Protection 🔒 Sécuriser les serveurs internes contre les mauvaises configurations

[Sylvain*]

Sécuriser les serveurs internes contre les mauvaises configurations

Introduction

Des serveurs internes mal configurés peuvent exposer des interfaces d’administration, des fichiers sensibles ou des ports non sécurisés. Ce guide vous aide à sécuriser les services mal paramétrés sur Windows Server et les hôtes Windows 11 utilisés en réseau local.

---

Prérequis

• Connaissances avancées de Windows

• Connaissance des rôles serveur Windows

• Droits administrateur requis

---

Procédure

• Étape #1 : Identifier les ports ouverts sur le serveur

• Étape #2 : Restreindre les interfaces d’administration au réseau interne

• Étape #3 : Désactiver les services inutilisés

• Étape #4 : Appliquer les bonnes permissions sur les fichiers partagés

• Étape #5 : Surveiller les connexions non autorisées

---

Niveau de difficulté

• Étape #1 : Facile

• Étape #2 : Moyen

• Étape #3 : Facile

• Étape #4 : Moyen

• Étape #5 : Difficile

---

Les Avantages

• Étape #1 : Détecte rapidement les surfaces d’attaque

• Étape #2 : Protège les interfaces critiques

• Étape #3 : Réduit la charge et la surface exposée

• Étape #4 : Évite les fuites de fichiers internes

• Étape #5 : Permet une détection en temps réel

---

Les Inconvénients

• Étape #1 : Peut nécessiter des outils tiers

• Étape #2 : Nécessite une configuration réseau précise

• Étape #3 : Risque de désactivation accidentelle

• Étape #4 : Exige une gestion ACL rigoureuse

• Étape #5 : Complexité de la corrélation d’événements

---

Étape #1 Scanner les ports ouverts

Lister tous les ports ouverts localement sur le serveur

Identifier ceux non nécessaires à la production

netstat -anob

---

Étape #2 Limiter l’accès aux interfaces d’administration

Restreindre l’accès à distance aux consoles RDP, SMB, WinRM

Appliquer une règle de pare-feu locale

New-NetFirewallRule -DisplayName "Admin Access Internal Only" -Direction Inbound -RemoteAddress 10.0.0.0/8 -Action Allow -Protocol TCP -LocalPort 3389,445,5985

---

Étape #3 Désactiver les services inutiles

Réduire la surface d’attaque en stoppant les services non utilisés

Désactiver de façon persistante

Get-Service -Name fax | Stop-Service -Force

Set-Service -Name "Fax" -StartupType Disabled

---

Étape #4 Sécuriser les fichiers partagés

Vérifier les partages visibles sur le réseau

Modifier les permissions NTFS et de partage

net share

icacls "D:\Partage" /inheritance:r /grant:r "Administrators:(OI)(CI)F" "UserGroup:(OI)(CI)RX"

---

Étape #5 Surveiller les connexions anormales

Activer la journalisation de sécurité avancée

Analyser les événements 4624, 4625 et 4672

eventvwr.msc

---

Astuce

Attribuez des plages IP fixes aux administrateurs pour tracer plus facilement leurs connexions

Exemple : DHCP Reservation pour les postes IT en 10.0.0.10 - 10.0.0.50

---

Mise en garde

Une désactivation mal planifiée de service ou de port peut bloquer des fonctions critiques de production

Effectuer des tests d’impact via maquette ou environnement de test

---

Conseil

Documentez chaque port ouvert, chaque service actif, et les IP autorisées dans une cartographie de sécurité réseau

Utiliser un fichier Excel ou JSON versionné en Git privé

---

Solutions alternatives

• server hardening checklist windows

• windows firewall restrict admin access

• windows event id security monitoring

---

Liens utiles

• Support Microsoft

• Microsoft Learn

• GitHub Recherche

---

Conclusion
Les mauvaises configurations de serveurs internes constituent un vecteur d’intrusion majeur. Un audit régulier, une restriction des services, et une surveillance ciblée permettent de renforcer significativement la posture de sécurité dans tout environnement Windows.