Windows Server 2008 est la première version de serveur où le pare-feu est activé par défaut…

Windows Vista et Windows Server 2008 introduisent désormais une version très avancée de ce composant. Le premier concerne le rapprochement des fonctions de pare-feu et celles apportées par le protocole IPsec au sein du même composant de gestion MMC. De cette manière, tous les paramètres de sécurité liés à TCPIP sont gérés avec le même outil. Voir Figure 4. Les différences entre les pare feu de Windows Server 2003 – XP et ceux de Windows Server 2008 – Windows Vista, sont telles que chaque plateforme dispose de ses propres outils d’administration. C’est pour cette raison que vous retrouverez sous Windows Server 2008 les anciens composants qui vous permettront d’administrer les systèmes fonctionnant sous Windows Server 2003. Microsoft précise qu’il est aussi possible d’utiliser les anciens outils pour administrer le pare feu de Windows Server 2008 mais avec des restrictions.

Sécurité des accès au réseau en fonction des rôles, en entrée et en sortie…
Des dizaines de règles autorisant les différents types de flux sont préformatées au départ mais ne sont pas activées. Le fait que le pare-feu soit activé par défaut signifie qu’il y aura un impact lorsque des applications ou des services devant recevoir des flux en entrée seront installés. Aujourd’hui, la plupart des applications ne considèrent pas la présence d’un pare-feu intégré au système d’exploitation. Par conséquent, il faudra systématiquement définir des règles qui permettent un fonctionnement correct de ces applications ou services. Concernant les rôles et fonctionnalités de Windows Server 2008, tout a été prévu puisque le composant d’installation et de configuration intégré au systéme créera et activera toutes les règles de pare-feu nécessaires en fonction de la configuration choisie.

Les serveurs Windows Server 2008 utilisent le filtrage des flux réseaux sur IPv4 et IPv6 de telle sorte que, par défaut, tous les flux entrants sont bloqués, excepté lorsqu’il s’agit d’une réponse relative à un flux sortant. A l’inverse, tous les flux sortants sont autorisés. Comme cela est le cas sous Windows Vista, l’administrateur dispose de nombreux critères au sein d’une règle tels que le protocole de transport, les ports, le nom et le chemin d’une application ou le nom d’un service Windows. Voir Figure 5.
En plus, si la règle utilise une connexion sécurisée, il sera possible de préciser quels utilisateurs ou ordinateurs authentifiés sont concernés.

Le fait que le protocole IPsec soit désormais « très proche » du pare-feu permettra d’utiliser plus souvent ce protocole pour vérifier l’intégrité du trafic réseau et authentifier les partenaires – ordinateurs et utilisateurs, en plus des fonctionnalités habituelles de cryptage. De ce point de vue, l’avancée apportée par Windows Server 2008 et Windows Vista est significative car IPsec pourra être plus facilement utilisé dans le cadre de la sécurisation des trafics entre les machines Windows Vista membres d’un domaine Active Directory et les contrôleurs de domaine. Encore une fois, le niveau de sécurité sera sensiblement amélioré. Comme cela est le cas sous Windows Vista, tous les paramètres de la configuration du Pare-feu Windows avec fonctions de sécurité avancée sont contrôlables localement, à distance, à l’aide de la commande Netsh Advfirewall et bien entendu, via les incontournables stratégies de groupe.