> Tech > Utiliser les stratégies de groupe

Utiliser les stratégies de groupe

Tech - Par iTPro - Publié le 24 juin 2010
email

En plus de la GUI et de l'interface ligne de commande, XP SP2 permet de désactiver Windows Firewall de GPE (Group Policy Editor) comme une stratégie locale ou une stratégie de domaine. Vous avez toujours pu désactiver le pare-feu à  partir d'un GPO (Group Policy Object) mais la possibilité était

Utiliser les stratégies de groupe

très
limitée : désactiver le pare-feu était à  peu près tout ce que
vous pouviez faire. SP2 offre une caractéristique (c’est-à -dire
un dossier) entièrement nouvelle de GPO pour contrôler
Windows Firewall.
Dans GPE, naviguez jusqu’à  Computer Configuration,
Administrative Templates, Network, Network Connections,
Internet Connection Firewall, comme le montre la figure 1. A
l’intérieur du dossier Internet Connection Firewall, on
trouve deux autres dossiers : Domain Profile et Mobile
Profile. Cette notion de deux profils de Windows Firewall est
importante. Voyons-la de plus près.
Deux profils Windows Firewall. Microsoft a pris conscience
que beaucoup de gens ne voudraient pas activer Windows
Firewall sur des systèmes à  l’intérieur du réseau, mais qu’ils
pourraient vouloir le faire quand ces systèmes seraient hors
du réseau. Microsoft a donc rendu le pare-feu suffisamment
intelligent pour savoir quand la machine est connectée à  un
domaine. Quand elle l’est, Windows Firewall suit les instructions
dans le dossier Domain Profile. Mais, quand la machine
n’est pas connectée à  un domaine (à  noter que Windows
Firewall détermine si la machine, pas l’utilisateur, est connectée
à  un domaine), Windows Firewall se tourne vers le dossier
Mobile Profile pour recevoir ses instructions.
On l’a vu, les stratégies de groupe SP2 représentent ces
deux ensembles de paramètres de stratégie comme des dossiers
ou des catégories en jargon Stratégies de groupe.
Chaque dossier contient les neuf mêmes paramètres de stratégie,
dont l’un est appelé Operational Mode. Par son biais,
vous pouvez désactiver Windows Firewall. Pour désactiver
Windows Firewall, changez le paramètre en Disabled et appliquez
la stratégie.
Operational Mode a deux autres états possibles : Enabled
et Shielded. Enabled active le pare-feu et vous permet
d’ouvrir tous les ports dont vous avez besoin. Vous activerez
peut-être Windows Firewall quand votre machine ne sera pas
attachée au domaine, mettrez le Operational Mode du dossier
Domain Profile à  Disabled et mettrez le Operational
Mode du dossier Mobile Profile à  Enabled.
Shielded active le pare-feu et ignore les demandes d’ouverture
des ports entrants. La justification de ce paramètre
est que si un ver s’attaquait à  votre réseau, vous pourriez
activer le mode Shielded, bloquant ainsi toutes les données
entrantes non sollicitées et empêchant le ver d’infecter votre
système.
Une note GPE. Si vous créez un GPO basé sur des domaines
pour contrôler Windows Firewall, un peu de préparation
sera nécessaire. Comme les paramètres de la stratégie
Windows Firewall sont tous nouveaux, vos copies de DC (domain
controllers) basées sur Windows Server 2003 ou sur
Windows 2000 de GPE (gpedit.msc), n’afficheront probablement
pas les paramètres de stratégie Windows Firewall. (Je
dis « probablement pas » parce qu’un système Windows 2003
qui utilise Windows 2003 SP1 – qui devrait être livré dans le
courant de cette année – aurait les paramètres. Ce pack de
service modifiera le pare-feu de Windows 2003 de la même
manière que XP SP2 modifie celui de XP.)
Pour créer un GPO basé sur des domaines qui inclut les
nouveaux paramètres de Windows Firewall, chargez les outils
d’administration Windows 2003 sur une boîte XP dans laquelle
SP2 est installé. Ouvrez le snap-in Microsoft
Management Console (MMC) Active Directory Users and
Computers (pour une stratégie de site, ouvrez le snap-in
MMC Active Directory Sites and Services) sur ce système XP.
Vous pouvez ensuite créer ou modifier un GPO qui inclut les
nouveaux paramètres de stratégie.
Configurer des profils mobiles et
de domaines à  partir de la ligne de
commande. Les stratégies Windows
Firewall basées sur des domaines sont
excellentes, mais les utilisateurs qui
n’utilisent pas encore AD se tourneront
probablement vers des fichiers
batch pour obtenir de l’aide. Les profils
mobiles et de domaines rendent
Windows Firewall plus intéressant,
mais pouvez-vous les contrôler à  partir
de la ligne de commande ? La réponse
est oui. Vous pouvez même établir des
profils mobiles et de domaines à  partir
de la ligne de commande.
Pour contrôler le comportement
de Windows Firewall dans un profil
particulier, ajoutez simplement le paramètre
profile= à  la commande Netsh
Set Opmode, suivi du mot-clé current,
all, corporate ou other. Current ordonne
au système d’apporter le changement
au profil actif. All ordonne
d’apporter ce changement aux deux
profils. Le mot-clé corporate est moins
évident : il change le profil du domaine
et le mot-clé other, qui change le profil
mobile. (J’ai parfois l’impression que
beaucoup de gens chez Microsoft travaillent
sur Windows Firewall et qu’ils
ne communiquent pas tous entre eux.)
Supposons que je veuille utiliser la
ligne de commande pour mettre en
place un système qui désactive
Windows Firewall pendant que le système
est connecté à  un domaine, et
qui l’active dans le cas contraire. Les
deux commandes suivantes accomplissent
cette tâche :

netsh firewall ipv4 set opmode
mode=disable profile=corporate
netsh firewall ipv4 set opmode
mode=enable profile=other

Téléchargez gratuitement cette ressource

Sécurité Office 365 : 5 erreurs à ne pas commettre

Sécurité Office 365 : 5 erreurs à ne pas commettre

A l’heure où les données des solutions Microsoft de Digital Workplace sont devenues indispensables au bon fonctionnement de l’entreprise, êtes-vous certain de pouvoir compter sur votre plan de sécurité des données et de sauvegarde des identités Microsoft 365, Exchange et Teams ? Découvrez les 5 erreurs à ne pas commettre et les bonnes pratiques recommandées par les Experts DIB France.

Tech - Par iTPro - Publié le 24 juin 2010