quels services réseau sont exposés à Internet.

La surveillance des tentatives de connexion est utile pour empêcher les intrusions et protéger votre serveur contre les attaques par force brute. Des outils de prévention des intrusions dédiés peuvent vous aider à afficher et à examiner tous les fichiers journaux et à envoyer des alertes si des activités suspectes sont détectées. Sur la base des alertes, vous pouvez prendre les mesures appropriées pour empêcher les adresses IP de se connecter à vos serveurs.

Le renforcement de Windows Server peut réduire le risque de cyber-attaques!

En ce qui concerne la sécurité de votre serveur Windows, il est toujours bon d'être au top en vérifiant régulièrement le système pour les risques de sécurité. Vous pouvez commencer par installer les dernières mises à jour, protéger le compte administrateur, utiliser le mode Windows Server Core chaque fois que possible et activer le chiffrement de lecteur via BitLocker.

Bien que Windows Server puisse partager le même code que l'édition grand public de Windows 10 et avoir l'air identique, la façon dont il est configuré et utilisé est très différente.