Étude de cas : Exploiter un Windows Server 2022
Mise en place d’un domaine Active Directory techdata.local, application d’une PSSI par GPO, durcissement des sessions, politique de mots de passe, et automatisation de sauvegardes par script Batch + tâche planifiée.
Contexte & objectifs
Contexte “TechnoData Services” : mission confiée par le responsable sécurité pour appliquer les règles de la PSSI sur un domaine Active Directory, sécuriser les postes, et automatiser certaines opérations afin d’améliorer sécurité et productivité.
Objectifs : centraliser l’administration via AD, sécuriser les sessions, mettre en place des GPO, automatiser des tâches via scripts + tâches planifiées, et garantir la conformité à la PSSI.
Environnement du lab
| Élément | Paramètres |
|---|---|
| Hyperviseur | Type 2 (lab local) |
| Contrôleur de domaine | SRV-DC – Windows Server 2022 – IP 172.16.1.2/24 |
| Domaine | techdata.local (NetBIOS : TECHDATA) |
| Client | CLT02 – Windows 11 Pro – IP 172.16.1.101/24 – joint au domaine |
| Admin | Administration via RDP + consoles AD / GPMC |
Architecture
Le lab est volontairement minimaliste (1 DC + 1 client) pour se concentrer sur la gouvernance AD, l’application des GPO et la traçabilité des tests.
Réseau interne : 172.16.1.0/24
┌───────────────────────────┐
│ SRV-DC (WS2022) │
│ - AD DS / DNS │
│ - GPMC / SYSVOL │
│ - Partage : \SRV-DC\Sauvegardes\%username% │
│ IP : 172.16.1.2 │
└─────────────┬─────────────┘
│
┌─────────────┴─────────────┐
│ CLT02 (Win11 Pro) │
│ - Joint au domaine │
│ - gpupdate / tests GPO │
│ - Script Batch + tâche 22h │
│ IP : 172.16.1.101 │
└─────────────────────────────┘Bonnes pratiques : snapshot des VMs après jalons (AD déployé, GPO validées) pour faciliter le rollback et sécuriser les étapes critiques.
Exigences PSSI
Les règles PSSI ci-dessous guident directement les choix de configuration (durcissement, contrôle d’accès, mots de passe, sauvegarde, automatisation). L’objectif du projet est de prouver la conformité par des tests interprétés et des traces (captures, logs, observateur d’événements).
| Règle | Exigence | Implémentation dans le lab |
|---|---|---|
| PSSI-AUTH1 | MDP ≥ 12, complexité, expiration 90 j, historique 5 | Paramétrage dans la Default Domain Policy + test de création/MDP non conforme |
| PSSI-AUTH2 | Verrouillage après 5 échecs, 2 min, reset 10 min | Ajout en plus pour renforcer la résistance à la force brute |
| PSSI-AUTH3 | Inactivité > 15 min → verrouillage / retour écran de connexion | GPO “PSSI-Session” (900 s) + validation sur poste client |
| PSSI-HARD1 | Interdire Panneau de configuration aux utilisateurs standards | GPO “PSSI-Session” – restriction “Panneau de configuration” + test |
| PSSI-ACL1 | Autoriser ICMPv4 vers le serveur AD depuis 172.16.1.0/24 (Domaine/Privé) | Règle PF Defender “PSSI-ACL1” (ICMPv4) + tests ping aller/retour |
| PSSI-BCUP2 | Sauvegarder “Mes documents” tous les soirs à 22h sur SRV-DC | Script Batch + tâche planifiée “SauvegardeUtilisateur” + logs + Event Viewer |
| PSSI-AUTH4 | Désactiver automatiquement un compte inactif > 60 jours | Règle identifiée (piste d’amélioration : script PowerShell planifié) |
Mise en œuvre
Activité 1 — Administration & accès
- Création VM SRV-DC et promotion en contrôleur de domaine techdata.local.
- Intégration du client CLT02 au domaine (réseau interne partagé).
- Activation et test de l’accès RDP depuis le poste client.
- Création de la règle pare-feu PSSI-ACL1 (ICMPv4) + tests de ping dans les deux sens.
Activité 2 — GPO : sessions & durcissement
- Création d’OU dédiées (Utilisateurs, Ordinateurs) pour isoler la portée des GPO.
- GPO PSSI-Session : verrouillage/retour écran de connexion après 900 secondes d’inactivité.
- Durcissement : interdiction d’accès au Panneau de configuration pour utilisateur standard.
- Validation :
gpupdate /force+ tests fonctionnels côté client. - GPO PSSI-Cleaning : désactivation des widgets Windows 11 via templates ADMX centralisés dans SYSVOL.
Activité 3 — Politique de mot de passe & verrouillage
- Configuration dans la Default Domain Policy : longueur minimale, complexité, expiration, historique.
- Ajout de la règle de verrouillage de compte (5 tentatives, 2 minutes, reset 10 min).
- Test sur CLT02 avec un mot de passe non conforme → refus attendu.
Automatisation
Objectif : appliquer PSSI-BCUP2 — sauvegarde quotidienne des documents utilisateurs vers un partage centralisé sur le DC, avec une traçabilité exploitable (logs + événements).
1) Partage serveur
- Création d’un dossier partagé \SRV-DC\Sauvegardes.
- Vérification de l’accessibilité depuis le poste client (droits + connectivité).
2) Script Batch (sauvegarde + logs)
Le script copie le dossier Documents du profil utilisateur vers le partage réseau et écrit un journal de sauvegarde.
@echo off
setlocal EnableExtensions EnableDelayedExpansion
REM --- Dossiers ---
if not exist "C:\Scripts" mkdir "C:\Scripts"
if not exist "C:\Logs" mkdir "C:\Logs"
REM --- Horodatage (YYYY-MM-DD HH:MM:SS) ---
for /f "tokens=1-3 delims=/" %%a in ("%date%") do (
set dd=%%a
set mm=%%b
set yy=%%c
)
set ts=%yy%-%mm%-%dd%_%time:~0,2%-%time:~3,2%-%time:~6,2%
set LOG=C:\Logs\sauvegarde_%username%_%ts%.log
echo ================================== >> "%LOG%"
echo [%date% %time%] Sauvegarde en cours pour %username% >> "%LOG%"
REM --- Sauvegarde ---
xcopy "C:\Users\%username%\Documents" "\\SRV-DC\Sauvegardes\%username%\" /E /Y >> "%LOG%"
REM --- Statut ---
set RC=%ERRORLEVEL%
if "%RC%"=="0" (
echo [%date% %time%] Sauvegarde terminée avec succès (RC=%RC%) >> "%LOG%"
) else (
echo [%date% %time%] ERREUR sauvegarde (RC=%RC%) >> "%LOG%"
)
echo ================================== >> "%LOG%"
endlocal3) Tâche planifiée (22h00)
- Création de la tâche “SauvegardeUtilisateur” dans
taskschd.msc. - Déclencheur : tous les jours à 22h00.
- Action : exécuter
C:\Scripts\Sauvegarde.bat. - Traçabilité : log + journal TaskScheduler/Operational (preuve d’exécution et statut).
Livrables
Procédure / compte rendu (PDF)
Le compte rendu complet : contexte, étapes, tests, captures et conclusion.
Sujet + exigences PSSI (PDF)
Le sujet d’activité : objectifs, règles PSSI et consignes de validation.