Protection 📝 Blocage du détournement de Remote PowerShell via WinRM sur Windows

[Sylvain*]

Blocage du détournement de Remote PowerShell via WinRM sur Windows

Introduction

Le service WinRM (Windows Remote Management) permet l'exécution distante de commandes PowerShell via le réseau. Cette fonctionnalité est souvent détournée par des attaquants pour exécuter des commandes arbitraires après compromission initiale. Ce tutoriel détaille les étapes nécessaires pour désactiver ou restreindre ce vecteur afin d'empêcher toute utilisation malveillante sur les systèmes Windows 10 et 11.

---

Prérequis

• Connaissance approfondie de Windows

• Familiarité avec les outils systèmes Windows

• Droits administrateurs nécessaires

---

Niveau de difficulté

• Étape #1 : Facile

• Étape #2 : Moyenne

• Étape #3 : Moyenne

• Étape #4 : Moyenne

• Étape #5 : Avancée

---

Les Avantages

• Étape #1 : Empêche l'exécution distante non autorisée

• Étape #2 : Renforce la sécurité du réseau interne

• Étape #3 : Réduit la surface d'attaque du système

• Étape #4 : Intégration possible avec les stratégies de groupe

• Étape #5 : Contrôle précis des communications distantes

---

Les Inconvénients

• Étape #1 : Perte de fonctionnalités d'administration distante

• Étape #2 : Risque d'impacter des scripts ou outils légitimes

• Étape #3 : Nécessite des droits administratifs

• Étape #4 : Configuration manuelle sur plusieurs machines

• Étape #5 : Complexité accrue pour les environnements hybrides

---

Étape #1

Ouvrir l’invite de commandes en tant qu’administrateur

Vérifier l’état actuel de WinRM

winrm enumerate winrm/config/listener

Si actif, désactiver WinRM

winrm quickconfig /disable

Confirmer que le service est arrêté

sc query WinRM

---

Étape #2

Désactiver le service WinRM via PowerShell

Stop-Service -Name WinRM

Empêcher son démarrage automatique

Set-Service -Name WinRM -StartupType Disabled

Vérifier que le service est bien désactivé

Get-Service WinRM

Fermer la console PowerShell

---

Étape #3

Ouvrir l’éditeur de stratégie de sécurité locale

Naviguer vers Stratégies locales > Attribution des droits utilisateur

Supprimer les comptes non nécessaires de la stratégie Autoriser l'accès via WMI et PowerShell

Appliquer les modifications et redémarrer si nécessaire

---

Étape #4

Lancer l’éditeur de stratégie de groupe

gpedit.msc

Aller dans Configuration ordinateur > Modèles d'administration > Composants Windows > Windows Remote Management (WinRM) > Service WinRM

Activer la stratégie Autoriser l’écoute sur n’importe quelle adresse et la configurer sur Désactivé

Forcer l’application des stratégies

gpupdate /force

---

Étape #5

Appliquer un pare-feu restrictif via PowerShell

New-NetFirewallRule -DisplayName "Bloquer WinRM" -Direction Inbound -Protocol TCP -LocalPort 5985,5986 -Action Block

Vérifier la règle

Get-NetFirewallRule -DisplayName "Bloquer WinRM"

Tester qu’aucune connexion WinRM n’est acceptée depuis une autre machine

Consigner la modification dans la documentation de sécurité

---

Astuce

Pour surveiller toute tentative d'accès distant via PowerShell, utilisez le journal Microsoft-Windows-PowerShell/Operational et surveillez les événements de type

4104

---

Mise en garde

La désactivation de WinRM peut bloquer des solutions de gestion centralisée ou d’audit à distance. Testez systématiquement tout changement sur un poste de validation avant déploiement global.

---

Conseil

Si vous devez garder WinRM actif pour certaines fonctions, restreignez son usage à une liste blanche d’adresses IP via pare-feu Windows et limitez les groupes ayant le droit d’usage du service

WinRM

---

Solutions alternatives

• winrm désactiver windows

• winrm pare-feu restriction ip

• hardening winrm powershell

---

Références utiles (rechercher de mots clés en français sur learn.microsoft et support microsoft)

• Support Microsoft

• Microsoft Learn

• Recherche GitHub

---

Conclusion

Le service WinRM représente un vecteur courant d’exploitation à distance lorsqu’il est mal sécurisé. En appliquant les étapes de ce guide, vous neutralisez un canal critique souvent utilisé pour la post-exploitation ou le mouvement latéral. Priorisez toujours la restriction de ses usages à des environnements maîtrisés et documentez rigoureusement chaque modification.