J’ai ouvert Local Computer Policy (gpedit.msc) du serveur et procédé aux changements/sélections suivants :
1. Choisi 12 comme taille de mot de passe minimale.
2. Activé Password Complexity requirements.
3. Mis le seuil Account Lockout à cinq mauvais mots de passe en une minute – ce
Paramétrage dans Local Computer Policy
qui se traduit par un lockout d’une minute.
4. Activé Success/Failure auditing pour toutes mes catégories d’audit, à l’exception de Directory Service Access et Process Tracking.
5. Supprimé le groupe Everyone du droit utilisateur Access this computer from the network.
6. Sous User Rights Assignment, enlevé Power Users et Backup Operators comme membres du droit utilisateur Access this computer from the network.
7. Changé le comportement de Unsigned Driver de Warn à Don’t Allow.
8. Activé Message Text for Interactive Logon (pour contrer les outils de percement du logon par force brutale). Je n’ai pas sélectionné le paramètre Unauthorized access not allowed.
9. Désactivé Logon caching (ce qui ne devrait pas avoir d’effet sur le serveur).
10. Activé l’option Do not allow the anonymous access of SAM accounts and shares.
11. Activé l’option Do not allow the storage of credentials or Passports for network authentication.
12. Activé l’option Do not store Lan Man hash value on next password.
13. Changé LM Authentication Level en NTLMv2 – refuse LM et NTLM.
14. Activé l’option Clear virtual memory page file.
15. Supprimé Posix comme sous-système Windows optionnel.
16. Activé l’option Do not allow Windows Messenger to be run.
17. Activé l’option Do not allow Windows DRM to be run.
18. Activé l’option Do not allow Windows Movie Maker to be run.
19. Désactivé Automatic Updates.
20. Mis sur off Slow Link Detection for GPOs.
21.Activé WFP Scanning during startup.
22. Restreint l’utilisation de CD-ROM et de disquette aux seuls utilisateurs connectés locaux.
23. Refusé le droit Log On Locally aux utilisateurs anonymes IIS.
24. Activé l’option Interactive Logon : Do not display user info.
25. Enlevé DFS$ et COMCFG des file shares qui permettent la connexion (logon) anonyme.
26. Désactivé Active Desktop.
J’ai également désactivé File and Printer Sharing dans la boîte à lettres Network Configuration et renforcé la pile TCP avec les éditions de registres recommandées.
Après quoi, j’ai réinitialisé le serveur pour m’assurer que tous les changements étaient pris en compte et que le serveur réagissait normalement. Le moment était maintenant venu d’installer le logiciel du serveur Web.
Téléchargez cette ressource
Guide de Threat Intelligence contextuelle
Ce guide facilitera l’adoption d’une Threat Intelligence - renseignement sur les cybermenaces, cyberintelligence - adaptée au "contexte", il fournit des indicateurs de performance clés (KPI) pour progresser d' une posture défensive vers une approche centrée sur l’anticipation stratégique
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Temps d’arrêt IT : un coût de 600 milliards de dollars pour les entreprises du Global 2000
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
- L’anxiété liée à l’IA, un risque sous-estimé pour la sécurité
- IA générative en Europe : une adoption massive, mais une gouvernance toujours en retard
Articles les + lus
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
Rhea1 : SiPearl allume le CPU européen le plus ambitieux pour le HPC et l’IA souveraine
Analyse Patch Tuesday Mai 2026
À la une de la chaîne Tech
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
- Rhea1 : SiPearl allume le CPU européen le plus ambitieux pour le HPC et l’IA souveraine
- Analyse Patch Tuesday Mai 2026
