Dans une architecture orientée défense active, un serveur de fichiers Windows Server Core peut devenir un verrou infranchissable si configuré en profondeur. Ce guide est destiné aux ingénieurs senior cybersécurité, intervenant en milieu hautement réglementé (ZRR, ITAR, zone OT), et met en œuvre des mécanismes avancés : AppLocker en mode audit + blocage, DACL conditionnelles, SMB isolé physiquement, intégrité NTFS obligatoire, alertes comportementales corrélées et supervision exportée vers un SIEM.
9. Isolation SMB via Hyper-V switch dédié + segmentation VLAN
Add-VMSwitch -Name "DataOnly" -SwitchType Internal
New-NetIPAddress -IPAddress 172.22.100.10 -PrefixLength 24 -InterfaceAlias "vEthernet (DataOnly)"
New-NetFirewallRule -DisplayName "SMB-Only-VLAN" -Direction Inbound -InterfaceAlias "vEthernet (DataOnly)" -LocalPort 445 -Protocol TCP -Action AllowEmpêche l’exposition du serveur sur des interfaces extérieures ou de gestion. Seule la zone de stockage peut accéder à SMB.
10. Protection dynamique via SRP (Software Restriction Policy)
New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers" -Name "TransparentEnabled" -Value 1 -PropertyType DWord
New-ItemProperty -Path "HKLM:\...\CodeIdentifiers" -Name "DefaultLevel" -Value 0x40000Empêche l’exécution de tout binaire ou script non explicitement autorisé (mode bloquant même hors session utilisateur).
11. Intégration directe avec Sysmon pour une traçabilité d’activité fichier
sysmon.exe -accepteula -i sysmonconfig-export.xml
# Inclure dans la conf : Event ID 11 (file create), 2 (file timestamp change), 23 (file delete)Permet de capturer en temps réel toute création, suppression, ou modification de fichier, même hors NTFS audit classique.
12. Chiffrement EFS forcé pour les fichiers métiers sensibles
cipher /e /s:D:\Data\PartageSecurise\FinanceProtège les données en transit ou en repos même face à une extraction de disque ou vol d’image VM.
13. Détection d’attaque par exfiltration via DNS tunnel ou PowerShell
$dnsEvents = Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-DNS-Client/Operational'; ID=3006} | Where-Object { $_.Message -like '**.zip*' }
if ($dnsEvents.Count -gt 10) {
Send-MailMessage -To "[email protected]" -Subject "Tentative exfiltration via DNS?" -SmtpServer smtpDétecte des noms de domaines suspects ou trop fréquents, typiques d’une tentative d’exfiltration par DNS covert channel.
14. Shadow copy interne journalisée et surveillée
vssadmin add shadowstorage /for=D: /on=D: /maxsize=5GB
vssadmin create shadow /for=D:
Get-WmiObject Win32_ShadowCopy | Select CreationTime, DeviceObjectPermet de détecter les suppressions massives ou manipulations par ransomware, avec sauvegarde automatique et vérifiable.
Conclusion renforcée
Avec ces mesures poussées, un serveur de fichiers devient un point de confiance pour les environnements classifiés. Aucun fichier ne peut être exécuté ou déplacé sans détection. La combinaison de journalisation niveau noyau (Sysmon), contrôle d’accès en profondeur (AppLocker, SRP), segmentation réseau et audit comportemental permet un contrôle opérationnel quasi militaire, sans interface graphique ni accès interactif permanent.
