Durcissement Windows Server 2025 — Le guide complet : 96 contrôles ANSSI/NIS2

Guide durcissement Windows Server 2025 : 96 contrôles, PowerShell, GPO, ANSSI/NIS2/CIS. PAW, Credential Guard, LDAP Signing, Kerberos. PDF gratuit.

Ayi NEDJIMI

Expert Cybersécurité & IA

min lecture

PDF offert

Français

Le livre Durcissement Windows Server 2025 est le guide de référence francophone pour sécuriser vos environnements Windows Server en production. Rédigé par Ayi NEDJIMI, expert cybersécurité avec plus de 25 ans d'expérience Microsoft, ce livre couvre les 96 contrôles de durcissement recommandés par l'ANSSI, CIS Benchmark Level 2 et NIS2 — des architectures Active Directory sécurisées à Credential Guard, PAW et LDAP Signing.

96 contrôles de durcissement en 12 domaines
Scripts PowerShell prêts à l'emploi pour chaque mesure
Conformité ANSSI BP-028, CIS Benchmark Level 2, NIS2 Art. 21
Compatible Windows Server 2025, 2022 et 2019
GPO exportables et exemples de configuration

Les 12 domaines couverts

Ce guide s'articule autour de 12 domaines de sécurité, chacun avec ses contrôles, scripts PowerShell et mappings réglementaires :

Domaine 1 — Installation et Configuration de Base

Installation sécurisée, BitLocker dès la mise en production, désactivation des services inutiles, hardening du BIOS/UEFI.

Domaine 2 — Active Directory et Identités

Tiering Model à 3 niveaux, RODC sécurisés, Authentication Silos, Protected Users.

Domaine 3 — Kerberos et Authentification

Rotation KRBTGT, AES-256 exclusif, Kerberos Armoring (FAST), protection contre Kerberoasting et AS-REP Roasting.

Domaine 4 — NTLM et Protocoles Hérités

Réduction progressive NTLM, blocage LM/NTLMv1, LDAP Signing et Channel Binding, désactivation LLMNR, mDNS, NetBIOS.

Domaine 5 — Accès Privilégiés

PAW, JIT Access, LAPS v2, intégration CyberArk/WALLIX/BeyondTrust.

Domaine 6 — PKI et Certificats

PKI à 2-3 niveaux, Offline Root CA, LDAPS, certificats d'authentification, révocation automatisée.

Domaine 7 — Réseau DNS/DHCP/SMB

SMB Signing/Encryption, désactivation SMBv1, DNSSEC sur zones AD, sécurisation DHCP, DNS over HTTPS hybride.

Domaine 8 — Credential Guard et VBS

Credential Guard, HVCI, Device Guard, WDAC, TPM 2.0, Secure Boot. Protection LSASS contre Mimikatz.

Domaine 9 — Audit et Journalisation

Politiques d'audit avancées, événements critiques (4624, 4662, 4768, 5136), Sysmon sur DC, intégration Wazuh/Sentinel, rétention sécurisée.

Domaine 10 — GPO et Configuration Centralisée

Référentiel GPO exportables, baselines Microsoft Security, CIS L2, ANSSI. Scripts de déploiement et vérification de conformité en masse.

Domaine 11 — Sauvegarde et Continuité

Sauvegarde AD-aware, protection anti-ransomware des backups, test restauration, procédures forest recovery.

Domaine 12 — Conformité et Reporting

Mapping NIS2 Art. 21, ISO 27001, ANSSI BP-028. Rapports automatisés, indicateurs de maturité, préparation audits.

Extrait — Durcissement Kerberos

# Forcer AES-256, bannir RC4 et DES
Get-ADDefaultDomainPasswordPolicy | Select KerberosEncryptionType

# Comptes utilisant encore RC4
Get-ADUser -Filter * -Properties msDS-SupportedEncryptionTypes |
    Where { ($_.'msDS-SupportedEncryptionTypes' -band 4) -and
            -not ($_.'msDS-SupportedEncryptionTypes' -band 16) } |
    Select SamAccountName

# Audit Kerberos complet
AuditPol /set /subcategory:"Kerberos Service Ticket Operations" /success:enable /failure:enable

À qui s'adresse ce livre ?

Administrateurs systèmes qui sécurisent des serveurs Windows Server 2025
RSSI et DSI qui doivent démontrer la conformité NIS2
Auditeurs et consultants en architecture AD et Windows Server
Équipes SOC qui monitorent les contrôleurs de domaine
Certifiés Microsoft (SC-300, AZ-500, MS-500)

Ressources complémentaires : Articles techniques AD, Checklists conformité, Autres livres blancs.