Ce projet documente le déploiement d'une infrastructure d'entreprise résiliente sous Windows Server 2022. Réalisé dans le cadre de mon titre TSSR, ce lab intègre la haute disponibilité (DHCP), la sécurité avancée (Hardening GPO/PKI) et l'automatisation (WDS/MDT).
Domaine :
tssr-vm.techLAN :192.168.197.0/24
L'infrastructure repose sur 4 serveurs interconnectés. Le schéma ci-dessous détaille la topologie logique, incluant le Cluster DHCP et la hiérarchie de confiance PKI.
| Serveur | Rôle Principal | Détails Techniques |
|---|---|---|
| SRV-01 | Contrôleur de Domaine | AD DS, DNS, DHCP (Primaire). |
| SRV-02 | Déploiement | WDS, MDT, DHCP (Secondaire/Failover). |
| SRV-03 | Fichiers | Serveur de Fichiers, DFS Namespace. |
| SRV-04 | Sécurité (PKI) | Autorité de Certification (Sub-CA / Web Enrollment). |
Le schéma ci-dessous illustre le flux de distribution des certificats et l'application des stratégies de sécurité dans l'infrastructure :
graph TD
subgraph "Niveau 1 : Racine (Hors-ligne)"
RootCA["CA Racine Autonome (Offline)"] -- "Signature (.req)" --> SubCA
end
subgraph "Niveau 2 : Infrastructure Active Directory"
SubCA["SRV-04 : CA Entreprise (Sub-CA)"]
AD["Active Directory (AD DS)"] --- SubCA
end
subgraph "Niveau 3 : Sécurité & Clients"
GPO["GPO : Auto-Enrollment"]
SubCA -- "Délivrance via GPO" --> PC["Postes Clients (Windows 10)"]
SubCA -- "Certificat Code Signing" --> PS1["Signature Scripts PowerShell"]
end
style RootCA fill:#f96,stroke:#333,stroke-width:2px
style SubCA fill:#69f,stroke:#333,stroke-width:2px
style PS1 fill:#9f9,stroke:#333,stroke-width:2px
L'environnement est durci (Hardening) et standardisé pour répondre aux exigences de sécurité d'entreprise.
- Hardening (Durcissement) : Désactivation de l'invite de commande (CMD), blocage des ports USB (DLP) et restriction du Panneau de Configuration.
- Standardisation : Mappage automatique des lecteurs réseaux (P:/S:) et déploiement des fonds d'écran par service.
- Juridique : Message d'avertissement légal à l'ouverture de session.
Mise en œuvre d'une PKI à 2 niveaux (Racine Offline + Sub-CA Enterprise) pour gérer l'identité numérique.
- Code Signing : Signature numérique des scripts PowerShell pour empêcher l'exécution de code malveillant (
AllSigned). - Timestamping : Utilisation d'un serveur de temps pour garantir la validité des signatures.
Industrialisation de l'installation des postes clients (Windows 10) via le réseau (PXE).
- Conversion d'images (
install.esd➔install.wim) avec DISM. - Séquence de tâches "LiteTouch" configurée pour une installation sans intervention.
(Démarrage PXE et sélection de la séquence de tâches MDT)
Pour le détail technique pas-à-pas et les preuves de configuration, consultez les rapports officiels (PDF) :
| Document | Contenu Technique |
|---|---|
| Dossier Technique AD DS | Configuration AD, Failover DHCP et DNS. |
| Procédure Déploiement | Guide WDS/MDT et conversion d'images. |
| Procédure Administration GPO | Hardening, Sécurité USB/CMD et Sauvegardes. |
| Procédure Administration PKI | Installation CA, Certificats et Signature de code. |
| Galerie des Captures | Voir toutes les preuves en image. |
Projet réalisé par Souhan Fernandez. Code et documentation sous licence MIT.