Windows Server mode Core, un incontournable ?

L’Active Directory est un des composants principaux des systèmes d’information depuis maintenant plus de 20 ans. Utilisé par une grande majorité des entreprises, il offre de nombreux services, allant de l’authentification à la fourniture de certificat, articulés autour d’un service d’annuaire LDAP. 

Sa présence dans la quasi-totalité des parcs informatiques en fait donc la cible de choix des attaquants, qui l’utilisent souvent pour les phases d’élévation de privilèges et déplacements latéraux. 

Ainsi Microsoft estime que 95 millions de comptes AD sont cibles d’une attaque informatique chaque jour. On comprend donc aisément que la sécurisation de l’Active Directory est incontournable pour une entreprise.

Présentation

Le mode Core est un mode d’installation des systèmes d’exploitation Windows Server qui répond en partie à ce besoin de sécurité. En effet, il permet de conserver tous les avantages d’un Active Directory tout en sécurisant les serveurs en réduisant leur surface d’attaque. En sécurité, on appelle surface d’attaque les vecteurs par lesquels un attaquant peut s’introduire sur un système donné. Elle concerne donc aussi bien les vulnérabilités système que les faiblesses de configuration réseau ou les périphériques.


Concrètement un serveur installé en mode Core se présente sous la forme d’une invite de commande semblable à la très connue cmd.exe (voir Figure 1). L’affichage traditionnel du bureau Windows disparaît donc, ainsi que de nombreux pilotes périphériques audio et vidéo. Contrairement à ce qu’on pourrait penser de prime abord, le minimalisme de l’installation ne complexifie pas les tâches à effectuer sur les serveurs, uniquement à les sécuriser.

interface windows server 2016
Figure 1 : Interface de Windows Server 2016 en mode Core.

Impact sur la sécurité

Le mode Core offre les apports suivants :

  • Limitation des applications et services installés. A l’installation, uniquement les services nécessaires sont installés sur le serveur, même si la plupart des services Windows peuvent être installés. La liste complète des services disponibles est présente sur la documentation Microsoft. D’un point de vue sécurité, cela assure une réduction des failles et vulnérabilités inhérentes à chaque application. Un autre avantage est la diminution du nombre de patchs et mises à jour à appliquer sur les serveurs. Toujours dans l’objectif de réduire les failles sur le serveur, le mode Core ne permet pas de service d’hébergement de fichiers comme le FTP.

 

  • Réduction des connexions « en direct ». Même s’il est possible d’effectuer toutes les opérations d’administration de l’Active Directory via Powershell en se connectant sur le serveur mode Core, ce n’est pas forcément la manière dont on le sollicite principalement. En effet, il est beaucoup plus simple par l’administrateur d’utiliser les outils RSAT, qui permettent de se connecter sur le serveur distant depuis un poste de travail du domaine, et ainsi d’avoir les interfaces graphiques habituelles. Cela permet notamment de limiter encore plus les actions effectuées sur le serveur pour le réserver aux actions purement liée à l’Active Directory.

Administration

Comme indiqué précédemment, la seule différence au niveau de l’administration du mode Core avec le mode Desktop se trouve au niveau des outils utilisés. Au lieu d’utiliser directement les services présents dans le Gestionnaire de serveur, les administrateurs pourront :

  • Utiliser les outils RSAT (Remote Server Administration Tool). Ils permettent, depuis un poste de travail intégré à l’Active Directory, d’utiliser les services Windows activé sur un serveur. Par exemple, un administrateur pourra utiliser l’outil RSAT DHCP pour gérer à distance un serveur DHCP de l’Active Directory. Pour cela, le seul composant à installer sera le client RSAT correspondant sur le client.

 

  • Utiliser des commandes Powershell. Même si toutes les opérations d’administration sont faisables de cette manière, il est recommandé d’utiliser au maximum RSAT et de réserver le Powershell aux opérations d’administration du serveur mode Core.
service DHCP
Figure 2 : Utilisation de RSAT pour administrer le service DHCP sur un serveur en mode Core.

Passage du mode Desktop vers le mode Core

La phase de migration d’un serveur en mode Core se décompose en plusieurs étapes. Dans les anciennes versions de Windows Server, il était possible de simplement désactiver le service Windows correspondant à l’interface graphique pour réduire la surface d’attaque. Mais depuis Windows Server 2012, la procédure est plus longue car elle nécessite de créer un nouveau serveur et de le configurer comme l’ancien pour le remplacer. C’est pourquoi il est recommandé de tester la procédure complète sur un environnement de tests ou de pré-production avant de l’appliquer en production. Les étapes pour migrer un contrôleur de domaine mode Desktop vers le mode Core sont les suivantes :

  • Instancier (physiquement ou virtuellement) un nouveau serveur et y installer Windows Server Standard (pas Expérience utilisateur).
  • Transférer les rôles FSMO (s’il y en a) du serveur à migrer sur un autre contrôleur de domaine.
  • Déconnecter le serveur mode Desktop du réseau.
  • Configurer les paramètres réseau (IP, DNS) du serveur mode Core
  • Intégrer le serveur mode Core au domaine Active Directory et le promouvoir en tant que contrôleur de domaine.
  • Réinstaller les services nécessaires à la production sur le serveur mode Core.
  • Décomissionner l’ancien contrôleur.

 

Toutes ces actions sont réalisables à l’aide de commande Powershell. Avant de décomissionner le contrôleur en mode Desktop, il convient d’effectuer une batterie de tests sur le nouveau en mode Core pour vérifier qu’il peut bien le remplacer (par exemple, les tests de réplication SYSVOL, DNS…).

Conclusion

Le mode Core est donc une étape importante, si ce n’est incontournable, de la sécurisation de l’Active Directory. Au vu de la recrudescence des attaques contre celui-ci, il est primordial de diminuer le plus possible la surface d’attaque sur les contrôleurs de domaine. Mais le mode Core à lui seul n’assure pas toute la sécurité, il convient de s’intéresser également à des sujets tels que le Tiering et les procédures de sauvegardes.
mode Desktop/mode Core
Figure 2 : Synthèse de la différence mode Desktop/mode Core
  • Post published:7 janvier 2021
  • Post author:

Pierre_T

Consultant Cybersécurité - Sécurité Opérationnelle