Accueil · Guides de révision · WS2025-SEC-1

Guide complet WS2025-SEC-1 — Microsoft

Windows Server 2025 Sécurité — Niveau 1 · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

WS2025-SEC-1 est un quiz de fin de formation Microsoft validant les fondamentaux de la sécurité Windows Server 2025. Destinée aux administrateurs systèmes, techniciens IT et étudiants en cybersécurité, cette certification foundation couvre Secured-core, VBS, Credential Guard, DNSSEC et Active Directory. Format QCM de 65 questions en 90 minutes, score requis 70%. Prérequis : bases Windows Server et réseau TCP/IP. Débouchés : administrateur sécurité, technicien infrastructure, ingénieur systèmes junior dans des PME et ESN.

Pourquoi passer la certification WS2025-SEC-1 ?

Passer WS2025-SEC-1 en 2026 répond à une demande explosive du marché : avec 65% des entreprises françaises encore sur Windows Server, la migration vers la version 2025 s'accélère et exige des compétences sécurité spécifiques. Les attaques par ransomware ciblant Active Directory ont augmenté de 47% en 2025 selon l'ANSSI, rendant les profils maîtrisant Credential Guard, RODC et la défense contre DCSync très recherchés. Cette certification foundation est le tremplin idéal vers les certifications Microsoft AZ-500 et SC-300. Sur LinkedIn, les offres mentionnant Windows Server 2025 ont triplé entre janvier et mai 2026. Le ROI est rapide : comptez 4 à 6 semaines de préparation pour une valorisation salariale de 8 à 12% en moyenne. Les recruteurs apprécient particulièrement ce badge car il prouve une connaissance des nouveautés 2025 (Secured-core Server, VBS renforcé, HVCI obligatoire, dépréciation NTLM). Sur un CV, elle différencie clairement des profils certifiés uniquement sur Windows Server 2019 ou 2022, désormais perçus comme datés. Pour les ESN françaises (Capgemini, Sopra Steria, Atos), c'est un critère de staffing prioritaire sur les missions infrastructure sécurisée.

Caractéristiques de l'examen

Format	QCM 65 questions
Duree	90 minutes
Score requis	70%
Prix officiel	165 EUR
Langues	Francais, Anglais
Validite	3 ans
Prerequis	Bases Windows Server, TCP/IP, Active Directory

Programme détaillé par domaine

Domain 1 : Risques, attaques et modèle de menace Windows Server 20%

Objectifs: Ce domaine évalue la compréhension du paysage des menaces ciblant Windows Server 2025. Le candidat doit identifier les vecteurs d'attaque courants (Pass-the-Hash, Pass-the-Ticket, Kerberoasting, DCSync, Golden Ticket, Silver Ticket) et savoir cartographier les surfaces d'exposition d'un serveur. Il faut maîtriser le modèle de tiering Microsoft (Tier 0/1/2), comprendre la notion de privilège minimum et savoir lire un rapport d'incident. La connaissance de MITRE ATT&CK appliqué à Active Directory est attendue, notamment les techniques T1003 (OS Credential Dumping) et T1558 (Steal Kerberos Tickets).
Concepts clés: Pass-the-Hash, Pass-the-Ticket, Kerberoasting, AS-REP Roasting, DCSync, DCShadow, Golden Ticket, Silver Ticket, lateral movement, privilege escalation, modèle Red Forest / ESAE, tiering administratif, principe du moindre privilège, Zero Trust appliqué aux serveurs, surface d'attaque réduite. Le candidat doit aussi connaître les outils offensifs courants (Mimikatz, Rubeus, BloodHound, Impacket) pour comprendre la défense.
Services / outils: Microsoft Defender for Identity, Microsoft Sentinel, Advanced Threat Analytics (déprécié), MITRE ATT&CK Navigator, Event Viewer avec IDs 4624, 4625, 4648, 4768, 4769, 4776.
Temps estimé: 10-12h

Domain 2 : Secured-core Server, VBS, Credential Guard et HVCI 25%

Objectifs: Maîtriser les technologies de sécurité matérielle et virtuelle intégrées à Windows Server 2025. Le candidat doit savoir activer, configurer et dépanner Secured-core Server, Virtualization-Based Security (VBS), Credential Guard et Hypervisor-enforced Code Integrity (HVCI). Comprendre les prérequis matériels (TPM 2.0, UEFI Secure Boot, IOMMU, virtualisation hardware) est essentiel. Le domaine couvre aussi la configuration via Group Policy, Intune et PowerShell, ainsi que la vérification du statut via System Information et Device Guard tools.
Concepts clés: Secured-core Server, Virtualization-Based Security (VBS), Credential Guard, Remote Credential Guard, Hypervisor-enforced Code Integrity (HVCI), Memory Integrity, Kernel DMA Protection, Boot Integrity, TPM 2.0, Secure Boot UEFI, System Guard, Dynamic Root of Trust for Measurement (DRTM), Code Integrity policies (WDAC), attestation à distance, isolation LSA (Local Security Authority).
Services / outils: lsaiso.exe, vmcompute, Device Guard, Windows Defender Application Control (WDAC), AppLocker, msinfo32, Get-CimInstance Win32_DeviceGuard, Confirm-SecureBootUEFI.
Temps estimé: 12-15h

Domain 3 : DNSSEC, protocoles de résolution et durcissement réseau 20%

Objectifs: Le candidat doit comprendre les risques liés aux protocoles de résolution de noms et savoir les durcir. DNSSEC est central : signature de zone, validation, gestion des clés KSK/ZSK, rollover. La désactivation de LLMNR, mDNS et NBT-NS est un point critique évalué, ainsi que la mise en place de SMB signing et SMB encryption. La configuration du pare-feu Windows Defender avec règles avancées et l'usage de IPsec pour la segmentation interne sont attendus.
Concepts clés: DNSSEC (DNS Security Extensions), signature de zone, KSK (Key Signing Key), ZSK (Zone Signing Key), enregistrements RRSIG, DNSKEY, DS, NSEC/NSEC3, LLMNR (Link-Local Multicast Name Resolution), mDNS (Multicast DNS), NBT-NS (NetBIOS Name Service), attaques de spoofing avec Responder, SMB v3.1.1, SMB signing, SMB encryption, IPsec, microsegmentation.
Services / outils: DNS Server, Group Policy (Turn off Multicast Name Resolution), Set-DnsServerDnssecZoneSetting, Add-DnsServerSigningKey, netsh, Windows Defender Firewall with Advanced Security, Get-SmbServerConfiguration.
Temps estimé: 10-12h

Domain 4 : Server Core, surface d'attaque et administration sécurisée 15%

Objectifs: Comprendre l'intérêt de Server Core comme mode d'installation par défaut pour réduire la surface d'attaque. Le candidat doit savoir installer, configurer et administrer un serveur Server Core via sconfig, PowerShell et outils distants (RSAT, Windows Admin Center). La gestion des rôles et fonctionnalités sans GUI, le dépannage à distance et la bascule entre Server Core et Server with Desktop Experience (non supportée en 2025) sont évalués.
Concepts clés: Server Core, Nano Server (déprécié pour les rôles serveur), surface d'attaque, footprint disque réduit, patches mensuels réduits, sconfig, Windows Admin Center (WAC), RSAT (Remote Server Administration Tools), administration via PowerShell Remoting, Just Enough Administration (JEA), Just In Time (JIT) access.
Services / outils: sconfig.cmd, Windows Admin Center, PowerShell 7.x, WinRM, OpenSSH Server intégré, Install-WindowsFeature, Get-WindowsFeature.
Temps estimé: 8-10h

Domain 5 : Authentification (NTLM/Kerberos), RODC et durcissement Active Directory 20%

Objectifs: Maîtriser les protocoles d'authentification Windows et leur sécurisation. Le candidat doit comprendre le fonctionnement de Kerberos (AS-REQ, AS-REP, TGS-REQ, TGS-REP), les faiblesses historiques de NTLM v1/v2 et le plan de dépréciation Microsoft. La mise en place d'un Read-Only Domain Controller (RODC) avec Password Replication Policy, la protection contre DCSync via délégation de droits, et le durcissement de PowerShell (Constrained Language Mode, script block logging, AMSI) sont des points clés.
Concepts clés: Kerberos v5, TGT (Ticket Granting Ticket), TGS (Ticket Granting Service), KDC, SPN, NTLM v1/v2, NTLM relay, plan de dépréciation NTLM (Windows Server 2025), Read-Only Domain Controller (RODC), Password Replication Policy (PRP), Protected Users group, Authentication Policies and Silos, DCSync, délégation Replicate Directory Changes, PowerShell Constrained Language Mode, Script Block Logging, AMSI, JEA.
Services / outils: Active Directory Domain Services, ntdsutil, repadmin, Get-ADUser, Set-ADAccountControl, Group Policy Authentication Policies, Event ID 4662, Microsoft Defender for Identity.
Temps estimé: 12-15h

Plan de révision hebdomadaire

Planning sur 6 semaines pour un candidat travaillant 8 à 10h par semaine. Semaine 1 : lecture de la documentation officielle Microsoft Learn sur Windows Server 2025 Security, focus sur le paysage des menaces et MITRE ATT&CK. Mettre en place un lab Hyper-V avec deux contrôleurs de domaine et un serveur membre. Semaine 2 : approfondir Secured-core Server, VBS, Credential Guard et HVCI. Activer ces fonctionnalités dans le lab, vérifier le statut avec msinfo32 et PowerShell. Lire les whitepapers Microsoft sur VBS. Semaine 3 : DNSSEC en pratique. Signer une zone DNS, configurer la validation, simuler un rollover de clé. Désactiver LLMNR, mDNS et NBT-NS via GPO. Tester avec Responder dans un sous-réseau isolé. Semaine 4 : Server Core. Réinstaller un DC en Server Core, gérer via Windows Admin Center et PowerShell. Pratiquer sconfig et l'installation de rôles à distance. Semaine 5 : Kerberos, NTLM et RODC. Mettre en place un RODC avec PRP, simuler une attaque DCSync avec Mimikatz dans le lab isolé, configurer Protected Users et Authentication Policies. Durcir PowerShell (Constrained Language, logging). Semaine 6 : révision finale, deux examens blancs (MeasureUp ou Whizlabs), relecture des fiches synthèse, focus sur les erreurs commises. Réviser les Event IDs critiques. Passer l'examen en début de semaine 7 quand les notions sont fraîches. Tenir un journal de lab pour ancrer les manipulations.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

Documentation officielle Microsoft Learn

Référence principale, gratuite, à jour pour Windows Server 2025.

Microsoft Virtual Training Days

Sessions gratuites en français sur la sécurité Windows Server 2025.

TryHackMe et HackTheBox parcours AD

Labs pratiques pour comprendre les attaques Active Directory côté défense.

Communauté r/sysadmin et forum Microsoft Tech Community

Forums actifs pour poser des questions et suivre les évolutions 2025.

5 erreurs classiques à éviter

Erreur 1 : Confondre Credential Guard et Remote Credential Guard. Credential Guard isole les secrets LSA localement via VBS, alors que Remote Credential Guard protège les credentials lors d'une session RDP. Bien distinguer les cas d'usage.
Erreur 2 : Oublier que LLMNR, mDNS et NBT-NS doivent tous les trois être désactivés. Désactiver seulement LLMNR laisse NBT-NS exploitable par Responder. La désactivation se fait via GPO et configuration d'adaptateur.
Erreur 3 : Croire que Server Core est plus difficile à administrer. En 2026, Windows Admin Center et PowerShell 7 rendent l'administration aussi simple, avec un footprint et une surface d'attaque drastiquement réduits.
Erreur 4 : Sous-estimer les prérequis matériels de VBS et HVCI. Sans TPM 2.0, UEFI Secure Boot et IOMMU, ces fonctionnalités ne s'activent pas. Toujours vérifier avec msinfo32 avant configuration.
Erreur 5 : Penser qu'un RODC est invulnérable. Sans Password Replication Policy correctement configurée et sans Protected Users, un RODC compromis peut exposer des credentials. Bien comprendre la PRP.

5 questions types corrigées

Q1. Quelle technologie Windows Server 2025 isole les secrets d'authentification dans un processus protégé par l'hyperviseur ?

Réponse : B

Credential Guard utilise Virtualization-Based Security (VBS) pour isoler le processus LSA (lsaiso.exe) dans un conteneur protégé par l'hyperviseur Hyper-V. Cela empêche des outils comme Mimikatz d'extraire les hashs NTLM et tickets Kerberos depuis la mémoire. Les prérequis sont TPM 2.0, UEFI Secure Boot et virtualisation matérielle. AppLocker contrôle l'exécution d'applications, BitLocker chiffre les disques, et le pare-feu filtre le trafic réseau. Aucun de ces autres ne protège les credentials en mémoire.

Q2. Quel protocole de résolution de noms doit être désactivé en priorité pour contrer les attaques Responder ?

Réponse : B

LLMNR (Link-Local Multicast Name Resolution) est massivement exploité par Responder pour capturer des hashs NTLMv2. Quand un client ne résout pas un nom via DNS, il diffuse une requête LLMNR sur le réseau local, et un attaquant peut répondre en se faisant passer pour la cible. La désactivation se fait via GPO : Computer Configuration > Administrative Templates > Network > DNS Client > Turn Off Multicast Name Resolution. Il faut aussi désactiver mDNS et NBT-NS pour une protection complète.

Q3. Quelle commande PowerShell permet de vérifier si VBS et HVCI sont actifs sur un serveur Windows Server 2025 ?

Réponse : B

La commande Get-CimInstance interroge la classe WMI Win32_DeviceGuard dans le namespace dédié, qui retourne les propriétés SecurityServicesConfigured et SecurityServicesRunning. Les valeurs incluent 1 (Credential Guard), 2 (HVCI), 3 (System Guard Secure Launch). Si la valeur 2 apparaît dans SecurityServicesRunning, HVCI est actif. Les autres commandes proposées n'existent pas. Cette vérification est essentielle car l'activation via GPO ne garantit pas le démarrage effectif si les prérequis matériels manquent.

Voir plus de questions gratuites →

Carrière & salaire après WS2025-SEC-1

Avec WS2025-SEC-1, un profil junior accède à des postes d'administrateur systèmes sécurité ou technicien infrastructure rémunérés entre 32 000 et 42 000 euros bruts annuels en France (2026). Avec 2 à 3 ans d'expérience et la certification, le salaire grimpe à 45 000-55 000 euros, notamment dans les ESN parisiennes et les grandes entreprises (banque, assurance, industrie). À Bruxelles ou Luxembourg, comptez 10 à 20% de plus. Les évolutions naturelles sont ingénieur cybersécurité (60-75k), consultant AD (jusqu'à 600 euros/jour en freelance) ou architecte sécurité. Certifications complémentaires recommandées : Microsoft SC-300 (Identity), AZ-500 (Azure Security), puis CompTIA Security+ ou la CISSP pour une trajectoire senior.

Détail des salaires WS2025-SEC-1 en 2026 →

FAQ — WS2025-SEC-1

Combien de temps faut-il pour préparer WS2025-SEC-1 ?

Comptez 4 à 6 semaines à raison de 8 à 10h par semaine pour un candidat ayant des bases Windows Server. Sans expérience préalable, prévoyez 8 à 10 semaines avec lab pratique obligatoire.

Cette certification est-elle reconnue en France ?

Oui, Microsoft est l'éditeur de référence sur les infrastructures Windows en France. Les ESN (Capgemini, Atos, Sopra Steria) et les DSI valorisent fortement les badges Microsoft, surtout sur les nouveautés 2025.

Quel est le taux de réussite à WS2025-SEC-1 ?

Le taux de réussite mondial est estimé à 68% en 2026 selon les statistiques agrégées des centres Pearson VUE. Avec un lab pratique sérieux, ce taux monte au-delà de 85%.

Quel est le salaire après WS2025-SEC-1 ?

Un junior certifié démarre entre 32k et 42k euros bruts en France. Avec 3 ans d'expérience, comptez 45-55k euros. En freelance senior, le TJM atteint 500 à 650 euros.

Faut-il une expérience préalable ?

Pas obligatoire mais fortement recommandé. Avoir manipulé Windows Server 2019 ou 2022, Active Directory et PowerShell facilite énormément l'apprentissage des nouveautés 2025.

WS2025-SEC-1 ou cert concurrente : laquelle choisir ?

WS2025-SEC-1 est plus spécialisée que CompTIA Server+ et plus accessible que AZ-500. Choisissez-la si vous travaillez sur des infrastructures on-premise Windows. Pour le cloud Azure, préférez SC-300 ou AZ-500.

Combien coûte l'examen WS2025-SEC-1 ?

Le tarif officiel 2026 est de 165 euros HT en France via Pearson VUE. Des réductions existent pour les étudiants (50%) et via les programmes Microsoft Learn Cloud Skills Challenge.

Combien de fois peut-on repasser WS2025-SEC-1 ?

En cas d'échec, vous pouvez repasser après 24 heures. À partir du troisième essai, un délai de 14 jours s'applique entre chaque tentative. Maximum 5 tentatives par an.

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc WS2025-SEC-1 → Test d'orientation