Je suis en train de reconfigurer et de sécuriser un serveur pour la petite entreprise pour laquelle je travaille. Nous l’utilisons pour stocker des fichiers de conception et d’autres données avec Autodesk Vault. Il fonctionne sur un VPS chez un fournisseur de serveurs à proximité.
La raison pour laquelle je fais cela est que nous avons été notifiés par notre fournisseur de serveurs qu’il reçoit des plaintes concernant le comportement de notre serveur sur Internet, indiquant qu’il est compromis dans une certaine mesure. Nous n’avons remarqué aucun problème autre que cela. Le serveur a été initialement configuré avant mon arrivée dans l’entreprise, et je n’ai pu trouver aucune documentation sur sa configuration. Il fonctionnait également sous Windows Server 2012, j’ai donc décidé de repartir de zéro avec un nouveau VPS sous Windows Server 2019. C’est la première fois que je travaille avec Windows comme système d’exploitation serveur, mais j’ai une certaine expérience de gestion de serveurs Ubuntu.
En regardant l’observateur d’événements sur l’ancien serveur, il y a des tentatives de connexion « 4625 Audit Failure » sans fin, mais aussi pas mal de connexions réussies qui ne proviennent ni de moi ni de notre organisation. Exemple d’un 4624 Audit Success :
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Impersonation Level: Impersonation
New Logon:
Security ID: ANONYMOUS LOGON
Account Name: ANONYMOUS LOGON
Account Domain: NT AUTHORITY
Logon ID: 0x9ABEAB7
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name:
Source Network Address: 117.45.167.129
Source Port: 11949
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V1
Key Length: 0
Donc, pour renforcer la sécurité du nouveau serveur, j’ai fait ce qui suit :
-
Choisi un mot de passe beaucoup plus sécurisé qu’avant
-
Installé IPBan (https://github.com/DigitalRuby/IPBan) qui bloque les adresses IP qui échouent aux tentatives de connexion utilisant divers services
-
Désactivé la connexion NTLM, conformément aux recommandations du guide d’installation d’IPBan
J’aimerais bloquer toutes les routes d’accès possibles en n’autorisant que Autodesk Vault, qui communique via HTTP(S) sur les ports 80/443 (je le configurerai probablement pour que seul HTTPS soit autorisé), et le bureau à distance, dont j’ai besoin pour gérer le serveur. Mais en regardant les règles par défaut du pare-feu Windows Defender, il y a des tonnes de ports ouverts par défaut. Je trouve cela un peu étrange sur un système d’exploitation serveur — je veux qu’il bloque tout ce que je n’autorise pas explicitement. Puis-je désactiver en toute sécurité tout cela sauf le RDP et HTTPS ? Est-ce que cela aide ? Ai-je manqué quelque chose d’évident dans ma procédure de renforcement ?
Capture d’écran des services autorisés dans le pare-feu Windows Defender
Bon week-end !