Sécuriser le Serveur Core

Sécuriser le Serveur Core 1. Gestion du pare­feu Comme sa grande sœ ur, l’édition minimale a le firewall Windows actif par défaut. Cela est très visible, car le serveur ne répond pas au fameux ping, alors que pourtant l’adresse mac correspondante à l’IP est visible depuis la commande arp -a. La gestion des règles du firewall peut s’avérer complexe, aussi il est plus aisé de les gérer à distance. Cela peut se faire via les stratégies de groupes, mais aussi en utilisant la console adéquat de manière déportée. Avant de pouvoir faire cela, il faut autoriser la gestion des règles firewall à distance sur le serveur, en exécutant la commande suivante : netsh advfirewall set currentprofile settings remotemanagement enable
La console Pare­feu Windows avec fonctions avancées de sécurité ne permet pas directement de choisir un ordinateur distant. Pour se faire, il faut d’abord lancer le gestionnaire de console, mmc, puis ajouter la console Pare­feu Windows avec fonctions avancées de sécurité, et à ce moment là vous aurez la possibilité de choisir l’ordinateur cible. Vous trouverez davantage d’informations sur la configuration du pare­feu en mode graphique dans le chapitre Sécuriser votre architecture. Les autres mmc peuvent être autorisées sur le pare­feu afin de pouvoir être utilisées à distance. Voici une liste d’éléments enfichables avec leur nom correspondant dans les règles : ●
Services : Gestion à distance des services ; ●
Planificateur de tâches : Gestion à distance des tâches planifiées ; ●
Observateur d’événements : Gestion à distance des journaux des événements ; ●
Moniteur de fiabilité et de performances : Journaux et alertes de performance ; ●
Gestion du partage et du stockage : Partage de fichiers et d’imprimantes. Netsh advfirewall firewall set rule group= " nom_des_regles"
new enable=yes
Pour gérer à distance IPSec, il faut tout d’abord activer sa gestion à distance : cscript \windows\System32\scregedit.wsf /im 1
Pour que la gestion des volumes à distance fonctionne, il faut démarrer au préalable le service disque virtuel : net
start vds. 2. Gestion automatique des mises à jour L’activation ou la désactivation des mises à jour automatiques peut être gérée en local. Si le serveur joint un domaine Active Directory, vous devriez vraiment gérer le paramétrage via les stratégies de groupes. ●
Pour savoir si les mises à jour sont activées : cscript C:\Windows\System32\Scregedit.wsf /au /v
●
Pour activer les mises à jour : cscript C:\Windows\System32\Scregedit.wsf /au 4
Si vous avez le message d’erreur suivant : Scregedit.wsf(777, 3) (null): 0x80240037. Supprimez la clé suivante : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate. © ENI Editions - All rigths reserved - Guillaume DUBOIS
- 1-
●
Pour désactiver les mises à jour : cscript C:\Windows\System32\Scregedit.wsf /au 1
Vous pouvez forcer la vérification immédiate des mises à jour en exécutant wuauclt /detectnow. Vous pouvez forcer l’installation immédiate des mises à jour en exécutant wuauclt /install. Malgré ces commandes, le service de mises à jour stocke la date et l’heure de la dernière vérification. Aussi, après la demande initiale, un temps d’attente est imposé. Pour accélérer le processus, vous pouvez supprimer la clé de registre contenant la date et l’heure de la dernière et prochaine vérification : Anet stop wuauserv
Breg delete
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
Auto Update" /f
Cnet start wuauserv
Dwuauclt /detectnow
Un délai de quelques minutes reste toutefois imposé.
Pour consulter la liste des mises à jour installées, utilisez la commande wmic qfe list ou wmic qfe.systeminfo. 3. Sauvegarder le serveur L’installation Core étant souvent utilisée en environnement hostile, il est parfois utile de pouvoir faire au moins des sauvegardes locales du système. La gestion des sauvegardes se fait en installant la fonctionnalité WindowsServerBackup : start /wait ocsetup WindowsServerBackup. Pour déclencher manuellement une sauvegarde, il faut utiliser la commande wbadmin. Dans notre exemple, nous allons effectuer une sauvegarde des lecteurs C:\ sur le partage \\autreserveur\partages\sauvegardes : wbadmin start backup backuptarget :\\autreserveur\partages\sauvegardes include:c: -allcritical -vssfull -quiet
Les chemins UNC peuvent être directement utilisés comme destination de la sauvegarde. Un dossier nommé « WindowsImageBackup » sera créé. Ensuite un sous­dossier portant le nom du serveur sera automatiquement créé. Toute sauvegarde précédente sera automatiquement écrasée. La restauration complète - 2-
© ENI Editions - All rigths reserved - Guillaume DUBOIS
peut être faite en utilisant le DVD d’installation (option restauration). 4. Sécurisation du stockage avec BitLocker La plupart du temps, les serveurs sont dans un datacenter, souvent surnommé « bunker » afin de mettre en avant la sécurité physique qui est mise en œ uvre (caméras, contrôles d’accès…). Ce niveau de sécurité n’est pas toujours possible, surtout dans le cadre des sites distants, avec parfois seulement quelques utilisateurs. Bien que le nombre d’utilisateurs reste souvent assez faible, il apparaît indispensable de déployer sur place un serveur, afin de fournir certains services localement, notamment un contrôleur de domaine ou un service DHCP. Dans le premier cas, le serveur a par défaut une copie du domaine et donc des mots de passe de tous les utilisateurs. Comme vu dans le second chapitre de cet ouvrage, la mise en place d’un RODC permet de pallier ce problème. Mais comment faire s’il s’agit d’un serveur de fichiers ou de bases de données ? La fonctionnalité BitLocker permet de chiffrer les partitions du serveur nativement depuis Windows. Cela constitue une amélioration très notable pour la sécurité physique du serveur. Le vol du serveur ou de son stockage ne constitue plus un point de sécurité critique. Pour mettre en place BitLocker, le serveur doit posséder une puce TPM (Trusted Platform Management) sur la carte mère. Il faut tout d’abord installer la fonctionnalité avec cette commande : start /wait ocsetup BitLocker
À la fin de l’installation, un redémarrage est nécessaire.
cscript %systemroot%\System32\manage-bde.wsf -tpm -turnOn
Vous devez ensuite donner un mot de passe en exécutant : cscript %systemroot%\System32\manage-bde.wsf -tpm -o password
Vous pouvez ensuite procéder au chiffrement de la partition avec la commande : cscript %systemroot%\System32\manage-bde.wsf -on c: -rp
Windows 7 et Windows Server 2008 R2 introduisent BitLocker To Go. Il s’agit d’une extension de BitLocker pour chiffrer les clés USB et autres périphériques de stockage amovibles. Les systèmes d’exploitation antérieurs peuvent également lire les volumes protégés par cette extension, à condition d’installer un composant complémentaire : BitLocker Reader To go, téléchargeable ici : http://www.microsoft.com/downloads/details.aspx?
displaylang=en&FamilyID=64851943­78c9­4cd4­8e8d­f551f06f6b3d Ils introduisent également une partition de 100 Mo en plus de la partition système, qui facilite la mise en œ uvre de BitLocker et contient WinRE en cas de problème. © ENI Editions - All rigths reserved - Guillaume DUBOIS
- 3-