Durcir un serveur WSUS sur Windows Server Core : sécurité et optimisation

Le rôle WSUS (Windows Server Update Services) permet de centraliser les mises à jour de sécurité. Mais mal sécurisé, il peut devenir un vecteur d’attaque ou un point de congestion réseau. Sur Windows Server Core, une configuration avancée via PowerShell permet de renforcer la résilience et la fiabilité du service tout en limitant la surface d’exposition.

1. Installer le rôle WSUS sans interface graphique

Install-WindowsFeature -Name UpdateServices -IncludeManagementTools

Sur Core, WSUS peut être administré à distance via la console MMC ou PowerShell uniquement.

2. Configurer le chemin de stockage sécurisé

Invoke-WSUSConfiguration -ContentDir "D:\WSUS\Updates" -LogDir "D:\WSUS\Logs"

Stocker les mises à jour sur un volume secondaire pour éviter la saturation du disque système.

3. Restreindre l’accès à WSUS en HTTPS uniquement

Set-ItemProperty -Path "HKLM:\Software\Microsoft\Update Services\Server\Setup" -Name "UseSSL" -Value 1

Chiffre les communications entre les clients et le serveur WSUS, indispensable en réseau distribué.

4. Durcir les accès IIS (si rôle co-installé)

Set-WebConfigurationProperty -Filter "/system.webServer/security/authentication/windowsAuthentication" -Name enabled -Value true -PSPath IIS:\
Set-WebConfigurationProperty -Filter "/system.webServer/security/authentication/anonymousAuthentication" -Name enabled -Value false -PSPath IIS:\

Bloque l’accès anonyme à l’interface WSUS via IIS, pour restreindre aux seuls comptes AD autorisés.

5. Planifier une synchronisation automatique scriptée

Get-WsusServer | Invoke-WsusServerCleanup -CleanupObsoleteUpdates -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates

Évite l’accumulation de mises à jour obsolètes, sources d’inefficacité ou de lenteurs.

6. Activer la journalisation d’accès au service WSUS

auditpol /set /subcategory:"Other Object Access Events" /success:enable /failure:enable

Utile pour suivre les connexions, scripts automatisés ou requêtes frauduleuses sur les endpoints WSUS.

7. Exporter les logs vers un collecteur centralisé (SIEM)

wevtutil qe Microsoft-Windows-WindowsUpdateServer/Operational /f:text > \\SIEM\wsus\update_activity.log

Intègre les événements dans un système de détection (Splunk, Graylog, ELK, etc.)

Conclusion

Un WSUS mal configuré devient rapidement un angle mort de sécurité. Sur Windows Server Core, chaque étape peut être scriptée, auditée et intégrée à un pipeline de supervision. Ce durcissement améliore la fiabilité du patching, la conformité réglementaire, et la résistance aux compromissions ciblant les canaux de mise à jour.