J’ai ouvert Local Computer Policy (gpedit.msc) du serveur et procédé aux changements/sélections suivants :
1. Choisi 12 comme taille de mot de passe minimale.
2. Activé Password Complexity requirements.
3. Mis le seuil Account Lockout à cinq mauvais mots de passe en une minute – ce
Paramétrage dans Local Computer Policy
qui se traduit par un lockout d’une minute.
4. Activé Success/Failure auditing pour toutes mes catégories d’audit, à l’exception de Directory Service Access et Process Tracking.
5. Supprimé le groupe Everyone du droit utilisateur Access this computer from the network.
6. Sous User Rights Assignment, enlevé Power Users et Backup Operators comme membres du droit utilisateur Access this computer from the network.
7. Changé le comportement de Unsigned Driver de Warn à Don’t Allow.
8. Activé Message Text for Interactive Logon (pour contrer les outils de percement du logon par force brutale). Je n’ai pas sélectionné le paramètre Unauthorized access not allowed.
9. Désactivé Logon caching (ce qui ne devrait pas avoir d’effet sur le serveur).
10. Activé l’option Do not allow the anonymous access of SAM accounts and shares.
11. Activé l’option Do not allow the storage of credentials or Passports for network authentication.
12. Activé l’option Do not store Lan Man hash value on next password.
13. Changé LM Authentication Level en NTLMv2 – refuse LM et NTLM.
14. Activé l’option Clear virtual memory page file.
15. Supprimé Posix comme sous-système Windows optionnel.
16. Activé l’option Do not allow Windows Messenger to be run.
17. Activé l’option Do not allow Windows DRM to be run.
18. Activé l’option Do not allow Windows Movie Maker to be run.
19. Désactivé Automatic Updates.
20. Mis sur off Slow Link Detection for GPOs.
21.Activé WFP Scanning during startup.
22. Restreint l’utilisation de CD-ROM et de disquette aux seuls utilisateurs connectés locaux.
23. Refusé le droit Log On Locally aux utilisateurs anonymes IIS.
24. Activé l’option Interactive Logon : Do not display user info.
25. Enlevé DFS$ et COMCFG des file shares qui permettent la connexion (logon) anonyme.
26. Désactivé Active Desktop.
J’ai également désactivé File and Printer Sharing dans la boîte à lettres Network Configuration et renforcé la pile TCP avec les éditions de registres recommandées.
Après quoi, j’ai réinitialisé le serveur pour m’assurer que tous les changements étaient pris en compte et que le serveur réagissait normalement. Le moment était maintenant venu d’installer le logiciel du serveur Web.
Téléchargez cette ressource
Mac en entreprise : le levier d’un poste de travail moderne
Ce livre blanc répond aux 9 questions clés des entreprises sur l’intégration du Mac : sécurité, compatibilité, gestion, productivité, coûts, attractivité talents, RSE et IA, et l’accompagnement sur mesure proposé par inmac wstore.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- CRM et souveraineté : le choix technologique est devenu un choix politique
- France : la maturité data devient le moteur du retour sur investissement de l’IA
- Cloud et IA : une maturité en retard face à l’explosion des usages
- On ne peut pas gouverner ce qu’on ne peut pas voir : pourquoi la visibilité doit-elle passer avant la gouvernance en matière de sécurité des identités ?
Articles les + lus
Les coûts cachés des merge requests générées par l’IA
Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
Moderniser le développement logiciel : de la fragmentation à l’intégration
Analyse Patch Tuesday Mars 2026
Une nouvelle ère de la modernisation du mainframe
À la une de la chaîne Tech
- Les coûts cachés des merge requests générées par l’IA
- Femmes et métiers de la tech : une attractivité réelle freinée par des stéréotypes persistants
- Moderniser le développement logiciel : de la fragmentation à l’intégration
- Analyse Patch Tuesday Mars 2026
- Une nouvelle ère de la modernisation du mainframe
