Configurer le Pare-feu Windows pour autoriser l’accès à SQL Server

S’applique à :SQL Server - Windows uniquement

Les systèmes de pare-feu empêchent les accès non autorisés aux ressources de l'ordinateur. Si un pare-feu est activé alors qu'il n'est pas configuré correctement, les tentatives de connexion à SQL Server peuvent être bloquées.

Pour accéder à une instance du SQL Server par le biais d'un pare-feu, vous devez configurer le pare-feu sur l'ordinateur exécutant SQL Server. Le pare-feu est un composant de Microsoft Windows. Vous pouvez également installer le pare-feu d’un autre fournisseur. Cet article explique comment configurer le Pare-feu Windows, mais les principes de base s’appliquent aux autres programmes de pare-feu.

Notes

Cet article fournit une vue d’ensemble de la configuration du pare-feu et résume les informations présentant un intérêt pour un administrateur SQL Server. Pour plus d’informations sur le pare-feu et pour obtenir des informations rigoureuses sur le pare-feu, consultez la documentation de pare-feu, par exemple le Guide de déploiement fu Pare-feu Windows avec fonctions avancées de sécurité.

Les utilisateurs ayant une bonne connaissance de la gestion du Pare-feu Windows et sachant quels paramètres de pare-feu ils veulent configurer peuvent passer directement aux articles plus avancés :

Informations de base sur le pare-feu

Les pare-feux fonctionnent en examinant les paquets entrants, et en les comparant au jeu de règles suivant :

  • Le paquet respecte les normes dictées par les règles, donc le pare-feu passe le paquet au protocole TCP/IP pour traitement supplémentaire.
  • Le paquet ne respecte pas les normes spécifiées par les règles.
    • Le pare-feu ignore alors le paquet.-Si la journalisation est activée, une entrée est créée dans le fichier de journalisation du pare-feu.

La liste du trafic autorisé est remplie de l'une des façons suivantes :

  • Automatiquement : quand un ordinateur dont le pare-feu est activé démarre la communication, le pare-feu crée une entrée dans la liste afin que la réponse soit autorisée. La réponse est considérée comme du trafic sollicité, et rien ne doit être configuré.

  • Manuellement : Un administrateur configure les exceptions du pare-feu. Cela autorise l’accès à des programmes ou des ports spécifiés sur votre ordinateur. Dans ce cas, l'ordinateur accepte le trafic entrant non sollicité lorsqu'il joue le rôle de serveur, d'écouteur ou d'homologue. La configuration doit être complétée pour se connecter à SQL Server.

Le choix d'une stratégie de pare-feu est plus complexe que le fait de déterminer si un port donné doit être ouvert ou fermé. Lors de la conception d’une stratégie de pare-feu pour votre entreprise, veillez à prendre en considération toutes les règles et les options de configuration disponibles. Cet article n’examine pas toutes les options de pare-feu possibles. Nous vous recommandons de consulter les documents suivants :

Paramètres de pare-feu par défaut

Pour planifier votre configuration de pare-feu, la première étape est de déterminer l'état en cours du pare-feu de votre système d'exploitation. Si le système d'exploitation a été mis à niveau à partir d'une version précédente, les paramètres antérieurs du pare-feu peuvent avoir été conservés. La Stratégie de groupe ou l’Administrateur peut modifier les paramètres du pare-feu dans le domaine.

Notes

L'activation du pare-feu affectera d'autres programmes qui accèdent à cet ordinateur, comme le partage de fichiers et d'imprimantes, ainsi que les connexions Bureau à distance. Les administrateurs doivent tenir compte de toutes les applications qui s'exécutent sur l'ordinateur avant de définir les paramètres du pare-feu.

Programmes pour configurer le pare-feu

Configurez les paramètres du Pare-feu Windows avec Microsoft Management Console ou netsh.

  • Microsoft Management Console (MMC)

    Le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité vous permet de configurer des paramètres du pare-feu plus avancés. Ce composant logiciel enfichable présente la plupart des options de pare-feu de façon simple et expose tous les profils de pare-feu. Pour plus d’informations, consultez Utilisation du composant logiciel Pare-feu Windows avec fonctions avancées de sécurité, plus loin dans cet article.

  • netsh

    netsh.exe est un outil administrateur pour configurer et monitorer des ordinateurs Windows à partir d’une invite de commandes ou en utilisant un fichier de commandes. En utilisant l’outil netsh, vous pouvez diriger les commandes de contexte que vous entrez dans l’application d’assistance appropriée, et celle-ci exécute la commande. Une application d’assistance est un fichier .dll (Dynamic Link Library) qui étend les fonctionnalités. L’application d’assistance fournit : la configuration, la supervision et la prise en charge d’un ou plusieurs services, utilitaires ou protocoles pour l’outil netsh.

    Tous les systèmes d'exploitation qui prennent en charge SQL Server ont un programme d'assistance de pare-feu. Windows Server 2008 possède également une application d’assistance de pare-feu avancée nommée advfirewall. La plupart des options de configuration décrites peuvent être configurées avec netsh. Exécutez, par exemple, le script suivant à partir d'une invite de commandes pour ouvrir le port TCP 1433 :

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT
    

    Voici un exemple semblable qui utilise l'application auxiliaire Pare-feu Windows avec fonctions avancées de sécurité :

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN
    

    Pour plus d’informations sur netsh, consultez les liens suivants :

  • PowerShell

    Consultez l’exemple suivant afin d’ouvrir le port TCP 1433 et le port UDP 1434 pour l’instance par défaut SQL Server et SQL Server Browser Service :

    New-NetFirewallRule -DisplayName "SQLServer default instance" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow
    New-NetFirewallRule -DisplayName "SQLServer Browser service" -Direction Inbound -LocalPort 1434 -Protocol UDP -Action Allow
    

    Pour d’autres exemples, consultez New-NetFirewallRule.

  • Pour Linux

    Sur Linux, vous devez également ouvrir les ports associés aux services auxquels vous devez accéder. Différentes distributions de Linux et différents pare-feux ont leurs propres procédures. Pour avoir deux exemples, consultez SQL Server on Red Hat et SQL Server on SUSE.

Ports utilisés par SQL Server

Les tableaux suivants peuvent vous aider à identifier les ports utilisés par SQL Server.

Ports utilisés par le moteur de base de données

Par défaut, les ports standard utilisés par SQL Server et les services de moteur de base de données associés sont : TCP 1433, 4022, 135, 1434, UDP 1434. Le tableau ci-dessous explique ces ports de manière plus détaillée. Une instance nommée utilise des ports dynamiques.

Le tableau suivant répertorie les ports qui sont fréquemment utilisés par le Moteur de base de données.

Scénario Port Commentaires
Instance par défaut qui s’exécute par le biais de TCP Port TCP 1433 Port le plus courant autorisé via le pare-feu. Il s'applique aux connexions de routine de l'installation par défaut du Moteur de base de données, ou une instance nommée qui est la seule instance qui s'exécute sur l'ordinateur. (Les instances nommées ont des considérations spéciales. Consultez Ports dynamiques plus loin dans cet article.)
Instances nommées avec port par défaut Le port TCP est un port dynamique déterminé au moment des démarrages du Moteur de base de données . Consultez la discussion ci-dessous dans la section Ports dynamiques. Le port UDP 1434 peut être requis pour le service de navigateur SQL Server lorsque vous utilisez des instances nommées.
Instances nommées avec port fixe Le numéro de port configuré par l'administrateur. Consultez la discussion ci-dessous dans la section Ports dynamiques.
Connexion administrateur dédiée Port TCP 1434 pour l'instance par défaut. D'autres ports sont utilisés pour les instances nommées. Recherchez le numéro de port dans le journal des erreurs. Par défaut, les connexions distantes à la connexion administrateur dédiée ne sont pas activées. Pour activer une DAC distante, utilisez la facette Configuration de la surface d'exposition. Pour plus d'informations, consultez Surface Area Configuration.
SQL Server Service Browser Port UDP 1434 Le service de navigateur SQL Server écoute les connexions entrantes vers une instance nommée.

Le service fournit au client le numéro de port TCP qui correspond à cette instance nommée. Normalement le service SQL Server Browser est démarré toutes les fois que les instances nommées du Moteur de base de données sont utilisées. Le service de navigateur SQL Server n’est pas requis si le client est configuré pour se connecter au port spécifique de l’instance nommée.
Instance avec point de terminaison HTTP. Peut être spécifié lors de la création d'un point de terminaison HTTP. La valeur par défaut est le port TCP 80 pour le trafic CLEAR_PORT et le port 443 pour le trafic SSL_PORT. Utilisé pour une connexion HTTP via une URL.
Instance par défaut avec point de terminaison HTTPS Port TCP 443 Utilisé pour une connexion HTTPS via une URL. HTTPS est une connexion HTTP qui utilise le protocole TLS (Transport Layer Security), précédemment appelé SSL (Secure Sockets Layer).
Service Broker Port TCP 4022. Pour vérifier le port utilisé, exécutez la requête suivante :

SELECT name, protocol_desc, port, state_desc

FROM sys.tcp_endpoints

WHERE type_desc = 'SERVICE_BROKER'
Il n’existe aucun port par défaut pour SQL Server Service Broker, les exemples Documentation en ligne utilisent la configuration conventionnelle.
Mise en miroir de bases de données Port choisi par l'administrateur. Pour déterminer le port, exécutez la requête suivante :

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = 'DATABASE_MIRRORING'
Il n’existe aucun port par défaut pour la mise en miroir de la base de données. Cependant, les exemples Documentation en ligne utilisent le port TCP 5022 ou 7022. Il est important d’éviter d’interrompre un point de terminaison de mise en miroir en cours d’utilisation, en particulier en mode haute sécurité avec basculement automatique. Votre configuration du pare-feu doit éviter de rompre le quorum. Pour plus d’informations, consultez Spécifier une adresse réseau de serveur (Mise en miroir de bases de données).
Réplication Les connexions de réplication à SQL Server utilisent les ports Moteur de base de données standard (le port TCP 1433 est l’instance par défaut)

La synchronisation web et l’accès FTP/UNC pour l’instantané de réplication requièrent l’ouverture de ports supplémentaires sur le pare-feu. Pour transférer des données initiales et le schéma d'un emplacement à un autre, la réplication peut utiliser FTP (port TCP 21), ou la synchronisation via HTTP (port TCP 80) ou le partage de fichiers. Le partage de fichiers utilise les ports UDP 137 et 138, et le port TCP 139 avec NetBIOS. Le partage de fichiers utilise le port TCP 445.
Pour la synchronisation via HTTP, la réplication utilise le point de terminaison IIS (configurable, port 80 par défaut), mais le processus IIS se connecte au back-end SQL Server via les ports standard (1433 pour l’instance par défaut).

Pendant la synchronisation Web via FTP, le transfert FTP s'effectue entre IIS et le serveur de publication SQL Server , pas entre l'abonné et IIS.
Débogueur Transact-SQL Port TCP 135

Consultez Considérations spéciales relatives au port 135

L'exception IPsec peut également être requise.
Si vous utilisez Visual Studio, sur l'ordinateur hôte Visual Studio , vous devez également ajouter Devenv.exe à la liste Exceptions et ouvrir le port TCP 135.

Si vous utilisez Management Studio, sur l'ordinateur hôte Management Studio , vous devez également ajouter ssms.exe à la liste Exceptions et ouvrir le port TCP 135. Pour plus d’informations, consultez Configurer des règles de pare-feu avant d’exécuter le débogueur Transact-SQL.

Pour obtenir des instructions détaillées sur la manière de configurer le Pare-feu Windows pour Moteur de base de données, consultez Configurer un pare-feu Windows pour accéder au moteur de base de données.

Ports dynamiques

Par défaut, les instances nommées (y compris SQL Server Express) utilisent des ports dynamiques. Chaque fois que le moteur de base de données démarre, il identifie un port disponible et utilise ce numéro de port. Si l'instance nommée est la seule instance du Moteur de base de données installée, elle utilisera probablement le port TCP 1433. Si d'autres instances du Moteur de base de données sont installées, le port utilisé sera probablement un port TCP différent. Comme le port sélectionné peut changer à chaque fois que Moteur de base de données est démarré, il est difficile de configurer le pare-feu afin d’accorder l’accès au numéro de port correct. Si un pare-feu est utilisé, nous vous recommandons de reconfigurer Moteur de base de données pour qu’il utilise le même numéro de port à chaque fois. Un port fixe ou un port statique est recommandé. Pour plus d’informations, consultez Configurer un serveur pour écouter sur un port TCP spécifique (Gestionnaire de configuration SQL Server).

L’alternative à la configuration d’une instance nommée pour l’écoute sur un port fixe est de créer une exception dans le pare-feu pour un programme SQL Server , tel que sqlservr.exe (pour le Moteur de base de données). Le numéro de port n’apparaît pas dans la colonne Port local de la page Règles de trafic entrant quand vous utilisez le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité. Il peut être difficile d’auditer quels ports sont ouverts. Un autre élément à prendre en compte est qu’un Service Pack ou une mise à jour cumulative peut modifier le chemin vers le fichier exécutable SQL Server et invalider la règle de pare-feu.

Pour ajouter une exception afin que SQL Server utilise le Pare-feu Windows avec fonctions avancées de sécurité, consultez Utiliser le composant logiciel enfichable Pare-feu Windows avec fonctions avancées de sécurité plus loin dans cet article.

Ports utilisés par Analysis Services

Par défaut, les ports standard utilisés par SQL Server Analysis Services et les services associés sont : TCP 2382, 2383, 80, 443. Le tableau ci-dessous explique ces ports de manière plus détaillée.

Le tableau suivant répertorie les ports qui sont fréquemment utilisés par Analysis Services.

Fonctionnalité Port Commentaires
Analysis Services Port TCP 238 pour l'instance par défaut Port standard pour l'instance par défaut de Analysis Services.
SQL Server Service Browser Port TCP 2382 uniquement exigé pour une instance nommée Analysis Services Les demandes de connexion des clients à une instance nommée de Analysis Services qui ne définissent pas un numéro de port sont dirigées vers le port 2382, qui est le port écouté par le service de navigateur SQL Server. SQL Server Browser redirige ensuite la demande vers le port utilisé par l'instance nommée.
Analysis Services configuré pour une utilisation via IIS/HTTP

(Le service PivotTable® utilise HTTP ou HTTPS)
Port TCP 80 Utilisé pour une connexion HTTP via une URL.
Analysis Services configuré pour une utilisation via IIS/HTTPS

(Le service PivotTable® utilise HTTP ou HTTPS)
Port TCP 443 Utilisé pour une connexion HTTPS via une URL. HTTPS est une connexion HTTP qui utilise TLS.

Si des utilisateurs accèdent à Analysis Services via IIS et Internet, vous devez ouvrir le port sur lequel IIS écoute. Ensuite, spécifiez le port dans la chaîne de connexion du client. Dans ce cas, aucun port ne doit être ouvert pour l'accès direct à Analysis Services. Le port par défaut 2389 et le port 2382, ainsi que tous les ports qui ne sont pas nécessaires, doivent être soumis à des restrictions.

Pour obtenir des instructions détaillées sur la manière de configurer le Pare-feu Windows pour Analysis Services, consultez Configurer le pare-feu Windows pour autoriser l’accès à Analysis Services.

Ports utilisés par Reporting Services

Par défaut, les ports standard utilisés par SQL Server Reporting Services et les services associés sont : TCP 80, 443. Le tableau ci-dessous explique ces ports de manière plus détaillée.

Le tableau suivant répertorie les ports qui sont fréquemment utilisés par Reporting Services.

Fonctionnalité Port Commentaires
Reporting Services Services Web Port TCP 80 Utilisé pour une connexion HTTP à Reporting Services via une URL. Nous vous recommandons de ne pas utiliser la règle préconfigurée Services World Wide Web (HTTP) . Pour plus d'informations, consultez ci-dessous la section Interaction avec d'autres règles de pare-feu .
Reporting Services configuré pour une utilisation via HTTPS Port TCP 443 Utilisé pour une connexion HTTPS via une URL. HTTPS est une connexion HTTP qui utilise TLS. Nous vous recommandons de ne pas utiliser la règle préconfigurée Services World Wide Web sécurisés (HTTPS) . Pour plus d'informations, consultez ci-dessous la section Interaction avec d'autres règles de pare-feu .

Lorsque Reporting Services se connecte à une instance du Moteur de base de données ou Analysis Services, vous devez également ouvrir les ports appropriés pour ces services. Pour obtenir des instructions détaillées sur la manière de configurer le Pare-feu Windows pour Reporting Services, consultez Configurer un pare-feu pour accéder au serveur de rapports.

Ports utilisés par Integration Services

Le tableau suivant répertorie les ports qui sont utilisés par le service Integration Services .

Fonctionnalité Port Commentaires
Microsoft Appels de procédure distante (MS RPC)

Utilisé par le runtime Integration Services .
Port TCP 135

Consultez Considérations spéciales relatives au port 135
Le service Integration Services utilise DCOM sur le port 135. Le Gestionnaire de contrôle des services utilise le port 135 pour effectuer des tâches telles que le démarrage et l’arrêt du service Integration Services ainsi que la transmission des demandes de contrôle au service en exécution. Le numéro de port ne peut pas être changé.

Ce port ne doit être ouvert que si vous vous connectez à une instance distante du service Integration Services à partir de Management Studio ou d’une application personnalisée.

Pour obtenir des instructions pas à pas pour configurer le Pare-feu Windows pour Integration Services, consultez Service Integration Services (service SSIS).

Autre ports et services

Le tableau suivant répertorie les ports et services dont SQL Server peut dépendre.

Scénario Port Commentaires
Windows Management Instrumentation

Pour plus d'informations sur Windows Management Instrumentation (WMI) , consultez WMI Provider for Configuration Management Concepts.
WMI s'exécute dans le cadre d'un hôte de service partagé avec les ports attribués via DCOM. WMI peut utiliser le port TCP 135.

Consultez Considérations spéciales relatives au port 135
SQL Server utilise WMI pour lister et gérer des services. Nous vous recommandons d’utiliser la règle préconfigurée Windows Management Instrumentation (WMI) . Pour plus d'informations, consultez ci-dessous la section Interaction avec d'autres règles de pare-feu .
Microsoft Distributed Transaction Coordinator (MS DTC) Port TCP 135

Consultez Considérations spéciales relatives au port 135
Si votre application utilise des transactions distribuées, vous devez éventuellement configurer le pare-feu pour autoriser le trafic MS DTC ( Microsoft Distributed Transaction Coordinator) entre des instances MS DTC distinctes, et entre MS DTC et les gestionnaires de ressources tels que SQL Server. Nous vous recommandons d'utiliser le groupe de règles préconfigurées Distributed Transaction Coordinator .

Quand un MS DTC partagé unique est configuré pour l’intégralité du cluster dans un groupe de ressources distinct, vous devez ajouter sqlservr.exe comme exception au pare-feu.
Le bouton Parcourir dans Management Studio utilise UDP pour se connecter au service SQL Server Browser. Pour plus d’informations, consultez Service SQL Server Browser (moteur de base de données et SSAS). Port UDP 1434 UDP est un protocole sans connexion.

Le pare-feu a un paramètre (Propriété UnicastResponsesToMulticastBroadcastDisabled de l’interface INetFwProfile) qui contrôle le comportement du pare-feu et les réponses de monodiffusion (unicast) à une demande UDP multidiffusion (ou multicast). Il a deux comportements :

Si le paramètre est TRUE, aucune réponse de monodiffusion à une diffusion n'est autorisée. L'énumération des services échouera.

Si le paramètre est FALSE (valeur par défaut), les réponses de monodiffusion sont autorisées pendant 3 secondes. La durée n’est pas configurable. Dans un réseau encombré ou à latence élevée, ou pour les serveurs très chargés, toute tentative d’énumération des instances de SQL Server peut retourner une liste partielle, qui peut induire les utilisateurs en erreur.
Trafic IPsec Port UDP 500 et port UDP 4500 Si la stratégie de domaine exige que les communications réseau s'effectuent par le biais du protocole IPsec, vous devez également ajouter les ports UDP 4500 et UDP 500 à la liste des exceptions. IPsec est une option de l’ Assistant Nouvelle règle de trafic entrant dans le composant logiciel enfichable Pare-feu Windows. Pour plus d’informations, consultez ci-dessous Utilisation du composant logiciel enfichable Pare-feu Windows avec fonctions avancées de sécurité .
Utilisation de l'authentification Windows avec les domaines approuvés Les pare-feu doivent être configurés pour autoriser des demandes d'authentification. Pour plus d'informations, consultez Comment faire pour configurer un pare-feu pour les domaines et les approbations.
SQL Server et le clustering Windows Le clustering requiert des ports supplémentaires qui ne sont pas directement en rapport avec SQL Server. Pour plus d'informations, consultez Activer un réseau pour une utilisation du cluster.
Des espaces de noms réservés de l'URL dans l'API HTTP Server (HTTP.SYS) Probablement le port TCP 80, mais la configuration d'autres ports est possible. Pour les informations générales, consultez Configuration de HTTP et HTTPS. Pour des informations spécifiques à SQL Server en ce qui concerne la réservation d’un point de terminaison HTTP.SYS à l’aide de HttpCfg.exe, consultez À propos des réservations et de l’inscription d’URL (Gestionnaire de configuration de SSRS).

Considérations spéciales relatives au port 135

Lorsque vous utilisez RPC avec TCP/IP ou avec UDP/IP comme transport, les ports entrants sont attribués de manière dynamique aux services système en fonction des besoins. Les ports TCP/IP et UDP/IP supérieurs au port 1024 sont utilisés. Les ports sont appelés « ports RPC aléatoires ». Dans ces cas, les clients RPC comptent sur le mappeur de point de terminaison RPC pour leur indiquer quels ports dynamiques ont été attribués au serveur. Pour certains services basés sur RPC, vous pouvez configurer un port spécifique au lieu de laisser RPC en attribuer un dynamiquement. Vous pouvez également limiter la plage de ports que RPC attribue dynamiquement, indépendamment du service. Étant donné que le port 135 est utilisé pour de nombreux services, il est fréquemment attaqué par des utilisateurs malveillants. Lorsque vous ouvrez le port 135, pensez à restreindre l'étendue de la règle de pare-feu.

Pour plus d'informations sur le port 135, consultez les rubriques de référence suivantes :

Interaction avec d’autres règles de pare-feu

Le Pare-feu Windows utilise des règles et des groupes de règles pour établir sa configuration. Chaque règle ou groupe de règles est associé(e) à un programme ou service particulier, et ce programme ou service peut modifier ou supprimer cette règle à votre insu. Par exemple, les groupes de règles Services World Wide Web (HTTP) et Services World Wide Web (HTTPS) sont associés à IIS. L'activation de ces règles ouvrira les ports 80 et 443, et les fonctionnalités de SQL Server qui dépendent des ports 80 et 443 fonctionneront si ces règles sont activées. Toutefois, les administrateurs qui configurent IIS peuvent modifier ou désactiver ces règles. Si vous utilisez le port 80 ou le port 443 pour SQL Server, vous devez créer votre propre règle ou groupe de règles qui conserve votre configuration de port souhaitée indépendamment des autres règles IIS.

Le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité autorise tout le trafic qui correspond aux règles d’autorisation applicables. Ainsi, s’il existe deux règles qui s’appliquent au port 80 (avec des paramètres différents). Le trafic qui correspond à l’une des règles sera autorisé. Si une règle autorise le trafic sur le port 80 du sous-réseau local et l’autre règle autorise le trafic à partir de n’importe quelle adresse, le résultat fait que tout le trafic vers le port 80 est autorisé indépendamment de la source. Pour gérer efficacement l'accès à SQL Server, les administrateurs doivent périodiquement examiner toutes les règles de pare-feu activées sur le serveur.

Vue d’ensemble des profils de pare-feu

Les profils de pare-feu sont utilisés par les systèmes d’exploitation pour identifier et garder en mémoire chacun des réseaux par : connectivité, connexions et catégorie.

Il existe trois types d'emplacements réseau dans le Pare-feu Windows avec fonctions avancées de sécurité :

  • Domaine : Windows peut authentifier l'accès au contrôleur de domaine pour le domaine auquel l'ordinateur est joint.
  • Public : En dehors des réseaux de domaine, tous les réseaux sont catégorisés initialement en tant que publics. Les réseaux qui représentent des connexions directes à l'Internet ou qui se trouvent à emplacements publics, tels que les aéroports et les cafés, doivent rester publics.
  • Privé : Réseau identifié par un utilisateur ou une application comme privé. Seuls les réseaux de confiance doivent être identifiés en tant que réseaux privés. Les utilisateurs identifient généralement comme privés les réseaux domestiques ou les réseaux pour petites entreprises.

L'administrateur peut créer un profil pour chaque type d'emplacement réseau, chaque profil contenant des stratégies de pare-feu différentes. Un seul profil est appliqué à la fois. L'ordre des profils est appliqué comme suit :

  1. Si toutes les interfaces sont authentifiées au contrôleur de domaine dans lequel l’ordinateur est membre, le profil de domaine est appliqué.
  2. Si toutes les interfaces sont authentifiées au contrôleur de domaine ou sont connectées à des réseaux classifiés comme emplacements de réseau privés, le profil privé est appliqué.
  3. Autrement, le profil public est appliqué.

Utilisez le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité pour afficher et configurer tous les profils de pare-feu. L'élément du Pare-feu Windows dans le Panneau de configuration configure seulement le profil actuel.

Paramètres de pare-feu supplémentaires en utilisant l’élément Pare-feu Windows dans le Panneau de configuration

Le pare-feu ajouté peut restreindre l’ouverture du port aux connexions entrantes à partir d’ordinateurs spécifiques ou du sous-réseau local. Limitez la portée d’ouverture du port peut réduire la surface d’exposition de votre ordinateur aux utilisateurs malveillants.

Notes

L’utilisation de l’élément Pare-feu Windows dans le Panneau de configuration configure seulement le profil de pare-feu actuel.

Changer l’étendue d’une exception de pare-feu en utilisant l’élément Pare-feu Windows dans le Panneau de configuration

  1. Dans l’élément Pare-feu Windows du Panneau de configuration, sélectionnez un programme ou un port sous l’onglet Exceptions, puis sélectionnez Propriétés ou Modifier.

  2. Dans la boîte de dialogue Modifier un programme ou Modifier un port, sélectionnez Modifier l’étendue.

  3. Choisissez l’une des options suivantes :

    • N’importe quel ordinateur (y compris les ordinateurs présents sur Internet) : option non recommandée. Tout ordinateur qui peut adresser votre ordinateur à se connecter au programme ou port spécifié. Ce paramètre peut être nécessaire pour autoriser la présentation d'informations à des utilisateurs anonymes sur Internet, mais augmente votre exposition aux utilisateurs malveillants. L'activation de ce paramètre permet la traversée de la traduction d'adresses réseau (NAT), telle que l'option Traversée des bords augmente l'exposition.

    • Uniquement mon réseau (ou sous-réseau) : paramètre plus sécurisé que N’importe quel ordinateur. Seuls les ordinateurs présents sur le sous-réseau local de votre réseau peuvent se connecter au programme ou port.

    • Liste personnalisée : Seuls les ordinateurs qui correspondent aux adresses IP listées peuvent se connecter. Un paramètre sécurisé peut être plus sécurisé que l’option Uniquement mon réseau (ou sous-réseau) . Toutefois, les ordinateurs clients utilisant DHCP peuvent parfois modifier leur adresse IP, ce qui désactive la possibilité de se connecter. Un autre ordinateur, que vous n’aviez pas projeté d’autoriser, peut accepter l’adresse IP répertoriée et s’y connecter. L’option Liste personnalisée est appropriée pour lister d’autres serveurs qui sont configurés pour utiliser une adresse IP fixe.

      Les adresses IP peuvent être usurpées par un intrus. Les règles de pare-feu restrictives ne sont fortes que si votre infrastructure réseau l'est aussi.

Utiliser le composant logiciel enfichable Pare-feu Windows avec fonctions avancées de sécurité

Des paramètres de pare-feu avancés peuvent être configurés en utilisant le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité. Le composant logiciel enfichable inclut un Assistant Règle et des paramètres qui ne sont pas disponibles dans l’élément Pare-feu Windows du Panneau de configuration. Ces paramètres incluent :

  • Paramètres de chiffrement
  • Restrictions de services
  • Restriction des connexions pour les ordinateurs par nom
  • Restriction des connexions à des utilisateurs ou profils spécifiques
  • Traversée latérale autorisant le trafic de contourner les routeurs NAT (Network Address Translation)
  • Configuration de règles de trafic sortant
  • Configuration de règles de sécurité
  • Présence nécessaire d'IPsec pour les connexions entrantes

Créer une règle de pare-feu en utilisant l’Assistant Nouvelle règle

  1. Dans le menu Démarrer, sélectionnez Exécuter, tapez WF.msc, puis sélectionnez OK.
  2. Dans le Pare-feu Windows avec fonctions avancées de sécurité, dans le volet gauche, cliquez avec le bouton droit sur Règles de trafic entrant, puis sélectionnez Nouvelle règle.
  3. Exécutez l' Assistant Nouvelle règle de trafic entrant à l'aide des paramètres que vous souhaitez.

Ajouter une exception de programme pour l’exécutable SQL Server

  1. Dans le menu Démarrer, tapez wf.msc. Appuyez sur Entrée ou sélectionnez le résultat de la recherche wf.msc pour ouvrir le Pare-feu Windows Defender avec sécurité avancée.

  2. Dans le volet gauche, sélectionnez Règles de trafic entrant.

  3. Dans le volet droit, sous Actions, sélectionnez Nouvelle règle... L’Assistant Nouvelle règle de trafic entrant s’ouvre.

  4. Dans Type de règle, sélectionnez Programme. Sélectionnez Suivant.

  5. Dans Programme, sélectionnez Ce chemin d’accès de programme. Sélectionnez Parcourir pour localiser votre instance de SQL Server. Le programme s’appelle sqlservr.exe. Il se trouve normalement à l’emplacement suivant :

    C:\Program Files\Microsoft SQL Server\MSSQL<VersionNumber>.<InstanceName>\MSSQL\Binn\sqlservr.exe

    Sélectionnez Suivant.

  6. Dans Action, sélectionnez Autoriser la connexion. Sélectionnez Suivant.

  7. Dans Profil, incluez les trois profils. Sélectionnez Suivant.

  8. Dans Nom, tapez un nom pour la règle. Sélectionnez Terminer.

Pour plus d'informations sur les points de terminaison, consultez :

Résolution des problèmes liés aux paramètres de pare-feu

Les outils et techniques suivants peuvent être utiles pour résoudre les problèmes liés au pare-feu :

  • L'état effectif du port repose sur l'union de toutes les règles en rapport avec le port. Lors de la tentative de blocage de l’accès via un port, il peut être utile d’examiner toutes les règles qui citent le numéro de port. Utilisez le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité et triez les règles du trafic entrant et sortant par numéro de port.

  • Examinez les ports qui sont actifs sur l'ordinateur sur lequel SQL Server s'exécute. Le processus de vérification comprend l’identification des ports TCP/IP qui écoutent ainsi que la vérification de l’état des ports.

  • L’utilitaire PortQry peut être utilisé pour signaler l’état des ports TCP/IP comme à l’écoute, pas à l’écoute ou filtré. (Il se peut que l'utilitaire ne reçoive pas de réponse du port s'il a un statut filtré). L'utilitaire PortQry peut être téléchargé à partir du Centre de téléchargement Microsoft.

Lister les ports TCP/IP qui écoutent

Pour vérifier les ports qui sont à l’écoute, afficher les connexions TCP actives et les statistiques IP, utilisez l’utilitaire de ligne de commande netstat.

  1. Ouvrez la fenêtre d'invite de commandes.

  2. À l’invite de commandes, tapez netstat -n -a.

    Le composant -n demande à netstat d’afficher l’adresse numérique et le numéro de port des connexions TCP actives. Le commutateur -a demande à netstat d’afficher les ports TCP et UDP écoutés par l’ordinateur.