Protection 🚫 Exploitation de serveurs internes via protocoles obsolètes

[Sylvain*]

Exploitation de serveurs internes via protocoles obsolètes

Introduction

Cette contre-mesure vise à bloquer l'utilisation de protocoles réseau désuets comme SMBv1, Telnet ou RDP faible chiffrement, souvent laissés activés par défaut sur des serveurs Windows internes et utilisés par les attaquants pour pivoter ou exfiltrer des données.

---

Prérequis

• Connaissances avancées de Windows Server

• Accès aux consoles d'administration Windows

• Droits administrateur] locaux ou domaine

---

Procédure

• Étape #1 : Désactiver le protocole SMBv1 sur les serveurs

• Étape #2 : Supprimer le rôle Telnet Client et Telnet Server

• Étape #3 : Désactiver le chiffrement RDP faible (RC4, TLS 1.0)

• Étape #4 : Désactiver NetBIOS sur les interfaces réseau

• Étape #5 : Interdire les services obsolètes via GPO

---

Niveau de difficulté

• Étape #1 : Facile

• Étape #2 : Facile

• Étape #3 : Moyen

• Étape #4 : Moyen

• Étape #5 : Difficile

---

Les Avantages

• Étape #1 : Réduction immédiate de surface d’attaque

• Étape #2 : Suppression d’accès shell non chiffré

• Étape #3 : Sécurisation de l’accès distant

• Étape #4 : Moins d’exposition au réseau local

• Étape #5 : Contrôle centralisé à l’échelle du domaine

---

Les Inconvénients

• Étape #1 : Compatibilité à vérifier avec anciens clients

• Étape #2 : Certains scripts internes peuvent dépendre de Telnet

• Étape #3 : Nécessite tests avec clients RDP anciens

• Étape #4 : Impact sur la résolution de noms locaux

• Étape #5 : Déploiement exigeant selon l’infrastructure

---

Étape #1 Désactiver SMBv1

Exécuter en PowerShell sur les serveurs concernés

Empêcher le chargement du pilote SMBv1

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -NoRestart

---

Étape #2 Supprimer Telnet

Supprimer le client et le serveur Telnet

Désinstallation via PowerShell

Uninstall-WindowsFeature -Name Telnet-Client

Uninstall-WindowsFeature -Name Telnet-Server

---

Étape #3 Durcir RDP

Forcer l’usage de TLS 1.2 et chiffrement fort

Modifier les paramètres via GPO ou Registre

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 2 /f

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v MinEncryptionLevel /t REG_DWORD /d 3 /f

---

Étape #4 Désactiver NetBIOS

Ouvrir les propriétés réseau de chaque interface

Paramétrer manuellement NetBIOS

ncpa.cpl

Sélectionner l’option "Désactiver NetBIOS sur TCP/IP"

---

Étape #5 Interdire services obsolètes via GPO

Créer une stratégie GPO ciblée

Accéder à la section "Configuration ordinateur"

gpedit.msc

Ajouter des restrictions sur les services à bloquer

Appliquer à l’OU contenant les serveurs

---

Astuce

Automatiser la détection des services obsolètes avec PowerShell

Get-WindowsFeature | Where-Object {$.InstallState -eq "Installed" -and $.Name -match "Telnet|SMB1"}

---

Mise en garde

La suppression brutale de protocoles peut provoquer des indisponibilités réseau inattendues

sfc /verifyonly

---

Conseil

Documenter chaque modification et réaliser une image système avant toute désactivation massive

wbadmin start systemstatebackup -backupTarget:D:\Backup -quiet

---

Solutions alternatives

• désactiver SMBv1 Windows server

• désinstaller Telnet Windows Server

• durcir RDP Windows Server

---

Liens utiles

• Support Microsoft

• Microsoft Learn

• GitHub Recherche

---

Conclusion
La désactivation des protocoles obsolètes sur les serveurs Windows réduit considérablement les vecteurs d'exploitation latérale dans un réseau interne. C’est une étape cruciale dans tout plan de durcissement système.