Base de connaisances

Pare-feu Windows avec fonctions avancées

with 2 comments

Avant-propos

Le pare-feu Windows avec fonctions avancées de sécurité n’apparaît qu’avec Windows Vista et Windows serveur 2008. Il permet la configuration du pare-feu Windows et la sécurité du protocole Internet (IPsec). Le pare-feu filtre le trafic IPv4 et IPv6 entrant et sortant de l’ordinateur. Il offre également une protection du trafic réseau entrant et sortant à l’aide du protocole IPsec pour la vérification de l’intégrité du trafic réseau, authentifier l’identité des ordonnateurs ou utilisateurs émetteurs ou récepteurs, et chiffrer le trafic à des fins de confidentialité.

Nous n’allons pas traité par partie IPsec, uniquement montrer qu’il est possible d’utiliser le pare-feu Windows un peu plus qu’un simple choix d’emplacement réseau. Et être un peu paranoïaque et n’autoriser que les applications nécessaires. On se protège ainsi d’éventuelles connexions par défaut autorisées. On traité uniquement du trafic entrant et sortant, sans se préoccuper des règles de sécurité de connexions.

Tous les exemples donnés le seront avec le profil privé uniquement, cependant il est possible d’effectuer ces modifications d’accès avec trois les profils existants.

Bon à savoir

Lorsque vous installez un autre pare-feu sur votre ordinateur, le pare-feu Windows se désactivera. Si vous avez déjà un autre pare-feu logiciel installé sur votre ordinateur, alors le blocage de connexions ne devrait pas être l’oeuvre du pare-feu Windows.

Windows Server 2008 R2 et Windows 7 offrent le support de plusieurs profils actifs adaptateur par-réseau. Dans Windows Vista et Windows Server 2008, un seul profil peut être actif sur l’ordinateur à la fois. S’il y a plusieurs cartes réseau connectées à différents réseaux, le profil avec les paramètres du profil plus restrictif est appliqué à toutes les cartes de l’ordinateur. Le profil public est considérée comme la plus restrictive, suivi par le profil privé, le profil de domaine est considéré comme le moins restrictif.

Introduction

Le pare-feu Windows avec fonctions avancées de sécurité prend en charge des profils séparés lorsque des ordinateurs sont membres d’un domaine ou connectés à un réseau privé ou public. Le pare-feu fonctionne avec Network Location Awareness (NLA) afin qu’il puisse appliquer des paramètres de sécurité en fonction du type de réseau auquel l’ordinateur est connecté.. Il prend aussi en charge la création de règles destinées à appliquer les stratégies d’isolation de domaine et de serveur. Le pare-feu Windows avec fonctions avancées de sécurité prend en charge des règles plus détaillées que les versions antérieures du Pare-feu Windows, y compris le filtrage basé sur les utilisateurs et les groupes Active Directory, les adresses source et de destination IP, numéro de port IP, paramètres ICMP, paramètres IPsec, types spécifiques d’interfaces, services, etc.

Le pare-feu Windows avec fonctions avancées de sécurité peut faire partie de votre stratégie de sécurité de défense en profondeur. La défense en profondeur est la mise en œuvre d’une stratégie de sécurité qui fait appel à plusieurs méthodes destinées à protéger les ordinateurs et tous les composants du réseau contre les attaques malveillantes.

La protection doit s’étendre du périmètre de réseau aux :

  • réseaux internes
  • ordinateurs du réseau interne
  • applications qui s’exécutent aussi bien sur les serveurs que sur les clients
  • données stockées aussi bien sur les serveurs que sur les clients.

Profils

Pour la modification des profils, nous devons nous rendre dans les Propriétés du Pare-feu Windows. On a par défaut les différents profils suivants :

  • Domaine : Appliqué à une carte réseau quand il est connecté à un réseau sur lequel il peut détecter un contrôleur de domaine du domaine auquel l’ordinateur est relié.
  • Privé : Appliqué à une carte réseau quand il est connecté à un réseau qui est identifié par l’utilisateur ou un administrateur en tant que réseau privé. Un réseau privé est une qui n’est pas connecté directement à l’Internet, mais se trouve derrière une sorte de dispositif de sécurité, comme une traduction d’adresse réseau (NAT) du routeur ou pare-feu matériel. Par exemple, cela pourrait être un réseau domestique ou un réseau d’affaires qui ne comprend pas un contrôleur de domaine. Les paramètres de profil privé devraient être plus restrictives que les paramètres du profil de domaine.
  • Public : Appliquée à une carte réseau lorsqu’il est connecté à un réseau public tels que ceux disponibles dans les aéroports et les cafés. Lorsque le profil n’est pas configuré pour le domaine ou privé, le profil par défaut est public. Les paramètres du profil public devrait être la plus restrictive parce que l’ordinateur est connecté à un réseau public où la sécurité ne peut pas être contrôlé. Par exemple, un programme qui accepte les connexions entrantes à partir d’Internet (comme un programme de partage de fichiers) peuvent ne pas fonctionner dans le profil public car le paramètre par défaut du pare-feu Windows bloque toutes les connexions entrantes à des programmes qui ne sont pas sur la liste des programmes autorisés.

Netsh

Netsh est un outil de ligne de commande que vous pouvez utiliser pour configurer les paramètres pour les composants réseau. Le pare-feu Windows avec sécurité avancée fournit le contexte netsh advfirewall que vous pouvez utiliser pour configurer le pare-feu Windows avec sécurité avancée. Le contexte netsh advfirewall n’est disponible que sur les ordinateurs qui exécutent Microsoft Windows Vista ou versions ultérieures de Windows. A l’aide de netsh advfirewall vous pouvez créer des scripts pour configurer le pare-feu Windows avec sécurité avancée pour le trafic IPv4 et IPv6. Vous pouvez également utiliser les commandes netsh advfirewall pour afficher la configuration et l’état du pare-feu Windows avec sécurité avancée.

Cet outil peut être utile dans les situations suivantes:

  • Lors du déploiement de Pare-feu Windows avec sécurité avancée à des ordinateurs sur un réseau étendu (WAN), les commandes peuvent être utilisés de façon interactive à l’invite de commandes Netsh pour offrir de meilleures performances que les services publics lorsqu’ils sont utilisés sur des liaisons de réseau de faible débit.
  • Lors du déploiement du pare-feu Windows avec sécurité avancée à un grand nombre d’ordinateurs, les commandes peuvent être utilisées en mode batch à l’invite de commandes Netsh pour créer des scripts et automatiser les tâches d’administration récurrentes qui doivent être effectuées.

De plus amples informations se trouve sur la page (en anglais) Netsh Commands for Windows Firewall with Advanced Security.

Interface

L’emplacement du pare-feu sous Windows 7 se trouve %windir%\system32\WF.msc. On peut obtenir l’interface de nombreuses façons, par exemple en recherchant WF.msc ou pare-feu Windows avec fonctions avancées de sécurité.

interface

On trouve l’interface dans sa configuration par défaut, c’est à dire le pare-feu Windows avec sécurité avancées actif. Dans les différents profils, les connexions entrantes qui ne correspondent pas à une règle sont bloquées. Les connexions sortantes sont autorisées par défaut qu’elles fassent parties d’une règle ou non.

Les règles du pare-feu

Configuration des paramètres du programme ou service

Pour ajouter un programme à une règle de pare-feu, vous devez spécifier le chemin complet vers le fichier exécutable utilisé par le programme. Un service système qui s’exécute dans son propre fichier exécutable et n’est pas hébergé par un service de conteneurs est considérée comme un programme et peut être ajouté à la liste des règles. De la même manière, un programme qui se comporte comme un service système et s’exécute ou non un utilisateur est connecté à l’ordinateur est également considéré comme un programme, tant qu’il s’exécute dans son propre fichier exécutable.

Lorsque vous ajoutez un programme à une règle de pare-feu, pare-feu Windows avec sécurité avancée ouvre dynamiquement ou ferme que les ports demandés par le programme. Lorsque le programme est en marche et l’écoute du trafic entrant, le pare-feu Windows avec sécurité avancée ouvre les ports requis; lorsque le programme ne fonctionne pas ou n’est pas à l’écoute du trafic entrant, le pare-feu Windows avec sécurité avancée ferme les ports. En raison de ce comportement dynamique, l’ajout de programmes aux règles de pare-feu est la méthode recommandée pour permettre trafic entrant non sollicité à travers le pare-feu Windows avec sécurité avancée.

Pour ajouter un service système avec son identificateur de service de sécurité associés (SID) à la liste des règles, vous utilisez l’onglet Programmes et services à la règle de pare-feu boîte de dialogue Propriétés. Cela permet un contrôle plus précis de services parce que beaucoup de services sont hébergés dans des processus tels que Svchost.exe. Cette méthode est plus sûr que d’ajouter le processus Svchost.exe à la liste des règles.

Exemple profil_private

On part du principe qu’un bloque la totalité des connexions, et en autorisant uniquement celle qu’on souhaite. La manipulation s’effectue au niveau des connexions sortantes. On passe de Autoriser (par défaut) à Bloquer. Cette action bloquera immédiatement l’ensemble du trafic sortant. Elle permet d’éviter les connexions non autorisées provenant de votre ordinateur vers un ordinateur tiers, autrement dit l’émission de données à votre insu.

trafic_sortant

Sous le conteneur Règles de trafic sortant, vous avons l’ensemble des exécutables pouvant émettre un trafic vers la sortie. On voit que même en bloquant le trafic sortant, des exécutables ont le droit de transférer des données. Ils apparaissent avec des ronds vers avec un vu.

Une règle de type Programme a été créée et le chemin C:\Program Files\Internet Explorer\iexplore.exe vers Internet Explorer a été renseigné. On autorise un accès aux connexions protégées par le protocole IPsec, ainsi que celles qui ne le sont pas. On applique notre règle uniquement au profil privé dans notre cas. Pour rappel dès Windows 7, il est possible d’appliquer une règle à plusieurs profils. On obtient la règle suivante

ie_regle

Dès lors nous avons accès à Internet par le biais du programme Internet Explorer uniquement. La connexion par un autre navigateur est impossible.

Prudence

Ajout d’un conteneur de service ou d’un programme qui hébergent des services, tels que Svchost.exe, Dllhost.exe et Inetinfo.exe, à la liste des règles sans autres restrictions à la règle pourrait exposer l’ordinateur aux menaces de sécurité. L’ajout de ces conteneurs peuvent également entrer en conflit avec les politiques de durcissement de services sur les ordinateurs exécutant cette version de Windows.

Configuration des paramètres de port et le protocole

Lorsque vous ajoutez un port à la liste des règles, vous devez spécifier le protocole et numéro de port. Lorsque vous créez une règle personnalisée, vous pouvez spécifier un numéro de protocole et numéro de port. Lorsque vous créez une règle de port, vous pouvez spécifier les ports TCP et UDP seulement. Lorsque vous ajoutez un port à la liste des règles, le port est ouvert (débloqué) chaque fois que Pare-feu Windows avec sécurité avancée est en marche et si oui ou non il s’agit d’un programme ou d’un service d’écoute pour le trafic entrant sur le port. Pour cette raison, si vous avez besoin pour permettre trafic entrant non sollicité à travers le pare-feu Windows avec sécurité avancée, vous devez créer une règle de programme au lieu d’une règle de port.

Exemple

ie_ports

En double cliquant sur la règle précédemment, nous retrouve sous l’onglet Protocoles et Ports la possibilité de modifier les protocoles et ports liés à notre programme exécutable. Avec l’option Tout, vous spécifiez que tous les ports du protocole sélectionné satisfont aux critères de la règle. Pour notre exemple, le protocole TCP est suffisant pour notre programme exécutable, Internet Explorer.

Lorsque l’on choisit le protocole TCP, on voit apparaître dans les ports distants l’option IPHTTPS. Windows 7 et Windows Server 2008 R2 incluent un support pour une technologie de transition IPv6 appelée IP via le protocole HTTPS (IPHTTPS). IPHTTPS est un protocole de tunneling qui embarque des paquets IPv6 à l’intérieur d’un datagramme HTTPS dans un paquet IPv4 réseau. IPHTTPS permet le trafic IPv6 à traverser avec succès certains proxys IP qui ne supportent pas IPv6, ou certains des autres technologies de transition IPv6, comme Teredo et 6to4.

Configuration des paramètres de l’utilisateur ou de l’ordinateur

Vous pouvez configurer la règle de pare-feu doit être appliqué que si les utilisateurs ou groupes spécifiés demander une connexion ou si un ordinateur spécifié ou un groupe d’ordinateurs demander une connexion. Ces paramètres seront ajoutés à d’autres restrictions que vous avez spécifié pour la règle. Cette partie de configuration n’est accessible que lorsqu’on utilise l’option Autoriser la connexion seulement si elle est sécurisée dans l’onglet Général, section Action.

action

On configure l’accès au ordinateurs autorisés dans l’onglet Ordinateur.

ordianteurs

Configuration des paramètres de portée

Vous pouvez configurer la règle de pare-feu pour être appliquée que si le protocole Internet version 4 (IPv4) ou Internet Protocole version 6 (IPv6) correspondent précisé adresses locales et distantes. Vous pouvez également spécifier des groupes d’ordinateurs par adresse sous-réseau IP, plage d’adresses IP ou un mot clé (ordinateurs WINS, par exemple), mais vous ne pouvez pas spécifier un groupe Active Directory. On configure cette partie dans l’onglet Étendue.

Exemple

etendue

L’adresse IP privée d’un ordinateur dans une entreprise est 192.168.0.2 et celle d’un moteur de recherche est 172.194.44.191. On se retrouve dans la situation « amusante » où il est possible de faire une recherche sur ce moteur depuis ledit ordinateur, mais sans pouvoir accéder aux sites trouvés par le moteur de recherche. Dans le cas d’un navigateur, il est nécessaire d’accepter toutes les adresses IP distantes sous peine de ne pas pouvoir accéder à certaines informations.

Configuration des paramètres avancés

Le pare-feu Windows avec sécurité avancée est activé sur toutes les connexions réseau qui existent déjà sur votre ordinateur et toutes les connexions réseau que vous créez sur votre ordinateur. De même, lorsque vous créez une règle, la règle s’applique à toutes les connexions réseau qui existent déjà sur l’ordinateur et toutes les connexions réseau que vous créez sur l’ordinateur. Vous pouvez créer une règle pour chaque type d’interface sur votre ordinateur, tels que votre carte réseau local ou une connexion sans fil. Ceci est utile si votre ordinateur possède plusieurs types d’interfaces et vous ne voulez pas que pare-feu Windows avec sécurité avancée soit activé sur toutes les connexions ou si vous voulez ouvrir des ports différents pour chaque connexion réseau.

para_avances

Le profil que l’on choisit dépend de l’emplacement réseau où se trouve l’ordinateur comme explicité précédemment dans la page. On peut spécifier les types d’interfaces auxquels la règle s’applique. A tous les types d’interfaces ou uniquement au Réseau local (carte réseau filaire), Accès distant ( connexion d’accès à distance) ou Sans fil (carte réseau sans fil).

Olivier

Written by olivier

13 février 2013 à 12:30

2 Réponses

Subscribe to comments with RSS.

  1. Bonjour, Savez-vous comment filtrer via les onglets « ordinateurs » ou « utilisateurs » ? Dès que j’active cette option (couplée donc avec « connexion sécurisée »), c’est comme si je bloquais le trafic sur la règle concernée.

    Romain

    20 mars 2013 at 16:57

    Réponse

    • Bonjour,

      Onglet « utilisateurs » ? Cette onglet n’apparaît que dans le trafic entrant, le sortant a également été traité ? Le pare-feu avancé Windows est un pare-feu avec état. Attention au sens du trafic.

      « Ordinateur » ou « Utilisateurs » ne sont pas au même niveau …

      Si la connectivité entre les ordinateurs concernés est bonnes, vous avez dû personnaliser le type de connexion sécurisé en statuant sur les règles de sécurisation que le pare-feu appliquent. Cela a-t-il été fait correctement ?

      Dès que cela est fait, il faut choisir un utilisateur dans un domaine par exemple … il faut rechercher UtilisateurAlpha@Domaine ou Domaine\UtilisateurAlpha

      J’espère avoir pu éclairer un peu votre lanterne …

      olivier

      22 mars 2013 at 11:17

      Réponse

Laisser un commentaire