Windows en mode Core présente de nombreux avantages, bien qu’il ne semble pas encore être largement adopté.
Parmi ses atouts, nous notons une réduction de la surface d’attaque, une consommation minimale des ressources, une stabilité accrue, des performances optimisées, ainsi qu’une gestion facilitée à distance.
De plus, il s’adapte parfaitement à la conteneurisation et à la virtualisation.
Par extrapolation, Windows en mode Core est principalement conçu pour les environnements serveurs ainsi que des systèmes exigeant des performances optimales avec une sécurité renforcée, à l’instar de l’annuaire Active Directory.
L’absence d’interface graphique sur un contrôleur de domaine Active Directory incite naturellement les administrateurs à exploiter les PAW (Protected Admin Workstations) ou les serveurs de rebond. L’objectif reste de réaliser les tâches d’administration à distance en utilisant les outils classiques, tels que RSAT et PowerShell.
Nous percevons véritablement de nombreux avantages, tant en termes de sécurité, que de rapidité et de stabilité.
Installation d’Active Directory sur Windows en mode Core
Deux cas sont à considérés :
| Nouvelle installation | Installation dans un environnement existant |
|
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools Install-ADDSForest -DomainName neoconsultin.lab Install-ADDSForest -DomainName neoconsultin.lab -DatabasePath $dbpath -LogPath $logpath -SysvolPath $sysvolpath |
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools Install-ADDSDomainController -DomainName neoconsultin.lab Install-ADDSForest -DomainName neoconsultin.lab -DatabasePath $dbpath -LogPath $logpath -SysvolPath $sysvolpath |
Pour explorer davantage d’options liées à la cmdlet Install-ADDSDomainController, il vous suffit de consulter le lien précédemment mentionné.
Le mot de passe DSRM (Directory Services Restore Mode) vous sera requis et demandé.
Un redémarrage est nécessaire pour compléter / finaliser l’installation.
Le processus d’installation est entièrement automatisable, ce qui le rend donc idéal pour un déploiement à grande échelle dans des environnements complexes.
Administration Active Directory et Windows en mode Core
Il est possible de le faire localement sur chaque contrôleur de domaine via des ligne de commande PowerShell par exemple, ou à distance, toujours en ligne de commande ou à l’aide des outils RSAT (Remote Server Administration Tools).
Cependant, l’idée principale est d’administrer Active Directory sans se connecter directement aux contrôleurs de domaine, car le principe de base est d’éviter toute connexion directe pour des raisons de sécurité évidentes.
Il est recommandé ainsi de désactive le lancement automatique de SConfig. Cela est faisable à l’aide de la commande suivante : Invoke-Command -ComputerName dc001.neoconsultin.lab -ScriptBlock {Set-Sconfig -AutoLaunch $false}
Les tâches courantes d’administration peuvent être effectuées depuis une machine tierce mais dédiée du T0.
Prérequis de l’administration à distance
Pour administrer le serveur Windows en mode Core, il y a quelques prérequis :
- Adresse IP statique ou fixe en tout cas :
Vous pouvez configure celle-ci à l’aide du menu SConfig (option 8) ou directement en ligne de commande PowerShell
Get-NetIPInterface | ? {$_.AddressFamily -eq ‘IPv4’}
New-NetIPaddress -InterfaceIndex 12 -IPAddress 192.168.30.100 -PrefixLength 24 -DefaultGateway 192.168.30.2
Set-DNSClientServerAddress –InterfaceIndex 12 -ServerAddresses 192.0.300.100
- Activation de WinRM :
Enable-PSRemoting -Force
- Ouverture des ports WinRM :
Set-NetFirewallRule -Name WINRM-HTTP-In-TCP -Enabled True
Set-NetFirewallRule -Name WINRM-HTTPS-In-TCP -Enabled True
Pour rappel, les ports nécessaires sont 5985/tcp et 5986/tcp.
Enfin, il faut également disposer des droits ad hoc.
Autres commandes nécessaires pour Windows en mode Core
L’idée est de vous présenter quelques commandes essentielles pour poser des bases solides et garantir la bonne configuration de votre Windows en mode Core dès le début.
- Changement de nom de l’ordinateur :
Rename-Computer -NewName dc001 -Force | Restart-Computer -Force
- Jointure au domaine :
Add-Computer -DomainName neoconsultin.lab -Restart
- Déploiement d’un certificat SAN :
Get-Certificate -Template ‘LDAPS-Certificate’ -CertStoreLocation Cert:\LocalMachine\My -SubjectName ‘CN=dc001.neoconsultin.lab’ -DnsName ‘ldaps.neoconsultin.lab’,’dc001′,’dc001.neoconsultin.lab’
La cryptographie joue un rôle crucial en matière de sécurité. Par exemple, si vous souhaitez chiffrer les communications en LDAPS avec vos applications, il est essentiel que votre Windows en mode Core puisse utiliser un certificat émis par votre PKI.
- Activation et contrôle du firewall :
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True
Set-NetFirewallProfile -DefaultInboundAction Block -DefaultOutboundAction Allow -NotifyOnListen False -AllowUnicastResponseToMulticast True -LogFileName %SystemRoot%\System32\LogFiles\Firewall\pfirewall.log
Conclusion
En définitive, Windows en mode Core offre une solution légère et optimisée, particulièrement adaptée aux environnements où la performance et la sécurité sont primordiales.
L’absence d’interface graphique réduit la surface d’attaque et les ressources nécessaires. Cela rend Windows en mode Core plus sécurisé et moins vulnérable aux menaces externes.
Cependant, cette approche nécessite une gestion à distance efficace et une bonne maîtrise des outils, dont ceux en ligne de commande.
Lorsqu’il est bien configuré, Windows en mode Core constitue un choix puissant et sécurisé pour les administrateurs œuvrant à minimiser les risques.