J’ai ouvert Local Computer Policy (gpedit.msc) du serveur et procédé aux changements/sélections suivants :
1. Choisi 12 comme taille de mot de passe minimale.
2. Activé Password Complexity requirements.
3. Mis le seuil Account Lockout à cinq mauvais mots de passe en une minute – ce
Paramétrage dans Local Computer Policy
qui se traduit par un lockout d’une minute.
4. Activé Success/Failure auditing pour toutes mes catégories d’audit, à l’exception de Directory Service Access et Process Tracking.
5. Supprimé le groupe Everyone du droit utilisateur Access this computer from the network.
6. Sous User Rights Assignment, enlevé Power Users et Backup Operators comme membres du droit utilisateur Access this computer from the network.
7. Changé le comportement de Unsigned Driver de Warn à Don’t Allow.
8. Activé Message Text for Interactive Logon (pour contrer les outils de percement du logon par force brutale). Je n’ai pas sélectionné le paramètre Unauthorized access not allowed.
9. Désactivé Logon caching (ce qui ne devrait pas avoir d’effet sur le serveur).
10. Activé l’option Do not allow the anonymous access of SAM accounts and shares.
11. Activé l’option Do not allow the storage of credentials or Passports for network authentication.
12. Activé l’option Do not store Lan Man hash value on next password.
13. Changé LM Authentication Level en NTLMv2 – refuse LM et NTLM.
14. Activé l’option Clear virtual memory page file.
15. Supprimé Posix comme sous-système Windows optionnel.
16. Activé l’option Do not allow Windows Messenger to be run.
17. Activé l’option Do not allow Windows DRM to be run.
18. Activé l’option Do not allow Windows Movie Maker to be run.
19. Désactivé Automatic Updates.
20. Mis sur off Slow Link Detection for GPOs.
21.Activé WFP Scanning during startup.
22. Restreint l’utilisation de CD-ROM et de disquette aux seuls utilisateurs connectés locaux.
23. Refusé le droit Log On Locally aux utilisateurs anonymes IIS.
24. Activé l’option Interactive Logon : Do not display user info.
25. Enlevé DFS$ et COMCFG des file shares qui permettent la connexion (logon) anonyme.
26. Désactivé Active Desktop.
J’ai également désactivé File and Printer Sharing dans la boîte à lettres Network Configuration et renforcé la pile TCP avec les éditions de registres recommandées.
Après quoi, j’ai réinitialisé le serveur pour m’assurer que tous les changements étaient pris en compte et que le serveur réagissait normalement. Le moment était maintenant venu d’installer le logiciel du serveur Web.
Téléchargez cette ressource
Guide de Sécurité IA et IoT
Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
