Ouvrir des ports particuliers

Console (MMC) Manage Computer et WMI a besoin des RPC (Remote Procedure Calls). Vous ne pouvez pas utiliser le snap-in Manage Computer pour contrôler un système à distance sans utiliser WMI, donc si vous voulez laisser Windows Firewall en place tout en continuant à utiliser Manage Computer pour contrôler les systèmes à distance, il vous faudra activer ce paramètre. L’ouverture de ports pour RPC pose un problème : Microsoft a découvert quelques vilains bogues dans RPC au cours des deux dernières années. Le plus mémorable d’entre eux a conduit à MSBlaster. On voit donc que le fait d’activer un pare-feu mais aussi d’ouvrir des ports pour RPC pourrait être quelque peu saugrenu : c’est un peu comme installer des serrures sur toutes vos portes, sans fermer à clé la porte d’entrée pour des raisons de commodité : ce sera tout aussi commode pour les cambrioleurs. Comme le paramètre précédent, celui-ci vous permet d’ouvrir des ports pour toutes les adresses IP ou juste pour le subnet local, mais cette possibilité ne semble pas non plus très utile. Dans les nombreux cas où MSBlaster a attaqué une entreprise, l’assaut a été lancé à partir d’un portable infecté introduit dans l’entreprise. Par conséquent, n’activez ce paramètre qu’après mûre réflexion.

Les paramètres File and Print Sharing, Remote Assistance Support et Universal Plug and Play fonctionnent de la même manière que RPG : vous pouvez les activer ou les désactiver et, si vous les activez, vous pouvez les cantonner au subnet local. Vous pouvez activer tout le support à l’exception de Remote Assistance à partir de la ligne de commande en utilisant la commande
netsh firewall ipv4 set service
suivie de type= et du nom du service (c’est-à-dire, FILEANDPRINT, RPCANDDCOM ou UPNP), ainsi que scope= et soit all (tout l’Internet), soit subnet (le subnet local). Par exemple, pour activer le partage de fichiers et d’impression pour le seul subnet local, vous taperiez
netsh firewall ipv4 set service type=fileandprint scope=subnet

Vous pouvez ajouter profile= et interface= à n’importe quelle commande. Ainsi, pour ouvrir des services de fichiers et d’impression sur votre connexion Ethernet câblée uniquement quand votre système est connecté au domaine, vous utiliseriez la commande
netsh firewall ipv4 set service type=fileandprint scope=subnet
interface="local area connection"
profile=corporate

Alors que les Stratégies de Groupe font référence aux profils Domain et Mobile, les outils ligne de commande font référence aux profils corporate et other.

Il reste deux paramètres de stratégie. Allow ICMP Settings affecte le sous-système ICMP (Internet Control Message Protocol). En général, vous ne vous préoccuperez pas beaucoup d’ICMP, mais vous ferez probablement attention à l’un de ces aspects : Ping. Par défaut, les systèmes protégés par pare-feu bloquent toutes les requêtes ICMP et, par conséquent, ignorent les pings. Un coup d’oeil à Allow ICMP Settings Properties montre neuf types de requêtes ICMP que Windows Firewall permet. Pour les besoins du ping, il vous suffit d’activer Allow Inbound Echo Request. Ce paramètre ne donne pas le moyen de restreindre le trafic ICMP au subnet local.

A partir de la ligne de commande, vous ouvririez ICMP avec la commande
netsh firewall ipv4 set icmpsetting
suivie de type= et d’un numéro (3, 4, 5, 8, 10, 11, 12, 13 ou 17) ou du mot all. Chaque numéro fait référence à l’un des neuf paramètres ICMP, et celui que vous voulez – incoming echo request – est le numéro 8. Pour que votre système réponde aux pings, vous taperiez
netsh firewall ipv4 set icmpsetting type=8

Là aussi vous pouvez ajouter profile= ou interface= pour affiner la commande.

Que se passe-t-il si vous voulez ouvrir un port pour un service dont je n’ai pas encore parlé ? Utilisez simplement le neuvième paramètre, Define Custom Open Ports. Activez-le puis cliquez sur Show comme je l’ai expliqué pour Define Allowable Programs. Ensuite, indiquez le numéro du port que Windows Firewall doit ouvrir, précisez si le port est du genre TCP ou UDP, s’il faut l’ouvrir à tout le monde ou juste au subnet local, et s’il faut l’activer ou le désactiver. Vous pouvez aussi, si vous le voulez, donner au port un nom descriptif. Ainsi, votre serveur de e-mail pourrait vouloir ouvrir le port TCP 25 à tout le monde, donc vous pourriez indiquer
25:TCP:*:enabled:SMTP
où 25 est le numéro du port, TCP est le protocole, l’astérisque (*) ouvre le port au monde entier (l’alternative est subnet), enabled ouvre le port au lieu de le fermer, et SMTP a un rôle descriptif. A partir de la ligne de commande, utilisez la commande
netsh firewall ipv4 add portopening
suivie de protocol= (avec tcp, udp ou all), port= (avec le numéro), name= (avec un nom), mode= (avec enable ou disable), et scope= (avec all ou subnet). Pour activer votre serveur de e-mail, vous taperiez
netsh firewall ipv4 set add portopening protocol=tcp port=25 name=SMTP
mode=enable scope=all

Si vous ne précisez pas un mode, enable est supposé. Et subnet est supposé si vous ne précisez pas un scope.

Si vous changez d’avis et voulez fermer un port, utilisez la commande
netsh firewall ipv4 delete portopening
en même temps que le protocole et le numéro du port pour identifier le port que vous voulez fermer. Ainsi, pour fermer le port de votre serveur de e-mail, vous taperiez
netsh firewall ipv4 delete portopening
protocol=tcp port=25

A force de jongler avec ces paramètres, vous pourriez bien vous y perdre – j’ai fermé ce port, pourquoi est-il encore ouvert ? – si vous ne comprenez pas une différence importante de comportement du pare-feu selon qu’il est contrôlé par un paramètre de Stratégie de Groupe ou à partir de la ligne de commande. Les commandes tapées sur la ligne de commande agissent en principe immédiatement. En revanche, les changements apportés par les Stratégies de Groupe peuvent mettre un certain temps pour se manifester. Vous pouvez faire en sorte que les changements Stratégies de Groupe locaux dans Windows Firewall prennent effet immédiatement, en utilisant la commande
gpupdate

Attendez que la commande se termine, puis allez à Services dans le snap-in Manage Computer et redémarrez le service Internet Connection Firewall. (Microsoft pourrait bien renommer ce service au moment des débuts de SP2.)