Windows Server Hardening : la check-list essentielle 🔐

Déployer un serveur « par défaut » va vite… mais laisse de grandes portes ouvertes. En production, quelques heures de durcissement réduisent drastiquement la surface d’attaque et augmentent la résilience.

Voici la check-list actionnable que nous utilisons en mission (à adapter à votre contexte et à vos GPO).

1) Préparation (avant mise en prod)

Inventorier : rôle, propriétaire, IP/VLAN, hyperviseur/physique, n° de série.
Isoler du réseau/Internet jusqu’au durcissement final.
Sécuriser BIOS/UEFI + désactiver le boot sur médias externes.
Bloquer l’ouverture de session admin auto sur la console de récup.

2) OS & mises à jour

Partir d’une image approuvée (gold image si possible).
Appliquer tous les correctifs (WSUS/SCCM/Windows Update) après tests.
Activer les notifications / mécanismes d’application rapide.
Documenter niveau de patch (KB/build) et planifier un cycle.

3) Comptes & mots de passe

Désactiver Invité, renommer/désactiver Administrateur local.
Limiter les membres/droits des groupes intégrés (moindre privilège).
Politiques GPO : longueur ≥ 15, complexité, rotation 90–180 j.
Verrouillage de compte (seuil/durée/fenêtre), purge des comptes inactifs.
Admins : utiliser un compte local pour les actions locales (pas de domaine).

4) Rôles, services, apps

Supprimer rôles/fonctions non requis (réduire la surface d’attaque).
Minimiser applis/services/protocoles ; éviter les navigateurs supplémentaires.
Restreindre web pour tous ; Remote Registry désactivé (ou accès très limité).

5) Réseau & pare-feu

Segmenter/isoler (VLAN, sous-réseaux), valider DNS/hostname.
Filtrer par IP ; RDP seulement si nécessaire, restreint par IP/VPN/jump.
Désactiver NetBIOS/LMHOSTS (sauf legacy).
Pare-feu Windows ON (Domain/Private/Public), inbound bloqué par défaut ;
n’ouvrir que l’indispensable et journaliser les règles.

6) Temps & NTP

Un serveur de temps de référence (source fiable).
Tous les serveurs/clients synchronisés uniquement sur celui-ci.
Surveiller le drift, éviter le spoofing temporel.

7) Registre

Remote Registry off (ou accès ultra-restreint).
Désactiver NullSessionPipes/Shares (pas d’accès anonymes).
Restreindre la modif des clés critiques aux admins autorisés.

8) Chiffrement & données

BitLocker sur OS et volumes de données (gestion des clés).
EFS si besoin (process maîtrisé).
IPsec pour les flux sensibles inter-serveurs.

9) Accès & authentification

Moindre privilège partout (comptes, services, tâches planifiées).
Accès réseau : utilisateurs authentifiés seulement (pas Everyone).
Kerberos : types de chiffrement robustes ; pas de hash LAN Manager.
Désactiver NTLMv1 ; partage fichiers/imprimantes off si inutile.

10) Accès distant

RDP : chiffrement élevé, utilisateurs ciblés, MFA si possible, audit des échecs.
Privilégier jump server/bastion et VPN.

11) Journalisation, audit & supervision

Audit avancé (Success/Failure) : logon, objets, stratégies, privilèges, services, processus, RDP.
Centraliser les logs (WEF/SIEM), surveiller élévations, échecs RDP, changements GPO/Services/Registre.
EDR/antivirus actif, exclusions maîtrisées ; DLP si données sensibles.

12) Maintien en condition de sécurité (MCS)

Revues périodiques : comptes/droits (trimestriel), pare-feu/ports (mensuel).
Patch Tuesday + hors-bande critique : process test → prod.
Sauvegardes testées (restauration), copies hors ligne/immutables (anti-ransomware).
Baseline (CIS/STIG) documentée ; FIM pour détecter la dérive.

Astuces rapides

NetBIOS/LMHOSTS : Carte réseau → IPv4 → Avancé → WINS.
Pare-feu inbound = Bloquer par défaut : wf.msc.
GPO mots de passe/lockout : gpedit.msc / GPMC.
BitLocker : manage-bde -status + GPO + stockage des clés.

👉 Besoin d’une check-list Excel ou d’un gabarit GPO prêt à l’emploi ? Dites-moi en commentaire, je vous l’envoie.

#Sécurité #WindowsServer #Hardening #GPO #BlueTeam #SOC #EDR #CIS #STIG