doganddev
Accueil Blog Boutique

Windows TCP Port 135 : guide complet

DOG&DEV · 26/01/2025

Réseaux Réplication Sécurité Windows
Windows TCP Port 135 : guide complet

Windows TCP Port 135 : guide complet

Le port TCP 135 est utilisé par le RPC Endpoint Mapper (EPMAP) sur Windows. Ce guide explique son rôle, les risques de sécurité, la configuration du firewall et le dépannage.

Prérequis

  • Windows Server ou Windows (client)
  • Accès administrateur
  • Connaissances de base en réseau et sécurité

Qu'est-ce que le port 135 ?

RPC Endpoint Mapper

Le port 135 est utilisé par le RPC Endpoint Mapper (EPMAP), un service Windows qui permet aux applications de trouver les ports dynamiques utilisés par d'autres services RPC.

Fonctionnement :

  1. Une application demande un service RPC
  2. Le RPC Endpoint Mapper (port 135) indique quel port utiliser
  3. L'application se connecte au port dynamique indiqué

Services utilisant RPC

  • Active Directory : authentification, réplication
  • Exchange Server : services de messagerie
  • SQL Server : certaines fonctionnalités
  • Services Windows : nombreux services système

Sécurité

Risques

Le port 135 est souvent ciblé par les attaques :

  • Exploits RPC : vulnérabilités historiques (MS08-067, etc.)
  • Enumération : découverte de services et utilisateurs
  • Brute force : tentatives d'authentification
  • Lateral movement : mouvement latéral dans un réseau compromis

Recommandations

Pour les serveurs exposés à Internet :

  • Bloquer le port 135 : ne pas exposer à Internet
  • Utiliser un VPN : accès RPC via VPN uniquement
  • Firewall : restreindre l'accès au port 135
  • Segmenter le réseau : isoler les serveurs critiques

Pour les réseaux internes :

  • Surveiller : monitorer les connexions au port 135
  • Limiter l'accès : restreindre aux machines nécessaires
  • Mises à jour : garder Windows à jour

Configuration firewall

Bloquer le port 135

Windows Firewall :

# Bloquer le port 135 entrant
New-NetFirewallRule -DisplayName "Block RPC Port 135" -Direction Inbound -LocalPort 135 -Protocol TCP -Action Block

# Vérifier la règle
Get-NetFirewallRule -DisplayName "Block RPC Port 135"

Via interface graphique :

  1. Pare-feu Windows DefenderParamètres avancés
  2. Règles de trafic entrantNouvelle règle
  3. PortTCP135
  4. Bloquer la connexion

Autoriser uniquement certaines IPs

Restreindre l'accès :

# Autoriser uniquement depuis une IP spécifique
New-NetFirewallRule -DisplayName "Allow RPC from Trusted IP" -Direction Inbound -LocalPort 135 -Protocol TCP -RemoteAddress 192.168.1.100 -Action Allow

Vérification

Vérifier si le port est ouvert

Depuis le serveur :

# Vérifier les ports en écoute
netstat -an | findstr :135

# Vérifier les connexions actives
netstat -an | findstr :135

Depuis un autre serveur :

# Tester la connexion
Test-NetConnection -ComputerName SERVER_IP -Port 135

Vérifier les services RPC

# Statut du service RPC
Get-Service RpcSs

# Processus utilisant RPC
Get-Process | Where-Object {$_.ProcessName -like "*rpc*"}

Dépannage

Problèmes courants

Service RPC ne démarre pas :

# Vérifier le service
Get-Service RpcSs

# Redémarrer le service
Restart-Service RpcSs

# Vérifier les dépendances
Get-Service RpcSs | Select-Object -ExpandProperty DependentServices

Applications ne peuvent pas se connecter :

  1. Vérifier le firewall : port 135 bloqué ?
  2. Vérifier les services : RPC Endpoint Mapper actif ?
  3. Vérifier les logs : Event Viewer pour erreurs RPC

Erreurs courantes

Erreur Cause possible Solution
"RPC server unavailable" Service RPC arrêté Démarrer le service RpcSs
"Access denied" Firewall bloque Autoriser le port 135 dans le firewall
"Connection refused" Port 135 fermé Vérifier les règles firewall

Alternatives et bonnes pratiques

Utiliser RPC over HTTPS

Pour Exchange Server :

  • RPC over HTTPS : tunnel RPC via HTTPS (port 443)
  • Plus sécurisé : chiffrement HTTPS
  • Configuration : Exchange Server → RPC over HTTPS

Segmenter le réseau

Isolation :

  • DMZ : serveurs exposés à Internet
  • Réseau interne : serveurs avec RPC
  • VPN : accès RPC via VPN uniquement

Monitoring

Surveiller les connexions :

# Connexions au port 135
Get-NetTCPConnection -LocalPort 135 | Format-Table

# Logs d'événements
Get-EventLog -LogName Security -InstanceId 4624 | Where-Object {$_.Message -like "*RPC*"}

Désactiver RPC (non recommandé)

⚠️ Attention : Désactiver RPC peut casser de nombreux services Windows.

Si vraiment nécessaire :

# Arrêter le service RPC (non recommandé)
Stop-Service RpcSs
Set-Service RpcSs -StartupType Disabled

Services affectés :

  • Active Directory
  • Exchange Server
  • SQL Server
  • Services Windows multiples

Bonnes pratiques

  • Ne pas exposer à Internet : bloquer le port 135 depuis Internet
  • Utiliser un VPN : accès RPC via VPN uniquement
  • Restreindre l'accès : limiter aux IPs/machines nécessaires
  • Surveiller : monitorer les connexions au port 135
  • Mises à jour : garder Windows à jour (patches de sécurité)
  • Segmenter : isoler les serveurs critiques

Ressources

Cet article s'inscrit dans notre série de guides Windows Server et sécurité. Pour un serveur sur-mesure, contact.

Commentaires (0)

Laisser un commentaire