Microsoft.com
Bienvenue Connexion
Pour les professionnels de l’informatique
 Version imprimable       Envoyer     
Cliquez pour évaluer et commenter
TechNet
Bibliothèque TechNet
Articles Techniques
Communautés
Insider
The Cable Guy
 Le nouveau pare-feu de Windows Vist...

  Passer à l'affichage pour faible bande passante
Le nouveau pare-feu de Windows Vista et Windows Server "Longhorn" : The Cable Guy, janvier 2006

The Cable Guy – Janvier 2006

Paru le 01 janvier 2006

cable_guy

Par The Cable Guy

Les versions CTP (Community Technology Preview) de décembre de Microsoft Windows Vista (actuellement en phase de test de la version bêta) et Windows Server "Longhorn" (également en phase de test) incluent une version nouvelle et améliorée du pare-feu Windows.

Sur cette page

Introduction
Améliorations du nouveau pare-feu Windows
Utilisation du composant logiciel enfichable Pare-feu Windows avec sécurité avancée
Pour plus d'informations

Introduction

Tout comme le pare-feu Windows actuel de Windows XP Service Pack 2 (SP2) et Windows Server 2003 Service Pack 1 (SP1), le nouveau pare-feu Windows est un pare-feu basé sur l'hôte, avec conservation de statut, qui autorise ou bloque le trafic réseau en fonction de sa configuration et des applications en cours d'exécution, afin d'offrir un niveau de protection contre les utilisateurs et programmes malveillants sur un réseau.

Améliorations du nouveau pare-feu Windows

Le nouveau pare-feu de Windows Vista et Windows Server "Longhorn" présente les améliorations suivantes par rapport au pare-feu actuel de Windows XP SP2 et Windows Server 2003 SP1 :

  • Prise en charge du trafic entrant et sortant

  • Nouveau composant logiciel enfichable MMC (Microsoft Management Console) pour la configuration de l'interface graphique

  • Intégration du filtrage du pare-feu et des paramètres de protection IPSec (Internet Protocol security)

  • Possibilité de configurer des exceptions pour les comptes et groupes du service d'annuaire Active Directory, les adresses IP source et destination, le numéro de protocole IP, les ports TCP (Transmission Control Protocol) et UDP (User Datagram Protocol) source et destination, tous les ports ou plusieurs ports TCP ou UDP, des types d'interface spécifiques, le trafic ICMP (Internet Control Message Protocol) et ICMPv6 (ICMP pour IPv6) par type et par code, et les services.

Prise en charge du trafic entrant et sortant

Le nouveau pare-feu Windows prend en charge la protection du trafic entrant, en supprimant tout le trafic entrant non sollicité qui ne correspond pas à du trafic envoyé en réponse à une demande de l'ordinateur (trafic sollicité) ou le trafic non sollicité qui a été spécifié comme autorisé (trafic d'exception). Il s'agit du type le plus crucial de pare-feu sur un ordinateur, car il contribue à éviter l'infection des ordinateurs par des virus et vers de niveau réseau, qui sont diffusés via le trafic entrant non sollicité.

Le nouveau pare-feu Windows prend en charge la protection du trafic entrant et sortant. Par exemple, un administrateur réseau peut configurer le nouveau pare-feu Windows avec un ensemble d'exceptions afin de bloquer tout le trafic envoyé vers des ports spécifiques, tels que les ports bien connus utilisés par les logiciels antivirus, ou vers des adresses spécifiques avec du contenu sensible ou indésirable.

Le comportement par défaut du nouveau pare-feu Windows consiste à :

  • Bloquer tout le trafic entrant, sauf s'il est sollicité ou correspond à une exception configurée.

  • Autoriser tout le trafic sortant, sauf s'il correspond à une exception configurée.

Nouveau composant logiciel enfichable MMC pour la configuration de l'interface graphique

Pour le pare-feu Windows actuel, l'interface graphique pour la configuration est constituée de l'élément Pare-feu Windows du Panneau de configuration et d'une série de paramètres de stratégie de groupe dans le composant logiciel enfichable d'éditeur de stratégie de groupe. Pour plus d'informations sur la configuration du pare-feu Windows actuel, consultez l'article Configuration manuelle du pare-feu Windows dans Windows XP Service Pack 2.

Vous pouvez configurer le nouveau pare-feu Windows via l'élément Pare-feu Windows du Panneau de configuration, lequel affiche les mêmes options de configuration que le pare-feu Windows actuel. Vous pouvez configurer les paramètres de base du nouveau pare-feu Windows, mais vous ne pouvez pas configurer les fonctionnalités améliorées.

Étant donné le nombre d'options de configuration avancées et l'intérêt d'avoir la même interface graphique pour la configuration locale et basée sur la stratégie de groupe Active Directory, le nouveau pare-feu Windows peut également être configuré avec un composant logiciel enfichable MMC nommé Pare-feu Windows avec sécurité avancée. Dans les versions bêta de Windows Vista et Windows Server "Longhorn", vous devez ajouter le composant logiciel enfichable Pare-feu Windows avec sécurité avancée à une console MMC. Il n'existe actuellement aucune console prédéfinie pour le composant logiciel enfichable Pare-feu Windows avec sécurité avancée dans le dossier Outils d'administration.

Avec le nouveau composant logiciel enfichable Pare-feu Windows avec sécurité avancée, les administrateurs réseau peuvent configurer les paramètres pour le nouveau pare-feu Windows sur les ordinateurs distants, ce qui n'est pas possible pour le pare-feu Windows actuel sans connexion au poste de travail distant.

Pour la configuration de ligne de commande des paramètres avancés du nouveau pare-feu Windows, vous pouvez utiliser les commandes du contexte netsh advfirewall. Ce contexte n'existe pas pour les ordinateurs qui exécutent Windows XP avec SP2 ou Windows Server 2003 avec SP1.

Pour la configuration du nouveau pare-feu Windows basée sur la stratégie de groupe, accédez à Configuration de l'ordinateur/Paramètres Windows/Paramètres de sécurité/Pare-feu Windows avec sécurité avancée dans le composant logiciel enfichable Éditeur de stratégie de groupe. Le nouveau pare-feu Windows applique les paramètres de stratégie de groupe configurés pour le pare-feu Windows actuel dans Configuration de l'ordinateur\Modèles d'administration\Réseau\Connexions réseau\Pare-feu Windows. Les ordinateurs qui exécutent Windows XP avec SP2 ou Windows Server "Longhorn" ignorent les paramètres de stratégie de groupe du nouveau pare-feu Windows.

Remarque Dans les versions bêta de Windows Vista et Windows Server "Longhorn", vous ne pouvez pas afficher les exceptions créées avec le composant logiciel enfichable Pare-feu Windows avec sécurité avancée dans l'élément Pare-feu Windows du Panneau de configuration.

Intégration des paramètres du pare-feu et IPsec

IPsec est un ensemble de normes Internet offrant la protection cryptographique du trafic IP. Dans Windows XP et Windows Server 2003, le pare-feu Windows et IPsec sont configurés séparément. Étant donné qu'un pare-feu basé sur l'hôte et IPSec dans Windows peuvent bloquer ou autoriser le trafic entrant, il est possible de créer des exceptions de pare-feu et des règles IPSec contradictoires ou qui se chevauchent. Le nouveau pare-feu Windows a associé la configuration des services réseau avec les mêmes commandes d'interface graphique et de ligne de commande. Un autre avantage de l'intégration des paramètres de pare-feu et IPSec est que la configuration des paramètres IPSec est fortement simplifiée. Pour plus d'informations, reportez-vous à la section « Utilisation du composant logiciel enfichable Pare-feu Windows avec sécurité avancée » dans cet article.

Possibilité de configurer des exceptions pour les comptes et groupes Active Directory

Pour les exceptions qui spécifient que le trafic entrant ou sortant doit être protégé avec IPSec, vous pouvez spécifier la liste des comptes et groupes d'ordinateurs, ou des comptes et groupes d'utilisateurs, autorisés à engager une communication protégée. Vous pouvez par exemple spécifier que le trafic vers des serveurs spécifiques avec des données sensibles doit être protégé et ne peut provenir que d'utilisateurs ou d'ordinateurs spécifiques.

Possibilité de configurer des exceptions pour les adresses IP source et destination

Avec le pare-feu Windows actuel, vous pouvez spécifier la portée du trafic entrant avec exception. La portée définit la portion du réseau à partir de laquelle le trafic avec exception est autorisé, essentiellement les adresses IP source (IPv4 et IPv6) du trafic entrant. Avec le nouveau pare-feu Windows, vous pouvez configurer les adresses IP source et destination du trafic entrant et sortant, ce qui vous permet de définir plus précisément le type de trafic autorisé ou bloqué. Par exemple, si un ordinateur avec une adresse IP spécifique n'est pas autorisé à envoyer du trafic vers un ensemble de serveurs, vous pouvez créer une exception de blocage sortante qui spécifie l'adresse affectée localement comme adresse source et les adresses des serveurs comme adresses de destination.

Pour les adresses de destination, vous pouvez également spécifier les adresses prédéfinies suivantes avec le nouveau pare-feu Windows :

  • Passerelle par défaut, serveurs WINS, serveurs DHCP, serveurs DNS

    Ces adresses prédéfinies sont mises en correspondance de manière dynamique avec les adresses de la passerelle par défaut actuellement définie pour l'hôte, les serveurs WINS, le serveur DHCP et les serveurs DNS.

  • Sous-réseau local

    Ces adresses prédéfinies sont mises en correspondance de manière dynamique avec l'ensemble d'adresses défini par votre adresse IPv4 et par le masque de sous-réseau, ou par votre préfixe de sous-réseau local IPv6.

Possibilité de configurer des exceptions pour un numéro de protocole IP

Dans le pare-feu Windows actuel, vous pouvez créer des exceptions basées sur le trafic TCP ou UDP, mais vous ne pouvez pas spécifier d'autres types de trafic qui n'utilisent pas TCP ou UDP. Le nouveau pare-feu Windows vous permet de sélectionner le protocole par nom ou de taper manuellement la valeur des champs Protocole IPv4 ou En-tête suivant IPv6 pour le trafic souhaité.

Possibilité de configurer des exceptions pour les ports TCP et UDP source et destination

Avec le pare-feu Windows actuel, vous pouvez spécifier le port TCP ou UDP de destination du trafic entrant. Avec le nouveau pare-feu Windows, vous pouvez configurer les ports TCP ou UDP source et destination du trafic entrant et sortant, ce qui vous permet de définir plus précisément le type de trafic TCP ou UDP autorisé ou bloqué. Par exemple, si vous souhaitez bloquer le trafic malveillant ou indésirable qui utilise un ensemble bien connu de ports TCP, vous pouvez créer des exceptions de blocage entrant et sortant, spécifiant les ports TCP source et destination du trafic.

Possibilité de configurer des exceptions pour tous les ports ou plusieurs ports

Lors de la configuration d'une exception basée sur les ports avec le pare-feu Windows actuel, vous pouvez uniquement spécifier un port TCP ou UDP unique. Avec le nouveau pare-feu Windows, vous pouvez également spécifier tous les ports TCP ou UDP (pour tout le trafic TCP ou UDP) ou une liste de plusieurs ports séparés par des virgules. Pour configurer le nouveau pare-feu Windows pour une plage de ports, vous devez spécifier tous les ports de la plage. Par exemple, si vous souhaitez configurer une exception pour la plage de ports 1090-1095, vous devez configurer les ports suivants : 1090,1091,1092,1093,1094,1095.

Possibilité de configurer des exceptions pour des types d'interface spécifiques

Avec le pare-feu Windows actuel, toutes les exceptions activées s'appliquent à toutes les interfaces sur lesquelles le pare-feu est activé. Avec le nouveau pare-feu Windows, vous pouvez spécifier qu'une exception s'applique à toutes les interfaces ou à des types d'interface spécifiques, notamment les interfaces de réseau local, d'accès distant ou sans fil. Par exemple, si une application est utilisée uniquement via des connexions d'accès distant et que vous ne souhaitez pas que l'exception soit active pour les connexions de réseau local et sans fil, vous pouvez configurer l'exception afin qu'elle s'applique uniquement aux connexions d'accès distant.

Possibilité de configurer des exceptions pour le trafic ICMP et ICMPv6 par type et par code

Avec le pare-feu Windows actuel, vous pouvez activer des exceptions pour un ensemble fixe de messages ICMP (pour IPv4) et ICMPv6. Avec le nouveau pare-feu Windows, il existe un ensemble prédéfini de messages ICMP et ICMPv6 faisant couramment l'objet d'exceptions, et vous pouvez ajouter de nouveaux messages ICMP ou ICMPv6 en spécifiant les valeurs des champs Type et Code des messages ICMP ou ICMPv6. Par exemple, si vous souhaitez créer une exception pour le message Paquet ICMPv6 trop volumineux, vous pouvez créer manuellement une exception pour ICMPv6 Type 2 et Code 0.

Possibilité de configurer des exceptions pour les services

Avec le pare-feu Windows actuel, vous devez configurer une exception pour un service en spécifiant le chemin vers le nom de fichier du programme du service. Avec le nouveau pare-feu Windows, vous pouvez spécifier que l'exception s'applique à n'importe quel processus, uniquement aux services, à un service spécifique par nom, ou vous pouvez taper le nom abrégé du service. Par exemple, si vous souhaitez configurer une exception pour qu'elle s'applique uniquement au service Explorateur d'ordinateurs, vous pouvez sélectionner le service Explorateur d'ordinateurs dans la liste des services qui s'exécutent sur l'ordinateur.

Utilisation du composant logiciel enfichable Pare-feu Windows avec sécurité avancée

Pour configurer les paramètres avancés du nouveau pare-feu Windows, vous devez ajouter le nouveau composant logiciel enfichable Pare-feu Windows avec sécurité avancée à une console MMC en procédant de la façon suivante :

  1. À partir du poste de travail Windows Vista ou Windows Server "Longhorn", cliquez sur Démarrer, tapez mmc, puis appuyez sur ENTRÉE.

  2. Dans la fenêtre de la console MMC, cliquez sur Fichier, puis cliquez sur Ajouter/supprimer un composant logiciel enfichable.

  3. Dans la liste Composants logiciels enfichables disponibles, cliquez sur Pare-feu Windows avec sécurité avancée, puis cliquez sur Ajouter.

  4. Lorsque vous êtes invité à sélectionner l'ordinateur à gérer, cliquez sur Ordinateur local, cliquez sur Terminer, puis cliquez sur OK.

La figure suivante illustre un exemple de l'affichage du composant logiciel enfichable Pare-feu Windows avec sécurité avancée.

Bb877967.cg010601-sm(fr-fr,TechNet.10).gif

Pour modifier l'état du nouveau pare-feu Windows ou spécifier des paramètres complémentaires qui contrôlent son comportement, les paramètres de journalisation et les paramètres IPSec de chaque profil, cliquez avec le bouton droit de la souris sur Pare-feu Windows avec sécurité avancée dans l'arborescence, puis cliquez sur Propriétés. La figure suivante illustre un exemple.

Bb877967.cg010602-sm(fr-fr,TechNet.10).gif

L'arborescence Pare-feu Windows avec sécurité avancée présente les noeuds suivants :

  • Exceptions entrantes  Stocke le jeu d'exceptions configurées pour le trafic entrant.

  • Exceptions sortantes  Stocke le jeu d'exceptions configurées pour le trafic sortant.

  • Sécurité de la connexion de l'ordinateur  Stocke l'ensemble de règles pour le trafic protégé.

  • Surveillance  Affiche des informations sur les exceptions de pare-feu actuelles, les règles de sécurité des connexions et les associations de sécurité. Le noeud Surveillance n'est pas affiché lors de la consultation du composant logiciel enfichable Pare-feu Windows avec sécurité avancée dans le composant logiciel enfichable Éditeur de stratégie de groupe.

Lorsque vous sélectionnez le noeud Programme Windows avec sécurité avancée dans l'arborescence, les volets suivants s'affichent :

  • Vue d'ensemble  Affiche l'état actuel du nouveau pare-feu Windows pour les profils du domaine et standard, notamment le profil actif.

  • Démarrage  Fournit des informations élémentaires sur les fonctions du nouveau pare-feu Windows, ainsi que des liens vers les noeuds de l'arborescence.

  • Liens et ressources  Fournit des liens vers des informations complémentaires sur les procédures et sujets courants pour le nouveau pare-feu Windows.

Le volet Actions affiche les commandes de menu contextuel du noeud actuellement sélectionné, dans l'arborescence ou le volet de détails.

La configuration du nouveau pare-feu Windows est constituée des éléments suivants :

  • Exceptions entrantes

  • Exceptions sortantes

  • Règles de sécurité de connexion d'ordinateur

Configuration d'une exception entrante

Pour créer une exception entrante, cliquez avec le bouton droit de la souris sur Exceptions entrantes dans l'arborescence, puis cliquez sur Nouvelle exception. Vous pouvez également cliquer sur Exceptions entrantes dans l'arborescence, puis cliquer sur Nouvelle exception dans le volet Actions.

L'Assistant Nouvelle exception entrante démarre. La figure suivante illustre un exemple.

Bb877967.cg010603-sm(fr-fr,TechNet.10).gif

Dans la page Type d'exception de l'Assistant Nouvelle exception entrante, vous pouvez sélectionner les éléments suivants :

  • Programme  Pour spécifier une exception pour le trafic entrant, basée sur un nom de programme. Vous devez également spécifier une action (pour autoriser, bloquer ou protéger), le profil auquel l'exception s'applique (standard, domaine ou les deux), ainsi qu'un nom pour l'exception.

  • Port  Pour spécifier une exception pour le trafic entrant, basée sur les ports TCP ou UDP. Vous devez également spécifier une action (pour autoriser, bloquer ou protéger), le profil auquel l'exception s'applique (standard, domaine ou les deux), ainsi qu'un nom pour l'exception.

  • Prédéfini  Pour spécifier une exception basée sur l'un des services prédéfinis, à savoir Assistance à distance, Partage de fichiers et d'imprimantes, Bureau à distance, UpnP (Universal Plug and Play) Framework et ICMP Echo Request (v4). Vous devez également spécifier un nom pour l'exception.

  • Personnalisé  Pour créer une exception qui ne spécifie pas de programme, de port ou de service prédéfini. Vous pouvez sélectionner cette option lorsque vous souhaitez configurer manuellement le comportement d'exception, par exemple basé sur des paramètres avancés qui ne peuvent pas être configurés via les pages de l'Assistant Nouvelle exception entrante. Vous devez spécifier un nom pour l'exception.

Une fois l'Assistant Nouvelle exception entrante complété, le volet de détails comporte une nouvelle exception entrante, portant le nom que vous avez défini. Pour configurer les propriétés avancées de l'exception, cliquez avec le bouton droit de la souris sur le nom de l'exception entrante et cliquez sur Propriétés. Vous pouvez également cliquer sur le nom, puis cliquer sur Propriétés dans le volet Actions.

Configuration d'une exception sortante

Pour créer une exception sortante, cliquez avec le bouton droit de la souris sur Exceptions sortantes dans l'arborescence, puis cliquez sur Nouvelle exception. Vous pouvez également cliquer sur Exceptions sortantes dans l'arborescence, puis cliquer sur Nouvelle exception dans le volet Actions.

L'Assistant Nouvelle exception sortante démarre. La figure suivante illustre un exemple.

Bb877967.cg010604-sm(fr-fr,TechNet.10).gif

Dans la page Type d'exception de l'Assistant Nouvelle exception sortante, vous pouvez sélectionner les éléments suivants :

  • Programme

  • Port

  • Prédéfini

  • Personnalisé

Ces types d'exception sont les mêmes que pour les exceptions entrantes, à ceci près qu'elles concernent le trafic sortant.

Une fois l'Assistant Nouvelle exception sortante complété, le volet de détails comporte une nouvelle exception sortante, portant le nom que vous avez défini. Pour configurer les propriétés avancées de l'exception, cliquez avec le bouton droit de la souris sur le nom de l'exception sortante et cliquez sur Propriétés. Vous pouvez également cliquer sur le nom, puis cliquer sur Propriétés dans le volet Actions.

Dans la boîte de dialogue des propriétés d'une exception entrante ou sortante, vous pouvez configurer des paramètres sous les onglets suivants :

  • Général  Nom de l'exception, programme auquel l'exception s'applique et action de l'exception (autoriser, bloquer ou protéger).

  • Autorisation  Si l'action de l'exception consiste à protéger, comptes ou groupes d'ordinateurs ou d'utilisateurs autorisés à établir des connexions protégées.

  • Protocoles et ports  Protocole IP, ports TCP ou UDP source et destination, et paramètres ICMP ou ICMPv6 de l'exception.

  • Portée  Adresses source et destination de l'exception.

  • Avancé  Profils, types d'interface et services auxquels l'exception s'applique.

Configuration d'une règle de sécurité de connexion d'ordinateur

Pour créer une nouvelle règle de sécurité de connexion d'ordinateur, cliquez avec le bouton droit de la souris sur Sécurité de connexion d'ordinateur dans l'arborescence, puis cliquez sur Nouvelle règle. Vous pouvez également cliquer sur Sécurité de connexion d'ordinateur dans l'arborescence, puis cliquer sur Nouvelle règle dans le volet Actions.

L'Assistant Nouvelle règle d'authentification démarre. La figure suivante illustre un exemple.

Bb877967.cg010605-sm(fr-fr,TechNet.10).gif

Dans la page Type de règle de l'Assistant Nouvelle règle d'authentification, vous pouvez sélectionner les éléments suivants :

  • Isolement  Pour spécifier que les ordinateurs sont isolés des autres ordinateurs en fonction de leur appartenance à une infrastructure Active Directory commune ou parce qu'ils ont un état mis à jour et actuel. Vous devez spécifier où l'authentification doit avoir lieu (par exemple pour le trafic entrant ou sortant, et si vous souhaitez imposer ou seulement demander la protection), la méthode d'authentification du trafic protégé et un nom pour la règle. L'isolement d'ordinateurs basé sur l'état de santé utilise la nouvelle plate-forme d'accès réseau de Windows Vista et Windows Server Longhorn. Pour plus d'informations, consultez le site Web de protection d'accès réseau.

  • Exception d'authentification  Pour spécifier les ordinateurs qui n'ont pas besoin de s'authentifier ou de protéger le trafic par leurs adresses IP.

  • Serveur à serveur  Pour spécifier la protection du trafic entre des ordinateurs spécifiques, généralement des serveurs. Vous devez spécifier l'ensemble de points de terminaison qui échangeront du trafic protégé par adresse IP, à quel moment l'authentification doit avoir lieu, la méthode d'authentification du trafic protégé et un nom pour la règle.

  • Tunnel  Pour spécifier la protection du trafic passant par un tunnel, généralement utilisée lors de l'envoi de paquets via Internet entre deux ordinateurs de passerelle de sécurité. Vous devez spécifier les points de terminaison de tunnel par adresse IP, la méthode d'authentification et un nom pour la règle.

  • Personnalisé  Pour créer une règle qui ne spécifie pas de comportement de protection. Vous pouvez sélectionner cette option lorsque vous souhaitez configurer manuellement une règle, par exemple basée sur des propriétés avancés qui ne peuvent pas être configurées via les pages de l'Assistant Nouvelle règle d'authentification. Vous devez spécifier un nom pour la règle.

Une fois l'Assistant Nouvelle règle d'authentification complété, il existe une nouvelle règle avec le nom que vous avez spécifié dans le volet de détails du noeud Sécurité de connexion d'ordinateur. Pour configurer les propriétés avancées de la règle, cliquez avec le bouton droit de la souris sur le nom de la règle et cliquez sur Propriétés. Vous pouvez également cliquer sur le nom de la règle dans le volet de détails, puis cliquer sur Propriétés dans le volet Actions.

Dans la boîte de dialogue des propriétés d'une règle, vous pouvez configurer les paramètres sous les onglets suivants :

  • Général  Nom et description de la règle.

  • Ordinateurs  Ensemble d'ordinateurs, par adresse IP, pour lequel le trafic est protégé.

  • Authentication  À quel moment vous souhaitez que l'authentification de protection du trafic ait lieu (par exemple pour le trafic entrant ou sortant, et si vous souhaitez imposer ou seulement demander la protection), ainsi que la méthode d'authentification du trafic protégé.

  • Avancé  Profils et types d'interface auxquels la règle s'applique, et comportement de tunnel IPSec.

Pour plus d'informations

Pour plus d'informations sur ce sujet, consultez les ressources suivantes :

Pour tout commentaire concernant le contenu de cet article, écrivez à Microsoft TechNet. Merci de noter qu'il ne s'agit pas d'un alias de support et qu'aucune réponse n'est garantie.

Pour une liste et des informations complémentaires sur tous les articles The Cable Guy, cliquez ici.

© 2009 Microsoft Corporation. Tous droits réservés. Conditions d'utilisation  |  Marques  |  Confidentialité
Page view tracker