Quels que soient les besoins du programme

de e-mails), l’une des difficultés est de déterminer le port dont ce trafic a besoin. Le paramètre Define Allowable Programs simplifie cet aspect. Rappelons ici que, par défaut, Windows Firewall ne bloque pas le trafic sortant mais bloque le trafic entrant non sollicité. Ce fonctionnement convient parfaitement quand votre station de travail se comporte comme un client qui initie une conversation, comme quand on demande le e-mail au serveur de e-mail ou une information au serveur Web. Mais rien ne va plus quand votre station de travail procure un service à d’autres participants au réseau – par exemple, si vous utilisez un serveur email sur votre station de travail – parce que le pare-feu repoussera les clients essayant d’initier une conversation avec ce programme serveur. Elle ne marche pas non plus dans des situations P2P (peer-to-peer) comme IM (Instant Messaging), dans lesquelles deux systèmes ou plus communiquent mais se comportent à la fois en clients et serveurs. Par conséquent, pour utiliser un serveur ou pour pratiquer des scénarios P2P, il faut ouvrir certains ports.

Oui, mais lesquels ? En nommant un programme particulier dans le paramètre Define Allowable Programs, vous répondez à la question par le fait que Windows Firewall ouvre les ports dont ce programme a besoin. Pour cela, pointez le paramètre de stratégie sur l’emplacement du programme, déterminez s’il faut l’activer ou le désactiver (en effet, vous pourriez créer une stratégie visant à désactiver des ports pour un programme particulier si celui-ci était un cheval de Troie en maraude sur votre réseau) et s’il convient d’ouvrir ces ports au monde entier ou uniquement au subnet local.

Supposons qu’un programme serveur de e-mail fonctionne sur mon ordinateur à C:\myprogs\serverprog.exe. J’ignore quels ports il ouvre, mais je veux que ces ports ne soient ouverts que pour les systèmes partageant le même subnet que le serveur. Je vais activer Define Allowable Programs puis cliquer sur Show pour obtenir une boîte de dialogue dans laquelle j’entrerai l’information concernant mon serveur de e-mail. Dans cette boîte de dialogue, je taperai
C:\myprogs\serverprog.exe:LocalSubnet: enabled:E-mail server

Cette ligne spécifie quatre éléments, séparés par des signes deux-points. Le premier élément est le chemin complet du programme. Vous pouvez utiliser des variables d’environnement comme %ProgramFiles%. L’élément suivant, LocalSubnet, ordonne de n’accepter le trafic entrant sur les ports de ce serveur, qu’en provenance des systèmes partageant le même subnet. Le troisième élément, enabled, prescrit de permettre le trafic. Quant au quatrième, E-mail server, ce n’est qu’une étiquette que Windows Firewall pourra utiliser lorsqu’il rendra compte de son activité. Vous pouvez ajouter autant de programmes que nécessaire.