Bonjour,
 
L'actu du piratage ces derniers temps n'étant pas réjouissante du tout, je me suis dit que ça serait utile que je m'inquiète un peu d'améliorer globalement la sécurité de mon petit réseau et des machines qu'il y a dessus, donc je viens chercher des avis éclairés

Voilà un peu à quoi ça ressemble pour le moment :

- Un réseau sur un switch non manageable avec quelques machines :

• Un serveur sous Windows Server 2022 (allumé 24h/24, qui sert plein de trucs en interne mais qui n'a que le port 443 d'ouvert sur Internet), Firewall Windows et Windows Defender activés. La machine est toute récente donc je ne lui ai pas encore installé d'AV.
• Plusieurs machines sous Windows 10 : ordi portable de boulot, PC fixe (avec Avira d'installé et MBAM), ordi portable personnel, un pc dans mon atelier qui sert de temps en temps... Là encore, Firewall Windows et Windows Defender activés.
• Deux NAS (QNAP et Synology), aucun n'est ouvert à l'accès depuis Internet
• Des trucs connectés qui vivent dans leur coin relativement passivement genre TV, ampli HC... Pas de gadget Amazon Echo ou autre.
• Une freebox révolution (V6) directement branchée au switch avec tout le reste, qui sert de routeur avec juste quelques ouvertures de ports qui pointe directement vers le serveur. Pas de routeur autre que la box ni de firewall hardware.

Quelques précisions :
- Les machines Windows sont à jour évidemment.
- Mon réseau n'est pas accessible physiquement de l'extérieur.
- Le Wifi est totalement désactivé sur la box. Si un invité doit se connecter, il utilise son smartphone ou si je lui file du RJ45 il ne devrait donc accéder qu'à la box et je serai pas loin.
- Mes accès SMB sont tous protégés par login/mdp.
- J'ai pas d'enfant ou de boulet à la maison qui peut télécharger et ouvrir tout et n'importe quoi.
- J'active les features du genre "Master password" dans mon browser et mon client mail pour éviter (un peu) qu'on me suce tous mes mots de passe si un spyware se glisse.
- Pour les ordis portables (pas le fixe ni le serveur) mes données sensibles sont dans des conteneurs Veracrypt.

J'hésite notamment sur l'achat d'un "vrai" antivirus/antimalware avec surveillance du client mail (Thunderbird) et chasse aux ransomwares. Windows Defender fait déjà pas mal, mais ça reste minimaliste.
En plus des AV, j'ai déjà essayé les trucs gratuits genre Spybot, MalwareBytes... Certains semblent très bien d'ailleurs et si des gratuits font ça très bien, je suis aussi preneur évidemment.

Un firewall logiciel plus pratique que celui de Windows m'intéresse aussi (notamment pour les ouvertures de port entrants / sortants, quitte à ce qu'il me pose des questions pour créer ma white list petit à petit).

C'est un peu la jungle les antivirus... Cependant, je vois beaucoup revenir TotalAV qui a l'air très complet et ne coûte quasiment rien et fait FW en même temps, je ne l'ai pas essayé par contre. Plutôt que cumuler plein de logiciels (AV + FW + antimalware...) les solutions "tout en un" ont un intérêt certain.

Du coup si j'investis, il me faut un truc installable sur au moins trois postes, dont le Windows Server. Côté RAM les machines sont gavées (16 ou 32Go) mais j'aimerais bien un truc pas trop lourd niveau CPU évidemment.

Je suis aussi curieux de suggestion d'outils "d'audit réseau" simples à utiliser (qui ne requièrent pas 6 mois d'expertise sur Kali donc ) qui scannent le réseau à la recherche de bizarrerie (une machine en mode passoire où le firewall ne serait pas activé, un accès SMB non sécurisé, test d'accès à l'ip publique depuis le net pour voir si y a rien de trop ouvert...) si ça existe ?

J'ai trouvé plus logique de poster dans Windows & Software plutôt que dans Réseaux parce que je pense que les mesures seront à 95% soft et pas hard mais c'est négociable .

Merci pour vos idées

Bonjour,
Étant donné tes conditions d'utilisation prudentes as-tu des arguments sérieux pour utiliser autre chose que Windows Defender et le Firewall qui vient avec?
Avec une utilisation voisine je n'ai jamais vu la queue d'un malware.
Voir mes configurations, il n'y en a rarement plus de 3 ou 4 en activité en même temps. Pas de serveur accessible depuis Internet.
Je regarderai avec intérêt  les conseils qu'on va te donner, faute d'en avoir moi-même.

As-tu pensé à activer le firewall IPv6 de la FB ? Free avec sa manie de le désactiver par défaut... tes machines sont potentiellement à poil en v6 sur le net (modulo le FW de chacune)

Par contre si tu héberges en v6, je crois qu'il ne faut pas l'activer sinon plus rien ne passe car ces c*ns n'ont pas donné la possibilité d'ouvrir des ports. Enfin, c'était comme ça en 2019, j'espère que ça a évolué depuis...

Non parce que c'est la toute première fois que j'en entends parler
Je viens d'aller faire un tour dans l'interface d'admin de ma box et j'ai découvert la case qui n'était effectivement pas cochée . Merci pour l'info.

Je suis en fibre et en IP v4 fixe "full range" sur les ports de l'extérieur, j'y ai bien veillé justement pour cette question d'hébergement.
J'imagine que l'option n'a donc pas d'effet (je suppose que si tout est bien routé en v4 il n'y a pas l'accès direct aux machines de l'extérieur en v6 même si le protocole le supporte ?) mais c'est toujours bon à cocher si un jour je passe en V6 (peu probable, surtout avec cette même box).

Pas d'autre argument que la prudence et l'utilisation dans le cadre professionnel .
 
Jamais eu de souci non plus, mais j'imagine que les milliers de grosses boîtes qui se sont faites avoir ces dernieres années se croyaient en sécurité avec des précautions bien plus importantes, pourtant ça s'est mal fini . Donc je me dis qu'entre couler ma boîte, perdre des semaines, avoir toutes mes données dans la nature... Ou investir 40€ par an, le deuxième choix peut être intéressant

OK pour milieu pro, ça peut orienter mieux les futures réponses.