Embed Size (px)
Citation preview
Windows Server 2012 R2
OS Hardening
Checklist
OS Hardening, qu’est-ce que c’est ? Le Hardening d’OS permet de réduire la surface d’attaque sur votre infrastructure système en
désactivant tous les services, ports, fonctionnalités et processus non requis pour le fonctionnement
de Windows Server. Il consiste également à mettre en place certaines options de sécurité afin de
verrouiller au maximum un OS Windows Server, notamment :
Désactiver le compte « Invité » | Activer la NLA (pour les connexions RD) | Définir une
durée de vie maximale du mot de passe | Définir une longueur minimale du mot de
passe | Définir des exigences de complexité du mot de passe | Définir un seuil et une
durée de verrouillage des comptes utilisateur | Activer le Pare-feu Windows | …
Auteur : Hicham KADIRI
Date de publication : 20/05/2015
Version : 1.0
OS Hardening | Windows Server 2012 R2 | Auteur: Hicham KADIRI
p. 2
Objectif du document
L’objectif de ce document est de vous détailler la liste complète des options de sécurité, services, ports, processus,
fonctionnalités qui peuvent être désactivé, désinstaller ou simplement configurés pour réduire la surface d’attaque sur
vos serveurs Windows Server 2012 et 2012 R2 et ainsi protéger votre infrastructure système.
S’applique à : Serveurs Windows Server 2012 /2012 R2 situés sur l’infrastructure « OnPremise » ou sur Microsoft Azure
Informations techniques
Nom du serveur
Adresse MAC
Adresse IP
Masque de sous-réseau
Passerelle par défaut
Serveur DNS #1
Serveur DNS #2
Compte Administrateur local
VM (Oui /Non) Si Physique, Asset TAG :
RAM
CPU
Nombre de Disques /vDisques
Configuration RAID
LAN /VLAN
Date
OS Hardening | Windows Server 2012 R2 | Auteur: Hicham KADIRI
p. 3
Checklist
Etape Action Statut Commentaire
Préparation & Installation
1 Si nouvelle installation, isoler le serveur du réseau jusqu’à ce qu’il soit protégé et
sécurisé (voir sections suivantes)
2 Utiliser l’Assistant Configuration de la Sécurité (SCW : Security Configuration Wizard)
pour créer et configurer une stratégie de sécurité à appliquer sur le serveur.
Services Packs & Correctifs
3 Installer les derniers Services Packs et correctifs depuis Microsoft Windows Update
(ou WSUS : Windows Server Update Services)
4 Configurer les notifications automatiques de la disponibilité des mises à jour et
correctifs
Stratégies de comptes utilisateurs
5 Définir une longueur minimale du mot de passe
6 Définir les exigences de complexité du mot de passe
7 Ne pas enregistrer les mots de passe en utilisant un chiffrement réversible
8 Définir un seuil et une durée de verrouillage des comptes
Attribution des droits utilisateurs
9 Autoriser l’accès au serveur à partir du réseau aux administrateurs et aux utilisateurs
authentifiés uniquement
10 Ne pas attribuer le droit "Agir en tant que partie du système d'exploitation" aux
utilisateurs standards
11 Autoriser l'ouverture de session locale aux Administrateurs uniquement
12 Refuser le droit « Ouvrir une session en tant que Service » aux utilisateurs invités, et
ce localement ou à distance via Connexion Bureau à distance.
OS Hardening | Windows Server 2012 R2 | Auteur: Hicham KADIRI
p. 4
Paramètres de sécurité
13
Configurer un message d'avertissement à afficher lors de la tentative d'ouverture de
Session. Celui-ci doit indiquer que l’accès au serveur est réservé aux personnes
habilitées.
14 Ne pas autoriser les utilisateurs du réseau à créer et ouvrir une session à l’aide d’un
compte Microsoft
15 Désactiver le compte « Invité »
16 Requérir la combinaison de touches Ctrl+Alt+Suppr pour les ouvertures de session
interactives
17 Configurer la limite d'inactivité du serveur pour protéger les sessions interactives
18 Configurer le Client réseau Microsoft pour signer les communications
numériquement (toujours)
19 Configurer le Client réseau Microsoft pour signer les communications
numériquement (lorsque le serveur l’accepte)
20 Configurer le Serveur réseau Microsoft pour signer les communications
numériquement (toujours)
21 Configurer le Serveur réseau Microsoft pour signer les communications
numériquement (lorsque les clients l’acceptent)
22 Désactiver l'envoi de mots de passe non chiffrés à des serveurs SMB tiers
Paramètres des journaux d’événements
23 Configurer une Taille maximale des journaux d’événements
24 Configurer une Méthode de conversation des journaux d’événements
25 Configurer une Durée de stockage des journaux d’événements
26 Configurer l’envoi de journaux
Contrôles d’Accès au réseau
27 Désactiver la traduction de noms/SID anonymes
OS Hardening | Windows Server 2012 R2 | Auteur: Hicham KADIRI
p. 5
28 Ne pas autoriser l'énumération anonyme des comptes SAM et partages réseau
29 Ne pas attribuer et appliquer de permissions "Tout le monde" aux utilisateurs
anonymes
30 Ne pas autoriser les canaux nommés qui sont accessibles de manière anonyme
31 Restreindre l'accès anonyme aux canaux nommés et partages
32 Ne pas autoriser l’accès aux partages réseau de manière anonyme
33 Requérir le partage "Classique" et Modèle de sécurité pour les comptes locaux
Paramètres de Sécurité : Réseau
34 Autoriser « Système Local » à utiliser l’identité de l’ordinateur pour NTLM
35 Désactiver le recours session Local système NULL
36 Configurer les types de cryptage autorisés pour Kerberos
37 Ne pas stocker de valeurs de hachage de niveau LAN Manager
38 Configurer le niveau d'authentification LAN Manager pour autoriser NTLMv2 et
refuser LM & NTLM
39 Activer le Pare-feu Windows sur les trois profils : Domaine – Privé - Public
40 Configurer le Pare-feu Windows pour bloquer tout traffic entrant sur les trois profils
Paramètres de Sécurité : Connexions Bureau à distance
41 Activer l’authentification au niveau du réseau (NLA : Network Level Authentication)
42 Utiliser le niveau de chiffrement "Elevé" afin de protéger les données RDP à l’aide
d’un chiffrement renforcé sur 128 bits
43 Configurer un certificat SSL sur le serveur et forcer l’utilisation de la couche de
sécurité « SSL »
44 Toujours demander le mot de passe à la connexion
45 Configurer une Passerelle RDS pour gérer les accès depuis l’extérieur.
46 Si possible, forcer l’utilisation de l’authentification forte (e.i carte à puce)
OS Hardening | Windows Server 2012 R2 | Auteur: Hicham KADIRI
p. 6
Paramètres de Sécurité : Serveur Membre du domaine AD
47 Chiffrer ou signer numériquement les données des canaux sécurisés (toujours)
48 Chiffrer numériquement les données des canaux sécurisés (lorsque cela est possible)
49 Signer numériquement les données des canaux sécurisés (lorsque cela est possible)
50 Exiger les clés de sessions fortes (Windows 2000 ou ultérieur)
51 Configurer le nombre de demandes d'ouverture de session précédentes à mettre en
cache
Paramètres de Stratégies d’Audit
52 Auditer les événements d'ouverture de session sur un compte
53 Auditer la gestion des comptes utilisateur
54 Auditer les ouvertures et fermetures de sessions
55 Auditer les changements de stratégie
56 Auditer l'utilisation des privilèges
Paramètres de sécurité : OS
57 Si possible, convertir le serveur en mode « Core »
58 Désinstaller ou désactiver les services non utilisés
59 Désinstaller ou supprimer (binaires) tous les rôles et fonctionnalités non utilisés
60 Fermer tous les ports non utilisés
61 Supprimer ou désactiver les comptes utilisateurs non utilisés
62 Restreindre au maximum les droits aux utilisateurs du réseau
63 Vérifier que tous les volumes utilisent le système de fichier « NTFS »
64 Configurer les permissions au niveau du Registre
65 Si possible, désactiver l’accès distant au Registre
66 Installer et activer un anti-virus & anti-spyware
OS Hardening | Windows Server 2012 R2 | Auteur: Hicham KADIRI
p. 7
67 Configurer l’anti-virus & anti-spyware pour se mettre à jour automatiquement
68 Configurer la date & heure système, synchroniser ensuite l’horloge avec un serveur
de temps (Serveur NTP : Network Time Protocol)
69 Si possible, activer le chiffrement de lecteur BitLocker
Sécurité Physique
70 Protéger l’accès au BIOS à l’aide d’un mot de passe
71 Protéger l’accès aux consoles de gestion (e.i console iLO) à l’aide d’un mot de passe
72 Ne pas autoriser l’arrêt du système sans avoir ouvert de session Windows
73 Configurer l'ordre de boot pour éviter tout démarrage d'un média non autorisé
74 Configurer un écran de veille pour verrouiller l'écran (affichage) après un certain
temps d'inactivité
Informations additionnelles
75 Utiliser l’outil MBSA (Microsoft Baseline Security Analyzer) pour analyser et auditer la
sécurité de votre serveur
