PetitPotam n’est toujours pas résolu, et Microsoft recommande toujours de regarder la lune et non le doigt, c’est-à-dire de désactiver Web PKI sur un domaine alors qu’en fait le problème est double : continuer à utiliser le protocole d’authentification NTLM en général, et le fait que vous pouvez vous connecter via RPC aux appels MS-EFSR sans authentification. Mais quelqu’un s’est souvenu d’une solution alternative, puisqu’il n’est pas possible d’arrêter complètement le service de cryptage et bien sûr de bloquer l’accès RPC au système : bloquer les filtres RPC spécifiques avec netsh.
Lors de la communication avec les tuyaux efsrpc et lsarpc, le client et le serveur échangent un UUID spécifique pour savoir de quoi ils parlent, comme l’indique la documentation elle-même :

“Remote servers MAY respond to EFSRPC messages sent using the well-known endpoint \pipe\lsarpc. When connecting to \pipe\efsrpc, the server interface is identified by UUID [df1941c5-fe89-4e79-bf10-463657acf44d], version 1.0. When connecting to \pipe\lsarpc, the server interface is identified by UUID [c681d488-d850-11d0-8c52-00c04fd90f7e”

L’astuce consiste à bloquer ces UUID avec ces commandes (enregistrées dans un fichier txt) :

rpc
filter
add rule layer=um actiontype=block add condition field=if_uuid matchtype=equal data=c681d488-d850-11d0-8c52-00c04fd90f7e
add filter add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=df1941c5-fe89-4e79-bf10-463657acf44d
add filter
quit

Et ensuite l’exécuter avec netsh -f file.txt

Plus d’information:
https://twitter.com/gentilkiwi/status/1421949715986403329