Discussion :

[Musyanon]

Bonjour à tous & à toutes,

J'aimerai obtenir quelques conseils pour sécuriser un Windows Server 2012 R2.
Je ne suis pas trop habituer aux serveurs Windows, par habitude, je fais toujours mes serveurs sous linux et je sais y mettre les protections. Mais pour monté un projet, il me faut être obligatoirement sous Windows et cherche des informations afin de sécuriser le serveur au maximum afin d'éviter d'éventuel piratage. De plus me faudra-t-il un anti-virus de préférence ?

Merci.

[Tackedowno-sama]

Bonjour,

Pour un passage sur serveur Windows, tu t'attaque directement au plus dur (Server 2012).

Comment pense tu orienté ta stratégie de sécurité hors serveur ? DMZ? Le 2012 sera ton AD ? peut tu m'en dire plus s'l te plait ?

[Musyanon]

D'après votre remarque vous ne me conseillez donc pas la version 2012 ? Quelle est la bonne version à adopter en terme de performance et sécurité ? Si c'est juste une question de difficulté sachez que cela ne me fait pas peur et que je suis très patient !

Ensuite ce que je souhaite, c'est de gérer les ports de Windows et d'ouvrir seulement ceux qui me sont utile, les autres je les veux fermés. Concernant la prise en main à distance, je veux l'autorisé que chez moi via mon IP ou certification au mieux. De même pour le serveur SFTP, d'ailleurs que me conseillez vous pour un serveur SFTP ?

Bref je veux un max de sécurité afin d'éviter tout éventuel hack.

[Tackedowno-sama]

Lorsque je disait que 2012 n’était pas facile c'était juste au niveau de la prise en mains en revanche c'est judicieux de l'installé car les dernière fonctionnalité y sont intégrer

Pour le FTP un Filezilla srv va très bien.

Quelles rôles compte tu attribués à ce serveur ? AD-DNS ? serveur de Sauvegarde ? Serveur d'authentification ? ou simplement SFTP ?

[Musyanon]

Avant tout, serveur web, que je pense faire avec IIS dont j'ai déjà quelques notion pour avoir déjà testé à l'époque sous Windows Server 2008.
Et ensuite je compte monté des serveurs jeux, d'où ma migration vers Windows Server, car il n'est actuellement pas possible de faire tourner le jeux en question sous linux avec connexion MySql, je parle de Arma 3. J'ai d'autres serveurs de jeux que je fais déjà tourner sous linux sans aucun problème, le souci c'est que j'ai trop de jaloux sur le dos et que j'ai besoin d'un serveur sécurisé.

[Musyanon]

Up, personne pour m'aider ?

[meziantou]

Pour sécuriser quelque chose, il faut au préalable identifier les menaces.
Par exemple pour une maison, tu mets une porte et une serrure et tu te dis que c'est sécurisé. Combien de maisons ont été sous l'eau récemment tout simplement parce que personne n'a pris en compte la menace d'une innondation.

Pour ton serveur c'est la même chose, identifies les menaces et met en place les protections pour y répondre.

Quelques réponses possibles (je te laisse trouver la menace associée):
- Mettre le serveur dans une salle sécurisée
- S'assurer que seul Windows puisse démarrer
- Chiffrer le disque dur
- RAID + Backup
- Gestion des identités
- Authentification avec carte à puce
- Désactiver les ports USB
- Bloquer tous les ports non utilisés
- Beaucoup de choses sur le réseau
- Et bien plus

[Musyanon]

Merci pour ta réponse meziantou,

Toute fois de mon coté je n'aurai pas accès physiquement au serveur étant donné que je compte le louer chez OVH par exemple.
Dans un premier temps j'aimerai savoir s'il est possible de gérer les endroits où la connexion à distance sont autorisées, comme par exemple chez moi et au boulot ? Et savoir quelles sont les possibilité de protection, IP ? Certificat ? Autre ?

[meziantou]

gérer les endroits où la connexion à distance sont autorisées

Tu peux gérer cela avec le firewall (scope) : http://technet.microsoft.com/en-us/l.../cc771905.aspx

Et savoir quelles sont les possibilité de protection, IP ? Certificat ? Autre ?

Protection de quoi et contre quoi ? Remote Desktop ? tu parlais de IIS donc peut-être un site spécifique ?

[Musyanon]

Je parle de protéger la connexion à distance en la limitant à seulement aux endroits désiré.
Ensuite oui je souhaite aussi protéger mes sites.

Après je ne sais pas trop ce qu'il y a comme possibilité sous Windows et quelles sont les choses à protéger n'ayant pas l'habitude de monter un serveur sous Windows...
J'ai déjà auparavant monté un serveur sous Windows Server 2008 avec un serveur IIS, mais j'ai eu droit à une visite d'un petit plaisantin qui a su me supprimer mes base de donnée sans que je sache comment, et j'aimerai éviter cela de nouveau...

Pour un serveur Linux j'utilise ce qui est décrit dans cette article : http://www.thefanclub.co.za/how-to/h...-part-1-basics
Et je dois dire que depuis je n'ai jamais eu de souci sauf a par les attaques Ddos, mais pour cela j'avais un Anti-Ddos fourni par mon hébergeur.

Aujourd'hui j'ai besoin d'un serveur Windows et j'aimerai pas me planter dès le début et me retrouver une nouvelle fois hacker.

[meziantou]

En gros tu n'ouvres à l'extérieur que le strict nécessaire. Par exemple si tu veux exposer Remote Desktop et un site web, tu ouvres le port 3389, 80 et 443 (avec des restriction d'IP si nécessaire). Utilises des utilisateurs avec le minimum de droits, choisis des mots de passe complexe ou utilise une Smart Card. Ne lances pas d'application inconnue sur ton serveur. Bref que des bonnes pratique.

mais j'ai eu droit à une visite d'un petit plaisantin qui a su me supprimer mes base de donnée sans que je sache comment, et j'aimerai éviter cela de nouveau...

En gros tu dois avoir une faille de type injection SQL + des droits trop élevés à la base de données... Rien à voir avec le système d'exploitation.

[Musyanon]

Concernant les ports de Windows, sont-ils déjà tous fermé par défaut ?
De plus un anti-virus serait-il conseillé?

[meziantou]

Certains ports sont ouvert par défaut. Ouvres la configuration du firewall pour les voir.
Un AV ne peut pas faire de mal

[MI-K@]

Étant dans un cas similaire au tiens CAD, W2012R2 sur une location dédiée OVH.

Je me suis penchée sur les fonctionnalités que tu vas implémenter et la criticité de celle-ci, je pense qu'il n'est pas judicieux de mettre tous ses œufs dans un même panier lorsque le serveur se retrouve en frontal sur le réseau.

Si tu en as, la possibilité installe des machines virtuelles qui rempliront chacune un rôle bien particulier dans ton architecture, ainsi si l'une d'elles est corrompue, il te suffira de basculer vers un autre service.

Tu peux également commander chez OVH des IPFailover qui te permettront d'accéder facilement à ces machines depuis l'extérieur, via quelque configuration réseau.

Après, pour la configuration proprement dite d'un Windows Serveur, cela part avant tout d'une bonne configuration, des rôles installés, voici un lien Technet qui te permettra de faire le tour de ta configuration selon son usage : http://technet.microsoft.com/fr-fr/l.../hh831360.aspx

PS : Je rejoins Tackedowno-sama pour la prise en main laborieuse de W2012 !

See Ya