Minimiser le bruit sur les réseaux Windows
Depuis Windows XP, les systèmes d’exploitation développés par Microsoft sont devenus de plus en plus verbeux, bruyants sur les réseaux d’entreprises, les encombrant de broadcast et de multicast parfaitement inutiles.
Ce bruit, pour l’essentiel, est dû à
cinq sept fonctionnalités qui peuvent être toutes désactivées sur les stations Windows et les serveurs Windows Server des réseaux informatiques d’entreprises :
- le Netbios over Tcp/Ip,
- la découverte automatique de proxy WPAD de nature à vous exposer à une faille de sécurité majeure,
- le LLMNR (Local Link Multicast Name Resolution), inutile du fait de la présence de serveurs DNS communiqués grâce au(x) serveur(s) DHCP,
- l’IPv6, qui n’est toujours pas activé en entreprise, du fait de lourds problèmes de sécurité liés à la méconnaissance et l’incompétence des administrateurs système,
- l’UPnP qui annonce le partage de services réseau et qui s’appuie sur le protocole de découverte de services réseaux (SSDP Simple Service Discovery Protocol),
- le mDNS, un n-ième protocole de découvertes de machines sur le réseau local,
- le Web Services Discovery utilisée notamment pour la découverte d’imprimantes,
- IPSec, qui n’est jamais mis en œuvre dans les réseaux locaux, compte tenu du coût que représentent, pour les processeurs des stations et de serveurs, les opérations de chiffrement et de déchiffrement des paquets.
Je vous ai compilé les bouts de scripts PowerShell pour automatiser la désactivation de tous ces protocoles verbeux.
Billet initialement publié les 30 octobre 2011, modifié les 30 novembre 2012, 22 janvier 2019