Vue d’ensemble
Le client Windows Remote Management (WinRM) ne doit pas utiliser l’authentification de base.
Description
Le paramètre « Autoriser l’authentification de base » permet de gérer si WinRM utilise l’authentification de base. Si activé, le nom d’utilisateur et le mot de passe sont envoyés en texte clair via HTTP, ce qui pose un risque pour la sécurité.
Impact
L’authentification de base utilise des mots de passe en texte clair, ce qui peut compromettre un système. Les pirates peuvent essayer des millions de combinaisons pour casser un compte. Un mot de passe compromis offre un accès complet aux ressources de l’utilisateur et peut faciliter l’accès à d’autres comptes ou privilèges administratifs.
Conséquences
- Risque de sécurité élevé : Mots de passe en texte clair.
- Compromission du système : Accès non autorisé aux ressources.
- Escalade des privilèges : Risque d’accéder à d’autres comptes ou machines.
Solution
Désactiver l’authentification de base réduira les menaces potentielles. Suivez les étapes ci-dessous pour configurer ce paramètre (choisissez l’une des méthodes suggérées) :
Utilisation de l’éditeur de stratégie de groupe
Appuyez sur les touches Windows+R, tapez `gpedit.msc`, puis appuyez sur OK.
Naviguez vers : Configuration de l’ordinateur > Modèles administratifs > Composants Windows > Gestion à distance de Windows (WinRM) > Service WinRM (pour le service) ou Client WinRM (pour le client).
Dans le volet de droite, double-cliquez sur Autoriser l’authentification de base.
Choisissez Désactivé > OK.
Utilisation de la console (via le Registre)
Pour désactiver l’authentification de base via le Registre, vous pouvez utiliser la commande suivante pour le client WinRM :
Registre
reg add « HKLM\SOFTWARE\Policies\Microsoft\Windows\WinRM\Client » /v AllowBasic /t REG_DWORD /d 0 /f
Pour le service WinRM, la clé de Registre est différente, mais l’approche générale est similaire.
Utilisation de l’outil WinRM
Vous pouvez également utiliser l’outil en ligne de commande WinRM pour configurer l’authentification. Par exemple, pour désactiver l’authentification de base pour le service WinRM, vous pouvez utiliser une commande similaire à celle-ci (bien que l’exemple exact pour désactiver l’authentification de base ne soit pas fourni dans les résultats de recherche) :
Powershell
winrm set winrm/config/service/auth @{Basic= »false »}
Ces méthodes vous permettent de désactiver l’authentification de base pour WinRM, améliorant ainsi la sécurité de vos communications à distance.
