Offre estivale Bibliothèque Numérique ENI :
50€ offerts pour préparer la rentrée ! Cliquez ici
Formez-vous en autonomie à Excel, Word, VBA, Microsoft 365…. Cliquez ici
  1. Livres & vidéos
  2. Windows Server 2022
  3. La sécurité de Windows Server
Extrait - Windows Server 2022 Administration avancée
Extraits du livre
Windows Server 2022 Administration avancée Revenir à la page d'achat du livre

La sécurité de Windows Server

Sauvegarde Windows Server

1. Planification et première sauvegarde

Si elle n’est pas une mesure de sécurité à proprement parler, la sauvegarde reste un élément incontournable de la sécurisation d’un système informatique. Windows Server inclut une fonctionnalité de sauvegarde qui n’est pas installée par défaut. Elle permet de sauvegarder le serveur entier, ou des volumes, ou encore des fichiers que l’on aura sélectionnés.

 Installez la fonctionnalité Windows Server Backup.

images/08EI01.png

Pour utiliser la sauvegarde de Windows Server, il faut se rendre dans le Server Manager, puis dans Tools et sélectionnez Windows Server Backup. Cela ouvre la console de gestion de la sauvegarde.

images/08EI02.png

Dans notre exemple, nous allons mettre en œuvre une sauvegarde périodique d’un serveur Hyper-V et de ses machines virtuelles.

 Faites un clic droit sur Local Backup et sélectionnez Backup Schedule dans le menu déroulant.

images/08EI03.png

 La première fenêtre demande si vous voulez faire une sauvegarde du serveur entier ou personnaliser les réglages. Choisissez Custom.

images/08EI04.png

 Dans la fenêtre suivante, choisissez ce que vous voulez sauvegarder. Cliquez sur Add Items.

images/08EI05.png

Apparaît alors la liste de ce que vous pouvez sauvegarder. Comme nous sauvegardons un serveur Hyper-V, les machines virtuelles et les réglages du serveur Hyper-V sont disponibles à la sauvegarde. Vous allez sauvegarder les machines virtuelles et les réglages du serveur Hyper-V.

images/08EI06.png

Il serait possible de sauvegarder une machine virtuelle depuis l’intérieur de celle-ci. Mais la configuration de la machine virtuelle en elle-même ne serait pas sauvegardée, contrairement à la sauvegarde de la machine virtuelle depuis le serveur comme nous sommes en train de le faire.

À noter qu’il est possible de sauvegarder...

BitLocker

BitLocker est une fonctionnalité de cryptage des disques durs, que l’on retrouve aussi bien dans la version client de Windows 10 et 11 que dans Windows Server.

1. Concepts de base

a. Puce TPM

BitLocker peut travailler avec les puces TPM, qui sont des puces dans les cartes mères qui vont générer et stocker les clés de chiffrement. Ces clés sont alors stockées dans le matériel lui-même, ce qui est plus sécurisé que de les stocker dans Windows.

S’il est nécessaire d’activer la puce TPM, alors cela se fait dans le firmware de la machine, avec l’option Intel PTT ou AMD PSP.

Pour savoir si la machine a une puce TPM, vous pouvez taper la commande suivante :

Tpm.msc

Cela va ouvrir la console de gestion TPM, qui va indiquer la présence de la puce, son état et sa version. Si la console est vide, alors votre machine ne possède pas de puce TPM.

images/08EI33.png

 Pour activer la puce TPM dans les machines Hyper-V, la machine virtuelle doit être de génération 2. Allez dans les paramètres de la machine, et dans Security. Puis activez l’option.

images/08EI34.png

b. Fonctionnalités de BitLocker

  • BitLocker est capable d’ajouter un code PIN, un mot de passe, ou demander ou une clé physique, au démarrage de la machine.

  • Bien sûr, BitLocker peut crypter les disques durs. Aussi bien les disques attachés localement dans une machine que les supports amovibles.

  • Il est aussi possible de stocker les clés de recouvrement BitLocker dans des objets Active Directory. C’est la méthode recommandée par Microsoft.

  • L’activation de BitLocker est activable et configurable par stratégie de groupe.

  • BitLocker peut protéger les volumes partagés des clusters.

  • Les volumes système protégés par un code PIN au démarrage peuvent utiliser la fonctionnalité de « déverrouillage réseau ». Cela permet de démarrer sans intervention humaine, ce qui peut être utile dans le cas de serveurs gérés à distance. Nécessite une puce TPM.

  • BitLocker dispose d’une fonction « déverrouillage automatique » pour ne pas avoir à déverrouiller les disques de données à la main, à chaque utilisation....

Microsoft Defender

L’application Windows Security regroupe tout un tas de fonctionnalités de sécurité des systèmes Microsoft. On y retrouve l’antivirus, anciennement appelé Windows Defender, qui a beaucoup évolué et dont la gestion a été centralisée dans une application qui regroupe diverses fonctionnalités de sécurité.

 Pour accéder à cette application, allez dans le menu Start - Settings - Update & Security. Puis sélectionnez Windows Security.

images/08EI57.png

 Cliquez sur Open Windows Security pour lancer l’application. Comme vous pouvez le voir dans cette capture d’écran, si certains réglages posent un problème, un avertissement est affiché.

images/08EI58.png

1. Paramétrage de base

 Cliquez sur Virus & threat protection pour entrer dans les réglages de l’antivirus.

images/08EI59.png

  • Current threats : permet de lancer une analyse du système. Si l’on rentre dans les options, nous pourrons choisir le type d’analyse, rapide, complète ou personnalisée. Cette dernière option peut être utilisée pour sélectionner un volume ou un dossier en particulier.

  • Virus & threat protection settings : c’est ici que l’on peut activer la protection temps réel, la protection dans le cloud pour avoir les derniers échantillons de virus trouvés par Microsoft ou encore l’envoi d’échantillon automatique.

  • Virus and threat protection settings : permet de lancer une recherche et un téléchargement des dernières définitions de virus. Ces définitions sont aussi régulièrement téléchargées par les mises à jour Windows.

  • Ransomware protection : surveille et protège des dossiers sensibles. On retrouve ce paramètre dans la protection contre les virus et les menaces.

Si l’on clique sur Virus & threat protection settings, on accède à des paramètres...

Bases de référence de sécurité

Microsoft met à disposition en ensemble d’outils gratuits dans son centre de téléchargement, pour aider les entreprises à améliorer la sécurité de leurs infrastructures.

Ces outils appelés bases de références de sécurité sont contenus dans une archive. On y trouve des fichiers .PDF, des stratégies à déployer, des scripts PowerShell pour l’import des stratégies.

Ces fichiers peuvent être téléchargés sous la forme d’un fichier ZIP à cette URL :

https://www.microsoft.com/en-us/download/details.aspx?id=55319

Vous allez télécharger les références pour Windows Server 2022 ainsi que l’utilitaire PolicyAnalyser qui est un utilitaire pour scanner les GPO et faire des rapports de comparaison.

images/08EI75.png

  Après avoir téléchargé les archives, décompressez-les et placez-les dans votre contrôleur de domaine.

1. PolicyAnalyser

PolicyAnalyser est un utilitaire avec interface graphique qui permet de comparer les stratégies mises en place dans le contrôleur de domaine, avec celles des références de sécurité.

 Dans le dossier téléchargé, lancez l’application PolicyAnalyser.exe.

images/08EI76.png

 Dans l’interface de l’application, cliquez sur Add.

images/08EI77.png

 Dans la nouvelle...

Active Directory Certificat Services (ADCS)

ADCS est le service de Windows Server pour générer des certificats. Avant d’étudier son déploiement et son utilisation, nous allons passer en revue les fondamentaux de la cryptographie par certificat.

1. Notions de base du cryptage

Pour crypter des données informatiques, les systèmes informatiques utilisent des algorithmes mathématiques comme DES ou AES. Ces algorithmes sont connus et publics, il est donc possible pour n’importe qui de retrouver les données en clair avec ces algorithmes. Nous avons donc besoin d’introduire un élément aléatoire, qu’on appelle une clé.

La clé est une suite de données binaires créée aléatoirement ou bien définie par l’utilisateur, qui est introduite dans le calcul au moment du cryptage. Il rend les données impossibles à déchiffrer, à moins de détenir cette clé. La longueur de la clé dépend de l’algorithme utilisé, par exemple AES256 générera une clé de 256 bits de long.

Voici deux exemples de clés :

images/08EI101.png

Si l’on utilise la même clé pour crypter et décrypter, alors on parle de cryptage symétrique. Si l’on utilise des clés différentes pour crypter et décrypter, alors c’est du cryptage asymétrique.

a. Cryptage symétrique

Le cryptage symétrique a l’avantage d’être peu gourmand en ressources processeur et rapide. Il est souvent utilisé pour le VPN, le cryptage de disques ou encore la blockchain. Il est utilisé là où on a besoin de crypter de grandes quantités de données, ou de cryptage et décryptage en temps réel.

Le problème des clés symétriques est qu’elles ne contiennent aucune information d’identification. Cela rend impossible la vérification de l’intégrité des données, car toute personne détenant cette clé peut déchiffrer les données, les modifier et les encrypter à nouveau.

Pour du cryptage asymétrique, la clé doit être envoyée au destinataire par un autre canal, avec un autre algorithme pour la phase de négociation...

DNS over HTTPS

Nouveauté de Server 2022, il est maintenant possible d’utiliser HTTPS pour le trafic DNS, mais uniquement pour la partie client DNS de Windows Server, et non le serveur DNS. Cette pratique s’appelle le DNS over HTTPS ou DoH.

Dans ce cas, le trafic DNS sera encapsulé en HTTPS et utilisera le port 443 et le chiffrement se fera avec le protocole TLS.

1. Mise en œuvre

Pour activer le DNS over HTTPS, il faut aller dans les paramètres et dans les réglages réseau.

images/08EI171.png

 Allez ensuite dans Ethernet et cliquez sur l’icône du réseau auquel vous êtes connecté.

images/08EI172.png

 Descendez jusqu’aux réglages DNS et cliquez sur Edit.

images/08EI173.png

Nous sommes sur un contrôleur de domaine, nous allons le laisser comme serveur DNS préféré. En revanche, nous allons ajouter un serveur DNS secondaire.

Si nous voulons ajouter un serveur DNS externe qui accepte les requêtes de type DNS over HTTPS, nous devons nous assurer que le serveur que nous voulons ajouter autorise ce genre de trafic.

Il existe une commande PowerShell pour demander au système quels sont les serveurs DNS avec HTTPS qu’il connaît :

Get-DnsClientDohServerAddress

Cela donne le résultat suivant :

images/08EI174.png

Il ne reste plus qu’à renseigner le serveur DNS choisi et à sélectionner l’option qui active e DNS over HTTPS. Pour pouvoir activer...