Comment sécuriser un serveur Windows?

Comment sécuriser un serveur Windows ? : Cloud - VPS - Serveurs dédié

Comment sécuriser un serveur Windows ?

Objectif :
Un serveur dédié ou un VPS, est un ordinateur réel ou virtuel situé dans l’un de nos datacenters. Contrairement aux solutions d’hébergement web (décrites comme « mutualisées »), qui sont techniquement gérées par OVHcloud, vous êtes entièrement responsable de l’administration sur votre serveur. La sécurité de ce dernier fait partie des tâches les plus importantes qu’il est indispensable de configurer dès l’installation initiale.

90b46b5a7a99b0f4b66075472db18a9a06797586.jpg719×661 102 KB

Prérequis :
- Disposer d’un serveur dédié ou VPS installé avec Windows dans votre espace client OVHcloud.
- Être connecté à votre serveur via le mode bureau à distance de Windows (2012 et ultérieur)

----------
Les différentes étapes pour sécuriser votre serveur OVH Windows
----------

Avoir un système d’exploitation toujours à jour
La première chose à faire est de mettre à jour très régulièrement votre serveur. Tous les mois Microsoft propose via la fonctionnalité « Windows Update » qu’il est très important d’installer. Garder votre système d’exploitation à jour est primordial pour la sécurisation de votre serveur.

30cda53f6dd7758b737d836713ffb65ece79a18e.png945×592 93.4 KB

Modifier le port d’écoute du bureau à distance
Par défaut la fonctionnalité « Bureau à distance » est accessible via le port TCP 3389. Les pirates bien informés de cette situation ciblent régulièrement ce port afin d’en exploiter les éventuelles failles. Changer ce port par défaut limitera une bonne partie des attaques ciblant le protocole RDP (Remote Desktop Protocol / Protocole de Bureau à Distance).
Par défaut, l’accès Bureau à distance n’est pas activé sur Windows. Pour l’activer il faut se connecter via KVM à votre serveur, puis activer la fonctionnalité via les paramètres système du serveur. Une fois activé, tous les utilisateurs faisant partie du groupe « Administrateurs » pourront se connecter à distance au serveur.

76c2688be78b87d2a8b067fb2283b185d7443139.jpg634×759 125 KB

Une fois le bureau à distance fonctionnel, pour modifier le port par défaut il suffit de lancer le logiciel « regedit » via la combinaison de touche Windows + X

701d6ab22baa63f395371651d780f9aa0099b3ae.jpg684×378 63.2 KB

Il faut ensuite éditer la valeur DWORD32 \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\WinStations\RDP-Tcp\ PortNumber en y mettant le nouveau port désiré. Ici dans notre exemple 1664.

62a7c56935e19d67d90177acae99617d9cad69da.jpg517×311 36.7 KB

Ne surtout pas oublier de créer dans le pare-feu une règle autorisant l'accès à ce nouveau port.
Ensuite redémarrer le serveur pour la prise en compte du nouveau port.

Pour se connecter au serveur via le nouveau port, il suffit de spécifier celui-ci dans le client Bureau à distance de votre client RDP :

ae82858ab4bcf9de503d3928bfbd2408a0318af1.jpg636×395 76.6 KB

Modifier le nom par défaut du compte Administrateur
La très grande majorité des tentatives d’attaque des serveurs Windows se fait en tentant une connexion via le compte Administrateur. En vérité c’est même le compte « Administrator » qui est le plus ciblé. Afin de limiter ces tentatives, il est recommandé de renommer ce compte en utilisant un autre nom. Choisissez en un original, il aura moins de chances d’être trouvé.

22db985172ce42b52dd72e5e7f35251f1b046ccc.png945×678 102 KB

Une fois fait, si c’est le compte avec lequel vous vous êtes connecté, se déconnecter puis se reconnecter avec le nouveau nom.

Bien configurer le pare-feu intégré
Par défaut Windows propose depuis de nombreuses années un pare-feu intégré. Bien configurer celui-ci est primordial pour assurer la sécurité de votre serveur. La seule règle à connaître et appliquer : N’ouvrez que les ports auxquels les utilisateurs externes doivent se connecter.

Pour rappel une liste des principaux ports :
- 3389 : Bureau à distance mais vous devez l’avoir modifié (A ouvrir qu’aux IP externes choisies)
- 1688 : Key Management Service (TCP-In) => Règle à activer si besoin (Accès au KMS Windows).
- 80 : Site WEB en HTTP. Utilisé par exemple par LetsEncrypt pour la génération de certificats
- 443 : Site WEB en HTTPS
- 25 : Serveur SMTP pour recevoir du courrier électronique
- 1433 : Microsoft SQL Server

d2b3788d7e421dbfd63cd2e11070a82c3b85445d.png945×708 254 KB

Surveillez régulièrement l’observateur d’évènements
Windows enregistre tout problème rencontré dans l’observateur d’évènements. N’hésitez pas à le consulter vous-même régulièrement, lors des mises à jour mensuelles par exemple, afin de vous assurer qu’aucun problème n’existe.

9b8c795ec1cfc62e3ff5e9dbc50b3e8b1d7bb871.png945×514 79.2 KB

Sauvegardez vos données importantes
Malgré tous les efforts et les mesures que vous pourrez prendre, la sécurité totale n’existe pas. Il est donc primordial de penser à réaliser très régulièrement des sauvegardes de la configuration et des données contenues dans votre serveur. Pour cela OVH met à votre disposition différents moyens de sauvegarder vos données. Par exemple avec un serveur dédié, OVHcloud vous offre 500 Go de stockage de sauvegarde gratuit. Vous pouvez activer ce stockage de sauvegarde dans votre espace client et y accéder en utilisant les protocoles suivants :
- NFS
- FTP / FTPS
- SMB / CIFS

Petit conseil supplémentaire : L'installation d'un antivirus tiers d'une entreprise renommée dans le domaine est recommandée.

Vous aurez besoin d’une solution de sauvegarde tierce pour répliquer vos données et les transférer vers votre stockage de sauvegarde. Pour plus d’informations sur nos solutions de stockage de sauvegarde, consultez le guide de stockage de sauvegarde :
- https://docs.ovh.com/fr/dedicated/services-backup-storage/

- 3389 : Bureau à distance mais vous devez l’avoir modifié (A ouvrir qu’aux IP externes choisies)

Bonjour @CordoWEB, cet article est très bien rédigé.

Concernant le firewall/3389 je ferais deux ajouts:
- si on a remplacé le port 3389 par 1664 ou un autre comme suggéré ci-dessus, la règle dans le firewall doit être adaptée,
- en cas d'erreur, et qu'on a perdu l'accès au serveur, les tutoriels de récupération en rescue pour Linux ne sont pas applicables.

Après il devient quoi ce petit tuto ? Poubelle ?

Hello @CordoWEB,

J'ai eu un retour des équipes que je te partage ci-dessous. Je t'invite à en prendre connaissance et à effectuer les updates et à répondre au thread dès que ce sera fait :).

1 Comment sécuriser un serveur Windows ? : Cloud - VPS - Serveurs dédié
Testé et validé.

Quelques petites modifications tout de même :

Modifier le port d’écoute du bureau à distance

/!\ Inviter le client a créer une nouvelle règle dans le Firewall AVANT de reboot le serveur => risque de se couper le lien et obliger de fix via la KVM.
Une fois ok, désactivation des règles par défaut pour le port 3389.

Bien configurer le pare-feu intégré

Ajout de la règle :
- 1688 : Key Management Service (TCP-In) => règle à activer si besoin (Accès au KMS Windows).

Idée supplémentaire : A tout cela, éventuellement ajouter un passage par l’installation d’un anti-virus complémentaire à celui de Windows (Windows Defender) au besoin (selon criticité de l’infra / data client).


^FabL

Ajout de la règle :
- 1688 : Key Management Service (TCP-In) => règle à activer si besoin (Accès au KMS Windows).

Pourquoi faire ? J'administre des centaines de serveurs Windows et je n'ai jamais activé ce port. Il sert éventuellement juste pour ceux qui utiliseraient éventuellement une licence OVH. Ce n'est pas le cas de tout le monde.

Pour le reste ne serait-il pas plus efficace qu'OVH édite lui même les modifications qu'il veut effectuer ?

Hello @CordoWEB !

Je te partage le nouveau retour que j'ai eu qui te donnera plus de visibilité


----------

Ajout de la règle :
- 1688 : Key Management Service (TCP-In) => règle à activer si besoin (Accès au KMS Windows).

Il s'agit ici de mettre un warning, nous avons déjà plusieurs cas ou les clients bloquaient tout dont les ports KMS.

L'objectif est de mentionner qu'il faut faire attention à bien activer le port KMS lors de modifications du Firewall.

> Pour le reste ne serait-il pas plus efficace qu'OVH édite lui même les modifications qu'il veut effectuer ?

La configuration de Windows est laissée par défaut, il n'y aura aucune modification côté OVHcloud.

----------

Bonne journée à toi,

^FabL

Merci pour ce retour mais je ne vais pas modifier mon tuto car je n'ai jamais activé dans le parefeu Windows ce port 1688. Par défaut la règle existe mais n'est pas activée. Elle ne l'est que dans le cas particulier d'une activation réalisée par serveur KMS. Sur les 5 Windows que j'ai sur les serveurs OVH, aucun n'a cette règle activée et ils fonctionnent parfaitement avec un Windows activé tout naturellement (De Windows 2016 à Windows 2022).

Bref je ne vais pas écrire un truc que je ne recommande pas. La seule et unique règle qui doit prévaloir est : On ferme tout et on n'ouvre que ce qui est utile. Voilà. J'aurais testé mais si ça ne convient pas, aucun problème.

Hello @CordoWEB,

Je te remercie pour ce retour. Les différents éléments apportés par les validateurs ont pour objectif de compléter les informations. Elles se basent sur la vision qu'OVHcloud s'est fait de l'utilisation de son infrastructure et des produits ou tout simplement d'un retour d'expérience basé sur les nombreux échanges que nous avons avec nos clients.

Ce que tu donnes comme solution peut effectivement être renseigné, mais il sera aussi bon de mentionner en complément l'approche que je t'ai retourné précédemment.

Cela permet de correspondre à ta vision et à celle d'OVHcloud et ainsi proposer un guide qui parlera au plus grand nombre.

Fais moi signe dès lors que le tutoriel sera modifié. Je reste bien entendu dispo ici et en modération sur les autres catégories du forum.

^FabL

Modifications effectuées.