> Tech > Quels que soient les besoins du programme

Quels que soient les besoins du programme

Tech - Par iTPro - Publié le 24 juin 2010
email

Le paramètre de stratégie suivant est le premier d’un groupe de sept qui vous permet d’ouvrir un port particulier ou, dans certains cas, de le fermer. Lorsqu’on configure des pare-feu pour faire passer un genre de trafic particulier (comme du trafic Web, les authentifications AD - Active Directory, les téléchargements

de e-mails), l’une des difficultés est de déterminer le port dont ce trafic a besoin. Le paramètre Define Allowable Programs simplifie cet aspect. Rappelons ici que, par défaut, Windows Firewall ne bloque pas le trafic sortant mais bloque le trafic entrant non sollicité. Ce fonctionnement convient parfaitement quand votre station de travail se comporte comme un client qui initie une conversation, comme quand on demande le e-mail au serveur de e-mail ou une information au serveur Web. Mais rien ne va plus quand votre station de travail procure un service à d’autres participants au réseau – par exemple, si vous utilisez un serveur email sur votre station de travail – parce que le pare-feu repoussera les clients essayant d’initier une conversation avec ce programme serveur. Elle ne marche pas non plus dans des situations P2P (peer-to-peer) comme IM (Instant Messaging), dans lesquelles deux systèmes ou plus communiquent mais se comportent à la fois en clients et serveurs. Par conséquent, pour utiliser un serveur ou pour pratiquer des scénarios P2P, il faut ouvrir certains ports.

Oui, mais lesquels ? En nommant un programme particulier dans le paramètre Define Allowable Programs, vous répondez à la question par le fait que Windows Firewall ouvre les ports dont ce programme a besoin. Pour cela, pointez le paramètre de stratégie sur l’emplacement du programme, déterminez s’il faut l’activer ou le désactiver (en effet, vous pourriez créer une stratégie visant à désactiver des ports pour un programme particulier si celui-ci était un cheval de Troie en maraude sur votre réseau) et s’il convient d’ouvrir ces ports au monde entier ou uniquement au subnet local.

Supposons qu’un programme serveur de e-mail fonctionne sur mon ordinateur à C:\myprogs\serverprog.exe. J’ignore quels ports il ouvre, mais je veux que ces ports ne soient ouverts que pour les systèmes partageant le même subnet que le serveur. Je vais activer Define Allowable Programs puis cliquer sur Show pour obtenir une boîte de dialogue dans laquelle j’entrerai l’information concernant mon serveur de e-mail. Dans cette boîte de dialogue, je taperai
C:\myprogs\serverprog.exe:LocalSubnet: enabled:E-mail server

Cette ligne spécifie quatre éléments, séparés par des signes deux-points. Le premier élément est le chemin complet du programme. Vous pouvez utiliser des variables d’environnement comme %ProgramFiles%. L’élément suivant, LocalSubnet, ordonne de n’accepter le trafic entrant sur les ports de ce serveur, qu’en provenance des systèmes partageant le même subnet. Le troisième élément, enabled, prescrit de permettre le trafic. Quant au quatrième, E-mail server, ce n’est qu’une étiquette que Windows Firewall pourra utiliser lorsqu’il rendra compte de son activité. Vous pouvez ajouter autant de programmes que nécessaire.

Téléchargez gratuitement cette ressource

Guide de Services Cloud Managés

Guide de Services Cloud Managés

Accélérer votre transformation digitale, protéger et sécuriser vos environnements Cloud avec les offres de support, d'accompagnement et de services managés. Découvrez le TOP 3 des Services Managés pour accompagner la transformation de vos environnements Cloud, gagner en agilité et en sécurité dans un monde d'incertitudes.

Tech - Par iTPro - Publié le 24 juin 2010