Avant de configurer Windows Firewall, vous devez recenser les applications sur vos stations de travail et serveurs qui pourraient établir des points d’extrémité d’écoute, les ports que chaque application et OS utilisent, et la source du trafic vers chaque hôte qui utilisera Windows Firewall. Pour des systèmes mobiles comme des
Recenser les applications
portables, le recensement doit tenir compte de la nature différente du trafic réseau, quand le système est connecté à un réseau d’entreprise avec des DC et sur lequel le profil Windows Firewall Domain est actif, par rapport à ce qui se passe quand le système est connecté à un réseau public et que le profil Standard est actif. Vous devez toujours configurer le profil Standard et le faire de telle sorte que seul le trafic entrant essentiel soit autorisé au travers du pare-feu, pour diminuer le risque auquel est exposé votre système mobile connecté.
Windows Firewall définit quatre services administratifs intégrés qui représentent les exceptions courantes requises dans toute stratégie de parefeu : File et Print, Remote Administration, Remote Desktop et Universal Plug and Play (UpnP). Remote Administration est la possibilité de gérer le système à l’aide d’interfaces administratives courantes et des sous-systèmes comme WMI (Windows Management Instrumentation) et RPC (remote procedure calls). Remote Desktop vous permet de vous connecter à votre machine à partir d’un autre système via RDP et on l’utilise aussi lorsqu’on demande Remote Assistance. Les administrateurs utilisent généralement Remote Desktop pour se connecter aux serveurs distants afin de les gérer. Le protocole UpnP permet aux unités de se découvrir et de se configurer dynamiquement l’une l’autre, en réaction aux applications et aux services qui s’exécutent, pour assurer le bon fonctionnement des unités. Exemple courant de UpnP : quand vous lancez MSN Messenger et que XP travaille avec un routeur large bande domestique compatible avec UpnP pour s’assurer que les connexions audio et vidéo sont autorisées au travers du pare-feu intégré du routeur.
Quand vous configurez les profils Windows Firewall Domain et Standard, il est bon de définir les exceptions par application. Une exception d’application permet à celle-ci d’établir les points d’extrémité d’écoute qu’elle choisit et d’y accepter le trafic. Deux bonnes raisons plaident pour la définition des exceptions par application : premièrement, il est plus facile de définir et d’approuver les applications que les ports individuels qu’elles utilisent, particulièrement depuis que de nombreuses applications ne documentent pas complètement les ports en question, ou utilisent des ports dynamiques. Deuxièmement, beaucoup d’applications, dont certaines malveillantes, utilisent les mêmes ports et applications approuvés. En définissant des applications au lieu de ports, vous ne donnez pas aux applications non approuvées l’occasion d’établir des points d’extrémité d’écoute. Je recommande également que, dans la mesure du possible, vous ne permettiez aucune exception pour le profil Standard et que vous refusiez toutes les connexions entrantes. Le tableau Web 1, (www.itpro.fr), donne la liste des ports et des protocoles de transport sur Windows 2003 et XP que les applications et services Windows et courants standard utilisent et pour lesquels vous pourriez devoir créer des exceptions.
Téléchargez cette ressource
Microsoft 365 Tenant Resilience
Face aux failles de résilience des tenants M365 (configurations, privilèges, sauvegarde). Découvrez 5 piliers pour durcir, segmenter et surveiller vos environnements afin de limiter l’impact des attaques. Prioriser vos chantiers cyber et améliorer la résilience de vos tenants Microsoft 365.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Réforme de la facturation électronique : une préparation largement théorique
- Le futur de la cryptographie post-quantique
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Articles les + lus
Couchbase lance AI Data Plane pour industrialiser l’IA agentique
Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
À la une de la chaîne Tech
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
