OS Hardening - Windows Server 2012 R2

Windows Server 2012 R2
OS Hardening
Checklist
OS Hardening, qu’est-ce que c’est ?
Le Hardening d’OS permet de réduire la surface d’attaque sur votre infrastructure système en
désactivant tous les services, ports, fonctionnalités et processus non requis pour le fonctionnement
de Windows Server. Il consiste également à mettre en place certaines options de sécurité afin de
verrouiller au maximum un OS Windows Server, notamment :
Désactiver le compte « Invité » | Activer la NLA (pour les connexions RD) | Définir une
durée de vie maximale du mot de passe | Définir une longueur minimale du mot de
passe | Définir des exigences de complexité du mot de passe | Définir un seuil et une
durée de verrouillage des comptes utilisateur | Activer le Pare-feu Windows | …
Auteur : Hicham KADIRI
Date de publication : 20/05/2015
Version : 1.0
OS Hardening | Windows Server 2012 R2 | Auteur: Hicham KADIRI
Objectif du document
L’objectif de ce document est de vous détailler la liste complète des options de sécurité, services, ports, processus,
fonctionnalités qui peuvent être désactivé, désinstaller ou simplement configurés pour réduire la surface d’attaque sur
vos serveurs Windows Server 2012 et 2012 R2 et ainsi protéger votre infrastructure système.
S’applique à : Serveurs Windows Server 2012 /2012 R2 situés sur l’infrastructure « OnPremise » ou sur Microsoft Azure
Informations techniques
Nom du serveur
Adresse MAC
Adresse IP
Masque de sous-réseau
Passerelle par défaut
Serveur DNS #1
Serveur DNS #2
Compte Administrateur local
VM (Oui /Non)
RAM
CPU
Nombre de Disques /vDisques
Configuration RAID
LAN /VLAN
Date
Si Physique, Asset TAG :
p. 2
OS Hardening | Windows Server 2012 R2 | Auteur: Hicham KADIRI
Checklist
Etape Action
Préparation & Installation
1
2
Statut
Commentaire
Si nouvelle installation, isoler le serveur du réseau jusqu’à ce qu’il soit protégé et
sécurisé (voir sections suivantes)
Utiliser l’Assistant Configuration de la Sécurité (SCW : Security Configuration Wizard)
pour créer et configurer une stratégie de sécurité à appliquer sur le serveur.
Services Packs & Correctifs
3
4
Installer les derniers Services Packs et correctifs depuis Microsoft Windows Update
(ou WSUS : Windows Server Update Services)
Configurer les notifications automatiques de la disponibilité des mises à jour et
correctifs
Stratégies de comptes utilisateurs
5
6
7
8
Définir une longueur minimale du mot de passe
Définir les exigences de complexité du mot de passe
Ne pas enregistrer les mots de passe en utilisant un chiffrement réversible
Définir un seuil et une durée de verrouillage des comptes
Attribution des droits utilisateurs
9
10
11
12
Autoriser l’accès au serveur à partir du réseau aux administrateurs et aux utilisateurs
authentifiés uniquement
Ne pas attribuer le droit "Agir en tant que partie du système d'exploitation" aux
utilisateurs standards
Autoriser l'ouverture de session locale aux Administrateurs uniquement
Refuser le droit « Ouvrir une session en tant que Service » aux utilisateurs invités, et
ce localement ou à distance via Connexion Bureau à distance.
p. 3
OS Hardening | Windows Server 2012 R2 | Auteur: Hicham KADIRI
Paramètres de sécurité
13
14
15
16
17
18
19
20
21
22
Configurer un message d'avertissement à afficher lors de la tentative d'ouverture de
Session. Celui-ci doit indiquer que l’accès au serveur est réservé aux personnes
habilitées.
Ne pas autoriser les utilisateurs du réseau à créer et ouvrir une session à l’aide d’un
compte Microsoft
Désactiver le compte « Invité »
Requérir la combinaison de touches Ctrl+Alt+Suppr pour les ouvertures de session
interactives
Configurer la limite d'inactivité du serveur pour protéger les sessions interactives
Configurer le Client réseau Microsoft pour signer les communications
numériquement (toujours)
Configurer le Client réseau Microsoft pour signer les communications
numériquement (lorsque le serveur l’accepte)
Configurer le Serveur réseau Microsoft pour signer les communications
numériquement (toujours)
Configurer le Serveur réseau Microsoft pour signer les communications
numériquement (lorsque les clients l’acceptent)
Désactiver l'envoi de mots de passe non chiffrés à des serveurs SMB tiers
Paramètres des journaux d’événements
23
24
25
26
Configurer une Taille maximale des journaux d’événements
Configurer une Méthode de conversation des journaux d’événements
Configurer une Durée de stockage des journaux d’événements
Configurer l’envoi de journaux
Contrôles d’Accès au réseau
27
Désactiver la traduction de noms/SID anonymes
p. 4
OS Hardening | Windows Server 2012 R2 | Auteur: Hicham KADIRI
28
29
30
31
32
33
Ne pas autoriser l'énumération anonyme des comptes SAM et partages réseau
Ne pas attribuer et appliquer de permissions "Tout le monde" aux utilisateurs
anonymes
Ne pas autoriser les canaux nommés qui sont accessibles de manière anonyme
Restreindre l'accès anonyme aux canaux nommés et partages
Ne pas autoriser l’accès aux partages réseau de manière anonyme
Requérir le partage "Classique" et Modèle de sécurité pour les comptes locaux
Paramètres de Sécurité : Réseau
34
35
36
37
38
39
40
Autoriser « Système Local » à utiliser l’identité de l’ordinateur pour NTLM
Désactiver le recours session Local système NULL
Configurer les types de cryptage autorisés pour Kerberos
Ne pas stocker de valeurs de hachage de niveau LAN Manager
Configurer le niveau d'authentification LAN Manager pour autoriser NTLMv2 et
refuser LM & NTLM
Activer le Pare-feu Windows sur les trois profils : Domaine – Privé - Public
Configurer le Pare-feu Windows pour bloquer tout traffic entrant sur les trois profils
Paramètres de Sécurité : Connexions Bureau à distance
41
42
43
44
45
46
Activer l’authentification au niveau du réseau (NLA : Network Level Authentication)
Utiliser le niveau de chiffrement "Elevé" afin de protéger les données RDP à l’aide
d’un chiffrement renforcé sur 128 bits
Configurer un certificat SSL sur le serveur et forcer l’utilisation de la couche de
sécurité « SSL »
Toujours demander le mot de passe à la connexion
Configurer une Passerelle RDS pour gérer les accès depuis l’extérieur.
Si possible, forcer l’utilisation de l’authentification forte (e.i carte à puce)
p. 5
OS Hardening | Windows Server 2012 R2 | Auteur: Hicham KADIRI
Paramètres de Sécurité : Serveur Membre du domaine AD
47
48
49
50
51
Chiffrer ou signer numériquement les données des canaux sécurisés (toujours)
Chiffrer numériquement les données des canaux sécurisés (lorsque cela est possible)
Signer numériquement les données des canaux sécurisés (lorsque cela est possible)
Exiger les clés de sessions fortes (Windows 2000 ou ultérieur)
Configurer le nombre de demandes d'ouverture de session précédentes à mettre en
cache
Paramètres de Stratégies d’Audit
52
53
54
55
56
Auditer les événements d'ouverture de session sur un compte
Auditer la gestion des comptes utilisateur
Auditer les ouvertures et fermetures de sessions
Auditer les changements de stratégie
Auditer l'utilisation des privilèges
Paramètres de sécurité : OS
57
58
59
60
61
62
63
64
65
66
Si possible, convertir le serveur en mode « Core »
Désinstaller ou désactiver les services non utilisés
Désinstaller ou supprimer (binaires) tous les rôles et fonctionnalités non utilisés
Fermer tous les ports non utilisés
Supprimer ou désactiver les comptes utilisateurs non utilisés
Restreindre au maximum les droits aux utilisateurs du réseau
Vérifier que tous les volumes utilisent le système de fichier « NTFS »
Configurer les permissions au niveau du Registre
Si possible, désactiver l’accès distant au Registre
Installer et activer un anti-virus & anti-spyware
p. 6
OS Hardening | Windows Server 2012 R2 | Auteur: Hicham KADIRI
67
68
69
Configurer l’anti-virus & anti-spyware pour se mettre à jour automatiquement
Configurer la date & heure système, synchroniser ensuite l’horloge avec un serveur
de temps (Serveur NTP : Network Time Protocol)
Si possible, activer le chiffrement de lecteur BitLocker
Sécurité Physique
70
71
72
73
74
Protéger l’accès au BIOS à l’aide d’un mot de passe
Protéger l’accès aux consoles de gestion (e.i console iLO) à l’aide d’un mot de passe
Ne pas autoriser l’arrêt du système sans avoir ouvert de session Windows
Configurer l'ordre de boot pour éviter tout démarrage d'un média non autorisé
Configurer un écran de veille pour verrouiller l'écran (affichage) après un certain
temps d'inactivité
Informations additionnelles
75
Utiliser l’outil MBSA (Microsoft Baseline Security Analyzer) pour analyser et auditer la
sécurité de votre serveur
p. 7