Configuration initiale d'un VPS Windows après livraison
DOG&DEV · 25/01/2025
Configuration initiale d'un VPS Windows après livraison
Une fois votre VPS Windows livré par votre hébergeur, une configuration initiale soignée limite les risques d'intrusion et de dysfonctionnement. Ce guide détaille les étapes recommandées : renforcement de l'authentification, pare-feu, RDP, mises à jour et outils de base.
Prérequis
- Accès RDP à la machine (IP, identifiants Administrator fournis par l’hébergeur)
- Droits administrateur sur le VPS
- Connexion Internet fonctionnelle sur le VPS
1. Premier accès et mot de passe
Connectez-vous en RDP avec l’IP et le compte Administrator. En premier lieu, définissez un mot de passe fort (16 caractères minimum, majuscules, minuscules, chiffres, symboles). Évitez les mots du dictionnaire et les motifs prévisibles.
2. Créer un compte administrateur dédié
Créez un compte admin dédié et retirez l’usage quotidien du compte Administrator pour limiter les abus en cas de fuite de identifiants.
En PowerShell (exécuté en tant qu’administrateur) :
# Créer l’utilisateur (remplacez UserName et MotDePasse)
net user UserName MotDePasse /add
# Ajouter au groupe Administrateurs
net localgroup Administrators UserName /add
# Optionnel : exiger un changement de mot de passe à la première connexion
net user UserName /logonpasswordchg:yes
Ensuite, renommez ou désactivez le compte Administrator :
# Désactiver le compte Administrator (à faire une fois le nouveau admin opérationnel)
net user Administrator /active:no
À l’avenir, utilisez UserName pour vos connexions RDP. Conservez l’accès à Administrator via la console d’urgence (KVM/VNC) de votre hébergeur en cas de besoin.
3. Configurer le pare-feu avant de modifier le port RDP
Ordre recommandé : configurez d’abord une règle RDP sur le nouveau port, puis changez le port RDP dans le registre. Ainsi, vous évitez de vous retrouver enfermé dehors.
Exemple pour autoriser le port 55000 (TCP) pour RDP :
New-NetFirewallRule -DisplayName "RDP Custom" -Direction Inbound -Protocol TCP -LocalPort 55000 -Action Allow -Profile Any
Après avoir changé le port RDP (voir rdp-fix-login), connectez-vous avec IP:55000. Pour aller plus loin : windows-firewall, icmp-windows.
4. Windows Update
Lancez les mises à jour de sécurité. En interface graphique : Paramètres → Mise à jour et sécurité. En ligne de commande (option pratique sur Server Core) :
sconfig
Choisissez l’option 6 (Windows Update), puis A pour rechercher et installer. Redémarrez si demandé.
5. RDP : port et NLA
- Port par défaut : 3389 (TCP). Pour réduire les attaques par force brute, prévoyez de le modifier (procédure détaillée dans rdp-fix-login).
- NLA (Network Level Authentication) : laissez NLA activé pour exiger une authentification avant d’ouvrir une session bureau.
6. Outils de base
Installez selon vos besoins : navigateur, 7-Zip, éditeur de texte, outils de monitoring (Task Manager, Performances). Windows Defender est activé par défaut ; gardez les définitions à jour.
Dépannage
| Symptôme | Cause possible | Correctif |
|---|---|---|
| Impossible de se connecter en RDP | Pare-feu local ou hébergeur, mauvais port | Vérifier Test-NetConnection -ComputerName IP -Port 3389, règles pare-feu, port personnalisé IP:PORT |
| Compte verrouillé après trop de tentatives | Force brute sur le port RDP | Voir rdp-fix-login : changer de port, accès KVM pour débloquer |
| Mises à jour qui échouent | Service Windows Update, réseau | sconfig → option 6 ; vérifier proxy / DNS si applicable |
Bonnes pratiques
- Désactiver ou restreindre les services inutiles.
- Consulter régulièrement les journaux (Observateur d’événements) et les connexions (RDP, échecs d’authentification).
- Maintenir un antivirus (Defender) et les mises à jour.
- Appliquer les règles de pare-feu les plus restrictives possibles (par ex. RDP limité à votre IP ou à un VPN).
Ressources
Cet article s’inscrit dans notre série de guides hébergement et gaming. Pour un serveur sur-mesure, contact.