Comment sécuriser Windows Server 2016 ?

sécurité informatique

Comment sécuriser Windows Server 2016 ?

Voici une première étape de sécurisation de l’OS via le système de fichier, les services, les mises à jours et l’aide d’ADMX pour les GPOs.

nuage de mot cyber security

Droits NTFS

Microsoft recommande de laisser les droits par défaut sur ces répertoires, ils sont durcis par défaut.

 

Dossier Héritage Groupe de sécurité Droits Etendue
C:\ Désactivé BUILTIN\Administrateurs Contrôle Total DSF
CREATEUR PROPRIETAIRE Contrôle Total SF
AUTORITE NT\SYSTEM Contrôle Total DSF
Tout le monde Read & Execute D
BUILTIN\Utilisateurs Read & Execute DSF
C:\Program Files et C:\Program Files (x86) Désactivé BUILTIN\Administrateurs Modification D
BUILTIN\Administrateurs Contrôle Total SF
AUTORITE NT\SYSTEM Modification D
AUTORITE NT\SYSTEM Contrôle Total SF
BUILTIN\Utilisateurs Read DSF
Parcours du dossier

Exécuter le fichier

DSF
BUILTIN\TrustedInstaller Contrôle Total DSF
AUTORITE NT\SYSTEM

CREATEUR PROPRIETAIRE

Contrôle Total SF
Contrôle Total SF
C:\Windows Désactivé BUILTIN\Administrateurs Contrôle Total DSF
CREATEUR PROPRIETAIRE Contrôle Total SF
AUTORITE NT\SYSTEM Contrôle Total DSF
BUILTIN\Utilisateurs Read & Execute DSF
3 DS
2
C:\Windows\Temp Désactivé BUILTIN\Administrateurs Contrôle Total DSF
CREATEUR PROPRIETAIRE Contrôle Total SF
AUTORITE NT\SYSTEM Contrôle Total DSF
BUILTIN\Utilisateurs 6 DS
3
2
C:\Temp Désactivé BUILTIN\Administrateurs Contrôle Total DSF
CREATEUR PROPRIETAIRE Contrôle Total SF
AUTORITE NT\SYSTEM Contrôle Total DSF
BUILTIN\Utilisateurs 6 DS
3
2
D:\ Désactivé BUILTIN\Administrateurs Contrôle Total DSF
AUTORITE NT\SYSTEM Contrôle Total DSF
BUILTIN\Utilisateurs Read & Execute DSF
3 DS
2 S

 

comment sécuriserDésactivation des services inutilisés

 

Les services inutiles devront être désactivés. Le tableau ci-dessous liste les services Windows ainsi que l’état dans lequel ils devront se trouver suite au déploiement du socle. L’installation des rôles et applications pourront changer l’état de ces services. Une dérogation au durcissement devra être demandée.

Les services à désactiver sont surlignés dans la liste ci-dessous :

Serivces Nom Type de démarrage
ActiveX Installer (AxInstSV) AxInstSV Manual
AllJoyn Router Service AJRouter Manual
App Readiness AppReadiness Manual
Application Identity AppIDSvc Manual
Application Information Appinfo Manual
Application Layer Gateway Service ALG Manual
Application Management AppMgmt Manual
AppX Deployment Service (AppXSVC) AppXSvc Manual
Auto Time Zone Updater tzautoupdate Disabled
Background Intelligent Transfer Service BITS Manual
Background Tasks Infrastructure Service BrokerInfrastructure Automatic
Base Filtering Engine BFE Automatic
Bluetooth Support Service bthserv Disabled
CDPUserSvc CDPUserSvc Disabled
Certificate Propagation CertPropSvc Manual
Client License Service (ClipSVC) ClipSVC Manual
CNG Key Isolation KeyIso Manual
COM+ Event System EventSystem Automatic
COM+ System Application COMSysApp Manual
Computer Browser Browser Disabled
Connected Devices Platform Service CDPSvc Automatic
Connected User Experiences and Telemetry DiagTrack Automatic
Contact Data PimIndexMaintenanceSvc Disabled
CoreMessaging CoreMessagingRegistrar Automatic
Credential Manager VaultSvc Manual
Cryptographic Services CryptSvc Automatic
Data Sharing Service DsSvc Manual
DataCollectionPublishingService DcpSvc Manual
DCOM Server Process Launcher DcomLaunch Automatic
Device Association Service DeviceAssociationService Manual
Device Install Service DeviceInstall Manual
Device Management Enrollment Service DmEnrollmentSvc Manual
Device Setup Manager DsmSvc Manual
DevQuery Background Discovery Broker DevQueryBroker Manual
DHCP Client Dhcp Automatic
Diagnostic Policy Service DPS Automatic
Diagnostic Service Host WdiServiceHost Manual
Diagnostic System Host WdiSystemHost Manual
Distributed Link Tracking Client TrkWks Automatic
Distributed Transaction Coordinator MSDTC Automatic
dmwappushsvc dmwappushservice Disabled
DNS Client Dnscache Automatic
Downloaded Maps Manager MapsBroker Disabled
Embedded Mode embeddedmode Manual
Encrypting File System (EFS) EFS Manual
Enterprise App Management Service EntAppSvc Manual
Extensible Authentication Protocol EapHost Manual
Function Discovery Provider Host fdPHost Manual
Function Discovery Resource Publication FDResPub Manual
Geolocation Service lfsvc Disabled
Group Policy Client gpsvc Automatic
Human Interface Device Service hidserv Manual
HV Host Service HvHost Manual
Hyper-V Data Exchange Service vmickvpexchange Manual
Hyper-V Guest Service Interface vmicguestinterface Manual
Hyper-V Guest Shutdown Service vmicshutdown Manual
Hyper-V Heartbeat Service vmicheartbeat Manual
Hyper-V PowerShell Direct Service vmicvmsession Manual
Hyper-V Remote Desktop Virtualization Service vmicrdv Manual
Hyper-V Time Synchronization Service vmictimesync Manual
Hyper-V Volume Shadow Copy Requestor vmicvss Manual
IKE and AuthIP IPsec Keying Modules IKEEXT Manual
Interactive Services Detection UI0Detect Manual
Internet Connection Sharing (ICS) SharedAccess Disabled
IP Helper iphlpsvc Automatic
IPsec Policy Agent PolicyAgent Manual
KDC Proxy Server service (KPS) KPSSVC Manual
KtmRm for Distributed Transaction Coordinator KtmRm Manual
Link-Layer Topology Discovery Mapper lltdsvc Disabled
Local Session Manager LSM Automatic
Microsoft (R) Diagnostics Hub Standard Collector Service diagnosticshub.

standardcollector.

service

Manual
Microsoft Account Sign-in Assistant wlidsvc Disabled
Microsoft App-V Client AppVClient Disabled
Microsoft iSCSI Initiator Service MSiSCSI Manual
Microsoft Passport NgcSvc Manual
Microsoft Passport Container NgcCtnrSvc Manual
Microsoft Software Shadow Copy Provider swprv Manual
Microsoft Storage Spaces SMP smphost Manual
Net.Tcp Port Sharing Service NetTcpPortSharing Disabled
Netlogon Netlogon Manual
Network Connection Broker NcbService Disabled
Network Connections Netman Manual
Network Connectivity Assistant NcaSvc Manual
Network List Service netprofm Manual
Network Location Awareness NlaSvc Automatic
Network Setup Service NetSetupSvc Manual
Network Store Interface Service nsi Automatic
Offline Files CscService Disabled
Optimize drives defragsvc Manual
Performance Counter DLL Host PerfHost Manual
Performance Logs & Alerts pla Manual
Phone Service PhoneSvc Disabled
Plug and Play PlugPlay Manual
Portable Device Enumerator Service WPDBusEnum Manual
Power Power Automatic
Print Spooler(*) Spooler Disabled
Printer Extensions and Notifications(*) PrintNotify Disabled
Problem Reports and Solutions Control Panel Support wercplsupport Manual
Program Compatibility Assistant Service PcaSvc Disabled
Quality Windows Audio Video Experience QWAVE Disabled
Radio Management Service RmSvc Disabled
Remote Access Auto Connection Manager RasAuto Manual
Remote Access Connection Manager RasMan Manual
Remote Desktop Configuration SessionEnv Manual
Remote Desktop Services TermService Manual
Remote Desktop Services UserMode Port Redirector UmRdpService Manual
Remote Procedure Call (RPC) RpcSs Automatic
Remote Procedure Call (RPC) Locator RpcLocator Manual
Remote Registry RemoteRegistry Automatic
Resultant Set of Policy Provider RSoPProv Manual
Routing and Remote Access RemoteAccess Disabled
RPC Endpoint Mapper RpcEptMapper Automatic
Secondary Logon seclogon Manual
Secure Socket Tunneling Protocol Service SstpSvc Manual
Security Accounts Manager SamSs Automatic
Sensor Data Service SensorDataService Disabled
Sensor Monitoring Service SensrSvc Disabled
Sensor Service SensorService Disabled
Server LanmanServer Automatic
Shell Hardware Detection ShellHWDetection Disabled
Smart Card SCardSvr Disabled
Smart Card Device Enumeration Service ScDeviceEnum Disabled
Smart Card Removal Policy SCPolicySvc Manual
SNMP Trap SNMPTRAP Manual
Software Protection sppsvc Automatic
Special Administration Console Helper sacsvr Manual
Spot Verifier svsvc Manual
SSDP Discovery SSDPSRV Disabled
State Repository Service StateRepository Manual
Still Image Acquisition Events WiaRpc Disabled
Storage Service StorSvc Manual
Storage Tiers Management TieringEngineService Manual
Superfetch SysMain Manual
Sync Host OneSyncSvc Disabled
System Event Notification Service SENS Automatic
System Events Broker SystemEventsBroker Automatic
Task Scheduler Schedule Automatic
TCP/IP NetBIOS Helper lmhosts Manual
Telephony TapiSrv Manual
Themes Themes Automatic
Tile Data model server tiledatamodelsvc Automatic
Time Broker TimeBrokerSvc Manual
Touch Keyboard and Handwriting Panel Service TabletInputService Disabled
Update Orchestrator Service for Windows Update UsoSvc Manual
UPnP Device Host upnphost Disabled
User Access Logging Service UALSVC Automatic
User Data Access UserDataSvc Disabled
User Data Storage UnistoreSvc Disabled
User Experience Virtualization Service UevAgentService Disabled
User Manager UserManager Automatic
User Profile Service ProfSvc Automatic
Virtual Disk vds Manual
Volume Shadow Copy VSS Manual
WalletService WalletService Disabled
Windows Audio Audiosrv Disabled
Windows Audio Endpoint Builder AudioEndpointBuilder Disabled
Windows Biometric Service WbioSrvc Manual
Windows Camera Frame Server FrameServer Disabled
Windows Connection Manager Wcmsvc Automatic
Windows Defender Network Inspection Service WdNisSvc Manual
Windows Defender Service WinDefend Automatic
Windows Driver Foundation – User-mode Driver Framework wudfsvc Manual
Windows Encryption Provider Host Service WEPHOSTSVC Manual
Windows Error Reporting Service WerSvc Manual
Windows Event Collector Wecsvc Manual
Windows Event Log EventLog Automatic
Windows Firewall MpsSvc Automatic
Windows Font Cache Service FontCache Automatic
Windows Image Acquisition (WIA) stisvc Disabled
Windows Insider Service wisvc Disabled
Windows Installer msiserver Manual
Windows License Manager Service LicenseManager Manual
Windows Management Instrumentation Winmgmt Automatic
Windows Mobile Hotspot Service icssvc Disabled
Windows Modules Installer TrustedInstaller Manual
Windows Push Notifications System Service WpnService Disabled
Windows Push Notifications User Service WpnUserService Disabled
Windows Remote Management (WS-Management) WinRM Automatic
Windows Search WSearch Disabled
Windows Time W32Time Automatic
Windows Update wuauserv Manual
WinHTTP Web Proxy Auto-Discovery Service WinHttpAutoProxySvc Manual
Wired AutoConfig dot3svc Manual
WMI Performance Adapter wmiApSrv Manual
Workstation LanmanWorkstation Automatic
Xbox Live Auth Manager XblAuthManager Disabled
Xbox Live Game Save XblGameSave Disabled

 

(*) Les services Print Spooler et Printer Extensions and Notifications seront à activer pour les serveurs d’impressions et les contrôleurs de domaine

fonctionnement

Les mises à jour Microsoft de Windows Server 2016

Disponible ici :

https://support.microsoft.com/fr-ch/help/4000825/windows-10-windows-server-2016-update-history

 

Les ADMX

 

Pour disposer des nouvelles options proposées par Windows Server 2016 ainsi que des options de sécurisation non présentes par défaut, des ADMX devront être rajoutés sur chacun des serveurs administrant les GPOs:

https://blogs.technet.microsoft.com/secguide/2016/05/27/security-baseline-for-windows-server-2016-technical-preview-5-tp5/

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Interactive logon\Number of previous logons to cache (in case domain controller is not available): 2

 

ACL système de fichier

 

Les droits sur les dossiers sont codés de la façon suivante :

Droit Autorisé Refusé
Aucun N
Lecture R R-NOK
Ecriture W W-NOK
Modification C C-NOK
Contrôle Total F F-NOK

Les paramètres avancés :

Droit Autorisé Refusé
Appropriation D D-NOK
Modification des autorisations C C-NOK
Autorisations de lecture B B-NOK
Suppression A A-NOK
Attributs de lecture 9 9-NOK
Attributs d’écriture 8 8-NOK
Suppression de sous-dossier et fichier 7 7-NOK
Parcours du dossier

Exécuter le fichier

6 6-NOK
Ecriture d’attributs étendus 5 5-NOK
Lecture des attributs étendus 4 4-NOK
Création de dossier

Ajout de données

3 3-NOK
Création de Fichier

Ecriture de données

2 2-NOK
Liste du dossier

Lecture des données

1 1-NOK

 

L’étendue des droits est codée de la façon suivante :

 

Etendue Codage
Ce dossier D
Les sous-dossiers S
Les Fichiers F
Ce Dossier et les sous-dossiers DS
Ce Dossier, les sous-dossiers et les fichiers DSF

 

L’héritage est le mécanisme qui permet aux autorisations héritées du parent de se propager à un objet et aux objets enfants, il est soit Activé, soit Désactive.

windows server 2016

Laisser un commentaire