Windows Server 2022 est la dernière version du système d’exploitation serveur de Microsoft, apportant des améliorations significatives en matière de sécurité, notamment le support natif de TLS 1.3 et les capacités Secured-core. Ce guide détaille les étapes essentielles pour configurer un nouveau serveur Windows Server 2022 et appliquer les meilleures pratiques de renforcement de la sécurité dès le déploiement initial.
Configuration Réseau et Nom du Serveur
Après l’installation, la première étape consiste à configurer les paramètres réseau de base. Utilisez PowerShell pour définir une adresse IP statique :
New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress 192.168.1.10 -PrefixLength 24 -DefaultGateway 192.168.1.1
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 192.168.1.1,8.8.8.8
Rename-Computer -NewName "SRV-PROD-01" -RestartAprès le redémarrage, vérifiez la configuration avec Get-NetIPConfiguration et Test-NetConnection pour confirmer la connectivité réseau.
Windows Update et Windows Defender
Installez immédiatement toutes les mises à jour disponibles. Utilisez PowerShell pour automatiser le processus :
Install-Module -Name PSWindowsUpdate -Force
Get-WindowsUpdate -Install -AcceptAll -AutoRebootVérifiez que Windows Defender est actif et à jour :
Get-MpComputerStatus | Select-Object AntivirusEnabled, RealTimeProtectionEnabled, AntivirusSignatureLastUpdated
Set-MpPreference -DisableRealtimeMonitoring $false
Update-MpSignatureConfigurez des analyses planifiées hebdomadaires :
Set-MpPreference -ScanScheduleDay 1 -ScanScheduleTime 02:00:00 -ScanParameters FullScanPare-feu et Règles de Sécurité
Auditez les règles de pare-feu existantes et restreignez l’accès aux seuls services nécessaires :
Get-NetFirewallRule -Enabled True | Select-Object DisplayName, Direction, Action | Sort-Object DirectionBloquez tout le trafic entrant par défaut et autorisez uniquement les ports requis :
Set-NetFirewallProfile -Profile Domain,Private,Public -DefaultInboundAction Block -DefaultOutboundAction Allow
New-NetFirewallRule -DisplayName "Allow RDP" -Direction Inbound -Protocol TCP -LocalPort 3389 -Action Allow -RemoteAddress 192.168.1.0/24
New-NetFirewallRule -DisplayName "Allow WinRM HTTPS" -Direction Inbound -Protocol TCP -LocalPort 5986 -Action AllowLimitez l’accès RDP à un sous-réseau spécifique pour réduire la surface d’attaque.
Renforcement TLS et Politiques d’Audit
Désactivez les protocoles TLS obsolètes et activez TLS 1.3 :
# Disable TLS 1.0
New-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" -Force
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" -Name "Enabled" -Value 0 -Type DWord
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" -Name "DisabledByDefault" -Value 1 -Type DWord
# Disable TLS 1.1
New-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" -Force
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" -Name "Enabled" -Value 0 -Type DWord
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" -Name "DisabledByDefault" -Value 1 -Type DWordConfigurez les politiques d’audit avancées pour surveiller les activités suspectes :
auditpol /set /subcategory:"Logon" /success:enable /failure:enable
auditpol /set /subcategory:"Account Lockout" /success:enable /failure:enable
auditpol /set /subcategory:"Security Group Management" /success:enable
auditpol /set /subcategory:"Audit Policy Change" /success:enable /failure:enableRésumé
Ce guide a couvert la configuration initiale et le renforcement de la sécurité de Windows Server 2022, incluant la configuration réseau, Windows Update, Defender, les règles de pare-feu, la désactivation des protocoles TLS obsolètes et la mise en place des politiques d’audit. Appliquez ces mesures dès le déploiement pour établir une base de sécurité solide.