search
Portfolio

file-linesSécurisation et Hardening

hashtag
🖥️ Mise en Place du Serveur

hashtag
⚙️ Configuration de la VM

Nom d'hôte

SrvSharePt

Domaine

Secu6.loc

RAM

1 GB

Processeurs

2

OS

Windows Server 2022 Standard

Adresse IP

192.168.6.14/24

hashtag
⚙️ Installation de VMware Tools

  • Aller dans l'onglet VM > Install VMware Tools...

  • Ouvrir PowerShell (sconfig > Option 15)

  • Exécuter les commandes suivantes :

    cd D:
.\setup64.exe

  • Procéder à une installation par défaut.

circle-info

Vérification de l'installation :

hashtag
🔐 Configuration d’une GPO de Hardening

1

Créer une OU Server Hardening dans Active Directory.

2

Créer une GPO Secure-SRV et la lier à l'OU Server Hardening en utilisant RSAT.

  • Sur la machine cliente avec RSAT installé, ouvrir MMC.exe.

  • Aller dans File > Add/Remove Snap-in.

  • Ajouter Group Policy Management et valider.

  • Naviguer vers Forest > Secu6.loc > Group Policy Objects.

  • Faire un clic droit sur Group Policy Objects, puis New sous Computer Configuration pour appliquer les paramètres à l'ensemble du système.

  • Nommer la GPO Secure-SRV et cliquer sur OK.

  • Revenir dans Group Policy Management, localiser l'OU Server Hardening, faire un clic droit > Link an Existing GPO.

  • Sélectionner Secure-SRV, puis OK.

3

Ajouter la machine Windows Core (SrvSharePt) dans l’OU.

4

Création du Magasin Central pour les Modèles d’Administration de GPO.

Un Magasin Central permet de stocker et gérer les modèles GPO de manière centralisée pour tout le domaine.

📂 Étapes pour créer le magasin central :

  • Ouvrir l’Explorateur de fichiers et aller dans :

  • Créer un dossier "PolicyDefinitions" (s'il n'existe pas déjà).

  • Copier les fichiers ADMX et ADML depuis le package STIG :

    • Naviguer vers :

    • Copier AdmPwd.admx, MSS-legacy.admx, SecGuide.admx et en-US dans :

5

Appliquer une stratégie STIG pertinente.

chevron-rightSecurity Settings - Configurer une limite d'inactivité pour protéger les sessions interactiveshashtag

  • Objectif : Empêcher une session inactive de rester ouverte indéfiniment, ce qui peut être exploité par un attaquant ayant un accès physique.

  • Configuration :

    • Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options

    • Paramètre : "Machine inactivity limit"

    • Valeur : 900 seconds (15 minutes)

chevron-rightNetwork Access Controls - Désactiver l'énumération anonyme des comptes et partageshashtag

  • Objectif : Empêcher un utilisateur anonyme de récupérer la liste des comptes et des partages réseau, réduisant ainsi la surface d'attaque.

  • Configuration :

    • Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options

    • Paramètre : "Do not allow anonymous enumeration of SAM accounts and shares"

    • Valeur : Enabled

chevron-rightUser Account Policies - Désactiver le stockage des mots de passe avec un chiffrement réversiblehashtag

  • Objectif : Empêcher le stockage des mots de passe sous une forme réversible, ce qui pourrait permettre à un attaquant d'obtenir des mots de passe en clair si la base de données des identifiants est compromise. Ce paramètre est recommandé pour éviter tout risque d’exfiltration de mots de passe.

  • Configuration :

    • Chemin : Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Password Policy

    • Paramètre : Store passwords using reversible encryption

    • Valeur : Disabled

6

Appliquer la GPO à l’OU.

7

Vérifier l’application de la GPO.

  • Via gpresult :

  • Via RSOP.msc (sur une machine avec GUI).

PreviousVérification du Fonctionnement - Service OCSPNextVérification du Fonctionnement - Sécurisation et Hardening

Last updated