Sécurisation d’un nouveau serveur Windows –
Lorsque vous travaillez avec un nouveau serveur Windows, le sécuriser contre les attaquants est l’une des premières choses que vous voudrez faire. Une configuration Windows Server par défaut n’est pas intrinsèquement verrouillée et laisse une protection importante ouverte et accessible aux pirates. Voyons comment nous pouvons sécuriser notre serveur Web!
Sommaire
Modification du port RDP par défaut
Par défaut, l’accès RDP à votre serveur est ouvert sur le port 3389. Il s’agit d’un port largement utilisé pour RDP et il s’agit de la configuration par défaut sur la plupart des serveurs et ordinateurs Windows. Comme ce port est un paramètre par défaut sur de nombreux systèmes, les pirates tenteront d’attaquer RDP sur ce port pour tout ordinateur connecté à Internet à l’aide de programmes automatisés, pour essayer des milliers de combinaisons de mots de passe contre votre serveur.
L’une des choses les plus simples que nous pouvons faire pour sécuriser notre serveur est de changer ce port par défaut de 3389 à un autre port inutilisé qui est moins susceptible d’être ciblé au hasard par des attaquants. Nous pouvons utiliser ce registre pour effectuer ce changement nécessaire.
Pour commencer, ouvrez votre menu Démarrer et entrez regedit pour ouvrir l’éditeur de registre.
Accédez à la sous-clé suivante, située à HKEY_LOCAL_MACHINE System CurrentControlSet Control Terminal Server WinStations RDP-Tcp PortNumber.
Ouvrez la sous-clé en double-cliquant et changez le type de base de Hexadécimal à Décimal.
Changez simplement cette valeur du port par défaut 3389 au port que vous souhaitez, non utilisé. Par exemple, 3301. Une fois enregistré, vous devez redémarrer votre serveur pour que les modifications prennent effet.
Ce simple changement peut ralentir et empêcher des centaines ou des milliers d’attaques potentielles sur votre serveur. Si l’attaquant ne connaît pas votre port RDP, ou s’il s’agit d’un port inhabituel qu’il n’essaierait normalement pas, il ne peut pas tenter de se connecter à votre serveur et vous pouvez sauver vos systèmes d’attaques par force brute réussies.
Cela nous amène à notre point suivant, la mise à jour des mots de passe du système et des utilisateurs.
Mise à jour des mots de passe, création d’utilisateurs et désactivation des comptes par défaut
Un autre moyen simple de protéger votre serveur contre les attaquants consiste à vous assurer que vous avez mis à jour tous les mots de passe système avec des informations d’identification fortes et non par défaut et que vous désactivez ou modifiez les noms d’utilisateur par défaut.
Désormais, avec Windows Server, il n’y a pas de mots de passe utilisateur par défaut, car vous les définissez lors de la configuration de votre système d’exploitation. Mais si votre serveur ou administrateur de serveur utilise toujours la valeur par défaut Administrateur utilisateur, il est dans votre intérêt de créer un mot de passe fort ou, mieux encore, de créer un nouvel utilisateur et de désactiver l’utilisateur administrateur par défaut.
Tout comme les attaques automatisées contre RDP, les attaquants utiliseront un logiciel par programmation pour deviner les mots de passe des utilisateurs par défaut. L’un des utilisateurs par défaut de Windows Server est le Administrateur utilisateur.
Voyons comment nous pouvons créer un nouvel utilisateur administratif, mettre à jour ce mot de passe en quelque chose de vraiment fort et désactiver le compte administrateur par défaut.
Pour commencer, accédez au menu local de gestion des utilisateurs et des comptes en recherchant sur votre ordinateur lusrmgr.msc.
Sélectionnez le Utilisateurs groupe dans le volet d’actions de gauche et cliquez avec le bouton droit de la souris sur notre volet d’actions principal pour créer un Nouvel utilisateur.
Votre nouveau nom d’utilisateur doit être quelque chose d’unique et d’inattendu pour un utilisateur administratif. Les noms d’utilisateur typiques tels que itadmin, support ou simplement admin seront facilement devinés par les pirates et attaqués par programme pour être des noms d’utilisateurs administratifs courants. Je suggère de mélanger le nom de votre entreprise avec le nom d’utilisateur, ou de fournir des comptes administratifs à des utilisateurs spécifiques qui en ont besoin, afin de fournir un nom unique qui serait difficile à deviner pour un attaquant. De plus, votre mot de passe doit contenir plus de 12 caractères, y compris un mélange de lettres, de chiffres, de symboles et de casse différente.
Une fois que vous avez saisi les informations souhaitées, sélectionnez Créer pour créer le nouvel utilisateur. Maintenant, trouvez votre nouvel utilisateur dans le groupe d’utilisateurs, faites un clic droit et allez à Propriétés.
Accédez au « Membre de« afin que nous puissions ajouter notre nouvel utilisateur au groupe Administrateurs.
Cliquez sur Ajouter en bas du menu. Entrez «Administrateurs» dans «Entrez les noms des objets à sélectionner» et cliquez sur «Vérifier les noms».
Le groupe d’administrateurs complet sera identifié et affiché. Si vous utilisez Active Directory, vous pouvez entrer votre domaine et votre nom d’utilisateur pour le groupe d’administrateurs.
Sélectionner D’accord et nous pouvons voir que notre utilisateur est ajouté au groupe d’utilisateurs Administrateur! Cliquez sur OK pour revenir à la Utilisateurs et groupes locaux directeur.
Maintenant que nous avons créé notre nouvel utilisateur administrateur, avec un mot de passe fort et un nom d’utilisateur difficile à deviner, nous pouvons désactiver complètement notre utilisateur administrateur d’origine.
Pour ce faire, cliquez avec le bouton droit sur l’administrateur, accédez à Propriétés et cochez Le compte est désactivé. Cliquez sur Appliquer!
Toutes nos félicitations! Vous avez maintenant créé un nouvel utilisateur administrateur et désactivé le compte administrateur par défaut. Entre l’utilisateur par défaut désactivé et notre port RDP par défaut modifié, notre serveur est déjà plus sûr que jamais contre les attaques automatisées.
Mais ce n’est encore que le début! Suivez un processus similaire sur tout logiciel ou service tiers utilisé par votre serveur. Vous pouvez mettre à jour les noms d’utilisateur et les mots de passe par défaut pour les serveurs SQL, les panneaux de contrôle et tout autre service accessible sur Internet pour garantir la sécurité de votre serveur Windows.
Création de règles de pare-feu sécurisées et blocage des connexions entrantes
Un élément important de la sécurité des serveurs consiste à créer des règles de pare-feu strictes pour empêcher les mauvaises connexions de se produire en premier lieu.
Dans la plupart des cas, les pare-feu doivent être configurés pour bloquer toutes les connexions entrantes, sauf indication contraire. Cela vous donne le plus de sécurité possible, car vous bloquez tout sauf certains ports et services que vous avez configurés manuellement pour autoriser.
Bien que nous ne puissions pas déterminer exactement quels ports et services sont utilisés sur votre serveur, vous pouvez utiliser cet article fourni pour vous aider à configurer vos paramètres de pare-feu avancés.
Le plus important est de s’assurer que toutes les connexions entrantes sont bloquées à moins qu’une exception ne soit faite avec une nouvelle règle de pare-feu. Il s’agit d’un paramètre par défaut pour Windows Server, mais il vaut la peine de le vérifier sur votre serveur!
Les ports courants qui peuvent être nécessaires pour votre serveur Web incluent les ports TCP 80 (https), 443 (ssl), 1433 (MSSQL), 3306 (MySQL), ad 3389 (RDP).
Toutes les règles créées sur le pare-feu doivent s’appliquer aux adresses IP distantes spécifiées, le cas échéant, au lieu d’être ouvertes à Internet dans son ensemble. Des services tels que SQL peuvent ne pas avoir besoin d’être accédés par Internet en général et ne doivent être accessibles que par un seul serveur ou une seule adresse IP. Il vaut la peine de prendre plus de temps pour être sûr que l’accès à distance pour tout port ou service est limité aux adresses qui ont absolument besoin d’un accès, sinon nous ouvrons notre serveur aux attaques potentielles, aux exploits et aux tentatives de force brute.
N’oubliez pas que vous pouvez toujours verrouiller un port et le rouvrir s’il pose des problèmes ou nécessite un accès à distance supplémentaire. Sécuriser notre serveur de cette manière, en n’ouvrant que les services nécessaires, contribuera grandement à protéger nos données et informations d’identification importantes.
Installation d’une protection antivirus solide et à jour
Un autre excellent moyen de protéger nos serveurs contre les attaquants consiste à mettre en œuvre une protection antivirus et anti-spam solide et sécurisée.
Un logiciel antivirus approprié empêchera les exécutables malveillants de s’exécuter sur votre serveur, au cas où ils seraient téléchargés ou parviendraient à trouver leur chemin vers vos systèmes. Les logiciels antivirus, ou antivirus, devraient être une priorité et cela vaut la peine de dépenser de l’argent supplémentaire pour obtenir un bon service qui vous protégera des dernières menaces.
Les logiciels audiovisuels doivent être mis à jour et régulièrement corrigés, car de nouvelles menaces apparaissent quotidiennement. En outre, l’intégration de la protection anti-spam peut aider à empêcher la réception de fichiers malveillants par un utilisateur de votre organisation. Cela permet d’empêcher les messages potentiellement dangereux d’atteindre les boîtes de réception, ce qui réduit les chances qu’un utilisateur sans méfiance ouvre ou exécute un tel fichier.
L’intégration d’un logiciel de détection et de blocage par force brute peut également arrêter les pirates dans leur élan. Un logiciel de détection par force brute peut détecter les tentatives de connexion infructueuses contre RDP, SQL et d’autres services et bloquer les adresses distantes après un certain nombre de tentatives infructueuses. Souvent, ces applications bloquent une adresse IP pendant une durée déterminée après, disons, 5 mauvaises tentatives de connexion. De cette façon, si un utilisateur malveillant tente d’attaquer votre serveur, il sera rapidement et automatiquement identifié et bloqué.
Si un utilisateur légitime de votre organisation est bloqué, vous pourrez toujours ajouter des adresses IP ou des utilisateurs sélectionnés à la liste blanche pour leur autoriser l’accès.
Sécurisation de votre serveur: notions de base
Bien que ce ne soient que quelques-unes des façons dont nous pouvons et avons besoin pour protéger nos serveurs, ce sont de loin les éléments les plus importants à mettre en œuvre en premier. Ces instructions simples sécuriseront certainement votre serveur d’une manière qui ne serait pas possible si elles n’étaient pas incorporées.
La sécurité est un travail 24/7 365 et les pirates sont toujours prêts et exécutent des attaques. Nous pouvons utiliser un logiciel automatisé et des règles entrantes strictes pour réduire le nombre d’attaques qui arrivent sur le serveur et réduire les chances de réussite d’un compromis.
Entre des informations d’identification RDP solides, des noms d’utilisateur et des mots de passe autres que ceux par défaut, des règles de pare-feu strictes et un logiciel antivirus à jour, vous êtes sur la bonne voie pour protéger les données et services sensibles des attaquants du monde entier.