… et défendre

pouvez donc gérer centralement la configuration de
Windows Firewall sur vos systèmes XP SP2. Pour cela, ouvrez
le snap-in Microsoft Management Console (MMC) Group
Policy sur l’un de vos systèmes XP SP2, afin de pouvoir éditer
les paramètres des stratégies de groupe sous l’objet
Computer Configuration\Administrative Templates\Net—
work\Network Connection\Windows Firewall du GPO XP
Workstation Computer Configuration. (Vous devrez avoir
installé adminpak.msi sur ce système pour éditer le GPO ;
voir l’encadré « Editer un GPO à  partir d’un systèmeWindows
XP » pour plus de détails.) Si vous ne voyez
pas ce dossier quand vous ouvrez la
console des stratégies de groupe pour la
première fois, ce n’est pas grave : c’est simplement
le signe que le GPO n’a pas encore
été mis à  jour par les nouveaux paramètres
de Windows Firewall. Windows mettra à 
jour automatiquement le GPO et rendra les
paramètres disponibles quand vous commencerez
à  éditer le GPO.

Dans la console Stratégie de groupe,
manoeuvrez jusqu’à  l’objet Computer
Configuration\Administrative TemplatesNetwork\Network Connections\Windows Firewall du
GPO. Cet objet contient deux sous-dossiers : un pour le profil
de domaine du pare-feu et un pour le profil standard.
Windows Firewall détermine si un système est connecté au
LAN et, si oui, applique les paramètres définis sous le profil
de domaine. Dans le cas contraire, Windows Firewall applique
les paramètres définis sous le profil standard. (Pour
plus d’informations sur le processus de détermination, voir
les articles associés à  Windows Firewall énumérés dans l’encadré
« Ressources ».) Le fait d’avoir deux profils permet de
configurer Windows Firewall avec des règles plus strictes
pour les utilisateurs qui travaillent à  l’extérieur du réseau interne,
le seul vraiment digne de confiance. Cependant, vous
n’obtenez ce double profil que quand la station de travail XP
fait partie d’un domaine AD et
vous ne pouvez configurer les
profils que par l’intermédiaire
des stratégies de groupe. Je
vais vous montrer comment
configurer le profil de domaine
: le profil standard
contient les mêmes paramètres.
Beaucoup de ces paramètres
correspondent aux
paramètres manuels que j’ai
décrits dans l’article « Windows
Firewall : Construire la
Sécurité », donc il est bon de lire cet article pour s’imprégner
du rôle des paramètres.

Sélectionnez le dossier Domain Profile, double-cliquez
sur l’objet paramètre Operational Mode dans le panneau de
droite et ouvrez la boîte de dialogue Properties du paramètre.
Vous avez le choix entre trois valeurs de paramètre :
Not Configured, Enabled et Disabled. Sélectionnez Enabled ;
cela vous permettra de configurer le mode opérationnel de
Windows Firewall comme Off ou Enabled (comme je l’explique
dans l’article « Windows Firewall : construire la sécurité
»). Cliquez sur OK pour fermer le paramétrage. Si vous
sélectionnez Not Configured ou Disabled (plutôt que
Enabled), Windows permettra aux utilisateurs finaux de
configurer Windows Firewall à  l’aide des paramètres locaux.
Cela vaut pour tous les paramètres que je décris ici : le fait de
désactiver ou de ne pas configurer un paramètre donne aux
utilisateurs la possibilité de changer le paramètre localement

– à  condition que le paramètre suivant que je décris, Allow
User Preference/Group Policy Settings Merge, soit Enabled
ou Not Configured.

Ouvrez Properties du paramètre Allow User Preference/
Group Policy Settings Merge. Si vous laissez Not Configured,
Windows ignorera les paramétrages que les utilisateurs
appliqueront à  Windows Firewall. Si vous sélectionnez
Disabled, Windows désactivera l’ensemble des paramètres
de Windows Firewall pour les utilisateurs finaux. Si vous
choisissez Enabled, Windows fusionnera les préférences que
les utilisateurs finaux auront définies avec les paramètres que
vous aurez configurés au moyen des stratégies de groupe.
Ainsi, le fait d’activer Allow User Preference/Group Policy
Settings Merge peut laisser les utilisateurs utiliser l’applet
Control Panel Windows Firewall pour configurer des exceptions
de pare-feu non approuvées par le biais de ports ouverts
ou de programmes autorisés – une mauvaise idée.
Sélectionnez Disabled pour empêcher les utilisateurs d’accéder
manuellement aux paramètres de Windows Firewall,
risque d’ouvrir des failles de sécurité sur leurs stations de
travail (et votre réseau).

Ouvrez Properties pour le paramètre Define Allowed
Programs, qui définit les programmes que Windows Firewall
laissera accéder à  vos systèmes XP SP2. Sélectionnez Enabled
puis cliquez sur Show pour voir une liste des programmes
autorisés. Pour ajouter un programme à  cette liste, vous devez
entrer un chemin de plusieurs autres valeurs sous la
forme executablepath :scope :enabled/disabled :friendly
name, où scope peut être LocalSubnet ou peut être le symbole
joker (*) pour spécifier toutes les adresses IP. Par
exemple, l’entrée que montre la figure 2 définit Windows
Messenger comme un programme autorisé pour le trafic
provenant de toutes les adresses IP. Ajoutez ou supprimez
des programmes selon les besoins puis cliquez sur OK pour
fermer la boîte de dialogue Show Contents et cliquez sur OK
pour fermer la boîte de dialogue Define Allowed Programs
Properties.

Ouvrez Properties pour le paramètre Define Custom
Open Ports. Sélectionnez Enabled pour définir les ports autorisés
pour les connexions entrantes. Pour autoriser un
port, il faut l’entrer dans un format semblable à  celui qu’on
utilise pour autoriser les programmes. Pour les ports, le format
est port number :TCP/UDP :scope :enabled/disabled
:friendly name, où scope peut être soit LocalSubnet, soit
le symbole joker (*). Par exemple, 80:TCP:LocalSubnet :enabled
:HTTP permet aux ordinateurs du réseau local de se
connecter à  Microsoft IIS sur la station de travail locale.

Vous vous demandez peut-être « A quoi sert-il de spécifier
disabled dans les programmes définis ou de spécifier des
ports dans les paramètres Define Allowed Programs et
Define Custom Open Ports ? » La documentation Microsoft
stipule que toute règle activée pour un port ou un programme
donné supplantera toute règle désactivée pour le
même port ou programme. Cependant, Windows Firewall
ferme tous les ports par défaut, donc les règles désactivées
semblent être incapables d’aller jusqu’à  verrouiller un système.
Vous pouvez cependant utiliser des règles désactivées
pour prépeupler la liste Programs and Services de l’applet
Control Panel Windows Firewall avec des exceptions non sélectionnées.
Cela faciliterait l’activation temporaire de certains
programmes ou ports – par exemple, si plusieurs
consultants en management travaillant sur un projet chez un
client devaient utiliser un partage P2P (peer-to-peer) pour
partager des fichiers entre eux.

Le paramètre Allow dynamically Assigned Ports for RPC
and DCOM permet de contrôler si d’autres personnes sur
l’intranet ou Internet peuvent accéder à  la station de travail
via RPC (Remote Procedure Call) ou DCOM (Distributed
COM). Ce type de trafic inclut WMI, l’accès distant à  la plupart
des ressources dans le snap-in MMC Computer
Management et beaucoup d’autres processus. RPC et DCOM
sont particulièrement problématique pour les pare-feu parce
qu’ils utilisent tous deux des ports assignés dynamiquement.
Par conséquent, Windows Firewall bloque par défaut l’accès
aux requêtes RPC ou DCOM entrantes, à  l’exception des requêtes
portant sur des exécutables qui sont listés comme
programmes autorisés.

Le paramètre Allow dynamically Assigned Ports for RPC
and DCOM permet de contrôler la manière dont les
programmes qui ne sont pas définis comme des exceptions, acceptent les connexions RPC et DCOM entrantes. Si vous
sélectionnez Enabled, vous devez ensuite configurer la visibilité
du port RPC à  None, Entire Network ou Local Subnet.
Si vous choisissez None, Windows Firewall n’autorisera les
requêtes entrantes qu’aux programmes listés comme exceptions.
Si vous sélectionnez Entire Network ou Local Subnet,
Windows Firewall acceptera les requêtes RPC et DCOM entrantes
provenant de tout le réseau ou du subnet local, respectivement.

Pour déterminer les paramètres à  activer sur vos stations
de travail XP, il faut procéder à  une recherche et à  des tests
approfondis. Je vous conseille de commencer par désactiver
l’accès RPC et DCOM sur un réseau de test, puis de tester entièrement
toutes les fonctions d’administration système
(Microsoft Systems Management Server – MS, par exemple)
et les fonctions de support à  distance (fonctions de console
Computer Management, scripts WMI, par exemple) que vous
utilisez pour administrer les stations de travail à  partir du réseau.
Si vous ne pouvez pas vous connecter à  une fonction,
déterminez le nom du programme serveur correspondant et
validez ce programme pour les requêtes RPC entrantes.

Le paramètre Allow File and Printer Sharing est un raccourci
qui active tous les ports pour le partage de fichiers –
spécifiquement, les ports UDP 137, 138 et 139, et les ports
TCP 139 et 445. Si vous validez cette politique, vous devez
mettre la visibilité à  Local subnet only ou Global Visibility.

Allow ICMP Settings permet de contrôler comment
Windows Firewall traitera les messages ICMP (Internet
Control Message Protocol). Si vous validez la politique, il faut
aussi valider les types de messages ICMP permis spécifiques.

Le paramètre Allow Remote Assistance Support est un
autre raccourci qui contrôle si Windows Firewall permettra
les requêtes Remote Assistance non sollicitées. (Le fait de valider
le port TCP 135 pour tout le réseau et d’ajouter
helpsvc.exe à  la liste des programmes autorisés donne le
même résultat que le fait d’activer ce paramètre.)

Le paramètre Allow Universal Plug and Play est un
raccourci qui contrôle si Windows Firewall laissera Universal
Plug and Play (UPnP) fonctionner sur vos systèmes XP SP2. Si
vous activez le paramètre, Windows Firewall ouvre les ports
TCP 1900 et 2869 et le port UDP 2869 pour tout le réseau.