Comment gérer efficacement les partages administratifs (Admin$, IPC$, C$) sous Windows

Les partages d’administration Windows sont certes pratiques pour la gestion à distance, mais soyons honnêtes, ils peuvent vite devenir un casse-tête en matière de sécurité si on les laisse sans surveillance. Si vous avez déjà remarqué des $partages cachés comme `/etc/admin` Admin$ou C$`/etc/admin` dans les outils réseau et que vous vous êtes demandé comment les désactiver ou les réactiver, ce guide est fait pour vous. Il s’avère également utile si vous souhaitez renforcer la sécurité de votre réseau ou simplement le nettoyer, car, comme toujours, Windows a la fâcheuse habitude de compliquer les choses inutilement.

Comment supprimer ou désactiver les partages administratifs sous Windows

Pourquoi cela est utile

Supprimer les partages d’administration réduit la surface d’attaque, notamment sur les machines qui ne sont pas destinées à être accessibles à distance. Lorsque ces partages sont désactivés, les utilisateurs non autorisés ne peuvent plus explorer votre système de fichiers via le réseau. Cependant, si vous utilisez des outils de gestion à distance ou si vous avez besoin d’un accès rapide, la désactivation de ces partages implique de trouver d’autres moyens de connexion. C’est un compromis : privilégier la sécurité ou la praticité.

Quand l’utiliser

Si vous renforcez la sécurité d’un serveur ou d’un PC de bureau, ou si vous ne voulez tout simplement pas que quiconque accède à distance aux disques système sans identifiants appropriés, c’est la solution à privilégier.

À quoi s’attendre

Après la suppression ou la désactivation de ces partages, ils n’apparaîtront plus dans l’exploration réseau ni dans des outils comme net view. Cependant, Windows a tendance à les recréer après un redémarrage, sauf si vous modifiez le registre. Il s’agit donc d’une situation qui nécessite des modifications ou des scripts réguliers.

Méthode 1 : Suppression manuelle des partages d’administrateur

  • Ouvrir la Gestion de l’ordinateur (clic droit sur Démarrer, sélectionner Gestion de l’ordinateur )
  • Accédez à Dossiers partagés > Partages
  • Trouvez le partage Admin$ ou d’autres partages d’administration comme C$.
  • Faites un clic droit et choisissez Arrêter le partage

Ou, si vous préférez la ligne de commande, ouvrez une fenêtre PowerShell en tant qu’administrateur et exécutez :

net share Admin$ /delete

Cela supprimera immédiatement le partage, mais attention : Windows le recréera probablement après un redémarrage, sauf si vous effectuez des réglages supplémentaires.

Méthode 2 : Empêcher Windows de créer des partages d’administrateur au démarrage

  • Ouvrez l’Éditeur du Registre en tapantregedit
  • Accédez à : HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  • Ajoutez une nouvelle valeur DWORD nommée AutoShareWks (pour les postes de travail) ou AutoShareServer (pour les serveurs).
  • Attribuez-lui la valeur 0

Pour ce faire via la ligne de commande, exécutez :

reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareWks /t REG_DWORD /d 0

Répétez l’opération AutoShareServersi vous utilisez une version serveur. Redémarrez ensuite.

Sur certaines configurations, au premier redémarrage, les partages peuvent encore apparaître, mais ils ne persistent généralement pas. Toutefois, s’ils réapparaissent, vérifiez les paramètres du registre et envisagez d’utiliser la stratégie de groupe si vous gérez plusieurs machines.

Facultatif : utiliser la stratégie de groupe pour un contrôle à l’échelle du domaine

  • Gestion des politiques de groupe ouvertes
  • Créez une nouvelle stratégie de groupe (GPO), accédez à Configuration ordinateur > Préférences > Paramètres Windows > Partages réseau
  • Définissez l’action sur Supprimer et cochez Supprimer tous les partages de lecteurs administratifs

De cette manière, vous pouvez appliquer ce paramètre à tous les PC du domaine, ce qui est plutôt pratique pour les environnements de grande taille.

Réactivation des partages d’administration si nécessaire

Pourquoi cela pourrait être nécessaire

Si la désactivation vous semble trop contraignante ou si vous avez changé d’avis, vous pouvez les réactiver. Il arrive que des outils de serveur ou de gestion cessent soudainement de fonctionner après la suppression de ces partages ; il est donc utile de savoir comment les réactiver.

Comment réactiver les partages d’administration

  • Ouvrez l’Éditeur du Registre et définissez AutoShareWks ou AutoShareServer sur 1
  • Ou exécutez cette commande dans PowerShell :
Set-ItemProperty -Name AutoShareWks -Path HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters -Value 1

Ensuite, redémarrez le service LanmanServer avec :

Get-Service LanmanServer | Restart-Service -Verbose

Vérifiez Get-SmbSharesi les partages d’administration réapparaissent. Sur certaines configurations, ils réapparaissent après un redémarrage du système ou du service, même s’ils sont désactivés.

N’oubliez pas l’accès à distance et le contournement du contrôle de compte d’utilisateur (UAC).

Si l’accès distant aux partages d’administration ne fonctionne pas, notamment sur les ordinateurs d’un groupe de travail Windows, cela peut être dû au Contrôle de compte d’utilisateur ( UAC) distant. Windows bloque par défaut l’accès administrateur distant pour des raisons de sécurité. Pour résoudre ce problème, vous pouvez créer une entrée de registre nommée LocalAccountTokenFilterPolicy avec la valeur 1.

Exécutez cette commande dans PowerShell en tant qu’administrateur :

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "LocalAccountTokenFilterPolicy" /t REG_DWORD /d 1 /f

Redémarrez l’ordinateur, puis réessayez de vous connecter avec les identifiants d’administrateur. En règle générale, cette procédure est nécessaire pour que les partages d’administration soient accessibles à distance pour les comptes hors domaine, mais cela implique un compromis en matière de sécurité.

Certes, modifier le registre n’est pas la méthode la plus élégante, mais c’est parfois le seul moyen d’obtenir un contrôle total. Sachez toutefois que toute modification de ces paramètres peut engendrer des risques de sécurité si elle n’est pas effectuée avec précaution.

Résumé

  • Il est possible de supprimer les partages d’administration via la Gestion de l’ordinateur ou les commandes net share.
  • Pour empêcher Windows de les recréer, modifiez les paramètres du registre (AutoShareWks/AutoShareServer à 0).
  • Redémarrez les services ou la machine pour que les modifications soient prises en compte.
  • Utilisez la stratégie de groupe pour gérer plusieurs ordinateurs sur un domaine.
  • Pour l’accès à distance, modifiez LocalAccountTokenFilterPolicy.

Conclure

Désactiver ou réactiver les partages d’administration est tout à fait possible, mais il faut trouver le bon équilibre. Les supprimer renforce la sécurité, mais peut aussi perturber la gestion à distance. Si vous cherchez simplement à sécuriser un système ou à faire du ménage, ces étapes devraient suffire sans problème. Sachez toutefois que Windows a tendance à recréer ces partages après chaque redémarrage, sauf si vous verrouillez le registre. En espérant que cela vous aide et évite quelques soucis.

Comment configurer l'authentification Kerberos sur différents navigateurs
Comment activer l'accès SSH sur un hôte VMware ESXi