Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles
Guide expert durcissement Windows Server 2025 : 65 contrôles détaillés, 60 scripts PowerShell, GPO sécurité CIS/ANSSI, hardening AD, Sysmon, backup,.
Ce que vous allez apprendre
Pourquoi durcir Windows Server 2025 est devenu indispensable
La surface d'attaque par défaut d'un Windows Server
Un serveur Windows Server 2025 fraîchement installé avec l'expérience Desktop présente une surface d'attaque considérable. Par défaut, plus de 180 services Windows sont activés, dont beaucoup ne sont pas nécessaires au rôle assigné au serveur. Le pare‑feu Windows autorise des flux entrants sur des protocoles historiquement vulnérables comme SMBv1, NetBIOS et LLMNR. Le compte Administrator local possède un mot de passe qui ne change jamais automatiquement, les politiques d'audit ne capturent qu'une fraction des événements de sécurité pertinents, et les protocoles d'authentification acceptent encore des algorithmes obsolètes comme NTLMv1 et RC4 pour Kerberos.
Selon le CIS Benchmark for Windows Server 2025 v3.0, un serveur non durci échoue à 73 % des contrôles de sécurité de niveau 1. Le rapport CIS Controls v8.1 identifie que 94 % des organisations qui subissent une compromission Active Directory ont au moins un contrôleur de domaine dont le durcissement est insuffisant. La base nationale de vulnérabilités (NVD) recense plus de 2 300 CVE affectant Windows Server entre 2020 et 2025, dont 412 classées critiques (CVSS 9.0+).
Statistiques de compromission et vecteurs d'attaque
Les données de terrain collectées par les équipes de réponse à incidents confirment l'urgence du durcissement. Le rapport Sophos Active Adversary 2025 révèle que le temps médian entre la compromission initiale et le déploiement d'un ransomware est passé de 5 jours en 2023 à 24 heures en 2025. Les vecteurs d'attaque les plus exploités sur Windows Server sont, par ordre de fréquence : l'exploitation de services exposés (RDP en tête avec 32 % des intrusions initiales), le mouvement latéral via PsExec/WMI (67 % des cas), l'élévation de privilèges par abus de SeImpersonatePrivilege (41 %
Ayi NEDJIMI Consultants 4 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
des serveurs IIS compromis), et l'extraction de credentials via LSASS dumping (89 % des attaques post‑ compromission).
Le coût moyen d'une compromission de serveur Windows est estimé à 4,2 millions d'euros selon le rapport IBM Cost of a Data Breach 2025, incluant les coûts directs de remédiation, la perte d'exploitation et l'atteinte réputationnelle. Face à ces chiffres, le durcissement n'est plus une option mais une obligation réglementaire et opérationnelle.
Les référentiels de durcissement : CIS, Microsoft et ANSSI
Trois référentiels majeurs encadrent le durcissement de Windows Server 2025. Le CIS Benchmark propose deux niveaux de durcissement (L1 et L2) avec respectivement 287 et 412 contrôles. Les Microsoft Security Baselines, distribuées via le Security Compliance Toolkit (SCT), fournissent des GPO pré‑configurées alignées sur les recommandations internes de Microsoft. L'ANSSI publie des guides de durcissement spécifiques au contexte français, intégrant les exigences de la LPM (Loi de Programmation Militaire) et du référentiel PSSIE. Ce guide synthétise et approfondit les trois référentiels pour fournir une couverture maximale.
Points essentiels :
• Un Windows Server 2025 non durci échoue à 73 % des contrôles CIS de niveau 1 • Le temps médian entre intrusion et ransomware est passé à 24 heures en 2025 • RDP représente 32 % des vecteurs d'intrusion initiale sur Windows Server • Trois référentiels font autorité : CIS Benchmark, Microsoft Security Baselines, ANSSI • Le coût moyen d'une compromission de serveur Windows atteint 4,2 M€
Installation sécurisée de Windows Server 2025
Server Core vs Desktop Experience : le choix stratégique
La première décision de sécurité intervient avant même le premier clic d'installation. Windows Server 2025 propose deux modes d'installation : Server Core et Desktop Experience. Du point de vue du durcissement, Server Core est systématiquement recommandé par les trois référentiels (CIS, Microsoft, ANSSI). La raison est quantifiable : Server Core réduit la surface d'attaque de 60 % par rapport à Desktop Experience. Il supprime l'explorateur Windows, Internet Explorer/Edge, les composants graphiques et des dizaines de DLL potentiellement exploitables. Le binaire est 4,7 Go plus léger, ce qui signifie autant de code en moins susceptible de contenir des vulnérabilités.
Server Core nécessite une administration exclusivement en ligne de commande (PowerShell, sconfig) ou via des outils distants (Windows Admin Center, RSAT, Server Manager distant). Cette contrainte est en réalité un avantage sécuritaire : elle force l'adoption de pratiques d'administration moderne et élimine le risque qu'un administrateur navigue sur Internet depuis un serveur de production.
# Vérifier le mode d'installation actuel Get-ItemProperty -Path "HKLM:\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion" | Select-Object ↪ InstallationType
Ayi NEDJIMI Consultants 5 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
# Convertir Desktop Experience vers Server Core (Windows Server 2025)
Uninstall-WindowsFeature Server-Gui-Mgmt-Infra, Server-Gui-Shell -Restart
# ... (extrait — voir documentation officielle)
Partitionnement sécurisé du disque
Le partitionnement doit séparer les données du système d'exploitation, des applications et des logs. Cette séparation limite l'impact d'une attaque par déni de service (remplissage disque) et facilite la sauvegarde granulaire. La configuration recommandée pour un contrôleur de domaine est la suivante :
# Partitionnement recommandé (exemple diskpart script) # C: Système (80 Go minimum) — OS + Windows # D: Applications (100 Go+) — NTDS.dit, SYSVOL si DC # E: Logs (50 Go+) — Event Logs, logs applicatifs # F: Temp/Pagefile (20 Go+) — fichier d'échange # ... (extrait — voir documentation officielle)
Suppression des rôles et fonctionnalités inutiles
Le principe du moindre privilège fonctionnel s'applique dès l'installation. Chaque rôle ou fonctionnalité installé augmente la surface d'attaque. Un serveur dédié au rôle de contrôleur de domaine n'a aucun besoin du serveur web IIS, du service d'impression ou du serveur de fichiers. La suppression doit être méthodique et documentée.
# Lister toutes les fonctionnalités installées Get-WindowsFeature | Where-Object {$_.Installed} | Format-Table Name, DisplayName, FeatureType
# Supprimer les fonctionnalités inutiles sur un DC $inutiles = @( # ... (extrait — voir documentation officielle)
Configuration de Windows Update et WSUS
La configuration du mécanisme de mise à jour doit être réalisée dès l'installation. En environnement d'entreprise, les serveurs ne doivent jamais télécharger les mises à jour directement depuis Microsoft Update mais uniquement via un serveur WSUS (Windows Server Update Services) ou SCCM/Intune. Cette centralisation permet le test préalable des correctifs et garantit la traçabilité.
# Configurer WSUS via le registre $WUPath = "HKLM:\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate" $AUPath = "HKLM:\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU"
New-Item -Path $WUPath -Force | Out-Null # ... (extrait — voir documentation officielle)
Installation sécurisée :
Ayi NEDJIMI Consultants 6 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
• Toujours privilégier Server Core : 60 % de surface d'attaque en moins • Séparer les partitions : système, applications, logs, pagefile • Supprimer SMBv1 et toute fonctionnalité non requise par le rôle du serveur • Configurer WSUS dès l'installation — jamais de mise à jour directe depuis Internet
Sécurisation du BIOS/UEFI et du boot
Le durcissement d'un Windows Server 2025 commence en réalité avant le système d'exploitation, au niveau du firmware UEFI. Un attaquant disposant d'un accès physique au serveur (ou d'un accès distant à l'interface IPMI/iDRAC/iLO) peut modifier les paramètres UEFI pour désactiver Secure Boot, booter sur un support externe et extraire les données du disque, y compris NTDS.dit sur un contrôleur de domaine. Les mesures de durcissement UEFI doivent être appliquées systématiquement lors du déploiement initial.
# Vérifier que Secure Boot est activé
Confirm-SecureBootUEFI
# Retourne True si Secure Boot est actif
# Vérifier le mode de boot (UEFI vs Legacy BIOS) # ... (extrait — voir documentation officielle)
Au niveau du BIOS/UEFI, les paramètres suivants doivent être configurés manuellement (ou via les outils de gestion du constructeur comme Dell RACADM, HP iLO CLI ou Lenovo OneCLI) : activer Secure Boot en mode personnalisé avec les clés Microsoft et les clés propres à l'organisation, définir un mot de passe UEFI d'au moins 16 caractères stocké dans un coffre‑fort numérique, désactiver le boot sur périphérique USB et sur le réseau (PXE) sauf nécessité de déploiement, activer le TPM 2.0 et le configurer en mode discret, activer Intel TXT (Trusted Execution Technology) ou AMD SEV (Secure Encrypted Virtualization) si disponible, et configurer le boot order pour n'autoriser que le disque système interne.
Configuration initiale post‑installation
Immédiatement après l'installation de Windows Server 2025, un ensemble de configurations initiales doit être appliqué avant toute mise en réseau du serveur. Cette phase de golden image hardening est critique car elle définit la baseline de sécurité avant que le serveur ne soit exposé à un quelconque trafic réseau. L'idéal est de réaliser ces opérations sur un réseau isolé (VLAN de staging) ou en mode déconnecté.
# Script de configuration initiale post-installation # À exécuter AVANT la jonction au domaine
# 1. Configurer le nom du serveur selon la convention de nommage Rename-Computer -NewName "SRV-APP01-P" -Force # P=Production, D=Dev, T=Test # ... (extrait — voir documentation officielle)
La configuration du pare‑feu Windows Defender doit être réalisée à ce stade, avant toute connectivité réseau. Le profil par défaut doit bloquer toutes les connexions entrantes, n'autorisant que les flux strictement nécessaires à l'administration initiale (RDP depuis une IP spécifique, ou WinRM en HTTPS). Cette approche deny‑by‑default garantit que le serveur n'est jamais exposé avec un pare‑feu ouvert, même temporairement.
Ayi NEDJIMI Consultants 7 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
Hardening de Windows Defender et de la protection antimalware
Windows Server 2025 intègre Microsoft Defender Antivirus de manière native, avec des capacités significativement améliorées par rapport aux versions précédentes. Dans les environnements où une solution EDR (Endpoint Detection and Response) tierce est déployée (CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint), Windows Defender peut être configuré en mode passif. Cependant, dans tous les cas, les fonctionnalités de protection contre les exploits et la réduction de la surface d'attaque doivent être activées.
# Configurer Windows Defender — paramètres de durcissement avancés # Activer la protection en temps réel Set-MpPreference -DisableRealtimeMonitoring $false
# Activer la protection délivrée par le cloud (Cloud-Delivered Protection) # ... (extrait — voir documentation officielle)
Les règles ASR (Attack Surface Reduction) sont particulièrement importantes car elles bloquent des techniques d'attaque courantes au niveau du système d'exploitation, indépendamment de la détection par signature. La règle de protection LSASS (GUID 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2) est un complément essentiel à Credential Guard et RunAsPPL, ajoutant une couche de défense supplémentaire contre les outils de type Mimikatz.
Gestion des comptes et des identités
Sécurisation du compte Administrator local
Le compte Administrator local (RID 500) est la cible prioritaire de toute attaque post‑exploitation. Par défaut, ce compte ne se verrouille jamais après des tentatives d'authentification échouées, son SID est prévisible et son mot de passe est souvent identique sur tous les serveurs d'un parc. Le durcissement de ce compte est la première étape de la gestion des identités.
# Renommer le compte Administrator Rename-LocalUser -Name "Administrator" -NewName "svc_admin_$(Get-Random -Minimum 1000 -Maximum 9999)"
# Désactiver le compte Administrator si un autre compte admin existe # ATTENTION : ne jamais désactiver sur un DC (compte AD Administrator) # ... (extrait — voir documentation officielle)
LAPS : gestion automatisée des mots de passe locaux
Windows LAPS (Local Administrator Password Solution) est natif dans Windows Server 2025. Il résout le problème fondamental des mots de passe administrateur local identiques sur tout le parc. LAPS génère automatiquement un mot de passe unique et aléatoire pour le compte administrateur local de chaque serveur, le stocke chiffré dans Active Directory et assure sa rotation régulière. Pour approfondir le déploiement de LAPS, consultez notre guide complet LAPS.
Ayi NEDJIMI Consultants 8 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
# Vérifier que LAPS est disponible (natif Windows Server 2025) Get-Command Get-LapsAADPassword, Get-LapsDiagnostics -ErrorAction SilentlyContinue
# Activer LAPS via GPO (PowerShell) # Prérequis : schéma AD étendu pour LAPS # ... (extrait — voir documentation officielle)
Fine‑Grained Password Policies (FGPP)
Les stratégies de mot de passe à granularité fine permettent d'appliquer des politiques de mot de passe différentes selon les groupes d'utilisateurs, contrairement à la politique de domaine par défaut qui s'applique uniformément. Pour les comptes privilégiés administrant des Windows Server, les exigences doivent être significativement plus strictes.
# Créer une FGPP pour les comptes administrateurs New-ADFineGrainedPasswordPolicy -Name "PSO_Admins_Tier0" ` -Precedence 10 ` -MinPasswordLength 20 ` -MaxPasswordAge "30.00:00:00" ` # ... (extrait — voir documentation officielle)
Group Managed Service Accounts (gMSA)
Les gMSA (Group Managed Service Accounts) représentent la solution idéale pour les comptes de service Windows Server 2025. Contrairement aux comptes de service classiques dont le mot de passe est souvent connu de multiples administrateurs et rarement changé, les gMSA ont un mot de passe de 240 caractères géré automatiquement par Active Directory et changé tous les 30 jours. Aucun humain ne connaît ni ne manipule ce mot de passe.
# Prérequis : créer la clé racine KDS (une seule fois par forêt) # En production, retirer le paramètre -EffectiveImmediately et attendre 10h
Add-KdsRootKey -EffectiveImmediately
# Créer un gMSA pour le service SQL Server # ... (extrait — voir documentation officielle)
Le groupe Protected Users
Le groupe Protected Users est un groupe de sécurité introduit dans Windows Server 2012 R2 et renforcé dans Windows Server 2025. Les membres de ce groupe bénéficient de protections supplémentaires contre le vol de credentials : pas de mise en cache des credentials en clair, pas d'authentification NTLM (Kerberos uniquement), pas de délégation Kerberos, durée de TGT réduite à 4 heures, et pas de chiffrement DES ou RC4. Ces protections sont appliquées au niveau du contrôleur de domaine et ne nécessitent aucune configuration sur le poste client, ce qui rend le déploiement simple et immédiat. Il est important de comprendre que les protections du groupe Protected Users sont non configurables : il n'est pas possible de modifier la durée du TGT à autre chose que 4 heures ou d'autoriser NTLM pour un membre spécifique.
Ayi NEDJIMI Consultants 9 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
C'est une approche tout ou rien qui convient parfaitement aux comptes administrateurs mais qui peut poser problème pour les comptes ayant besoin de délégation Kerberos ou d'authentification NTLM dans certains scénarios legacy.
L'impact opérationnel du groupe Protected Users doit être évalué avant le déploiement. La durée de TGT de 4 heures signifie que les administrateurs devront se ré‑authentifier plus fréquemment lors de sessions longues. L'interdiction de la mise en cache des credentials signifie qu'un administrateur ne pourra pas se connecter à un serveur si le DC est inaccessible (réseau hors service, DC en maintenance). L'impossibilité d'utiliser NTLM bloque l'accès aux ressources identifiées par adresse IP plutôt que par nom. Malgré ces contraintes, l'ajout de tous les comptes Tier 0 et Tier 1 dans Protected Users est considéré comme une mesure de sécurité fondamentale par les trois référentiels.
# Ajouter les comptes administrateurs au groupe Protected Users $admins = @("admin.tier0", "admin.tier1", "admin.backup") foreach ($admin in $admins) { Add-ADGroupMember -Identity "Protected Users" -Members $admin Write-Host "Ajouté $admin au groupe Protected Users" -ForegroundColor Green # ... (extrait — voir documentation officielle)
Sécurisation des comptes de service
Les comptes de service sont des cibles de choix pour les attaquants car ils possèdent souvent des privilèges élevés et des mots de passe qui ne changent jamais. L'attaque Kerberoasting exploite précisément les comptes de service avec SPN pour extraire et craquer leurs mots de passe hors ligne.
# Auditer tous les comptes de service avec SPN Get-ADUser -Filter {ServicePrincipalName -like "*"} -Properties ServicePrincipalName, ↪ PasswordLastSet, Enabled | Select-Object Name, SamAccountName, @{N='SPN';E={$_.ServicePrincipalName -join "; "}}, PasswordLastSet, Enabled | # ... (extrait — voir documentation officielle)
Gestion des identités — les fondamentaux :
• Déployer LAPS sur 100 % du parc serveur — mots de passe uniques et en rotation • Migrer tous les comptes de service vers gMSA — mot de passe de 240 caractères géré par AD • Placer les comptes administrateurs dans le groupe Protected Users • Appliquer des FGPP avec 20+ caractères pour les comptes Tier 0 • Forcer AES256 sur tous les comptes de service pour contrer Kerberoasting
Hardening Active Directory sur les contrôleurs de domaine
AdminSDHolder et protection des objets privilégiés
Le mécanisme AdminSDHolder protège les membres des groupes privilégiés AD (Domain Admins, Enterprise Admins, Schema Admins, Administrators, etc.) en réinitialisant leurs ACL toutes les 60 minutes
Ayi NEDJIMI Consultants 10 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
via le processus SDProp. Un attaquant qui modifie les permissions d'un compte privilégié verra ses changements annulés dans l'heure. Cependant, AdminSDHolder lui‑même peut être abusé si un attaquant modifie l'objet AdminSDHolder directement. Pour une analyse approfondie des attaques ACL, consultez notre article sur l'ACL Abuse Active Directory.
# Vérifier les ACL de l'objet AdminSDHolder $adminSDHolder = Get-ADObject -Filter {Name -eq "AdminSDHolder"} -SearchBase ↪ "CN=System,$((Get-ADDomain).DistinguishedName)" (Get-Acl "AD:\\$($adminSDHolder.DistinguishedName)").Access | Where-Object {$_.IdentityReference -notlike "NT AUTHORITY\\*" -and $_.IdentityReference -notlike ↪ "BUILTIN\\*"} |
Format-Table IdentityReference, ActiveDirectoryRights, AccessControlType
# ... (extrait — voir documentation officielle)
Sécurisation du DSRM (Directory Services Restore Mode)
Le mot de passe DSRM est défini lors de la promotion du serveur en contrôleur de domaine. Ce mot de passe permet de se connecter au DC en mode restauration, contournant complètement Active Directory. Si un attaquant obtient ce mot de passe et un accès physique ou distant au DC, il peut prendre le contrôle total du serveur sans aucune authentification AD. Le mot de passe DSRM doit être changé régulièrement et stocké dans un coffre‑fort numérique.
# Changer le mot de passe DSRM ntdsutil "set dsrm password" "reset password on server null" quit quit
# Alternative PowerShell (Windows Server 2025) $newPassword = Read-Host -AsSecureString "Entrez le nouveau mot de passe DSRM" # ... (extrait — voir documentation officielle)
Vidage des groupes Schema Admins et Enterprise Admins
Les groupes Schema Admins et Enterprise Admins ne doivent contenir aucun membre permanent. Le groupe Schema Admins n'est nécessaire que pour les modifications de schéma AD (extrêmement rares en production), et Enterprise Admins n'est requis que pour les opérations inter‑domaines ou de niveau forêt. Ces groupes doivent être vidés et un processus JIT (Just‑In‑Time) doit être mis en place pour les situations exceptionnelles.
# Auditer les membres des groupes hautement privilégiés $criticalGroups = @("Schema Admins", "Enterprise Admins", "Domain Admins", "Administrators") foreach ($group in $criticalGroups) { Write-Host "`n=== $group ===" -ForegroundColor Cyan $members = Get-ADGroupMember -Identity $group -Recursive # ... (extrait — voir documentation officielle)
LDAP Signing et Channel Binding
Le LDAP signing (signature LDAP) et le LDAP channel binding protègent les communications LDAP contre les attaques de type man‑in‑the‑middle et relay NTLM. Microsoft a progressivement renforcé ces exigences,
Ayi NEDJIMI Consultants 11 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
et Windows Server 2025 permet désormais d'imposer ces protections de manière stricte. Sans LDAP signing, un attaquant positionné sur le réseau peut intercepter et modifier les requêtes LDAP, y compris les modifications de mot de passe et les ajouts de membres à des groupes privilégiés.
# Imposer LDAP signing sur le contrôleur de domaine # Valeur 2 = Exiger la signature (Require signing) Set-ItemProperty -Path "HKLM:\\SYSTEM\\CurrentControlSet\\Services\\NTDS\\Parameters" -Name ↪ "LDAPServerIntegrity" -Value 2 -Type DWord
# Imposer LDAP signing côté client # ... (extrait — voir documentation officielle)
Kerberos : imposer AES256 et désactiver RC4
Le chiffrement RC4‑HMAC utilisé par défaut dans Kerberos est cryptographiquement faible et directement exploitable par des attaques de type Kerberoasting et AS‑REP Roasting. Windows Server 2025 supporte nativement AES256‑CTS‑HMAC‑SHA1‑96, qui doit être imposé comme algorithme exclusif pour les échanges Kerberos.
# Configurer Kerberos pour AES uniquement via le registre $krbPath = ↪ "HKLM:\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\Kerberos\\Parameters" New-Item -Path $krbPath -Force | Out-Null
# SupportedEncryptionTypes : 0x18 = AES128 + AES256 (sans RC4/DES) # ... (extrait — voir documentation officielle)
Protection du compte krbtgt
Le compte krbtgt est le Saint Graal d'Active Directory. Sa compromission permet de forger des Golden Tickets, offrant un accès illimité et persistant à l'intégralité du domaine. Le hash du mot de passe krbtgt doit être changé régulièrement (tous les 90 à 180 jours) de manière contrôlée (double changement avec intervalle de réplication).
# Vérifier la date du dernier changement de mot de passe krbtgt Get-ADUser -Identity krbtgt -Properties PasswordLastSet, msDS-KeyVersionNumber | Select-Object Name, PasswordLastSet, @{N='KeyVersion';E={$_.'msDS-KeyVersionNumber'}}
# Script de rotation du mot de passe krbtgt (à exécuter en heures creuses) # ... (extrait — voir documentation officielle)
Hardening Active Directory — les impératifs :
• Vider les groupes Schema Admins et Enterprise Admins en permanence • Imposer LDAP signing (valeur 2) et channel binding sur tous les DC • Désactiver RC4 et imposer AES256 pour Kerberos sur tous les comptes • Changer le mot de passe krbtgt tous les 90‑180 jours (procédure en deux étapes) • Configurer DsrmAdminLogonBehavior = 0 pour bloquer l'accès réseau DSRM
Ayi NEDJIMI Consultants 12 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
GPO de sécurité : 30+ paramètres critiques
Politiques d'audit avancées : 9 catégories essentielles
Les politiques d'audit avancées (Advanced Audit Policy Configuration) remplacent les politiques d'audit classiques et offrent un contrôle granulaire sur les événements journalisés. Les 9 catégories suivantes doivent être configurées pour assurer une visibilité complète sur les activités de sécurité. Cette configuration est alignée sur les recommandations CIS Benchmark Level 2 et les Microsoft Security Baselines. Pour les détails de mise en oeuvre GPO, consultez notre guide GPO de sécurisation AD.
# ============================================================ # CONFIGURATION DES 9 CATÉGORIES D'AUDIT AVANCÉ # GPO: Computer Configuration > Windows Settings > Security Settings # > Advanced Audit Policy Configuration # ============================================================ # ... (extrait — voir documentation officielle)
User Rights Assignment : 15 paramètres critiques
L'attribution des droits utilisateur détermine quels comptes peuvent effectuer des opérations sensibles au niveau du système. Une mauvaise configuration de ces droits est un vecteur d'élévation de privilèges majeur. Les paramètres suivants doivent être configurés via GPO sous Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment.
# Exporter la configuration actuelle des User Rights secedit /export /cfg C:\\Temp\\secpol.cfg Get-Content C:\\Temp\\secpol.cfg | Select-String "Se"
# Paramètres critiques (via GPO ou secedit) : # ... (extrait — voir documentation officielle)
Security Options : 20 paramètres de durcissement
Les Security Options sont configurées sous Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options. Elles contrôlent des comportements fondamentaux de sécurité du système.
# ============================================================ # SECURITY OPTIONS — Configuration de durcissement complète # ============================================================
# 1. Accounts: Administrator account status = Disabled (sauf DC) # ... (extrait — voir documentation officielle)
Windows Defender Firewall via GPO
Le pare‑feu Windows Defender doit être activé et configuré sur les trois profils (Domain, Private, Public) via GPO. La stratégie de base est le deny all inbound avec des exceptions explicites pour les services autorisés.
Ayi NEDJIMI Consultants 13 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
Les connexions sortantes doivent également être restreintes sur les serveurs critiques.
# Activer le pare-feu sur les trois profils avec blocage par défaut
Set-NetFirewallProfile -Profile Domain,Private,Public -Enabled True
Set-NetFirewallProfile -Profile Domain,Private,Public -DefaultInboundAction Block Set-NetFirewallProfile -Profile Domain,Private,Public -DefaultOutboundAction Allow
Set-NetFirewallProfile -Profile Domain,Private,Public -NotifyOnListen True
# ... (extrait — voir documentation officielle)
AppLocker et WDAC (Windows Defender Application Control)
AppLocker et WDAC (Windows Defender Application Control) sont les deux mécanismes de contrôle d'application de Windows Server 2025. WDAC est le successeur recommandé par Microsoft, offrant une protection au niveau du noyau (kernel‑mode) et une résistance supérieure au contournement. Cependant, AppLocker reste pertinent pour les scénarios de contrôle utilisateur et est plus simple à déployer.
# ============================================================ # APPLOCKER — Politique de base restrictive # ============================================================
# Démarrer le service Application Identity (requis pour AppLocker) # ... (extrait — voir documentation officielle)
Credential Guard
Credential Guard utilise la virtualisation matérielle (VBS — Virtualization Based Security) pour isoler les secrets d'authentification (hashes NTLM, tickets Kerberos TGT) dans un environnement protégé inaccessible même au noyau Windows. C'est la protection la plus efficace contre les attaques Pass‑the‑Hash, Pass‑the‑ Ticket et le dumping LSASS. Windows Server 2025 améliore Credential Guard avec le support natif sans configuration Hyper‑V explicite.
# Vérifier les prérequis matériels pour Credential Guard # TPM 2.0, UEFI Secure Boot, virtualisation matérielle (VT-x/AMD-V) Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\\Microsoft\\Windows\\DeviceGuard | Select-Object AvailableSecurityProperties, RequiredSecurityProperties, SecurityServicesConfigured, SecurityServicesRunning, VirtualizationBasedSecurityStatus # ... (extrait — voir documentation officielle)
BitLocker pour les serveurs
BitLocker protège les données au repos contre le vol physique du disque dur ou du serveur. Sur un contrôleur de domaine, BitLocker protège le fichier NTDS.dit (la base de données Active Directory) qui contient tous les hashes de mots de passe du domaine. Sans BitLocker, un attaquant qui accède physiquement au serveur peut copier NTDS.dit et extraire tous les secrets hors ligne.
Ayi NEDJIMI Consultants 14 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
# Installer la fonctionnalité BitLocker
Install-WindowsFeature BitLocker -IncludeManagementTools -Restart
# Vérifier le statut TPM Get-Tpm | Select-Object TpmPresent, TpmReady, TpmEnabled, TpmActivated # ... (extrait — voir documentation officielle)
GPO de sécurité — les 6 piliers :
• Configurer les 9 catégories d'audit avancé avec succès ET échec • Retirer SeDebugPrivilege à TOUT le monde — empêche le dump LSASS • LmCompatibilityLevel = 5 — refuser LM et NTLMv1, n'accepter que NTLMv2 • Déployer Credential Guard sur tous les serveurs compatibles VBS • Activer BitLocker XTS‑AES‑256 sur tous les volumes, y compris NTDS.dit • WDAC en mode audit avant production — ne jamais déployer directement en enforcement
Sécurisation réseau avancée
Windows Firewall avec sécurité avancée : règles granulaires
Au‑delà de la configuration de base du pare‑feu, la sécurité réseau d'un Windows Server 2025 nécessite des règles granulaires adaptées au rôle du serveur. La méthodologie consiste à bloquer tout par défaut, puis à ouvrir uniquement les flux strictement nécessaires, documentés et révisés régulièrement. Chaque règle doit être nommée de manière explicite, limitée à un profil réseau spécifique, et restreinte à des adresses IP sources précises lorsque possible.
# Supprimer toutes les règles de pare-feu non essentielles # ATTENTION : à exécuter UNIQUEMENT après avoir créé les règles nécessaires Get-NetFirewallRule | Where-Object { $_.Enabled -eq "True" -and $_.Direction -eq "Inbound" -and # ... (extrait — voir documentation officielle)
IPsec : chiffrement des communications inter‑serveurs
IPsec (Internet Protocol Security) permet de chiffrer et authentifier les communications réseau entre les serveurs du domaine. Sur Windows Server 2025, IPsec peut être déployé via GPO pour imposer le chiffrement de toutes les communications entre contrôleurs de domaine, ou entre les serveurs Tier 0 et les postes d'administration.
# Créer une règle IPsec pour sécuriser les communications DC-to-DC # Via PowerShell (équivalent GPO)
# Créer une proposition d'authentification (Kerberos) $authProposal = New-NetIPsecAuthProposal -Machine -Kerberos # ... (extrait — voir documentation officielle)
Ayi NEDJIMI Consultants 15 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
SMB Signing et SMB Encryption
Le protocole SMB (Server Message Block) est omniprésent dans les environnements Windows. Sans signature SMB, un attaquant peut réaliser des attaques de relay NTLM en interceptant et relayant les authentifications SMB. Windows Server 2025 supporte SMB 3.1.1 avec chiffrement AES‑256‑GCM, offrant une protection complète des données en transit.
# Imposer la signature SMB (serveur ET client) Set-SmbServerConfiguration -RequireSecuritySignature $true -Force Set-SmbClientConfiguration -RequireSecuritySignature $true -Force
# Désactiver SMBv1 (rappel — déjà fait à l'installation) # ... (extrait — voir documentation officielle)
Désactivation de TLS 1.0/1.1, forcer TLS 1.2/1.3
Les protocoles TLS 1.0 et TLS 1.1 sont considérés comme obsolètes et vulnérables (BEAST, POODLE, Lucky 13). Windows Server 2025 supporte nativement TLS 1.3, qui offre un handshake plus rapide et une sécurité renforcée. Tous les protocoles antérieurs à TLS 1.2 doivent être désactivés.
# ============================================================ # DÉSACTIVATION DES PROTOCOLES OBSOLÈTES # ============================================================
# Désactiver SSL 2.0 # ... (extrait — voir documentation officielle)
Désactiver NetBIOS, LLMNR et WPAD
Les protocoles NetBIOS, LLMNR (Link‑Local Multicast Name Resolution) et WPAD (Web Proxy Auto‑ Discovery) sont des vecteurs d'attaque classiques exploités par des outils comme Responder et Inveigh. Ces protocoles permettent à un attaquant positionné sur le réseau local de capturer des hashes NTLMv2 en répondant aux requêtes de résolution de noms non résolues par DNS. Leur désactivation est une mesure de durcissement fondamentale.
# ============================================================ # DÉSACTIVATION NETBIOS # ============================================================ # Désactiver NetBIOS sur toutes les interfaces réseau $adapters = Get-WmiObject Win32_NetworkAdapterConfiguration | Where-Object {$_.IPEnabled -eq $true} # ... (extrait — voir documentation officielle)
Sécurisation réseau — les non‑négociables :
• Désactiver NetBIOS (valeur 2), LLMNR (EnableMulticast=0) et WPAD sur 100 % des serveurs • Imposer SMB signing ET encryption avec SMB 3.1.1 minimum • Désactiver SSL 2.0/3.0 et TLS 1.0/1.1 — seuls TLS 1.2 et 1.3 doivent être actifs • Configurer IPsec entre les DC et les serveurs Tier 0 • Bloquer les connexions sortantes par défaut sur les serveurs critiques
Ayi NEDJIMI Consultants 16 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
Sécurisation des services et rôles Windows Server
Durcissement de IIS (Internet Information Services)
IIS est l'un des services les plus exposés sur un Windows Server. Sa surface d'attaque est considérable : exécution de code côté serveur, accès au système de fichiers, élévation de privilèges via SeImpersonatePrivilege. Le durcissement d'IIS sur Windows Server 2025 commence par la suppression de tous les modules et fonctionnalités non nécessaires.
# Supprimer les modules IIS inutiles $modulesASupprimer = @( "WebDAVModule", "TraceModule", "CustomErrorModule" # ... (extrait — voir documentation officielle)
Durcissement de SQL Server
SQL Server est fréquemment installé sur Windows Server et représente une cible de haute valeur. Les bases de données contiennent souvent des données sensibles (informations personnelles, données financières, credentials applicatifs). Le durcissement couvre l'authentification, le chiffrement, les permissions et l'audit.
# Désactiver l'authentification SQL (mode mixte) — imposer Windows Authentication # Via SQL Management Objects [System.Reflection.Assembly]::LoadWithPartialName("Microsoft.SqlServer.Smo") | Out-Null $server = New-Object Microsoft.SqlServer.Management.Smo.Server("localhost") $server.Settings.LoginMode = [Microsoft.SqlServer.Management.Smo.ServerLoginMode]::Integrated # ... (extrait — voir documentation officielle)
Sécurisation de RDP et NLA
Le protocole RDP (Remote Desktop Protocol) est le vecteur d'intrusion initiale numéro un sur Windows Server. 32 % des compromissions de serveurs Windows commencent par une connexion RDP compromise (credentials volés, brute force, exploitation de vulnérabilité). Le durcissement de RDP est une priorité absolue.
# Imposer NLA (Network Level Authentication) Set-ItemProperty -Path "HKLM:\\SYSTEM\\CurrentControlSet\\Control\\Terminal ↪ Server\\WinStations\\RDP-Tcp" -Name "UserAuthentication" -Value 1
# Imposer TLS 1.2+ pour RDP (Security Layer = 2 = TLS) Set-ItemProperty -Path "HKLM:\\SYSTEM\\CurrentControlSet\\Control\\Terminal ↪ Server\\WinStations\\RDP-Tcp" -Name "SecurityLayer" -Value 2 # ... (extrait — voir documentation officielle)
Ayi NEDJIMI Consultants 17 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
Sécurisation DNS, DHCP et services annexes
Le serveur DNS intégré à Active Directory est une cible de choix : un attaquant qui compromet le DNS peut rediriger les requêtes de résolution et réaliser des attaques de type man‑in‑the‑middle à grande échelle. Le service DHCP peut être abusé pour distribuer des configurations réseau malveillantes. Le service Print Spooler a été à l'origine de vulnérabilités critiques (PrintNightmare, CVE‑2021‑34527) et doit être désactivé sur tous les serveurs qui ne sont pas des serveurs d'impression.
# ============================================================ # DNS — Sécurisation # ============================================================ # Activer DNSSEC sur les zones DNS $zones = Get-DnsServerZone | Where-Object {$_.ZoneType -eq "Primary" -and !$_.IsAutoCreated} # ... (extrait — voir documentation officielle)
Durcissement du rôle Hyper‑V
Windows Server 2025 avec le rôle Hyper‑V présente des considérations de sécurité spécifiques. L'hyperviseur est une cible de haute valeur : sa compromission donne accès à toutes les machines virtuelles hébergées. Le durcissement Hyper‑V couvre l'isolation réseau des VM, la protection de la partition de management, le chiffrement des VM sensibles et la configuration des switches virtuels.
# ============================================================ # HYPER-V — Durcissement # ============================================================
# Activer l'intégration Enhanced Session Mode (pour les VM de management uniquement) # ... (extrait — voir documentation officielle)
La partition de management Hyper‑V (le serveur hôte lui‑même) ne doit jamais être utilisée pour d'autres rôles. Elle ne doit pas exécuter d'applications utilisateur, ne doit pas être utilisée pour la navigation web, et son accès RDP doit être limité aux comptes d'administration Hyper‑V dédiés. L'idéal est d'administrer Hyper‑V exclusivement via Windows Admin Center ou System Center Virtual Machine Manager (SCVMM), en désactivant la connexion interactive directe sur l'hôte.
Sécurisation des certificats et de la PKI
Les certificats numériques jouent un rôle central dans la sécurité de Windows Server 2025 : authentification LDAPS, chiffrement TLS pour IIS et WinRM, signature de code pour WDAC, chiffrement BitLocker, et authentification machine. La gestion des certificats doit être rigoureuse : inventaire complet, monitoring des expirations, protection des clés privées et audit des émissions. Si l'organisation dispose d'une PKI interne (Active Directory Certificate Services — ADCS), sa sécurisation est critique car une CA compromise permet de forger des certificats d'authentification pour n'importe quel compte du domaine.
Ayi NEDJIMI Consultants 18 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
# Inventaire complet des certificats sur le serveur Get-ChildItem Cert:\\LocalMachine -Recurse | Where-Object {$_ -is ↪ [System.Security.Cryptography.X509Certificates.X509Certificate2]} | Select-Object Subject, Issuer, NotBefore, NotAfter, Thumbprint, HasPrivateKey, @{N='DaysToExpiry';E={($_.NotAfter - (Get-Date)).Days}}, @{N='Store';E={$_.PSParentPath -replace '.*::'}} | # ... (extrait — voir documentation officielle)
Les attaques ADCS (ESC1 à ESC8) sont devenues l'un des vecteurs de compromission Active Directory les plus exploités en 2025. L'outil Certify (côté attaquant) et PSPKIAudit (côté défenseur) permettent d'identifier les templates vulnérables. La sécurisation passe par la revue de chaque template de certificat, la restriction des permissions d'enrollment, la désactivation du flag ENROLLEE_SUPPLIES_SUBJECT sur les templates d'authentification, et l'audit continu des certificats émis.
Restriction de PowerShell et prévention de l'abus de langages de script
PowerShell est à la fois le principal outil d'administration de Windows Server et l'un des outils les plus exploités par les attaquants (living‑off‑the‑land). La stratégie de durcissement PowerShell doit trouver l'équilibre entre fonctionnalité d'administration et restriction des abus. Windows Server 2025 offre le Constrained Language Mode (CLM) qui limite les capacités PowerShell aux cmdlets approuvées et bloque l'accès direct au .NET Framework, aux objets COM et aux API Windows.
# Vérifier le mode de langage PowerShell actuel $ExecutionContext.SessionState.LanguageMode # FullLanguage = aucune restriction (par défaut) # ConstrainedLanguage = mode restreint (recommandé pour les utilisateurs non-admin)
# ... (extrait — voir documentation officielle)
Il est fondamental de comprendre que le Constrained Language Mode seul n'est pas suffisant. Sans WDAC, un attaquant peut contourner CLM en créant un script signé ou en utilisant un exécutable compilé. La combinaison WDAC + CLM est la seule configuration qui résiste aux contournements connus. De plus, la désactivation de PowerShell v2 est critique car cette version ancienne ne supporte ni le Script Block Logging ni le CLM, et un attaquant peut forcer son utilisation via powershell.exe -Version 2 si elle est installée.
Sécurisation des services — au‑delà des basiques :
• Désactiver PowerShell v2 sur tous les serveurs — contournement classique du logging et du CLM • Activer les règles ASR de Windows Defender, notamment la protection LSASS • Isoler la partition de management Hyper‑V — jamais d'autres rôles sur l'hôte • Auditer les templates ADCS pour les vulnérabilités ESC1 à ESC8 • Combiner WDAC + Constrained Language Mode pour une restriction PowerShell efficace
Ayi NEDJIMI Consultants 19 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
Logging et monitoring avancé
Configuration des Event Logs
La taille par défaut des journaux d'événements Windows est ridiculement insuffisante pour un serveur de production. Le journal Security est limité à 20 Mo par défaut, ce qui est écrasé en quelques heures sur un serveur actif. Un attaquant sophistiqué peut intentionnellement générer du bruit pour faire tourner les logs et effacer ses traces. La première action est d'augmenter considérablement la taille de tous les journaux critiques.
# Augmenter la taille des journaux d'événements $logConfig = @{ "Security" = 4GB # 4 Go — journal le plus critique "System" = 1GB "Application" = 1GB # ... (extrait — voir documentation officielle)
Sysmon : la visibilité que Windows ne fournit pas nativement
Sysmon (System Monitor) est l'outil de monitoring indispensable pour tout serveur Windows en environnement de production. Développé par l'équipe Sysinternals (propriété de Microsoft), Sysmon est gratuit, léger (moins de 2 % de surcharge CPU en fonctionnement normal) et extrêmement puissant. Son principal avantage réside dans sa capacité à fournir un contexte riche pour chaque événement : lorsqu'un processus est créé, Sysmon enregistre non seulement le nom et le chemin de l'exécutable, mais aussi la ligne de commande complète, le hash du fichier (MD5, SHA256, IMPHASH), le processus parent avec sa ligne de commande, l'utilisateur qui a lancé le processus, la session logon associée, et les flags d'intégrité. Cette richesse d'information transforme la capacité de détection et de forensique. Sans Sysmon, un analyste SOC qui voit un Event ID 4688 (process creation) dans le journal Security n'a que le nom du processus et le compte — avec Sysmon, il a l'intégralité de la chaîne d'exécution permettant de reconstruire l'attaque étape par étape.
La configuration de Sysmon détermine sa valeur. Une configuration par défaut sans fichier XML personnalisé enregistre trop d'événements inutiles et rate des événements critiques. La communauté de sécurité maintient plusieurs configurations de référence. La plus utilisée est celle de SwiftOnSecurity (github.com/SwiftOnSecurity/sysmon‑config), qui filtre intelligemment le bruit tout en capturant les événements pertinents pour la détection d'intrusion. Pour les environnements avancés, la configuration Olaf Hartong (sysmon‑modular) offre une approche modulaire permettant d'activer ou désactiver des catégories de détection spécifiques. Quelle que soit la configuration choisie, elle doit être personnalisée pour l'environnement spécifique : ajouter les chemins des applications métier dans les exclusions, et ajouter des règles de détection pour les outils d'attaque spécifiques à votre secteur.
Sysmon fournit une visibilité granulaire sur les événements que les journaux Windows natifs ne capturent pas : création de processus avec arborescence complète, connexions réseau par processus, chargement de DLL, modification du registre, accès aux fichiers sensibles, création de threads distants (injection de code), et bien plus. La configuration de Sysmon est définie par un fichier XML qui détermine quels événements sont capturés et lesquels sont filtrés.
Ayi NEDJIMI Consultants 20 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
# Télécharger et installer Sysmon # https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon # Utiliser la configuration SwiftOnSecurity comme base # https://github.com/SwiftOnSecurity/sysmon-config
# ... (extrait — voir documentation officielle)
Événements critiques à surveiller
Parmi les milliers d'Event IDs Windows, certains sont des indicateurs directs de compromission (IoC) ou de tentatives d'attaque. La liste suivante représente les événements à haute priorité qui doivent déclencher une alerte immédiate dans le SIEM. Pour l'intégration avec un SIEM, consultez notre article sur la détection de menaces par IA et SIEM augmenté.
# ============================================================ # ÉVÉNEMENTS CRITIQUES — Requêtes de détection # ============================================================
# 4624/4625 — Connexions réussies/échouées # ... (extrait — voir documentation officielle)
Windows Event Forwarding (WEF)
Le WEF (Windows Event Forwarding) permet de centraliser les événements de sécurité de tous les serveurs vers un collecteur unique, sans installer d'agent tiers. Cette architecture est recommandée par Microsoft et l'ANSSI comme première étape avant l'intégration SIEM. Le collecteur WEF peut ensuite transmettre les événements au SIEM pour corrélation et analyse avancée.
# ============================================================ # CONFIGURATION DU COLLECTEUR WEF # ============================================================
# Sur le serveur collecteur : activer le service Windows Event Collector # ... (extrait — voir documentation officielle)
Logging et monitoring — les fondamentaux :
• Augmenter le journal Security à 4 Go minimum — 20 Mo par défaut est une aberration • Déployer Sysmon sur 100 % des serveurs avec la config SwiftOnSecurity comme base • Activer Script Block Logging et Transcription PowerShell • Surveiller en priorité : Event ID 1102 (effacement logs), 4720 (création compte), 4728 (ajout groupe admin), 4769 avec RC4 (Kerberoasting) • Centraliser avec WEF avant d'intégrer au SIEM
Intégration SIEM et corrélation d'événements
La centralisation des logs via WEF n'est que la première étape. L'intégration avec un SIEM (Security Information and Event Management) comme Microsoft Sentinel, Splunk, Elastic Security ou Wazuh
Ayi NEDJIMI Consultants 21 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
permet la corrélation d'événements provenant de sources multiples (Windows Events, Sysmon, pare‑feu, antivirus, proxy web, VPN) pour détecter des attaques complexes qui ne seraient pas visibles dans une source unique. Par exemple, une attaque de type Kerberoasting génère un Event ID 4769 avec chiffrement RC4 sur le DC (source AD), suivi d'un trafic réseau sortant anormal (source pare‑feu), puis d'une tentative de connexion avec un compte de service depuis une IP inhabituelle (source VPN ou proxy). Seule la corrélation de ces trois événements dans un SIEM permet de détecter l'attaque dans sa globalité. Les règles de corrélation essentielles pour Windows Server 2025 doivent couvrir les scénarios suivants : brute force (plus de 10 échecs de connexion en 5 minutes depuis une même source), lateral movement (connexion réseau réussie suivie d'une création de service ou de tâche planifiée sur un serveur distant), privilege escalation (attribution de SeDebugPrivilege ou ajout à un groupe privilégié par un compte non autorisé), data exfiltration (volume de données transféré anormalement élevé vers une IP externe), et ransomware (création de fichiers avec extensions suspectes, suppression des shadow copies, modification de boot configuration).
# Exemple de règles de détection pour Wazuh/Elastic (format pseudo-code) # Ces règles doivent être adaptées au SIEM utilisé
# Règle 1 : Détection de Password Spraying # Condition : > 5 comptes différents échouent avec le même mot de passe en 10 min # ... (extrait — voir documentation officielle)
Détection des techniques Living Off The Land (LOLBins)
Les attaquants modernes utilisent de moins en moins de malware personnalisé et de plus en plus les outils légitimes du système d'exploitation — une technique appelée Living Off The Land (LOTL). Sur Windows Server 2025, les binaires les plus abusés sont : PowerShell.exe (exécution de code), certutil.exe (téléchargement de fichiers, encodage/décodage), mshta.exe (exécution de HTA malveillant), rundll32.exe (chargement de DLL arbitraire), regsvr32.exe (exécution de scriptlets via squiblydoo), msbuild.exe (exécution de code C# inline), bitsadmin.exe (téléchargement de fichiers) et wmic.exe (exécution de commandes distantes). La détection de l'abus de ces binaires nécessite une combinaison de Sysmon (Event ID 1 — Process Creation) avec des règles de détection basées sur les paramètres de ligne de commande inhabituels.
# Détection LOLBins — requêtes de chasse aux menaces (Threat Hunting)
# Détecter l'utilisation suspecte de certutil (téléchargement ou décodage) Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Sysmon/Operational'; Id=1} | Where-Object {$_.Message -match "certutil.*(-urlcache|-decode|-encode|-verifyctl)"} | # ... (extrait — voir documentation officielle)
Patch management et gestion des vulnérabilités
Stratégie de patch management pour Windows Server 2025
Le Patch Tuesday de Microsoft (deuxième mardi de chaque mois) est le moment clé du cycle de patch management. Cependant, les correctifs out‑of‑band (hors cycle) pour les vulnérabilités critiques exploitées
Ayi NEDJIMI Consultants 22 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
activement sont de plus en plus fréquents. En 2025, Microsoft a publié 23 correctifs out‑of‑band, dont 8 pour des zero‑days activement exploités. La stratégie de patch management doit intégrer ces deux rythmes.
L'architecture recommandée repose sur un serveur WSUS (Windows Server Update Services) pour les environnements on‑premise, complété par SCCM/MECM (Microsoft Endpoint Configuration Manager) pour les parcs importants, ou Microsoft Intune pour les environnements hybrides. Le déploiement suit un processus en 4 phases : test en laboratoire (J+1), déploiement pilote (J+3), déploiement progressif production (J+7 à J+14), et vérification de conformité (J+30).
# ============================================================ # WSUS — Configuration et gestion # ============================================================
# Installer le rôle WSUS # ... (extrait — voir documentation officielle)
Gestion des correctifs out‑of‑band et des zero‑days
Les correctifs out‑of‑band (OOB) sont publiés par Microsoft en dehors du cycle mensuel du Patch Tuesday pour corriger des vulnérabilités critiques activement exploitées. En 2025, le temps moyen entre la publication d'un exploit public et la première exploitation en masse est tombé à 3,7 jours selon le rapport Mandiant. Ce délai extrêmement court signifie que le processus habituel de test en laboratoire puis déploiement progressif n'est pas applicable pour les correctifs OOB. Une procédure d'urgence doit être définie et testée à l'avance.
La procédure de patching d'urgence recommandée suit ce workflow : dès la publication d'un correctif OOB avec exploitation active confirmée (CISA KEV, Microsoft Security Response Center), l'équipe sécurité évalue l'exposition de l'infrastructure en moins de 2 heures. Si les serveurs sont exposés, le correctif est déployé en moins de 24 heures sur les serveurs critiques (DC, serveurs de messagerie, serveurs web exposés), en acceptant le risque de régression. Le déploiement sur le reste du parc suit dans les 72 heures. Un rollback plan doit être prêt avant chaque déploiement d'urgence.
# Script de déploiement d'urgence d'un correctif OOB param( [string]$KBNumber = "KB5040442", # Numéro du correctif à déployer [string[]]$TargetServers = @("DC01", "DC02", "EXC01", "WEB01") ) # ... (extrait — voir documentation officielle)
Vulnerability scanning et priorisation
Le patch management ne se limite pas à l'application des correctifs Microsoft. Les applications tierces installées sur les serveurs (Java, .NET Framework, OpenSSL, agents de monitoring) représentent une surface d'attaque souvent négligée. Un programme de vulnerability scanning régulier est indispensable pour identifier les failles non couvertes par WSUS.
Ayi NEDJIMI Consultants 23 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
# Script d'audit rapide des vulnérabilités connues # Vérifier les versions des composants critiques
# Vérifier la version .NET Framework Get-ItemProperty "HKLM:\\SOFTWARE\\Microsoft\\NET Framework Setup\\NDP\\v4\\Full" | Select-Object ↪ Release, Version # ... (extrait — voir documentation officielle)
Backup et recovery
Stratégie de sauvegarde 3‑2‑1
La règle 3‑2‑1 est le standard industriel de sauvegarde : 3 copies des données, sur 2 types de support différents, dont 1 copie hors site (ou hors ligne). Pour un Windows Server 2025, cette stratégie doit être complétée par une copie immuable (non modifiable même par un administrateur) pour résister aux attaques ransomware qui ciblent systématiquement les sauvegardes. Les détails sur la réponse aux incidents ransomware sont couverts dans notre guide Ransomware : Kill Chain et Contre‑mesures.
# ============================================================ # WINDOWS SERVER BACKUP — Configuration # ============================================================
# Installer la fonctionnalité Windows Server Backup # ... (extrait — voir documentation officielle)
Sauvegarde Active Directory : ntdsutil et snapshots
La sauvegarde d'un contrôleur de domaine nécessite des considérations spécifiques. Le fichier NTDS.dit contient l'intégralité de la base de données Active Directory et ne peut pas être sauvegardé par une simple copie de fichier (il est verrouillé en permanence). La sauvegarde du System State via Windows Server Backup est la méthode officielle. En complément, ntdsutil permet de créer des snapshots de la base AD pour l'analyse forensique ou la restauration granulaire.
# ============================================================ # SAUVEGARDE ACTIVE DIRECTORY # ============================================================
# Méthode 1 : Windows Server Backup avec System State # ... (extrait — voir documentation officielle)
Plan de Disaster Recovery pour Windows Server 2025
Un plan de Disaster Recovery (DR) pour Windows Server 2025 doit documenter précisément les procédures de restauration pour chaque scénario de sinistre : panne matérielle simple (disque, alimentation), corruption logicielle (mise à jour défectueuse, ransomware), compromission Active Directory (Golden Ticket, destruction malveillante d'objets AD), et sinistre physique total (incendie, inondation du datacenter).
Ayi NEDJIMI Consultants 24 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
Chaque scénario requiert une procédure différente et un RTO (Recovery Time Objective) et RPO (Recovery Point Objective) définis.
Pour un contrôleur de domaine, le scénario le plus critique est la compromission complète de la forêt Active Directory. Dans ce cas, la procédure de forest recovery documentée par Microsoft doit être suivie : isoler tous les DC du réseau, identifier un DC sain avec une sauvegarde de System State valide, restaurer le premier DC à partir de la sauvegarde, effectuer un nettoyage des métadonnées AD pour retirer les DC compromis, changer tous les mots de passe (krbtgt deux fois, trust passwords, Administrator), puis reconstruire les DC supplémentaires par promotion. Cette procédure prend typiquement entre 24 et 72 heures et doit être testée au moins une fois par an dans un environnement isolé.
# ============================================================ # DISASTER RECOVERY — Procédures critiques # ============================================================
# Procédure de restauration authoritative d'un objet AD supprimé # ... (extrait — voir documentation officielle)
Le test de Disaster Recovery est souvent la lacune la plus critique des programmes de sécurité. Selon une étude Gartner 2025, 76 % des organisations qui disposent d'un plan de DR n'ont jamais réalisé de test complet de restauration. Or, les sauvegardes corrompues, les procédures obsolètes et les erreurs de configuration ne sont découvertes que lors d'un test — ou lors d'un sinistre réel, quand il est trop tard. L'engagement de la direction pour allouer un créneau de maintenance trimestriel au test de restauration est un investissement qui peut sauver l'entreprise.
Backup et recovery :
• Appliquer la règle 3‑2‑1 avec une copie immuable — les ransomwares ciblent les sauvegardes • Inclure System State et BMR dans chaque sauvegarde de serveur • Tester la restauration au moins une fois par trimestre — une sauvegarde non testée ne vaut rien • Vérifier automatiquement l'âge et le statut de la dernière sauvegarde chaque jour • La tombstone lifetime AD est de 180 jours — les sauvegardes plus anciennes sont inutilisables
Outils d'audit et de conformité
Microsoft Security Compliance Toolkit (SCT)
Le Security Compliance Toolkit (SCT) de Microsoft fournit des baselines de sécurité officielles sous forme de GPO préconfigurées, accompagnées de l'outil LGPO.exe pour les appliquer localement et de PolicyAnalyzer pour comparer les configurations actuelles avec les baselines. Le SCT pour Windows Server 2025 inclut des baselines pour les serveurs membres, les contrôleurs de domaine et les Credential Guard settings.
# Télécharger le SCT depuis le Microsoft Download Center # https://www.microsoft.com/en-us/download/details.aspx?id=55319
# Appliquer la baseline localement avec LGPO
Ayi NEDJIMI Consultants 25 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
.\\LGPO.exe /g ".\\Windows Server 2025 - Member Server\\GPOs\\{GUID}" # ... (extrait — voir documentation officielle)
CIS‑CAT : audit automatisé CIS Benchmark
CIS‑CAT Pro est l'outil officiel du Center for Internet Security pour auditer automatiquement la conformité d'un serveur par rapport aux CIS Benchmarks. Il génère un rapport détaillé avec le pourcentage de conformité, chaque contrôle évalué (pass/fail/not applicable) et les remédiations recommandées. La version Lite est gratuite, la version Pro nécessite une adhésion CIS SecureSuite.
# Exécuter CIS-CAT Pro en ligne de commande # Prérequis : Java 11+ java -jar Assessor-CLI.jar -b "CIS_Microsoft_Windows_Server_2025_Benchmark_v3.0.0-xccdf.xml" ` -p "Level 2 - Domain Controller" ` -rd "C:\\Audit\\CIS-Results" ` # ... (extrait — voir documentation officielle)
PingCastle : audit Active Directory
PingCastle est l'outil de référence pour l'audit de sécurité Active Directory, utilisé par la majorité des équipes de sécurité et des auditeurs en France et en Europe. Développé par Vincent Le Toux, expert reconnu en sécurité AD, PingCastle analyse en profondeur la configuration Active Directory et attribue un score de risque global de 0 (excellent) à 100 (critique) réparti en quatre catégories : Stale Objects (comptes et machines obsolètes qui augmentent la surface d'attaque), Privileged Accounts (comptes avec des droits excessifs ou mal protégés), Trusts (relations d'approbation potentiellement dangereuses avec d'autres domaines ou forêts) et Anomalies (configurations qui dévient des bonnes pratiques). L'objectif est d'atteindre un score inférieur à 30 dans chaque catégorie, ce qui correspond à un niveau de risque acceptable. Un score supérieur à 60 dans n'importe quelle catégorie nécessite une remédiation urgente.
PingCastle génère un rapport HTML extrêmement détaillé qui constitue une véritable feuille de route de remédiation. Chaque finding est classé par niveau de risque, accompagné d'une explication technique de la vulnérabilité, des vecteurs d'exploitation possibles et des étapes de remédiation. Le rapport identifie également les chemins d'attaque (attack paths) les plus courts entre un compte standard et les privilèges Domain Admin, ce qui permet de prioriser les remédiations en fonction de leur impact réel sur la réduction du risque. En complément de PingCastle, l'outil BloodHound (version défensive : PlumHound) permet de visualiser graphiquement ces chemins d'attaque et d'identifier les points de passage obligés (choke points) où une seule remédiation peut couper de nombreux chemins d'attaque. PingCastle identifie les faiblesses structurelles (trusts dangereux, comptes périmés, configurations obsolètes) et fournit des recommandations priorisées. Pour l'analyse forensique Windows complémentaire, consultez notre guide Windows Forensics.
# Exécuter PingCastle en mode healthcheck .\\PingCastle.exe --healthcheck --server domaine.local
# Exécuter en mode scanner (détection de vulnérabilités spécifiques)
Ayi NEDJIMI Consultants 26 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
.\\PingCastle.exe --scanner --scanneridle # Comptes inactifs # ... (extrait — voir documentation officielle)
PowerShell DSC (Desired State Configuration)
PowerShell DSC permet de définir l'état souhaité d'un serveur sous forme de code (Infrastructure as Code) et de s'assurer en continu que le serveur reste conforme à cette configuration. C'est l'outil idéal pour maintenir le durcissement dans le temps et détecter les dérives de configuration (configuration drift).
# ============================================================ # CONFIGURATION DSC DE DURCISSEMENT # ============================================================
Configuration WindowsServerHardening { # ... (extrait — voir documentation officielle)
Nessus et scanners de vulnérabilités
Tenable Nessus est le scanner de vulnérabilités le plus utilisé en entreprise. Pour le durcissement Windows Server, Nessus propose des plugins d'audit de conformité CIS et Microsoft Baseline, ainsi que des checks de vulnérabilités actives. L'exécution régulière de scans authentifiés permet d'identifier les failles avant qu'un attaquant ne les exploite.
# Préparer un serveur Windows pour un scan Nessus authentifié # Prérequis : compte de scan avec droits administrateur local
# Activer WMI pour le scan distant
Set-Service -Name Winmgmt -StartupType Automatic
# ... (extrait — voir documentation officielle)
Checklist de durcissement Windows Server 2025 : 65 contrôles
La checklist suivante synthétise l'ensemble des recommandations de ce guide en 65 contrôles opérationnels, classés par catégorie et niveau de criticité. Chaque contrôle est accompagné de la commande PowerShell de vérification correspondante. Cette checklist peut être utilisée comme base pour un audit de conformité ou intégrée dans un processus de déploiement automatisé.
N° Catégorie Contrôle Criticité Commande de vérification
1 Installation Server Core installé Haute Get-ItemProperty "HKLM:\\SO 2 Installation SMBv1 désactivé Critique Get-SmbServerConfiguration 3 Installation Fonctionnalités inutiles supprimées Haute Get-WindowsFeature | Where 4 Installation WSUS configuré Haute Get-ItemProperty "HKLM:\\SO
Ayi NEDJIMI Consultants 27 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
N° Catégorie Contrôle Criticité Commande de vérification
5 Installation Partitions séparées (système/données/logs) Moyenne Get-Volume | Select DriveLe 6 Comptes Compte Administrator renommé Haute Get-LocalUser | Where SID - 7 Comptes LAPS déployé Critique Get-LapsADPassword -Identit 8 Comptes FGPP appliquée aux admins (20+ chars) Critique Get-ADFineGrainedPasswordPo 9 Comptes gMSA pour comptes de service Haute Get-ADServiceAccount -Filte 10 Comptes Admins dans Protected Users Haute Get-ADGroupMember "Protecte 11 Comptes AES256 forcé sur comptes de service Haute Get-ADUser -Filter {Service 12 Comptes Compte Guest désactivé Haute Get-LocalUser -Name Guest | 13 AD Schema Admins vide Critique Get-ADGroupMember "Schema A 14 AD Enterprise Admins vide Critique Get-ADGroupMember "Enterpri 15 AD LDAP signing imposé (valeur 2) Critique Get-ItemProperty "HKLM:\\SY 16 AD LDAP channel binding activé Haute Get-ItemProperty "HKLM:\\SY 17 AD RC4 désactivé pour Kerberos Critique Get-ItemProperty "HKLM:\\SO 18 AD Mot de passe krbtgt changé récemment (<180j) Critique Get-ADUser krbtgt -Prop Pas 19 AD DSRM logon behavior = 0 Haute Get-ItemProperty "HKLM:\\SY 20 AD AdminSDHolder ACL vérifiées Haute Get-ADObject -Filter {Name 21 GPO Audit avancé 9 catégories configuré Critique auditpol /get /category:* 22 GPO Process creation include command line Haute Get-ItemProperty "HKLM:\\SO 23 GPO SeDebugPrivilege retiré à tous Critique secedit /export /cfg C:\\Te 24 GPO LmCompatibilityLevel = 5 Critique Get-ItemProperty "HKLM:\\SY 25 GPO NoLMHash activé Critique Get-ItemProperty "HKLM:\\SY 26 GPO UAC activé (EnableLUA = 1) Haute Get-ItemProperty "HKLM:\\SO 27 GPO Dernier utilisateur non affiché Moyenne Get-ItemProperty "HKLM:\\SO 28 GPO Inactivité verrouillée à 15 min Haute Get-ItemProperty "HKLM:\\SO 29 GPO SMB signing imposé (serveur) Critique Get-SmbServerConfiguration 30 GPO SMB signing imposé (client) Critique Get-SmbClientConfiguration 31 GPO Credential Guard activé Critique Get-ItemProperty "HKLM:\\SY 32 GPO BitLocker actif sur tous les volumes Haute Get-BitLockerVolume | Selec 33 GPO WDAC ou AppLocker configuré Haute Get-AppLockerPolicy -Effect 34 GPO Anonymous enumeration bloquée Haute Get-ItemProperty "HKLM:\\SY 35 GPO Pagefile effacé à l'arrêt Moyenne Get-ItemProperty "HKLM:\\SY
Ayi NEDJIMI Consultants 28 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
N° Catégorie Contrôle Criticité Commande de vérification
36 Réseau Pare‑feu activé 3 profils Critique Get-NetFirewallProfile | Se 37 Réseau Inbound default = Block Critique Get-NetFirewallProfile | Se 38 Réseau NetBIOS désactivé Haute Get-WmiObject Win32_Network 39 Réseau LLMNR désactivé Haute Get-ItemProperty "HKLM:\\SO 40 Réseau WPAD désactivé Haute Get-Service WinHttpAutoProx 41 Réseau mDNS désactivé Moyenne Get-ItemProperty "HKLM:\\SY 42 Réseau TLS 1.0/1.1 désactivé Critique Get-ItemProperty "HKLM:\\SY 43 Réseau TLS 1.2/1.3 activé Critique Get-ItemProperty "HKLM:\\SY 44 Réseau SMB chiffrement activé Haute Get-SmbServerConfiguration 45 Réseau IPsec entre DC configuré Moyenne Get-NetIPsecRule | Select D 46 Services Print Spooler désactivé (non‑print servers) Critique Get-Service Spooler | Selec 47 Services Remote Registry désactivé Haute Get-Service RemoteRegistry 48 Services RDP NLA activé Critique Get-ItemProperty "HKLM:\\SY 49 Services RDP Security Layer = TLS Haute Get-ItemProperty "HKLM:\\SY 50 Services RDP timeout inactivité configuré Moyenne Get-ItemProperty "HKLM:\\SO 51 Services WinRM en HTTPS uniquement Haute Get-ChildItem WSMan:\\local 52 Services IIS headers de version supprimés Moyenne Get-WebConfigurationPropert 53 Services SQL xp_cmdshell désactivé Critique Invoke-Sqlcmd "EXEC sp_conf 54 Services WDigest désactivé (UseLogonCredential=0) Critique Get-ItemProperty "HKLM:\\SY 55 Logging Journal Security >= 4 Go Haute (Get-WinEvent -ListLog Secu 56 Logging Sysmon installé et actif Critique Get-Service Sysmon64 | Sele 57 Logging Script Block Logging activé Haute Get-ItemProperty "HKLM:\\SO 58 Logging PowerShell Transcription activée Haute Get-ItemProperty "HKLM:\\SO 59 Logging WEF configuré Haute wecutil es 60 Patch Dernière mise à jour < 30 jours Critique Get-HotFix | Sort Installed 61 Patch Aucun KB critique manquant Critique (New-Object -Com Microsoft. 62 Backup Sauvegarde System State < 24h Critique Get-WBJob -Previous 1 | Sel 63 Backup BitLocker key sauvegardée dans AD Haute Get-BitLockerVolume | Selec 64 Backup Test de restauration documenté Haute # Vérification manuelle du 65 Audit Score PingCastle < 30 par catégorie Haute # Vérification du dernier r
Ayi NEDJIMI Consultants 29 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
Comparaison CIS Benchmark vs Microsoft Baseline vs ANSSI
Philosophie et approche de chaque référentiel
Les trois référentiels majeurs de durcissement Windows Server partagent des objectifs communs mais diffèrent dans leur approche, leur granularité et leur contexte d'application. Comprendre ces différences est essentiel pour construire une politique de durcissement adaptée à votre contexte. Le CIS Benchmark adopte une approche prescriptive et universelle. Chaque contrôle est documenté avec une justification technique, une procédure d'audit et une procédure de remédiation. Les deux niveaux (L1 et L2) permettent d'adapter le durcissement au profil de risque. Le CIS Benchmark est le référentiel le plus détaillé et le plus régulièrement mis à jour. Les Microsoft Security Baselines sont des GPO pré‑configurées accompagnées de documentation. Leur force réside dans le fait qu'elles sont développées par l'éditeur lui‑même, garantissant la compatibilité et la prise en compte des spécificités Windows. Elles sont moins granulaires que le CIS mais plus immédiatement applicables. Les recommandations ANSSI s'inscrivent dans un cadre réglementaire français (LPM, PSSIE, NIS2) et intègrent des considérations géopolitiques (protection contre l'espionnage étatique). L'ANSSI impose des exigences plus strictes sur certains points (chiffrement, cloisonnement réseau) et fournit un contexte opérationnel adapté aux OIV (Opérateurs d'Importance Vitale) et OSE (Opérateurs de Services Essentiels).
Critère CIS Benchmark v3.0 Microsoft Security Baseline ANSSI Recommandation
Nombre de contrôles 412 (L2) ~250 ~180 Format de livraison PDF + OVAL/SCAP GPO + LGPO.exe PDF + fiches techniques Niveaux de durcissement L1 (standard) + L2 (avancé) Unique (baseline) 3 niveaux (renforcé, inte Mise à jour Trimestrielle Avec chaque version Windows Annuelle Outil d'audit CIS‑CAT Pro/Lite PolicyAnalyzer, SCT Pas d'outil dédié Licence Gratuit (L1) / SecureSuite (L2) Gratuit Gratuit Kerberos chiffrement AES128+AES256 (L2) AES256 recommandé AES256 obligatoire NTLM Refuser LM+NTLMv1 (L1) Refuser LM+NTLMv1 Désactiver NTLM compl SMB signing Requis (L1) Requis Requis + chiffrement TLS minimum TLS 1.2 (L1) TLS 1.2 TLS 1.2 (TLS 1.3 recomm Print Spooler Désactiver si non nécessaire (L1) Désactiver sur DC Désactiver sur tous les s Credential Guard Recommandé (L2) Recommandé Obligatoire sur Tier 0 LAPS Recommandé (L1) Recommandé Obligatoire Taille logs Security 196 Mo min (L1) Non spécifié 1 Go minimum Sysmon Non couvert Non couvert Recommandé Contexte réglementaire International (PCI‑DSS, HIPAA) Écosystème Microsoft Français (LPM, NIS2, RG
Ayi NEDJIMI Consultants 30 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
Analyse détaillée des divergences entre référentiels
Les divergences les plus significatives entre les trois référentiels méritent une attention particulière car elles reflètent des philosophies de sécurité différentes et des contextes d'application distincts. Comprendre ces différences permet de prendre des décisions éclairées lorsqu'un référentiel est plus strict qu'un autre sur un point donné.
Sur la question de NTLM, le CIS Benchmark et Microsoft recommandent de refuser LM et NTLMv1 (LmCompatibilityLevel = 5), ce qui laisse NTLMv2 activé. L'ANSSI va plus loin en recommandant la désactivation complète de NTLM (y compris NTLMv2) au profit exclusif de Kerberos. Cette position plus stricte est justifiée par le fait que NTLMv2 reste vulnérable aux attaques de relay. En pratique, la désactivation totale de NTLM nécessite un audit exhaustif préalable car de nombreuses applications legacy et certains scénarios d'authentification (accès par IP plutôt que par nom, connexion à des serveurs hors domaine) reposent encore sur NTLM. La fonctionnalité NTLM Auditing de Windows Server 2025 permet d'identifier tous les flux NTLM résiduels avant de procéder à la désactivation.
# Activer l'audit NTLM pour identifier les flux résiduels avant désactivation # GPO: Computer Configuration > Windows Settings > Security Settings > Local Policies # > Security Options > Network security: Restrict NTLM
# Auditer toutes les authentifications NTLM entrantes # ... (extrait — voir documentation officielle)
Sur la question de la taille des journaux d'événements, les trois référentiels divergent considérablement. Le CIS Benchmark Level 1 fixe un minimum de 196 Mo pour le journal Security, ce qui est largement insuffisant pour un serveur actif (un DC peut générer 1 Go de logs Security par jour). Microsoft ne spécifie pas de taille minimum dans ses baselines, laissant l'administrateur responsable. L'ANSSI recommande un minimum de 1 Go pour le journal Security, ce qui est plus réaliste mais reste insuffisant pour une rétention de plusieurs jours. Notre recommandation est de 4 Go minimum pour le journal Security sur les serveurs critiques, complété par un archivage vers un système central (WEF + SIEM).
Concernant Sysmon, aucun des trois référentiels ne couvre explicitement son déploiement, bien que l'ANSSI le mentionne dans ses recommandations opérationnelles. C'est une lacune significative car Sysmon fournit une visibilité indispensable que les journaux Windows natifs ne couvrent pas : arborescence des processus, connexions réseau par processus, chargement de DLL, et détection des injections de code. Le déploiement de Sysmon est une mesure de durcissement hors référentiel mais indispensable pour toute organisation disposant d'un SOC ou d'un SIEM.
La question du Print Spooler illustre parfaitement l'évolution des référentiels face aux menaces émergentes. Avant PrintNightmare (CVE‑2021‑34527), aucun référentiel ne recommandait la désactivation systématique du Print Spooler. Aujourd'hui, le CIS recommande la désactivation si non nécessaire (formulation prudente), Microsoft recommande la désactivation sur les DC, et l'ANSSI recommande la désactivation sur tous les serveurs sans exception, le rôle d'impression devant être isolé sur des serveurs d'impression dédiés. Cette position de l'ANSSI est la plus pragmatique : le risque du Print Spooler (exécution de code à distance avec privilèges SYSTEM) dépasse largement le bénéfice de pouvoir imprimer depuis un serveur.
Ayi NEDJIMI Consultants 31 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
Recommandation : approche combinée
La stratégie optimale consiste à utiliser les Microsoft Security Baselines comme point de départ (application rapide via GPO), puis à renforcer avec les contrôles CIS Benchmark Level 2 pour une couverture technique maximale, et enfin à valider la conformité avec les exigences ANSSI pour le contexte réglementaire français. Cette approche en couches garantit à la fois la compatibilité opérationnelle et le niveau de sécurité le plus élevé.
# Script de vérification rapide de conformité multi-référentiel $results = @()
# Vérification LmCompatibilityLevel (CIS L1 + MS Baseline + ANSSI) $lmLevel = (Get-ItemProperty "HKLM:\\SYSTEM\\CurrentControlSet\\Control\\Lsa").LmCompatibilityLevel # ... (extrait — voir documentation officielle)
FAQ — 10 questions sur le durcissement Windows Server 2025
Quel est le temps nécessaire pour durcir un Windows Server 2025 ?
Le temps de durcissement dépend du rôle du serveur et du niveau de maturité de l'organisation. Pour un serveur membre standard, comptez 4 à 8 heures pour un durcissement CIS Level 1 complet, incluant la configuration, les tests et la documentation. Pour un contrôleur de domaine, prévoyez 8 à 16 heures en raison de la complexité des paramètres AD (Kerberos, LDAP, réplication). L'automatisation via PowerShell DSC ou GPO réduit ce temps à 30 minutes par serveur après la création initiale des templates. L'investissement initial dans l'automatisation est rentabilisé dès le deuxième serveur durci.
Le durcissement peut‑il casser des applications en production ?
Oui, c'est le risque principal du durcissement. Les mesures les plus susceptibles de provoquer des dysfonctionnements sont : la désactivation de NTLMv1 (applications legacy qui ne supportent pas NTLMv2), la désactivation de TLS 1.0/1.1 (applications anciennes), le blocage de RC4 pour Kerberos (certaines applications Java anciennes), et les politiques AppLocker/WDAC trop restrictives. La méthodologie recommandée est systématiquement : audit d'abord, enforcement ensuite. Activez chaque mesure en mode audit ou monitoring pendant 2 à 4 semaines avant de l'imposer en production. Analysez les journaux d'événements pour identifier les incompatibilités avant qu'elles ne deviennent des incidents.
Faut‑il durcir les serveurs dans le cloud (Azure/AWS) ?
Absolument. Le modèle de responsabilité partagée du cloud signifie que le fournisseur sécurise l'infrastructure physique et l'hyperviseur, mais le durcissement du système d'exploitation reste de votre responsabilité. Une VM Windows Server 2025 dans Azure ou AWS est aussi vulnérable qu'un serveur on‑ premise si elle n'est pas durcie. De plus, l'exposition Internet est souvent plus directe dans le cloud. Les images de marketplace ne sont généralement pas durcies. Microsoft propose des images pré‑durcies dans Azure (CIS Hardened Images) mais elles nécessitent une licence spécifique.
Ayi NEDJIMI Consultants 32 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
Comment gérer le durcissement sur un parc de 500+ serveurs ?
À cette échelle, le durcissement manuel est impossible. La stratégie repose sur trois piliers : 1) GPO centralisées avec des OU (Organizational Units) structurées par rôle serveur (DC, serveurs web, serveurs SQL, serveurs de fichiers) et des GPO de durcissement spécifiques à chaque rôle. 2) PowerShell DSC ou Ansible pour la configuration as code, permettant le déploiement automatisé et la détection de dérive. 3) Scanning continu avec CIS‑CAT, Nessus ou Qualys pour valider la conformité en continu et générer des tableaux de bord de couverture. Le taux de conformité cible est de 95 % minimum sur les contrôles critiques.
Quelle est la différence entre Credential Guard et LSASS protection ?
Credential Guard utilise la virtualisation (VBS) pour isoler les secrets dans un environnement sécurisé inaccessible au noyau Windows. C'est la protection la plus forte mais elle nécessite un matériel compatible (TPM 2.0, UEFI, virtualisation). LSA Protection (RunAsPPL) configure le processus LSASS en mode Protected Process Light, empêchant les processus non signés Microsoft d'y accéder. LSA Protection est plus légère, compatible avec plus de matériel, mais contournable par un attaquant avec des droits kernel. Les deux protections sont complémentaires et doivent être activées simultanément.
# Activer LSA Protection (RunAsPPL) — complémentaire à Credential Guard Set-ItemProperty -Path "HKLM:\\SYSTEM\\CurrentControlSet\\Control\\Lsa" -Name "RunAsPPL" -Value 1 ↪ -Type DWord
# Vérifier que LSA est en mode PPL après redémarrage Get-CimInstance -ClassName Win32_Process -Filter "Name='lsass.exe'" | Select-Object ProcessId, Name # Vérifier dans Event Log : System > Event ID 12 source "Wininit"
Comment auditer les modifications de GPO de durcissement ?
Les modifications de GPO sont tracées par l'Event ID 5136 (Directory Service Changes) sur les contrôleurs de domaine. Pour une granularité maximale, activez également l'audit SYSVOL via les propriétés de sécurité avancées du dossier SYSVOL. L'outil GPO Change Tracking intégré à AGPM (Advanced Group Policy Management) fournit un workflow d'approbation et un historique complet des versions. En l'absence d'AGPM, un script PowerShell planifié peut sauvegarder quotidiennement toutes les GPO et détecter les changements par comparaison de hash.
# Sauvegarder toutes les GPO pour détection de changement $backupPath = "E:\\Backup\\GPO\\$(Get-Date -Format 'yyyy-MM-dd')" New-Item -Path $backupPath -ItemType Directory -Force | Out-Null Get-GPO -All | ForEach-Object { Backup-GPO -Guid $_.Id -Path $backupPath | Out-Null # ... (extrait — voir documentation officielle)
Ayi NEDJIMI Consultants 33 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
Peut‑on appliquer le CIS Benchmark Level 2 sur un contrôleur de domaine ?
Oui, mais avec des précautions. Le CIS Benchmark Level 2 inclut des contrôles qui peuvent affecter la fonctionnalité et la performance du DC. Par exemple, l'audit exhaustif de tous les accès aux objets AD (Object Access) génère un volume de logs considérable qui peut impacter les performances. La désactivation complète de NTLM peut bloquer la jonction au domaine de certains équipements. L'approche recommandée est d'appliquer CIS Level 1 intégralement sur les DC, puis d'ajouter les contrôles Level 2 un par un en testant chaque impact. Les contrôles Level 2 marqués ”DC Only” dans le benchmark ont été spécifiquement testés pour les contrôleurs de domaine.
Quel est l'impact performance du durcissement sur Windows Server ?
L'impact performance est généralement inférieur à 5 % pour la majorité des mesures de durcissement. Les exceptions notables sont : Credential Guard (2‑3 % de surcharge mémoire due à la virtualisation), BitLocker (1‑5 % de surcharge I/O selon le matériel et le type de chiffrement), l'audit exhaustif (3‑8 % sur les DC très sollicités), et WDAC en mode enforcement (1‑3 % au lancement des applications). L'utilisation de SSD NVMe et de processeurs récents avec AES‑NI (accélération matérielle du chiffrement) réduit ces impacts à un niveau négligeable. Le gain en sécurité justifie largement cette surcharge marginale.
Comment maintenir le durcissement dans le temps ?
Le durcissement initial n'est que le début. La dérive de configuration (configuration drift) est le principal ennemi du durcissement à long terme. Un administrateur qui ouvre temporairement un port de pare‑feu pour un dépannage et oublie de le refermer, une mise à jour qui réactive un service désactivé, un nouveau logiciel qui nécessite d'assouplir une politique AppLocker — chaque événement érode le durcissement. La solution combine : 1) PowerShell DSC en mode continu pour détecter et corriger automatiquement les dérives, 2) Scans CIS‑CAT hebdomadaires avec alertes sur les régressions, 3) Revue trimestrielle de la politique de durcissement avec toutes les parties prenantes, et 4) Documentation systématique de toute exception avec date de péremption.
Comment intégrer le durcissement dans un pipeline CI/CD pour l'infrastructure ?
L'approche Infrastructure as Code (IaC) est la clé pour intégrer le durcissement dans les pipelines CI/CD. Les templates de durcissement sont versionnés dans Git (configurations DSC, scripts PowerShell, GPO exportées). Chaque modification passe par une pull request avec revue de code par un ingénieur sécurité. Le pipeline CI exécute des tests de conformité automatisés (Pester pour PowerShell, InSpec pour les audits CIS) sur une VM de test. Le pipeline CD déploie les configurations approuvées via Ansible, SCCM ou Azure Automation DSC. Les résultats des scans de conformité post‑déploiement alimentent un dashboard Grafana ou Power BI pour le suivi en temps réel.
# Exemple de test Pester pour valider le durcissement Describe "Windows Server 2025 Hardening" { Context "Protocoles réseau" {
Ayi NEDJIMI Consultants 34 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
It "SMBv1 doit être désactivé" { (Get-SmbServerConfiguration).EnableSMB1Protocol | Should -Be $false # ... (extrait — voir documentation officielle)
Conclusion : la sécurité comme processus continu
Le durcissement de Windows Server 2025 est un investissement stratégique qui transforme fondamentalement la posture de sécurité d'une organisation. Ce n'est pas un projet ponctuel mais un processus continu qui s'inscrit dans la stratégie globale de cybersécurité de l'organisation. Ce guide a couvert les 65 contrôles essentiels répartis en 12 domaines : installation sécurisée, gestion des identités, hardening Active Directory, GPO de sécurité, sécurisation réseau, durcissement des services, logging et monitoring, patch management, backup et recovery, et audit de conformité.
Les chiffres sont sans appel : un serveur Windows Server 2025 durci selon les recommandations de ce guide réduit sa surface d'attaque de plus de 80 % par rapport à une installation par défaut. La combinaison de Credential Guard (protection des credentials), WDAC (contrôle des applications), SMB encryption (protection des communications), BitLocker (protection des données au repos) et Sysmon (détection des menaces) constitue un ensemble défensif qui contraint significativement les capacités d'un attaquant, même disposant d'un accès initial au réseau.
Cependant, aucun durcissement n'est parfait. Les zero‑days continueront d'émerger, les techniques d'attaque évolueront, et les erreurs de configuration se produiront. C'est pourquoi le durcissement doit être complété par une capacité de détection (SOC/SIEM), de réponse aux incidents et de recovery testée et documentée. L'approche defense in depth (défense en profondeur) garantit qu'aucune couche de sécurité défaillante ne compromet l'ensemble du système.
L'importance de la documentation ne doit pas être sous‑estimée. Chaque mesure de durcissement appliquée doit être documentée avec sa justification, le référentiel source (CIS/Microsoft/ANSSI), la date d'application, le responsable, et les éventuelles exceptions accordées avec leur date de péremption. Cette documentation sert de référence pour les audits de conformité, les réponses à incidents (comprendre la configuration du serveur au moment de l'incident), et la formation des nouveaux administrateurs. L'utilisation de PowerShell DSC comme source de vérité (single source of truth) pour la configuration de durcissement facilite grandement cette documentation car la configuration est exprimée sous forme de code versionné dans Git.
La feuille de route recommandée pour une organisation débutant son programme de durcissement est la suivante : mois 1 — déployer les contrôles CIS Level 1 critiques (LAPS, SMB signing, désactivation protocoles obsolètes) ; mois 2‑3 — compléter avec CIS Level 1 et déployer Sysmon + logging avancé ; mois 4‑6 — implémenter CIS Level 2, Credential Guard, WDAC en mode audit ; mois 7‑12 — passer WDAC en enforcement, déployer DSC pour la conformité continue, intégrer dans le pipeline CI/CD. À l'issue de cette année, votre parc Windows Server sera l'un des plus sécurisés de votre secteur.
Il est essentiel de rappeler que le durcissement technique ne remplace pas une gouvernance de sécurité solide. Les contrôles techniques les plus sophistiqués sont contournables si les processus organisationnels ne suivent pas : gestion des accès sans revue régulière, exceptions de sécurité accordées sans date de péremption, comptes orphelins non désactivés après le départ d'un collaborateur, mots
Ayi NEDJIMI Consultants 35 Guide Rouge : Durcissement Windows Server 2025 — 65 Contrôles Mai 2026
de passe administrateur partagés entre équipes. La technologie doit être soutenue par des procédures documentées, des responsabilités clairement attribuées et un engagement de la direction pour allouer les ressources nécessaires au maintien du durcissement dans le temps. L'expérience montre que les organisations qui réussissent le mieux leur programme de durcissement sont celles qui le traitent comme un programme permanent intégré dans les opérations quotidiennes, et non comme un projet avec une date de fin.
Enfin, le durcissement Windows Server s'inscrit dans un écosystème de sécurité plus large. La sécurité d'un serveur durci est compromise si le réseau qui le connecte est plat et non segmenté, si les postes d'administration sont vulnérables, ou si les sauvegardes sont stockées sur un partage réseau accessible par un ransomware. Le modèle de tiering Active Directory, la segmentation réseau en micro‑segments, le déploiement de PAW (Privileged Access Workstations) pour l'administration, et la mise en place d'un SOC avec capacité de détection et réponse 24/7 sont des éléments complémentaires indispensables. Ce guide fournit les fondations techniques du durcissement serveur ; les guides complémentaires sur le tiering model AD, la sécurisation des postes de travail et la réponse aux incidents complètent le dispositif pour une défense en profondeur véritablement efficace.
Les 10 commandements du durcissement Windows Server 2025 :
• 1. Server Core tu installeras — 60 % de surface d'attaque en moins • 2. LAPS et gMSA tu déploieras — plus aucun mot de passe partagé ou statique • 3. Credential Guard tu activeras — les credentials ne seront plus volés • 4. SMBv1, NetBIOS, LLMNR, WPAD tu désactiveras — les outils d'attaque réseau deviendront inutiles • 5. AES256 pour Kerberos tu imposeras — Kerberoasting ne fonctionnera plus • 6. SeDebugPrivilege à personne tu n'attribueras — Mimikatz sera neutralisé • 7. Sysmon et Script Block Logging tu activeras — chaque action sera tracée • 8. Les sauvegardes 3‑2‑1 tu maintiendras — le ransomware ne sera plus fatal • 9. Les patches sous 30 jours tu appliqueras — les zero‑days seront comblés • 10. La conformité en continu tu vérifieras — la dérive de configuration sera détectée
Ayi NEDJIMI Consultants 36
Conclusion
Pour un accompagnement personnalisé sur le durcissement Windows Server 2025, contactez notre équipe.
Plongez dans le guide complet
Lecture en ligne avec sommaire interactif, pagination par chapitre et navigation rapide. Ou téléchargez le PDF.