Exporter (0) Imprimer
Développer tout

Comment configurer le Pare-feu Windows dans un environnement de PME en utilisant une stratégie de groupe

Paru le 09 décembre 2004 | Dernière mise à jour le 21 juillet 2006

Sur cette page

Introduction
Avant de commencer
Ajout de correctifs aux stations de travail d'administration et à Windows Small Business Server 2003
Création et mise à jour d'une stratégie de groupe
Configuration des paramètres du Pare-feu Windows à l'aide de la stratégie de groupe
Application de la configuration avec GPUpdate
Vérification de l'application des paramètres du Pare-feu Windows
Informations complémentaires

Introduction

Ce document explique comment configurer les fonctionnalités du Pare-feu Windows sur des ordinateurs exécutant Microsoft® Windows® XP Professionnel Service Pack 2 (SP2), dans un environnement de PME. L'environnement peut inclure des contrôleurs de domaine exécutant Microsoft Windows Small Business Server 2003, Microsoft Windows Server™ 2003 ou Microsoft Windows 2000 Server.

La façon la plus efficace de gérer les paramètres du Pare-feu Windows sur le réseau d'une organisation consiste à utiliser le service d'annuaire Active Directory® et à configurer les paramètres du Pare-feu Windows au sein de la stratégie de groupe. Active Directory et la stratégie de groupe vous permettent de configurer les paramètres du Pare-feu Windows de manière centralisée et d'appliquer ces paramètres à l'ensemble des ordinateurs clients Windows XP SP2.

Windows XP SP2 inclut de nouveaux modèles d'administration pour les objets de stratégie de groupe (GPO) afin d'améliorer la sécurité de votre ordinateur client et du domaine, y compris la fonctionnalité de Pare-feu Windows. Pour appliquer ces modèles, vous devrez peut-être installer des correctifs, en fonction du système d'exploitation de la station de travail ou du serveur de domaine utilisé.

Après l'application de ces modèles, toute mise à jour de la stratégie de groupe comprendra les paramètres du Pare-feu Windows. Les mises à jour de la stratégie de groupe sont envoyées depuis le contrôleur de domaine à tous les membres du domaine. Elles peuvent également être requises par un membre du domaine, par le biais de l'utilitaire GPUpdate.

Pour configurer le Pare-feu Windows, vous devez avoir ouvert une session en tant que membre du groupe Admins du domaine ou du groupe de sécurité Propriétaires créateurs de la stratégie de groupe et utiliser l'Éditeur d'objets de stratégie de groupe.

Le tableau suivant répertorie les paramètres par défaut du Pare-feu Windows.

Tableau 1. Paramètres par défaut du Pare-feu Windows

Option

Configuration par défaut

À modifier lorsque

Paramètres de connexion réseau

Toutes les connexions

Vous n'avez plus besoin de la protection du Pare-feu Windows sur une connexion réseau spécifique ou vous avez besoin de paramètres individuels pour chaque connexion réseau.

Exceptions de programmes

Assistance à distance uniquement

Votre ordinateur doit recevoir des connexions émanant d'autres programmes ou services.

Exceptions de ports

Aucune

Votre ordinateur doit accepter des connexions de la part d'un ordinateur qui utilise des ports spécifiques.

Exceptions ICMP

Aucune

D'autres ordinateurs doivent vérifier que votre ordinateur est en cours d'exécution et que le protocole TCP/IP est correctement configuré.

Notifications

Activée

Vous ne souhaitez plus recevoir de notifications lorsque d'autres ordinateurs tentent de se connecter à votre ordinateur et échouent.

Journalisation

Désactivée

Vous avez besoin d'un enregistrement des connexions ou des tentatives de connexion effectuées vers votre ordinateur.

Ne pas autoriser d'exceptions

Désactivée

Vous découvrez que votre ordinateur présente une faille de sécurité ou vous utilisez votre ordinateur dans un environnement peu sécurisé tel que la salle d'attente d'un aéroport.


Les tâches que vous devez accomplir pour configurer le Pare-feu Windows à l'aide de la stratégie de groupe sont les suivantes :

  • ajouter des correctifs aux stations de travail d'administration GPO et à Windows Small Business Server 2003 ;

  • créer et mettre à jour des objets de stratégie de groupe ;

  • configurer les paramètres du Pare-feu Windows à l'aide de la stratégie de groupe ;

  • appliquer la configuration via l'utilitaire GPUpdate ;

  • vérifier que les paramètres du Pare-feu Windows sont appliqués.

Afin que votre ordinateur soit protégé contre les vers ou un code malveillant et qu'il continue à autoriser les connexions depuis et vers Internet, vous devez accomplir les tâches décrites dans ce document.

Microsoft recommande vivement de tester tous les paramètres de stratégie de groupe du Pare-feu Windows dans un environnement de test avant de les déployer dans votre environnement de production. Vous vous assurez ainsi que la configuration de votre stratégie de groupe n'entraîne pas d'interruption de service ou de baisse de productivité.

Pour connaître la définition des termes liés à la sécurité informatique, consultez la ressource suivante :

Objectif de ce document concernant la sécurité

En appliquant les procédures détaillées dans le présent document, vous serez en mesure de protéger vos clients Windows XP Professionnel contre les utilisateurs non autorisés et les logiciels malveillants à l'aide d'un pare-feu au niveau de l'hôte. De plus, ces procédures permettront une gestion avancée de la sécurité avec Active Directory.

Avant de commencer

Important Les instructions présentées dans ce document reposent sur le menu par défaut qui s'affiche lorsque vous cliquez sur le bouton Démarrer. Si vous avez modifié votre menu Démarrer, les procédures peuvent être légèrement différentes.

Windows XP SP2 peut être utilisé sur des ordinateurs clients dans un domaine Active Directory utilisant des contrôleurs de domaine qui exécutent l'un des systèmes suivants :

  • Windows Server 2003

  • Windows Small Business Server 2003

  • Windows 2000 Server SP4 ou version ultérieure

Sur la plupart des réseaux, le proxy, le pare-feu matériel réseau et d'autres systèmes de sécurité confèrent une certaine protection vis-à-vis d'Internet aux ordinateurs du réseau.

Si vous ne disposez pas d'un pare-feu au niveau de l'hôte (un pare-feu logiciel installé localement) tel que le Pare-feu Windows pour protéger les connexions réseau de votre ordinateur, vous êtes exposé à des programmes malveillants qui peuvent être introduits par d'autres ordinateurs lorsqu'ils se connectent à votre réseau. De même, vous êtes vulnérable lorsque vous utilisez votre ordinateur en déplacement (par exemple, lorsque vous utilisez un ordinateur portable à la maison ou que vous vous connectez au réseau d'un hôtel ou d'un aéroport).

Avant d'installer des correctifs, veillez à effectuer une sauvegarde de l'ordinateur, y compris celle du Registre.

Pour plus d'informations sur la marche à suivre pour sauvegarder le Registre, consultez la ressource suivante :

Ajout de correctifs aux stations de travail d'administration et à Windows Small Business Server 2003

Si vous gérez les paramètres des objets de stratégie de groupe sur des ordinateurs qui exécutent des systèmes d'exploitation ou des Service Packs antérieurs (par exemple, Windows XP SP1 ou Windows Server 2003), vous devez installer un correctif (KB842933) afin que les paramètres de stratégie apparaissent correctement dans l'Éditeur d'objets de stratégie de groupe.

Si vous utilisez Small Business Server 2003, vous devez installer un correctif supplémentaire (KB872769). Par défaut, Small Business Server 2003 désactive le Pare-feu Windows. Le correctif résout ce problème.

Remarque Les correctifs répertoriés ne sont pas inclus dans Microsoft Update et doivent être installés séparément. Ces correctifs doivent être appliqués individuellement à tous les ordinateurs concernés.

Le correctif KB842933 s'applique aux systèmes suivants :

  • Microsoft Windows Server 2003, Web Edition

  • Microsoft Windows Server 2003, Standard Edition (32 bits x86)

  • Microsoft Windows Server 2003, Enterprise Edition (32 bits x86)

  • Microsoft Windows Server 2003, Enterprise Edition pour les systèmes Itanium

  • Microsoft Windows XP Professionnel SP1

  • Microsoft Windows Small Business Server 2003 Premium Edition

  • Microsoft Windows Small Business Server 2003 Standard Edition

  • Microsoft Windows 2000 Advanced Server

  • Microsoft Windows 2000 Server

  • Microsoft Windows 2000 Professionnel

Le correctif KB872769 s'applique aux systèmes suivants :

  • Microsoft Windows Small Business Server 2003 Standard Edition

  • Microsoft Windows Small Business Server 2003 Premium Edition

Pour plus d'informations ou pour accéder à ces correctifs, consultez les articles suivants :

  • Article 842933 de la Base de connaissances Microsoft sur le site Web Aide et Support de Microsoft à l'adresse http://go.microsoft.com/fwlink/?linkid=35474.

  • Article 872769 de la Base de Connaissances Microsoft sur le site Web Aide et Support de Microsoft à l'adresse http://go.microsoft.com/fwlink/?linkid=35477.

Pour obtenir des informations complémentaires sur le téléchargement des fichiers de support technique Microsoft, consultez l'article suivant :

Conditions requises pour accomplir cette tâche

Vous aurez besoin des éléments suivants pour réaliser cette tâche :

  • Informations d'identification. Vous devez ouvrir une session sur l'ordinateur client à l'aide d'un compte qui est membre du groupe de sécurité Admins du domaine ou Administrateurs locaux.

  • Outils. Vous devez utiliser le correctif téléchargé adapté à votre système d'exploitation, comme indiqué dans les articles 842933 et 872769 de la Base de connaissances.

Comment ajouter des correctifs

Pour ajouter le correctif 842933 à Windows Small Business Server 2003 , Windows 2000 Server SP4 ou versions ultérieures , Windows XP SP1 ou Windows Server 2003

  1. À partir du Bureau Windows, cliquez sur Démarrer et sur Exécuter, entrez le chemin et le nom de fichier du correctif téléchargé, puis cliquez sur OK.

  2. Dans l'écran Bienvenue dans l'Assistant Installation de KB842933, cliquez sur Suivant.

  3. Dans la page Licence, lisez les conditions du contrat de licence. Pour poursuivre, cliquez sur J'accepte, puis cliquez sur Suivant.

  4. Dans la page Fin de l'Assistant Installation de KB842933, cliquez sur Terminer pour terminer l'installation du correctif et redémarrer l'ordinateur.

  5. Répétez les étapes 1 à 4 pour tous les ordinateurs concernés (serveurs et stations de travail de gestion).

Pour ajouter le correctif 872769 à Windows Small Business Server 2003

  1. À partir du Bureau Windows, cliquez sur Démarrer et sur Exécuter, entrez le chemin et le nom de fichier du correctif 872769 téléchargé, puis cliquez sur OK.

  2. Dans l'écran Bienvenue dans l'Assistant Installation de KB872769, cliquez sur Suivant.

  3. Dans la page Licence, lisez les conditions du contrat de licence. Pour poursuivre, cliquez sur J'accepte, puis cliquez sur Suivant.

  4. Dans la page Fin de l'Assistant Installation de KB872769, cliquez sur Terminer pour terminer l'installation du correctif et redémarrer l'ordinateur.

Création et mise à jour d'une stratégie de groupe

Windows XP SP2 ajoute des paramètres supplémentaires aux modèles d'administration. Pour configurer ces nouveaux paramètres, vous devez mettre à jour chaque objet de stratégie de groupe avec les nouveaux modèles d'administration trouvés dans Windows XP SP2. Si vous ne mettez pas à jour les objets de stratégie de groupe, les paramètres du Pare-feu Windows sont indisponibles.

Pour mettre à jour les objets de stratégie de groupe (GPO) sur un ordinateur exécutant Windows XP SP2, il vous suffit d'ouvrir un GPO existant à l'aide de la console MMC (Microsoft Management Console) avec le composant logiciel enfichable Éditeur d'objets de stratégie de groupe installé.

Lorsqu'un GPO a été mis à jour, vous pouvez configurer les paramètres de protection réseau appropriés à vos ordinateurs qui exécutent Windows XP SP2. Dans les exercices suivants, vous allez créer un nouvel objet de stratégie de groupe dont les paramètres de protection réseau seront immédiatement mis à jour.

Conditions requises pour accomplir cette tâche

Afin de réaliser cette tâche, vous aurez besoin des éléments suivants :

  • Informations d'identification. Vous devez ouvrir une session sur un ordinateur Windows XP SP2 qui est client d'un domaine Active Directory, et utiliser un compte membre du groupe de sécurité Admins du domaine ou Propriétaires créateurs de la stratégie de groupe.

  • Outils. Console MMC (Microsoft Management Console) avec le composant logiciel enfichable Éditeur d'objets de stratégie de groupe installé.

Création et mise à jour d'objets de stratégie de groupe

Pour mettre à jour les objets de stratégie de groupe avec les nouveaux modèles d'administration de Windows XP SP2

  1. À partir du Bureau Windows XP SP2, cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK.

  2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.

  3. Sous l'onglet Autonome, cliquez sur Ajouter.

  4. Dans la liste Composants logiciels enfichables disponibles, cliquez sur Éditeur d'objets de stratégie de groupe, puis cliquez sur Ajouter.

  5. Dans la boîte de dialogue Sélection d'un objet de stratégie de groupe, cliquez sur Parcourir.

  6. Dans la boîte de dialogue Rechercher un objet Stratégie de groupe (illustrée dans la capture d'écran suivante), cliquez sur le bouton Créer un nouvel objet Stratégie de groupe et nommez ce nouvel objet Stratégie de Pare-feu Windows cliente de test.

    WFGP01.GIF


  7. Cliquez sur OK, puis cliquez sur Terminer pour fermer l'Assistant Stratégie de groupe et appliquer le nouveau modèle d'administration au GPO sélectionné.

  8. Dans la boîte de dialogue Ajout d'un composant logiciel enfichable autonome, cliquez sur Fermer.

  9. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez sur OK.

  10. Fermez la console MMC, cliquez sur Fichier, puis cliquez sur Quitter. N'enregistrez pas les modifications des paramètres de la console.

    Remarque La procédure ci-dessus permet d'importer les nouveaux modèles d'administration de Windows XP SP2 vers l'objet de stratégie de groupe même si vous n'enregistrez pas les modifications de la console. Les modèles doivent être importés dans chaque objet de stratégie de groupe défini.

  11. Répétez les étapes précédentes pour chaque objet de stratégie de groupe utilisé afin d'appliquer la stratégie de groupe aux ordinateurs exécutant Windows XP SP2.

Pour mettre à jour vos objets de stratégie de groupe dans des environnements réseau reposant sur Active Directory et Windows XP SP2, Microsoft recommande d'utiliser la console de gestion des stratégies de groupe (GPMC, Group Policy Management Console) qui peut être téléchargée gratuitement. Pour plus d'informations, consultez l'article suivant :

Configuration des paramètres du Pare-feu Windows à l'aide de la stratégie de groupe

Deux jeux de paramètres du Pare-feu Windows peuvent être configurés :

  • Profil du domaine. Ces paramètres sont utilisés par les ordinateurs qui sont connectés à un réseau contenant des contrôleurs de domaine pour le domaine dont les ordinateurs sont membres.

  • Profil standard. Ces paramètres sont utilisés par les ordinateurs non connectés à un réseau, par exemple lorsque vous utilisez un ordinateur portable en déplacement.

Si vous ne configurez pas les paramètres du profil standard, les valeurs par défaut demeurent inchangées. Microsoft recommande vivement de configurer les paramètres du profil standard et du profil du domaine, ainsi que d'activer le Pare-feu Windows pour les deux profils. Une seule exception s'applique ; lorsque vous utilisez déjà un produit pare-feu d'hôte tiers (pare-feu logiciel installé localement). Dans ce cas, Microsoft vous conseille de désactiver le Pare-feu Windows.

Les paramètres du profil standard sont généralement plus restrictifs que ceux du profil du domaine. En effet, les paramètres du profil standard n'incluent pas les applications et les services qui sont uniquement utilisés dans un environnement de domaine géré.

Dans un GPO, le profil du domaine et le profil standard contiennent le même jeu de paramètres du Pare-feu Windows. Windows XP SP2 repose sur la détermination de réseau pour appliquer les paramètres du profil approprié.

Remarque Pour plus d'informations sur la détermination de réseau, consultez « Network Determination Behavior for Network-Related Group Policy Settings » (en anglais) sur le site Web de Microsoft TechNet, à l'adresse http://go.microsoft.com/fwlink/?linkid=35480.

Cette section décrit les possibilités de paramètres du Pare-feu Windows pour un objet Stratégie de groupe ainsi que les paramètres recommandés dans un environnement de PME. Elle explique également comment configurer les quatre principaux types de paramètres GPO.

Conditions requises pour accomplir cette tâche

Vous aurez besoin des éléments suivants pour réaliser cette tâche :

  • Informations d'identification. Vous devez ouvrir une session sur un ordinateur Windows XP SP2 qui est client d'un domaine Active Directory. Vous devez également utiliser un compte membre du groupe de sécurité Admins du domaine ou Propriétaires créateurs de la stratégie de groupe.

  • Outils. Console MMC (Microsoft Management Console) avec le composant logiciel enfichable Éditeur d'objets de stratégie de groupe installé.

Remarque Pour ouvrir un objet de stratégie de groupe, vous pouvez utiliser, soit la console MMC avec le composant logiciel enfichable Éditeur d'objets de stratégie de groupe, soit la console Utilisateurs et ordinateurs Active Directory. Pour utiliser la console Utilisateurs et ordinateurs Active Directory sur un ordinateur client Windows XP, vous devrez d'abord exécuter Aadminpak.msi à partir du CD-ROM Windows Server 2003.

Configuration des paramètres du Pare-feu Windows à l'aide de la stratégie de groupe

Utilisez le composant logiciel enfichable Stratégie de groupe pour modifier les paramètres du Pare-feu Windows des objets de stratégie de groupe appropriés.

Une fois les paramètres du Pare-feu Windows configurés par le biais des procédures suivantes, attendez qu'ils soient appliqués aux ordinateurs clients par les cycles d'actualisation standard, ou appliquez l'utilitaire GPUpdate sur l'ordinateur client. Par défaut, ces cycles d'actualisation interviennent toutes les 90 minutes avec un décalage aléatoire de + ou - 30 minutes. La prochaine actualisation de la stratégie de groupe Configuration de l'ordinateur téléchargera les nouveaux paramètres du Pare-feu Windows et les appliquera aux ordinateurs exécutant Windows XP SP2.

Pour configurer les paramètres du Pare-feu Windows à l'aide de la stratégie de groupe

  1. À partir du Bureau Windows XP SP2, cliquez sur Démarrer, sur Exécuter, tapez mmc, puis cliquez sur OK.

  2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.

  3. Sous l'onglet Autonome, cliquez sur Ajouter.

  4. Dans la liste Composants logiciels enfichables disponibles, cliquez sur Éditeur d'objets de stratégie de groupe, puis cliquez sur Ajouter.

  5. Dans la boîte de dialogue Sélection d'un objet de stratégie de groupe, cliquez sur Parcourir.

  6. Sélectionnez le GPO Stratégie de Pare-feu Windows cliente de test, cliquez sur OK, puis cliquez sur Terminer.

  7. Cliquez sur Fermer pour fermer la boîte de dialogue Ajout d'un composant logiciel enfichable autonome, puis dans la zone Ajouter/Supprimer un composant logiciel enfichable, cliquez sur OK.

  8. Dans l'arborescence de la console de l'Éditeur d'objets de stratégie de groupe, ouvrez Configuration de l'ordinateur, Modèles d'administration, Réseau, Connexions réseau, puis Pare-feu Windows (illustré par la capture d'écran suivante).

    WFGP02.GIF


  9. Sélectionnez Profil du domaine (illustré dans la capture d'écran suivante) ou Profil standard.

    WFGP03.GIF


    Le tableau suivant récapitule les paramètres recommandés de la stratégie de groupe du Pare-feu Windows pour les profils du domaine et les profils standard.

    Tableau 2. Recommandations en termes de paramètres du Pare-feu Windows

    Paramètre

    Description

    Profil du domaine

    Profil standard

    Protéger toutes les connexions réseau

    Spécifie que le Pare-feu Windows est activé pour toutes les connexions réseau.

    Activé

    Activé

    N'autoriser aucune exception

    Spécifie que tout le trafic entrant non sollicité est ignoré, y compris le trafic ajouté à la liste des exceptions.

    Non configuré

    Activé, sauf si vous devez configurer des exceptions de programmes

    Définir les exceptions de programmes

    Définit, grâce aux noms de fichiers des programmes, le trafic ajouté à la liste des exceptions

    Activé et configuré avec les programmes (applications et services) utilisés par les ordinateurs exécutant Windows XP SP2 sur votre réseau

    Activé et configuré avec les programmes (applications et services) utilisés par les ordinateurs exécutant Windows XP SP2 sur votre réseau

    Autoriser les exceptions de programmes locaux

    Active la configuration locale d'exceptions de programmes

    Désactivé, sauf si vous voulez que les administrateurs locaux configurent des exceptions de programmes localement

    Désactivé

    Autoriser l'exception d'administration à distance

    Active la configuration à distance en utilisant des outils

    Désactivé, sauf si vous souhaitez administrer vos ordinateurs à distance avec des composants logiciels enfichables MMC

    Désactivé

    Autoriser l'exception de partage de fichiers et d'imprimantes

    Spécifie si le trafic lié au partage de fichiers et d'imprimantes est autorisé

    Désactivé, sauf si les ordinateurs exécutant Windows XP SP2 partagent des ressources locales

    Désactivé

    Autoriser les exceptions ICMP

    Spécifie les types de message ICMP autorisés

    Désactivé, sauf si vous souhaitez utiliser la commande ping pour résoudre des problèmes

    Désactivé

    Autoriser l'exception du Bureau à distance

    Spécifie si l'ordinateur peut accepter une demande de connexion Bureau à distance

    Activé

    Activé

    Autoriser l'exception d'infrastructure UPnP

    Spécifie si l'ordinateur peut recevoir des messages UPnP non sollicités

    Désactivé

    Désactivé

    Empêcher les notifications

    Désactive les notifications

    Désactivé

    Désactivé

    Autoriser la journalisation

    Autorise la journalisation du trafic et configure les paramètres du fichier journal

    Non configuré

    Non configuré

    Empêcher les réponses monodiffusion pour des requêtes multidiffusion ou diffusion

    Ignore les paquets monodiffusion reçus en réponse à un message de demande de multidiffusion ou de diffusion

    Activé

    Activé

    Définir les exceptions de ports

    Spécifie, grâce aux ports TCP et UDP, le trafic ajouté à la liste des exceptions

    Désactivé

    Désactivé

    Autoriser les exceptions de ports locaux

    Active la configuration locale des exceptions de ports

    Désactivé

    Désactivé

  10. Double-cliquez sur chaque paramètre répertorié dans le tableau 2, cliquez sur Activé, Désactivé ou Non configuré, puis cliquez sur OK.

Activation des exceptions de ports

Pour activer les exceptions de ports

  1. Dans la zone des paramètres Profil du domaine ou Profil standard, double-cliquez sur Pare-feu Windows : définir les exceptions de ports. La boîte de dialogue suivante s'affiche.

    WFGP04.GIF


  2. Sélectionnez Activé, puis cliquez sur Afficher. La boîte de dialogue Affichage du contenu (illustrée par la capture d'écran suivante) apparaît.

    WFGP05.GIF


  3. Cliquez sur Ajouter ; la boîte de dialogue Ajout d'élément s'affiche. Entrez les informations sur le port que vous souhaitez bloquer ou activer. La syntaxe est la suivante :

    port:transport:étendue:statut:nom

    • port désigne le numéro de port

    • transport correspond à TCP ou UDP

    • étendue correspond à * (pour tous les ordinateurs) ou à la liste des ordinateurs autorisés à accéder au port

    • statut correspond à activé ou à désactivé

    • nom est une chaîne de texte utilisée comme étiquette pour cette entrée

    L'exemple illustré dans la capture d'écran suivante est nommé WebTest et active le port TCP 80 pour toutes les connexions.

    WFGP06.GIF


  4. Une fois les informations entrées, cliquez sur OK pour fermer la boîte de dialogue Ajout d'élément. La boîte de dialogue Affichage du contenu (illustrée par la capture d'écran suivante) apparaît.

    WFGP07.GIF

  5. Cliquez sur OK pour fermer la boîte de dialogue Affichage du contenu.

  6. Cliquez sur OK pour fermer Pare-feu Windows : définir les exceptions de ports.

Activation des exceptions de programmes

Pour activer les exceptions de programmes

  1. Dans la zone des paramètres Profil du domaine ou Profil standard, double-cliquez sur Pare-feu Windows : définir les exceptions de programmes. La boîte de dialogue suivante s'affiche.

    WFGP08.GIF


  2. Sélectionnez Activé, puis cliquez sur Afficher. La boîte de dialogue Affichage du contenu (illustrée dans la capture d'écran suivante) apparaît.

    WFGP09.GIF

  3. Cliquez sur Ajouter ; la boîte de dialogue Ajout d'élément s'affiche. Entrez les informations sur le programme que vous souhaitez bloquer ou activer. La syntaxe est la suivante :

    chemin:étendue:statut:nom

    • chemin désigne le nom de fichier et le chemin d'accès du programme

    • étendue correspond à * (pour tous les ordinateurs) ou à la liste des ordinateurs autorisés à accéder au programme

    • statut correspond à activé ou à désactivé

    • nom est une chaîne de texte utilisée comme étiquette pour cette entrée

    L'exemple illustré dans la capture d'écran suivante est nommé Messenger et active le programme Windows Messenger à l'emplacement %program files%\messenger\msmsgs.exe pour toutes les connexions.

    WFGP10.GIF

  4. Une fois les informations entrées, cliquez sur OK pour fermer la boîte de dialogue Ajout d'élément. La boîte de dialogue Affichage du contenu (illustrée par la capture d'écran suivante) apparaît.

    WFGP11.GIF

  5. Cliquez sur OK pour fermer la boîte de dialogue Affichage du contenu.

  6. Cliquez sur OK pour fermer Pare-feu Windows : définir les exceptions de programmes.

Configuration des options ICMP de base

Pour configurer les options ICMP de base

  1. Dans la zone des paramètres Profil du domaine ou Profil standard, double-cliquez sur Pare-feu Windows : autoriser les exceptions ICMP. La boîte de dialogue suivante s'affiche.

    WFGP12.GIF


  2. Sélectionnez Activé, puis sélectionnez les exceptions ICMP que vous souhaitez activer. Dans l'exemple illustré par cette capture d'écran, l'option Autoriser les requêtes d'écho entrantes est sélectionnée.

    Vous pouvez également sélectionner Désactivé pour désactiver ou une plusieurs exceptions ICMP.

  3. Cliquez sur OK pour fermer Pare-feu Windows : autoriser les exceptions ICMP.

Enregistrement des paquets ignorés et des connexions réussies

Pour enregistrer les paquets ignorés et les connexions réussies dans le journal

  1. Dans la zone des paramètres Profil du domaine ou Profil standard, double-cliquez sur Pare-feu Windows : autoriser la journalisation. La boîte de dialogue suivante s'affiche.

    WFGP13.GIF


  2. Sélectionnez Activé, Enregistrer les paquets ignorés, puis Enregistrer les connexions réussies dans le journal. Entrez un chemin et un nom de fichier pour le journal, laissez la valeur par défaut Limite de taille (Ko) pour la taille du fichier journal. Cliquez sur OK.

    Remarque Assurez-vous que le fichier journal est enregistré dans un emplacement sécurisé pour éviter toute modification délibérée ou accidentelle.

  3. Lorsque vous avez fini de modifier les paramètres du Pare-feu Windows, fermez la console.

    Remarque Lorsque vous fermez la console, vous êtes invité à l'enregistrer. Que la console soit enregistrée ou non, vos paramètres d'objet de stratégie de groupe seront sauvegardés.

  4. Si vous êtes invité à enregistrer les paramètres de la console, cliquez sur Non.

Application de la configuration avec GPUpdate

L'utilitaire GPUpdate actualise les paramètres de stratégie de groupe Active Directory. Après avoir configuré la stratégie de groupe, vous pouvez attendre que les paramètres s'appliquent aux ordinateurs clients selon les cycles d'actualisation standard. Par défaut, ces cycles d'actualisation interviennent toutes les 90 minutes avec un décalage aléatoire de + ou - 30 minutes. Pour actualiser la stratégie de groupe immédiatement, faites appel à l'utilitaire GPUpdate.

Conditions nécessaires pour accomplir cette tâche

Vous aurez besoin des éléments suivants pour réaliser cette tâche :

  • Informations d'identification. Vous devez ouvrir une session sur un ordinateur Windows XP SP2 qui est client d'un domaine Active Directory, et utiliser un compte membre du groupe Utilisateurs du domaine.

Exécution de GPUpdate

Pour exécuter GPUpdate

  1. À partir du Bureau Windows XP SP2, cliquez sur Démarrer, puis cliquez sur Exécuter.

  2. Dans la boîte de dialogue Exécuter, tapez cmd, puis cliquez sur OK.

  3. À l'invite de commandes, tapez GPUpdate, puis appuyez sur Entrée. Un écran similaire au suivant apparaît :

    WFGP14.GIF

  4. Pour fermer l'invite de commandes, tapez Exit, puis appuyez sur Entrée.

Vérification de l'application des paramètres du Pare-feu Windows

Remarque Lorsque vous utilisez la stratégie de groupe pour configurer le Pare-feu Windows, vous pouvez empêcher les administrateurs locaux d'accéder à certains éléments de la configuration. Si vous avez interdit cet accès, certains onglets et options de la boîte de dialogue du Pare-feu Windows ne seront pas disponibles sur les ordinateurs locaux des utilisateurs.

Conditions nécessaires pour accomplir cette tâche

Vous aurez besoin des éléments suivants pour réaliser cette tâche :

  • Informations d'identification. Vous devez ouvrir une session sur un ordinateur Windows XP SP2 qui est client d'un domaine Active Directory, et utiliser un compte membre du groupe Utilisateurs du domaine.

Pour vérifier l'application des paramètres du Pare-feu Windows

  1. À partir du Bureau Windows XP SP2, cliquez sur Démarrer, puis cliquez sur Panneau de configuration.

  2. Sous Choisissez une catégorie, cliquez sur Centre de sécurité. Un écran similaire au suivant apparaît.

    WFGP15.GIF

  3. Sous Gérer les paramètres de sécurité pour, cliquez sur Pare-feu Windows.

  4. Cliquez sur les onglets Général, Exceptions et Avancé, et vérifiez que la configuration de la stratégie de groupe est également appliquée au Pare-feu Windows sur l'ordinateur client.

Si les paramètres de configuration ne sont appliqués, vous devez résoudre les problèmes posés par l'application de la stratégie de groupe. Pour cela, consultez la ressource suivante :

Informations complémentaires

Pour plus d'informations sur le Pare-feu Windows XP SP2, consultez les ressources suivantes :

Pour plus d'informations sur la sécurité de Windows XP SP2, consultez la ressource suivante :

Pour connaître la définition des termes liés à la sécurité informatique, consultez la ressource suivante :



Télécharger

Télécharger le guide Comment configurer le Pare-feu Windows dans un environnement de PME en utilisant une stratégie de groupe



Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft