MFA pour les serveurs : MFA Windows Server Core avec UserLock
UserLock offre un moyen simple de mettre en œuvre la MFA sur Windows Server Core.
Publié le 12 novembre 2025)
)
)
)
Pour les administrateurs IT, l’installation de Windows Server est souvent un exercice d’équilibre. Plus l’empreinte du système d’exploitation est importante, plus il offre de fonctionnalités. Mais dans le même temps, une installation plus volumineuse consomme davantage de ressources, demande plus d’efforts de gestion et présente une surface d’attaque plus large pour les hackers.
Windows Server Core propose une installation Windows Server minimaliste, mais nécessite le même niveau de protection que tout autre serveur Windows : des mots de passe forts, des contrôles d’accès et l'authentification multifacteur pour les serveurs. UserLock offre un moyen simple de mettre en œuvre la MFA sur Server Core.
Depuis l’apparition de Windows Server Core en 2008, les administrateurs ont la possibilité d’installer cette version allégée de Windows, qui supprime les composants non nécessaires au fonctionnement de base du système d’exploitation.
En l’absence d’une interface graphique (GUI) de gestion, les administrateurs interagissent avec un serveur Windows Server Core via le langage de script en ligne de commande PowerShell ou à l’aide des outils d’administration de serveur à distance (Remote Server Administration Tools – RSAT), contrôlés depuis un autre PC.
Lorsqu’il est géré à distance, les sessions PowerShell constituent un risque de sécurité évident, d’autant plus que Server Core est largement utilisé dans des environnements virtualisés et sr site où la sécurité est critique.
Installer Windows Server de manière traditionnelle signifie installer une version incluant l’expérience de bureau complète (Desktop Experience GUI) ainsi qu’un ensemble de « rôles » serveur ajoutant différentes fonctionnalités.
Les administrateurs choisissent les rôles ou services dont le serveur a besoin. Cependant, chaque rôle occupe de l’espace et consomme des ressources lorsqu’il est actif.
C’est pourquoi aujourd’hui, l’idée d’une installation Windows unique et complète n’est plus automatique. Les administrateurs sélectionnent les composants nécessaires afin de réduire au minimum l’empreinte de Windows.
Windows Server Core incarne parfaitement cette approche. Conçu pour l’ère des serveurs virtualisés et sans interface (headless), Windows Server Core réduit la taille de l’installation du système d’exploitation d’une image standard de 11,2 Go à environ 4,8 Go.
Cela reflète l’évolution de Windows, passé d’un système d’exploitation monolithique à une architecture modulaire conçue pour répondre à des besoins multiples.
La principale contrepartie est que les administrateurs doivent être à l’aise avec l’utilisation de PowerShell sans l’aide visuelle d’une interface graphique, ce qui peut représenter un défi.
La faible empreinte de Server Core le rend idéal pour les serveurs on-premise où la réduction de la surface d’attaque est essentielle. C’est notamment le cas des serveurs assurant des rôles spécifiques au sein du réseau, tels que les contrôleurs de domaine, les serveurs d’impression et de fichiers, les serveurs web, les serveurs hébergeant les services Bureau à distance (RDS) et les hôtes virtualisés Hyper-V.
L’argument principal est la sécurité : moins il y a de composants Windows, moins il existe de vulnérabilités ou de risques de mauvaise configuration au fil du temps, ce qui limite les opportunités de compromission pour les attaquants.
Comme de nombreuses organisations, vous avez de bonnes raisons de continuer à investir dans des infrastructures on-premise.
Dans certains cas, les organisations évoluent dans des secteurs réglementés où les données doivent être conservées sur site pour des raisons de sécurité, ou elles doivent maintenir des systèmes existants difficiles à remplacer ou à mettre à niveau.
Cependant, si l’infrastructure on-premise offre davantage de contrôle, elle implique également un effort de gestion plus important.
Contrairement au cloud, l’ensemble de l’infrastructure, y compris les serveurs, relève exclusivement de leur responsabilité. Windows Server Core permet de limiter cette charge globale.
Néanmoins, la sécurité reste une préoccupation constante dans les environnements on-premise. Chaque accès à un serveur crée une opportunité de compromission. Cela est aussi vrai pour les serveurs Windows Server Core que pour toute autre image Windows.
En cas de problème, l’organisation est seule face à la situation. Dans un environnement on-premise, la responsabilité de la sécurisation d’un serveur Windows Server Core incombe entièrement à l’organisation qui en est propriétaire.
Aujourd’hui, chaque administrateur comprend le risque lié à la compromission des mots de passe. Ce risque est désormais si élevé que ce type d’identifiant ne constitue plus, à lui seul, une protection suffisante.
La solution consiste à mettre en place la MFA pour les serveurs — sur l’ensemble des serveurs — mais cette mise en œuvre n’est pas toujours simple.
D’une part, Windows Server ne dispose pas de mécanisme MFA intégré. Cela oblige souvent les organisations à construire leur propre solution à l’aide d’outils tiers.
UserLock constitue une solution parfaitement adaptée pour répondre à ce besoin. Conçu pour s’intégrer à votre Active Directory (AD) existant, UserLock permet un déploiement fluide de la MFA sur un large éventail de types de connexions, y compris Server Core.
Vous pouvez appliquer la MFA sur Server Core aux utilisateurs à privilèges accédant aux serveurs Server Core, en vous appuyant sur les mêmes paramètres d’accès — localisation, heure de la journée, utilisateur, groupe et unité organisationnelle (OU) — définis par les stratégies de sécurité Active Directory existantes.
Lorsque vous installez UserLock sur un serveur Windows Server Core, un agent spécifique est déployé sur ce serveur (pour l’utilisateur, rien ne permet de distinguer qu’il s’agit d’un agent spécifique, car l’installation est identique à celle des autres serveurs).
L’interface de l’agent de bureau UserLock utilise une bibliothèque MFC, qui est toujours disponible sur Server Core. Ainsi, même en l’absence d’interface graphique, UserLock peut afficher une boîte de dialogue permettant la saisie du code MFA.
Selon la manière dont les administrateurs accèdent à Server Core, la demande de mot de passe sur un serveur Server Core s’effectue généralement via la ligne de commande.
Avec UserLock en place, une fois que l’administrateur saisit ses identifiants, le serveur UserLock intercepte immédiatement l’appel provenant de l’agent de bureau sur l’ordinateur utilisé pour l’accès et affiche une demande MFA dans une petite boîte de dialogue.
En savoir plus sur l’installation de UserLock sur Windows Server Core.
Un OS plus léger, les mêmes défis de sécurité serveur : la MFA Windows Server Core est indispensable
Toute la philosophie de Server Core repose sur la réduction des efforts de gestion et de sécurité d’un serveur Windows en diminuant au maximum son empreinte. Cependant, malgré les avantages de cette approche, les administrateurs responsables de ces serveurs sont confrontés aux mêmes défis de sécurité que pour n’importe quel serveur Windows.
Réduire la surface d’attaque ne supprime pas la nécessité de corriger le serveur. Celui-ci doit toujours être protégé contre les intrusions en contrôlant les accès et en limitant l’accès à distance. Et bien que la MFA soit optionnelle sur ces serveurs, elle est aujourd’hui largement considérée comme essentielle à la sécurité des serveurs.
Comme on l’observe à maintes reprises, l’absence de MFA est un facteur récurrent dans les cyberattaques. Mettre en œuvre une MFA robuste pour les serveurs est indispensable, qu’ils exécutent Server Core ou non.
Le défi réside dans le fait que la MFA est une couche de sécurité qui est la plus efficace lorsqu’elle est appliquée à plusieurs ressources, plutôt que comme une solution isolée. Avec UserLock, vous pouvez déployer la MFA sur l’ensemble de vos ressources on-premise critiques, y compris Server Core.