Comment désactiver l'authentification de base WinRM à l'aide de Microsoft Intune

Ouvrez votre navigateur web et accédez au Centre d'administration Microsoft Intune. Connectez-vous avec vos identifiants administratifs et accédez à la section de configuration des appareils.

Accédez à Appareils > Configuration > + Créer > + Nouvelle stratégie. Cela ouvre l'assistant de création de stratégie où vous configurerez les paramètres de sécurité WinRM.

Vérification : Confirmez que vous pouvez voir les options de création de stratégie et que votre compte dispose des autorisations nécessaires pour créer des stratégies de configuration des appareils.

Dans l'assistant de création de stratégie, sélectionnez Windows 10 et versions ultérieures comme plateforme cible. Cela garantit la compatibilité avec les appareils Windows modernes de votre organisation.

Choisissez Catalogue des paramètres comme type de profil. Le Catalogue des paramètres offre un contrôle granulaire sur les paramètres de configuration Windows et est l'approche recommandée pour les configurations de sécurité avancées.

Cliquez sur Créer pour passer à la page des paramètres de configuration.

Vérification : Assurez-vous que la plateforme affiche "Windows 10 et versions ultérieures" et que le type de profil affiche "Catalogue des paramètres" avant de continuer.

Dans l'onglet Paramètres de configuration, cliquez sur + Ajouter des paramètres pour ouvrir le Sélecteur de paramètres. Cette interface vous permet de parcourir et de sélectionner des options de configuration Windows spécifiques.

Parcourez par catégorie et naviguez à travers le chemin suivant :

Système > Modèles d'administration > Composants Windows > Gestion à distance Windows (WinRM) > Client WinRM

Localisez et sélectionnez Autoriser l'authentification de base dans la liste des paramètres disponibles. Ce paramètre contrôle si le client WinRM peut utiliser l'authentification de base pour la transmission des identifiants.

Vérification : Confirmez que le paramètre apparaît dans votre liste de configuration avec le chemin et la description corrects.

Définissez la politique Autoriser l'authentification de base sur Désactivé. Cela empêche le client WinRM d'utiliser l'authentification de base, qui transmet les informations d'identification en texte clair sur le réseau.

La modification du registre que cela crée :

Clé de registre : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WinRM\Client
Nom de la valeur de registre : AllowBasic
Type de valeur : DWORD
Données de valeur : 0 (Désactivé)

Ajoutez un deuxième paramètre en répétant le processus pour Service WinRM > Autoriser l'authentification de base et définissez-le également sur Désactivé.

Vérification : Les paramètres d'authentification de base du client et du service WinRM doivent apparaître comme "Désactivé" dans votre configuration de politique.

Dans le Sélecteur de paramètres, ajoutez ces configurations de sécurité supplémentaires pour renforcer votre posture de sécurité WinRM :

Accédez à WinRM Client et ajoutez :

• Autoriser le trafic non chiffré - Réglez sur Désactivé
• Interdire l'authentification Digest - Réglez sur Activé

Accédez à WinRM Service et ajoutez :

• Autoriser le trafic non chiffré - Réglez sur Désactivé
• Interdire à WinRM de stocker les identifiants RunAs - Réglez sur Activé

Ces paramètres sont conformes aux recommandations de base de sécurité de Microsoft et aux principes de Zero Trust.

Vérification : Passez en revue tous les paramètres pour vous assurer qu'ils correspondent aux valeurs par défaut de la base de sécurité MDM de Microsoft Intune.

Fournissez un nom descriptif pour votre politique, tel que "Renforcement de la sécurité WinRM - Désactiver l'authentification de base". Ajoutez une description claire expliquant l'objectif de la politique et ses avantages en matière de sécurité.

Cliquez sur Suivant pour passer à l'onglet Affectations. Sélectionnez les groupes de sécurité ou unités organisationnelles appropriés qui devraient recevoir cette politique.

Envisagez de créer un déploiement par phases :

Phase 1 : Groupe de test IT (10-20 appareils)
Phase 2 : Département IT (50-100 appareils)
Phase 3 : Tous les appareils de l'entreprise

Configurez les balises de portée si votre organisation les utilise pour la gestion et la délégation des politiques.

Vérification : Confirmez que les groupes cibles sont correctement sélectionnés et que la portée de l'affectation correspond à votre stratégie de déploiement.

Examinez tous les paramètres de la politique sur la page Révision + Création. Vérifiez que toutes les configurations de sécurité WinRM sont correctement définies :

• Authentification de base du client WinRM : Désactivée
• Authentification de base du service WinRM : Désactivée
• Paramètres de trafic non chiffré : Désactivés
• Renforcement supplémentaire de la sécurité : Activé

Cliquez sur Créer pour déployer la politique. La politique sera distribuée aux appareils cibles lors de leur prochain cycle de vérification.

Vérification : Vérifiez le statut de la politique dans le Centre d'administration Intune pour confirmer la création et le déploiement initial réussis.

Accédez à Appareils > Surveiller > Configuration de l'appareil pour suivre le statut de déploiement des politiques. Surveillez le tableau de bord de conformité pour l'application réussie des politiques.

Vérifiez la conformité des appareils individuels en accédant à Appareils > Tous les appareils et en sélectionnant des appareils spécifiques pour voir leur statut de configuration.

Forcez le rafraîchissement immédiat des politiques sur les appareils de test en utilisant :

Get-ScheduledTask | Where-Object {$_.TaskName -eq "PushLaunch"} | Start-ScheduledTask

Ou utilisez l'application Intune Company Portal pour synchroniser les politiques manuellement.

Vérification : Confirmez que la politique apparaît avec le statut "Réussi" sur les appareils cibles dans les 24 heures suivant le déploiement.

Connectez-vous à un appareil cible et vérifiez que les paramètres du registre ont été appliqués correctement. Ouvrez PowerShell en tant qu'administrateur et exécutez :

# Vérifier le paramètre d'authentification de base du client WinRM
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WinRM\Client" -Name "AllowBasic" -ErrorAction SilentlyContinue

# Vérifier le paramètre d'authentification de base du service WinRM
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WinRM\Service" -Name "AllowBasic" -ErrorAction SilentlyContinue

# Vérifier la configuration de WinRM
winrm get winrm/config/client/auth
winrm get winrm/config/service/auth

Les valeurs AllowBasic doivent être 0 (désactivé), et la configuration WinRM doit indiquer que l'authentification de base est fausse.

Vérification : Les valeurs du registre montrent AllowBasic = 0 et la configuration d'authentification WinRM affiche Basic = false pour le client et le service.

Testez la connectivité WinRM en utilisant des méthodes d'authentification sécurisées pour garantir que la politique ne perturbe pas les scénarios de gestion à distance légitimes :

# Testez la connectivité WinRM avec l'authentification Kerberos
Test-WSMan -ComputerName "target-computer" -Authentication Kerberos

# Testez la gestion à distance PowerShell avec les informations d'identification actuelles
Enter-PSSession -ComputerName "target-computer" -Authentication Negotiate

# Vérifiez la configuration de l'écouteur WinRM
winrm enumerate winrm/config/listener

Si les connexions échouent, vérifiez que les écouteurs HTTPS sont configurés et que les certificats sont correctement installés. Pour le dépannage, consultez les journaux d'événements Windows :

Get-WinEvent -LogName "Microsoft-Windows-WinRM/Operational" -MaxEvents 50

Résolution courante : Configurez WinRM pour utiliser HTTPS (port 5986) au lieu de HTTP (port 5985) pour des communications sécurisées.

Vérification : Connexions WinRM réussies en utilisant l'authentification Kerberos ou Negotiate, et aucune tentative d'authentification Basic dans les journaux.