I) Introduction
Dans ce module, nous allons approfondir la sécurisation de Windows Server (comptes, GPO, audit, firewall, antivirus) et la mise en place de la haute disponibilité (clusters, réplication Hyper-V, sauvegardes, équilibrage réseau). Objectif : garantir intégrité, confidentialité et disponibilité de vos services.
II) Sécurité Windows Server
A. Gestion des comptes et stratégies
- Configurer des politiques de mot de passe : complexité, longueur minimale, expiration.
- Appliquer des règles de verrouillage de compte après X tentatives échouées.
- Utiliser des groupes de sécurité pour contrôler les accès aux ressources.
# Vérifier politiques locales
secpol.msc
# Exemple via PowerShell
net accounts /minpwlen:12 /maxpwage:30 /lockoutthreshold:5
B. Stratégies de groupe (GPO) de sécurité
Les GPO appliquent des paramètres de sécurité uniformes : interdiction de ports USB, scripts de connexion, audit.
# Exemple : bloquer panneau de configuration
User Configuration → Administrative Templates → Control Panel → Prohibit access
C. Pare-feu avancé
Configurer Windows Defender Firewall avec règles entrantes/sortantes.
# Liste des règles
Get-NetFirewallRule
# Bloquer le port RDP (TCP/3389)
New-NetFirewallRule -DisplayName "Blocage RDP" -Direction Inbound -Protocol TCP -LocalPort 3389 -Action Block
D. Antivirus & antimalware
# Vérifier état de Windows Defender
Get-MpComputerStatus
# Scan rapide
Start-MpScan -ScanType QuickScan
E. Audit et journaux
# Journal sécurité
eventvwr.msc
# Audit connexion AD
Audit logon events → Success & Failure
Conseil : Activez l’Advanced Threat Protection (ATP) si disponible, et centralisez vos logs avec un SIEM (ex. Wazuh, Splunk).
III) Haute Disponibilité
A. Clustering de basculement
Permet à plusieurs serveurs de fonctionner comme un seul système hautement disponible. Utilisé pour SQL, Hyper-V, fichiers.
# Installer rôle
Install-WindowsFeature Failover-Clustering -IncludeManagementTools
# Valider cluster
Test-Cluster -Node SRV1,SRV2
# Créer cluster
New-Cluster -Name ClusterProd -Node SRV1,SRV2 -StaticAddress 192.168.1.250
B. Stockage partagé
- iSCSI Target Server pour un SAN logiciel.
- SAN matériel ou Storage Spaces Direct.
C. Réplication Hyper-V
# Activer réplication
Enable-VMReplication -VMName "VM-Prod" -ReplicaServerName "SRV-HV2" -AuthenticationType Kerberos -CompressionEnabled $true
D. Sauvegarde et restauration
# Installer Windows Server Backup
Install-WindowsFeature Windows-Server-Backup
# Sauvegarde complète
wbadmin start backup -backupTarget:F: -include:C: -allCritical -quiet
E. Équilibrage réseau (NLB)
Permet de répartir la charge réseau entre plusieurs serveurs web/RDP.
# Installer NLB
Install-WindowsFeature NLB -IncludeManagementTools
Attention : NLB ne remplace pas un cluster ; il équilibre la charge mais ne gère pas la tolérance de panne applicative.
IV) Dépannage et bonnes pratiques
- Surveiller
Event Viewer(sécurité, système, cluster). - Planifier des tests de basculement de cluster.
- Isoler les rôles critiques (AD, DNS, DHCP) sur des serveurs distincts.
- Utiliser des sauvegardes hors ligne pour prévenir les ransomwares.