Exporter (0) Imprimer
Développer tout

Ajouter ou modifier une règle de pare-feu

S'applique à: Windows Server 2008

L’Assistant Configuration de la sécurité vous permet de créer des règles de pare-feu pour autoriser cet ordinateur à envoyer du trafic vers des programmes, des services système, des ordinateurs ou des utilisateurs, ou à recevoir du trafic de ces derniers. Les règles de pare-feu peuvent être créées de manière à exécuter l’une des trois actions suivantes pour toutes les connexions qui répondent à leurs critères : autoriser la connexion, autoriser uniquement une connexion sécurisée par le biais de la sécurité du protocole Internet (IPsec) ou bloquer explicitement la connexion.

ImportantImportant
Les règles de pare-feu autorisent le trafic à franchir le pare-feu, mais elles ne le sécurisent pas. Pour sécuriser le trafic avec IPsec, vous pouvez créer des règles de sécurité de connexion. Toutefois, la création d’une règle de sécurité de connexion n’autorise pas le trafic à franchir le pare-feu. À cette fin, si le trafic n’est pas autorisé par le comportement par défaut du pare-feu, vous devez créer une règle de pare-feu. Les règles de sécurité de connexion ne sont pas appliquées aux programmes ou services, mais entre deux ordinateurs. Le composant logiciel enfichable Pare-feu Windows avec fonctions avancées de sécurité (FW.msc) doit être utilisé pour créer des règles de sécurité de connexion.

Onglet Général

Les règles peuvent être créées pour le trafic entrant ou sortant. La règle peut être configurée de manière à spécifier le programme, le service, le protocole ou le port. À mesure qu’évolue votre environnement informatique, vous pouvez modifier, créer ou supprimer des règles.

Les règles de pare-feu sont appliquées dans l’ordre de priorité suivant :

  • Contournement authentifié (règles qui remplacent les règles de blocage)

  • Bloquer la connexion

  • Autoriser la connexion

Règles de trafic entrant

Les règles de trafic entrant autorisent explicitement, ou bloquent explicitement, le trafic qui tente d’accéder à l’ordinateur et qui répond aux critères définis dans celles-ci. Par exemple, vous pouvez configurer une règle de manière à ce qu’elle autorise explicitement le trafic sécurisé par IPsec pour le Bureau à distance à franchir le pare-feu, mais qu’elle bloque le même trafic s’il n’est pas sécurisé par IPsec. Lors de l’installation initiale de Windows, le trafic entrant est bloqué ; pour autoriser le trafic, vous devez créer une règle entrante.

Règles de trafic sortant

Les règles de trafic sortant autorisent explicitement, ou bloquent explicitement, le trafic qui provient de l’ordinateur et qui répond aux critères définis dans celles-ci. Par exemple, vous pouvez configurer une règle de manière à ce qu’elle empêche explicitement le trafic sortant à destination d’un ordinateur spécifique de franchir le pare-feu, mais qu’elle autorise le même trafic pour les autres ordinateurs. Le trafic sortant étant autorisé par défaut, vous devez créer une règle de trafic sortant pour bloquer le trafic.

Onglet Programmes et services

Étant donné que le Pare-feu Windows avec sécurité avancée bloque par défaut la totalité du trafic TCP/IP non sollicité entrant, vous pouvez être amené à configurer des règles de programme, de port et de service système pour les programmes ou services faisant office de serveurs, d’écouteurs ou d’homologues. Les règles de programme, de port et de service système doivent être gérées régulièrement car les configurations et les rôles de serveur sont appelés à évoluer.

ImportantImportant
Les paramètres d’une règle de pare-feu renforcent les niveaux de restriction des critères de la règle auxquels doivent répondre les demandes de connexion. Par exemple, si vous ne spécifiez aucun programme ou service sous l’onglet Programmes et services, tous les programmes et services sont autorisés à se connecter, même s’ils répondent à d’autres critères. Par conséquent, l’ajout de critères plus détaillés rend progressivement la règle plus restrictive et moins susceptible d’être respectée.

Pour ajouter un programme à la liste des règles, vous devez spécifier le chemin d’accès complet du fichier exécutable (.exe) utilisé par le programme. Un service système qui s’exécute dans son propre fichier .exe unique et qui n’est pas hébergé par un conteneur de services est considéré comme un programme et peut être ajouté à la liste des règles. De même, un programme qui fonctionne comme un service système et qui s’exécute (qu’un utilisateur soit ou non connecté à l’ordinateur) est également considéré comme un programme, sous réserve qu’il s’exécute dans son propre fichier .exe unique.

CautionAttention
L’ajout de programmes qui hébergent des services, tels que Svchost.exe, Dllhost.exe et Inetinfo.exe, à la liste des règles sans apport de restrictions supplémentaires dans la règle peut exposer l’ordinateur à des menaces de sécurité. En outre, l’ajout de ces programmes peut générer des conflits avec d’autres stratégies de sécurisation renforcée des services sur les ordinateurs exécutant Windows Server 2008 R2 ou Windows Server 2008.

Lorsque vous ajoutez un programme à la liste des règles, le Pare-feu Windows avec sécurité avancée ouvre (débloque) et ferme (bloque) dynamiquement les ports requis par le programme. Lorsque le programme est en cours d’exécution et à l’écoute du trafic entrant, le Pare-feu Windows avec sécurité avancée ouvre les ports requis ; lorsque le programme n’est pas en cours d’exécution ou à l’écoute du trafic entrant, le Pare-feu Windows avec sécurité avancée ferme les ports. En raison de ce comportement dynamique, l’ajout de programmes à la liste des règles est la méthode recommandée pour autoriser le trafic entrant non sollicité à franchir le Pare-feu Windows avec sécurité avancée.

noteRemarque
Vous pouvez utiliser des règles de programme afin d’autoriser le trafic entrant non sollicité à ne franchir le Pare-feu Windows avec sécurité avancée que si le programme utilise Windows Sockets (Winsock) pour créer des attributions de port. Si un programme ne recourt pas à Winsock pour attribuer des ports, vous devez déterminer les ports qu’il utilise et les ajouter à la liste des règles.

Onglet Protocoles et ports

Dans certains cas, si vous ne pouvez pas ajouter un programme ou service système à la liste des règles, vous devez déterminer le ou les ports qu’il utilise, puis ajouter ces ports à la liste des règles du Pare-feu Windows avec fonctions avancées de sécurité.

L’onglet Protocoles et ports permet de sélectionner un protocole parmi une liste des protocoles les plus utilisés et de leur numéro associé. Si le protocole ne figure pas dans la liste, sélectionnez Personnalisé et spécifiez le numéro correspondant.

Si vous sélectionnez le protocole TCP ou UDP, vous pouvez ensuite spécifier les ports local et distant auxquels la règle s’applique. Lorsque vous ajoutez un port TCP ou UDP à la liste des règles, le port est ouvert (débloqué) chaque fois que le Pare-feu Windows avec fonctions avancées de sécurité est en cours d’exécution, qu’un programme ou service système soit ou non à l’écoute du trafic entrant sur le port. Par conséquent, si vous devez autoriser le trafic entrant non sollicité à franchir le Pare-feu Windows avec sécurité avancée, vous devez créer une règle de programme au lieu d’une règle de port.

Onglet Étendue

Utilisez l’onglet Étendue pour spécifier une adresse IP, un sous-réseau ou une plage d’adresses IP. Vous pouvez utiliser des adresses IPv4 et IPv6.

Adresses IP locales

Sous Adresses IP locales, configurez la règle de pare-feu à appliquer lorsque l’ordinateur cible est l’ordinateur local. Vous pouvez en outre indiquer à quel moment la règle s’applique à l’ordinateur local en spécifiant une adresse IP ou une plage d’adresses IP afin d’appliquer la règle aux ordinateurs qui résident dans une branche spécifique de votre réseau.

Adresses IP distantes

Sous Adresses IP distantes, configurez la règle de pare-feu à appliquer lorsque l’ordinateur cible est un ordinateur distant. Vous pouvez en outre indiquer à quel moment la règle s’applique aux ordinateurs distants en spécifiant une adresse IP ou une plage d’adresses IP afin d’appliquer la règle aux ordinateurs qui résident dans une branche spécifique de votre réseau.

Spécification d’adresses IP

  • IPv4 Si votre réseau utilise l’adressage IPv4, spécifiez une adresse IP unique, telle que 172.30.160.169, ou un sous-réseau, tel que 146.53.0.0/24.

  • IPv6. Si votre réseau utilise l’adressage IPv6, spécifiez une adresse IP unique sous forme de huit séries de quatre chiffres hexadécimaux séparées par le signe deux-points (ou dans un format équivalent) ou d’un sous-réseau.

  • Pour spécifier une plage d’adresses dans ces deux formats, indiquez simplement la première (De) et la dernière (À) adresse IP à inclure dans la règle.

Références supplémentaires

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft