> Tech > Régler finement Windows Firewall

Régler finement Windows Firewall

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Mark Minasi - Mis en ligne le 22/02/06 - Publié en Octobre 2004

Dans l’article « Windows Firewall » (septembre 2004), je présente Windows Firewall, une fonction Windows XP SP2 (Service Pack 2), appelée ICF (Internet Connection Firewall) dans sa précédente incarnation. Dans cet article, j’approfondis la fonction et montre comment la régler finement en fonction des besoins de votre réseau.Examinons les neuf nouveaux paramètres de Stratégies de Groupe pour Windows Firewall et leurs commandes correspondantes. Vous trouverez les paramètres de Windows Firewall dans le dossier Computer Configuration\Administrative Templates\Network\Network Connections\Internet Connection Firewall. Ce dossier contient deux sous-dossiers : Domain Profile et Mobile Profile. Un ordinateur sur lequel Windows Firewall est installé choisit les paramètres de stratégie pour Domain Profile au moment où cet ordinateur est connecté à un domaine ; sinon, il choisit les paramètres pour Mobile Profile. Les deux sous-dossiers contiennent les neuf mêmes paramètres de stratégie.

J’ai montré le premier paramètre, Operational Mode, le mois dernier. Il propose trois options : Disabled qui désactive le pare-feu, Protected qui active le pare-feu, et Shielded qui active aussi le pare-feu mais isole l’ordinateur du réseau davantage que Protected ; en effet ce dernier permet d’ouvrir des ports particuliers. Pour appliquer au pare-feu le mode Disabled, Protected ou Shielded, utilisez la commande
netsh firewall ipv4 set opmode
suivie de l’un des trois termes disabled, enabled ou shield. (Les commandes de la ligne de commande décrivent souvent les options avec des termes légèrement différents de ceux des paramètres de Stratégie de Groupe.) Donc, pour lever le pont-levis et pour blinder votre NIC, vous taperiez
netsh firewall ipv4 set opmode shield

Cette commande a toute sa place dans un fichier batch. Vous pourriez ensuite créer sur votre poste un raccourci vers un fichier batch, appeler le raccourci Shield this System puis faire un double clic dessus chaque fois que votre réseau sera attaqué. Pour connaître la configuration du pare-feu, vous pouvez utiliser la commande
netsh firewall ipv4 show opmode

Le paramètre suivant de la stratégie Windows Firewall est Allow User Preference/Group Policy Settings Merge – il est quelque peu trompeur. La documentation de Windows Firewall indique que si ce paramètre est activé, les administrateurs locaux peuvent modifier le paramétrage du parefeu. Mais est-ce que « modifier » signifie « activer ou désactiver le pare-feu » ou « le régler en ouvrant ou en fermant des ports » ? Dans le cas présent, « modifier » a cette dernière signification : si activée, cette stratégie permet à un administrateur local d’ouvrir ou de fermer un port sur un système – mais pas de supplanter le paramètre Disabled, Protected ou Shielded défini par une stratégie de domaine, en supposant qu’il existe une stratégie de domaine pertinente pour Windows Firewall. Si on choisit Disabled, les administrateurs locaux n’ont pas de prise sur le comportement du parefeu.

La confusion s’installe quand un administrateur local essaie de supplanter les paramètres Windows Firewall qu’un GPO (Group Policy Object) de domaine a créés. Un administrateur local qui tape
netsh firewall ipv4 set opmode disable
obtiendra un résultat OK, et une commande Netsh Firewall ultérieure indiquera que le pare-feu est désactivé. Pourtant, un coup d’oeil aux propriétés de la NIC dans le dossier Network Connections révèlera que le pare-feu est activé. Il suffira de quelques tests pour confirmer que c’est la GUI qui dit vrai : les paramètres du domaine gagnent. Espérons que ce comportement ne perdurera pas dans la release finale.

Mais on ne peut pas non plus faire toujours confiance à la GUI. Si vous réglez Allow User Preference/Group Policy Settings Merge sur Disabled, la GUI est grisée et les boutons radio d’activation et de désactivation de Windows Firewall deviennent inopérants. C’est logique. Mais essayez d’activer le paramètre puis de revenir à l’écran de configuration Windows Firewall. Les boutons radio précités sont maintenant activés. Vous pouvez cliquer dessus et choisir OK : vous n’obtiendrez pas de message d’erreur… pas plus d’ailleurs que vous ne verrez de changement. Cependant, en tant qu’administrateur local, vous pouvez utiliser la ligne de commande ou gpedit.msc pour ouvrir et fermer les ports. Il n’existe pas d’équivalent ligne de commande pour Allow User Preference/Group Policy Settings Merge.

Téléchargez gratuitement cette ressource

Comment sécuriser la Digital Workplace ?

Comment sécuriser la Digital Workplace ?

Avec le recours généralisé au télétravail, les entreprises ont ouvert davantage leur SI. En dépit des précautions prises, elles ont mécaniquement élargi leur surface d’exposition aux risques. Découvrez 5 axes à ne pas négliger dans ce Top 5 Sécurité du Télétravail.

Tech - Par iTPro.fr - Publié le 24 juin 2010