Best practice WMI : durcissement du ‘rang’ de port

homme sur ordinateur avec mot securité

Pour la sécurité il est une bonne pratique de modifier les ports par défaut dans la mesure du possible.

Concernant le protocole WMI, Microsoft utilise un « range » par défaut très large : de 49152 à 65535 !  (hors OS Windows Server 2003 qui est de 1024 à 65535)

Rappel de ce qu’est le protocole WMI par Wikipedia :

« Windows Management Instrumentation (WMI) est l’implémentation de Microsoft du Web-Based Enterprise Management (WBEM), le standard du Distributed Management Task Force (DMTF). Il prend en charge le modèle de données CIM (Common Information Model), qui décrit les objets d’un environnement de gestion. »

Par Microsoft :

« Windows Management Instrumentation (WMI) est l’infrastructure des données de gestion et des opérations sur les systèmes d’exploitation Windows. Vous pouvez écrire des scripts ou des applications WMI pour automatiser des tâches administratives sur des ordinateurs distants, mais WMI fournit également des données de gestion à d’autres parties du système d’exploitation et des produits, par exemple System Center Operations Manager, anciennement Microsoft Operations Manager (MOM) ou Windows Remote Management ( WinRM). »
Plus d'information sur le site de Microsoft : ici

Script PowerShell

https://gallery.technet.microsoft.com/Set-WmiSinglePortps1-20fa8389

(Testé uniquement sur Windows Server 2008 R2)

Etapes du durcissement

Voici le durcissement à faire : modifier le range par le port recommandé par Microsoft : « 24158 »

Dans un premier temps il faut créer des règles au niveau des routeurs / pare feu.

Ensuite il faut configurer les serveurs Windows via une GPO.

Voici la configuration à appliquer sur les serveurs afin de reconfigurer le port WMI :

winmgmt -standalonehost
net stop winmgmt
netsh firewall add portopening TCP 24158 WMIFixedPort
or netsh advfirewall add portopening TCP 24158 WMIFixedPort
net start winmgmt

Laisser un commentaire