Blog ENI : Toute la veille numérique !
💥 Un livre PAPIER acheté
= La version EN LIGNE offerte pendant 1 an !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici

Sécurité réseau sous Windows

Le pare-feu Windows

1. Introduction

Les systèmes d’exploitation Windows et Windows Server intègrent un pare-feu, ou firewall en anglais. Il s’agit d’un pare-feu logiciel nommé Pare-feu Windows Defender sur les systèmes de Microsoft.

Il sert à contrôler quels sont les flux autorisés ou interdits, que ce soit les flux entrants ou sortants, au niveau de la machine locale.

Pour communiquer sur le réseau, chaque service ou application utilise un ou plusieurs ports réseau. C’est en contrôlant l’accès sur les ports que l’on va pouvoir déterminer si l’on autorise ou non une connexion.

Le pare-feu de Windows est capable de contrôler les connexions sur les ports TCP et UDP, en ICMP, mais aussi les connexions d’un programme.

Il prend en charge la création de règles avec des paramètres communs que l’on retrouve sur les firewalls de façon générale :

  • adresse IP locale ;

  • adresse IP distante ;

  • port local ;

  • port distant ;

  • type de protocole.

À cela s’ajoutent des conditions avancées pour contrôler les connexions sur une application, un service, ou sur un type de connexion spécifique (accès distant, réseau sans fil et réseau local) ou pour certains ordinateurs autorisés uniquement.

2. La notion de profils

Le pare-feu Windows intègre trois profils : Domaine, Privé et Public. Le système sélectionne automatiquement le profil de pare-feu adapté selon le réseau sur lequel vous êtes connecté.

  • Le profil de domaine s’applique aux réseaux où la machine Windows peut s’authentifier auprès d’un contrôleur de domaine. C’est un cas fréquent en entreprise lorsque les machines sont intégrées à un domaine Active Directory.

  • Le profil privé est un profil attribué par l’utilisateur, utile pour le réseau à son domicile.

  • Le profil public, qui est le mode par défaut, utilisé pour désigner les réseaux publics. Ce profil s’applique lorsque vous êtes connecté à votre domicile en Wi-Fi, ou lorsque vous êtes connecté depuis un hôtel, un train, un aéroport, etc....

Le Centre Réseau et partage

1. Découverte du Centre Réseau et partage

Le Centre Réseau et partage est une fonctionnalité intégrée à toutes les versions des systèmes Windows qui donne accès aux paramètres réseau de la machine.

images/03EI11.png

À partir du Centre Réseau et partage, l’administrateur peut visualiser l’état des différentes cartes réseau de la machine, mais aussi en effectuer la configuration. À cet endroit, l’administrateur peut aussi visualiser les connexions réseau actives et créer une nouvelle connexion (à un serveur VPN, par exemple).

En cliquant sur le nom d’une carte, par exemple Ethernet0, l’administrateur peut visualiser le statut de la connexion (débit, temps d’activité, état de l’accès à Internet, octets envoyés et reçus, etc.). À partir de la fenêtre des propriétés, l’administrateur peut également définir une configuration réseau IPv4 et IPv6.

images/03EI12.png

Le fait de cliquer sur le bouton Configurer dans les propriétés de la carte réseau va permettre d’accéder à la configuration de la carte en elle-même. L’accès à cette section est utile pour activer ou désactiver certaines fonctionnalités, ajuster...

Sécurité réseau sans fil

Bien que l’utilisation du Wi-Fi pour la connexion aux serveurs ne soit ni recommandée ni courante, il peut exister des situations ou des besoins spécifiques qui exigent une telle configuration. C’est dans ce contexte que nous avons choisi d’aborder le sujet de la sécurité des réseaux sans fil dans un environnement Windows Server. Bien que sa prise en charge soit désactivée par défaut dans Windows Server, il est crucial de comprendre les implications de son utilisation et de mettre en place des mesures de sécurité adéquates pour protéger les réseaux sans fil contre les menaces potentielles.

Dans cette section, nous explorerons les bonnes pratiques et les outils disponibles pour sécuriser efficacement les réseaux sans fil dans un environnement Windows Server.

1. Configuration du réseau sans fil

L’activation de la prise en charge du réseau sans fil se fait à partir du Gestionnaire de serveur ou par commande PowerShell.

 Ouvrez le Gestionnaire de serveur, cliquez sur Ajouter des rôles et des fonctionnalités, et cliquez sur Suivant.

 Choisissez Service de réseau local sans fil depuis la fenêtre de sélection des fonctionnalités et cliquez sur Suivant, jusqu’à la fin de l’installation.

images/03EI15.png

 Puis, redémarrez votre serveur.

Une fois la fonctionnalité installée, la découverte réseau demeure inopérante. En effet, il faudra aussi démarrer le service.

 Démarrez le service nommé Service de configuration automatique WLAN.

images/03EI16.png

Pour installer la fonctionnalité via PowerShell :

 Entrez la commande suivante :

Install-WindowsFeature -Name Wireless-Networking 

 Démarrez ensuite le service avec :

Start-Service wlansvc 

Les réseaux Wi-Fi disponibles seront désormais affichés.

Sous Windows Server 2025, la fonctionnalité...

Sécuriser l’accès à distance

1. Introduction

L’accès à distance sur un serveur Windows s’appuie sur le protocole RDP (Remote Desktop Protocol), au travers d’une connexion établie sur le port 3389 (numéro de port utilisé par défaut par ce service).

Sous Windows, l’application native Connexion Bureau à distance sert à accéder à distance à une machine (serveur ou poste de travail) grâce au protocole RDP.

Cette connexion offre un accès visuel complet à la machine distante et transporte aussi les flux audios. Voici un exemple de connexion au bureau d’un hôte nommé s-dc.eni.local :

images/03EI26.png

Sur un serveur Windows, l’accès Bureau à distance est désactivé par défaut, contrairement à la gestion à distance (connexion via le protocole WinRM, notamment à partir de PowerShell).

Quelques clics suffisent pour l’activer, mais qu’en est-il de la sécurité de cet accès distant ? Dans cette section, nous allons évoquer la sécurité de l’accès à distance au travers du protocole RDP, ainsi que la traçabilité de ces connexions.

2. L’accès RDP et l’authentification NLA

Au moment d’activer l’accès Bureau à distance, l’administrateur a le choix d’activer ou non l’option nommée N’autoriser que la connexion des ordinateurs exécutant le Bureau à distance avec authentification NLA (recommandé)

images/03EI27.png

Le NLA pour Network Level Authentication est un mécanisme d’authentification basé sur le protocole CredSSP (Credential Security Support Provider) dont l’objectif est de sécuriser les connexions RDP. Le protocole TLS est aussi utilisé afin de transmettre les identifiants dans un canal sécurisé.

Depuis Windows Server 2012 R2, le NLA est activé par défaut et permet d’effectuer l’authentification au niveau du réseau : l’utilisateur n’a pas encore accès au serveur et il doit s’authentifier.

Lorsqu’une connexion RDP est établie avec le mode d’authentification NLA, une fenêtre d’authentification similaire...

Gestion du réseau avec PowerShell

1. Introduction

Le module NetTCPIP de PowerShell intègre de nombreuses cmdlets permettant d’effectuer la configuration réseau des systèmes Windows en ligne de commande ou à l’aide de scripts. Ce module est intégré nativement à tout système Microsoft.

L’avantage de PowerShell est sa capacité à formater les informations à notre guise, permettant d’obtenir des résultats personnalisés, contrairement aux écrans graphiques qui s’afficheront de la même façon pour tout le monde.

Si vous mettez en œuvre un serveur en mode Core, c’est-à-dire avec une interface graphique minimaliste, la connaissance de ces commandes est recommandée. Cependant, leur fonctionnement est identique que ce soit un serveur avec ou sans l’environnement de bureau.

 Pour exécuter les commandes qui vont suivre, ouvrez une console PowerShell en tant qu’administrateur.

2. Lister les cartes réseau de la machine

Lorsque l’on va chercher à afficher les détails ou à configurer une carte réseau, la première étape va consister à l’identifier.

La commande ci-dessous sert à lister les cartes réseau connues par le système, que l’on peut aussi visualiser dans le Centre Réseau et partage de Windows.

Get-NetAdapter 

Pour chaque interface, la commande indique plusieurs informations telles que le nom, le numéro d’index (information utile pour agir sur une carte spécifique sans utiliser son nom), son statut, l’adresse MAC et la vitesse de la connexion.

images/03EI48.png

3. Renommer une carte réseau

Le nom attribué par Windows aux cartes réseau n’est pas très explicite. Sur un serveur équipé de plusieurs cartes, il est judicieux d’associer un nom plus évocateur tel que le nom du réseau ou du VLAN (ou les deux).

Ainsi, la carte nommée Ethernet0 pourrait être renommée en tant que VLAN-SERVEURS grâce à la commande suivante :

Rename-NetAdapter -Name Ethernet0 -NewName VLAN-SERVEURS 

L’interface réseau est immédiatement renommée et ce changement est visible en ligne de commande et à partir de l’interface graphique de Windows.

4. Afficher...

IPsec

1. Introduction

Dans un réseau interne ou hybride, l’accès aux serveurs par le biais du ping ou de la découverte des ports est souvent autorisé aux machines ordinaires dans le domaine ainsi qu’aux utilisateurs non privilégiés. Cette ouverture peut être une source de vulnérabilité majeure, car un attaquant ou un pentester ayant réussi à infiltrer le réseau peut facilement effectuer des requêtes et sonder la surface d’attaque, compromettant ainsi la sécurité globale du système.

Bien que cette menace puisse être atténuée par des mesures telles que le filtrage MAC ou 802.1X, la mise en place d’IPsec demeure une couche de sécurité supplémentaire essentielle pour protéger les communications réseau sensibles, chose que nous allons découvrir à travers cette section.

2. Définition

IPsec (IP Security) est un protocole de sécurité réseau intégré dans les systèmes d’exploitation modernes, y compris Windows Server. Il offre une gamme de fonctionnalités de sécurité, notamment l’authentification, l’intégrité des données et le chiffrement, afin de protéger les communications réseau contre diverses menaces.

3. Objectifs de sécurité

IPsec vise à atteindre plusieurs objectifs de sécurité, notamment :

  • Authentification des partenaires de communication : IPsec permet de s’assurer que les entités qui communiquent sont bien celles qu’elles prétendent être, ce qui empêche les attaques d’usurpation d’identité.

  • Protection contre les attaques de type « homme du milieu » : IPsec garantit que les données échangées entre les parties sont protégées contre l’interception et la modification par des tiers malveillants.

  • Confidentialité des données : en utilisant le chiffrement, IPsec assure la confidentialité des informations échangées, même en cas de capture du trafic par des attaquants.

4. Utilisation d’IPsec

IPsec est largement utilisé dans divers scénarios, notamment :

  • Sécurisation des connexions...