Configurer des règles avec une stratégie de groupe

Cet article contient des exemples de configuration des règles de pare-feu Windows à l’aide de la console Pare-feu Windows avec sécurité avancée .

Accéder au Pare-feu Windows avec la console Advanced Security

Si vous configurez des appareils joints à un domaine Active Directory, pour effectuer ces procédures, vous devez être membre du groupe Administrateurs de domaine ou disposer d’autorisations déléguées pour modifier les objets de stratégie de groupe dans le domaine. Pour accéder au Pare-feu Windows avec console Sécurité avancée, créez ou modifiez un objet de stratégie de groupe (GPO) et développez les nœuds Stratégies de configuration>> ordinateurParamètres Windows Paramètres>de sécurité Pare-feu>Windows avec sécurité avancée.

Si vous configurez un seul appareil, vous devez disposer de droits d’administration sur l’appareil. Dans ce cas, pour accéder au Pare-feu Windows avec console Advanced Security , sélectionnez DÉMARRER, tapez wf.msc, puis appuyez sur Entrée.

Créer une règle pour le trafic ICMP entrant

Ce type de règle permet aux demandes et réponses ICMP d’être reçues par les appareils sur le réseau. Pour créer une règle ICMP de trafic entrant :

  1. Ouvrir le Pare-feu Windows avec la console Advanced Security
  2. Dans le volet de navigation, sélectionnez Règles de trafic entrant
  3. Sélectionnez Action, puis Nouvelle règle
  4. Dans la page Type de règle de l’Assistant Nouvelle règle de trafic entrant, sélectionnez Personnalisé, puis Suivant
  5. Dans la page Programme , sélectionnez Tous les programmes, puis Suivant
  6. Dans la page Protocole et ports , sélectionnez ICMPv4 ou ICMPv6 dans la liste Type de protocole . Si vous utilisez À la fois IPv4 et IPv6 sur votre réseau, vous devez créer une règle ICMP distincte pour chaque
  7. Sélectionnez Personnaliser
  8. Dans la boîte de dialogue Personnaliser les paramètres ICMP , effectuez l’une des opérations suivantes :
    • Pour autoriser tout le trafic réseau ICMP, sélectionnez Tous les types ICMP, puis OK
    • Pour sélectionner l’un des types ICMP prédéfinis, sélectionnez Types ICMP spécifiques, puis sélectionnez chaque type dans la liste que vous souhaitez autoriser. Sélectionnez OK.
    • Pour sélectionner un type ICMP qui n’apparaît pas dans la liste, sélectionnez Types ICMP spécifiques, sélectionnez le numéro type dans la liste, sélectionnez le numéro de code dans la liste, sélectionnez Ajouter, puis sélectionnez l’entrée nouvellement créée dans la liste. Sélectionnez OK.
  9. Sélectionnez Suivant.
  10. Dans la page Étendue , vous pouvez spécifier que la règle s’applique uniquement au trafic réseau vers ou à partir des adresses IP entrées sur cette page. Configurez en fonction de votre conception, puis sélectionnez Suivant
  11. Dans la page Action , sélectionnez Autoriser la connexion, puis suivant
  12. Dans la page Profil , sélectionnez les types d’emplacements réseau auxquels cette règle s’applique, puis sélectionnez Suivant
  13. Dans la page Nom , tapez un nom et une description pour votre règle, puis sélectionnez Terminer

Créer une règle de trafic entrant pour un port

Ce type de règle permet à tout programme qui écoute sur un port TCP ou UDP spécifié de recevoir le trafic réseau envoyé à ce port. Pour créer une règle de port d’entrée :

  1. Ouvrir le Pare-feu Windows avec la console Advanced Security
  2. Dans le volet de navigation, sélectionnez Règles de trafic entrant
  3. Sélectionnez Action, puis Nouvelle règle
  4. Dans la page Type de règle de l’Assistant Nouvelle règle de trafic entrant, sélectionnez Personnalisé, puis Suivant

    Remarque

    Bien que vous puissiez créer des règles en sélectionnant Programme ou Port, ces choix limitent le nombre de pages présentées par l’Assistant. Si vous sélectionnez Personnalisé, vous voyez toutes les pages et vous disposez de la plus grande flexibilité pour créer vos règles.

  5. Dans la page Programme , sélectionnez Tous les programmes, puis Suivant

    Remarque

    Ce type de règle est souvent combiné avec une règle de programme ou de service. Si vous combinez les types de règles, vous obtenez une règle de pare-feu qui limite le trafic vers un port spécifié et autorise le trafic uniquement lorsque le programme spécifié est en cours d’exécution. Le programme spécifié ne peut pas recevoir le trafic réseau sur d’autres ports, et d’autres programmes ne peuvent pas recevoir le trafic réseau sur le port spécifié. Si vous choisissez de le faire, suivez les étapes de la procédure Créer un programme ou une règle de service entrant en plus des étapes de cette procédure pour créer une règle unique qui filtre le trafic réseau à l’aide des critères de programme et de port.

  6. Dans la page Protocole et ports , sélectionnez le type de protocole que vous souhaitez autoriser. Pour limiter la règle à un numéro de port spécifié, vous devez sélectionner TCP ou UDP. Comme il s’agit d’une règle entrante, vous configurez généralement uniquement le numéro de port local Si vous sélectionnez un autre protocole, seuls les paquets dont le champ de protocole dans l’en-tête IP correspond à cette règle sont autorisés via le pare-feu.
    Pour sélectionner un protocole par son numéro, sélectionnez Personnalisé dans la liste, puis tapez le numéro dans la zone Numéro de protocole .
    Une fois que vous avez configuré les protocoles et les ports, sélectionnez Suivant.
  7. Dans la page Étendue , vous pouvez spécifier que la règle s’applique uniquement au trafic réseau vers ou à partir des adresses IP entrées sur cette page. Configurez en fonction de votre conception, puis sélectionnez Suivant
  8. Dans la page Action , sélectionnez Autoriser la connexion, puis suivant
  9. Dans la page Profil , sélectionnez les types d’emplacements réseau auxquels cette règle s’applique, puis sélectionnez Suivant

    Remarque

    Si cet objet de stratégie de groupe est destiné aux ordinateurs serveur exécutant Windows Server 2008 qui ne se déplacent jamais, envisagez de modifier les règles à appliquer à tous les profils de type d’emplacement réseau. Cela empêche une modification inattendue des règles appliquées si le type d’emplacement réseau change en raison de l’installation d’un nouveau carte réseau ou de la déconnexion du câble d’un carte réseau existant. Un carte réseau déconnecté est automatiquement affecté au type d’emplacement réseau public.

  10. Dans la page Nom , tapez un nom et une description pour votre règle, puis sélectionnez Terminer

Créer une règle de trafic sortant pour un port

Par défaut, le Pare-feu Windows autorise tout le trafic réseau sortant, sauf s’il correspond à une règle qui interdit le trafic. Ce type de règle bloque tout trafic réseau sortant qui correspond aux numéros de port TCP ou UDP spécifiés. Pour créer une règle de port de trafic sortant :

  1. Ouvrir le Pare-feu Windows avec la console Advanced Security
  2. Dans le volet de navigation, sélectionnez Règles de trafic sortant
  3. Sélectionnez Action, puis Nouvelle règle
  4. Dans la page Type de règle de l’Assistant Nouvelle règle de trafic sortant, sélectionnez Personnalisé, puis Suivant

    Remarque

    Bien que vous puissiez créer des règles en sélectionnant Programme ou Port, ces choix limitent le nombre de pages présentées par l’Assistant. Si vous sélectionnez Personnalisé, vous voyez toutes les pages et vous disposez de la plus grande flexibilité pour créer vos règles.

  5. Dans la page Programme , sélectionnez Tous les programmes, puis Suivant
  6. Dans la page Protocole et ports , sélectionnez le type de protocole que vous souhaitez bloquer. Pour limiter la règle à un numéro de port spécifié, vous devez sélectionner TCP ou UDP. Étant donné que cette règle est une règle de trafic sortant, vous configurez généralement uniquement le numéro de port distant Si vous sélectionnez un autre protocole, seuls les paquets dont le champ de protocole dans l’en-tête IP correspond à cette règle sont bloqués par Windows Defender Pare-feu. Le trafic réseau pour les protocoles est autorisé tant que les autres règles qui correspondent ne le bloquent pas. Pour sélectionner un protocole par son numéro, sélectionnez Personnalisé dans la liste, puis tapez le numéro dans la zone Numéro de protocole . Une fois que vous avez configuré les protocoles et les ports, sélectionnez Suivant
  7. Dans la page Étendue , vous pouvez spécifier que la règle s’applique uniquement au trafic réseau vers ou à partir des adresses IP entrées sur cette page. Configurez en fonction de votre conception, puis sélectionnez Suivant
  8. Dans la page Action , sélectionnez Bloquer la connexion, puis Suivant
  9. Dans la page Profil , sélectionnez les types d’emplacements réseau auxquels cette règle s’applique, puis sélectionnez Suivant
  10. Dans la page Nom , tapez un nom et une description pour votre règle, puis sélectionnez Terminer

Créer une règle de trafic entrant pour un service ou un programme

Ce type de règle permet au programme d’écouter et de recevoir le trafic réseau entrant sur n’importe quel port.

Remarque

Ce type de règle est souvent combiné avec une règle de programme ou de service. Si vous combinez les types de règles, vous obtenez une règle de pare-feu qui limite le trafic vers un port spécifié et autorise le trafic uniquement lorsque le programme spécifié est en cours d’exécution. Le programme ne peut pas recevoir le trafic réseau sur d’autres ports, et d’autres programmes ne peuvent pas recevoir le trafic réseau sur le port spécifié. Pour combiner les types de règles de programme et de port en une seule règle, suivez les étapes de la procédure Créer une règle de port de trafic entrant en plus des étapes de cette procédure.

Pour créer une règle de pare-feu de trafic entrant pour un programme ou un service :

  1. Ouvrir le Pare-feu Windows avec la console Advanced Security

  2. Dans le volet de navigation, sélectionnez Règles de trafic entrant

  3. Sélectionnez Action, puis Nouvelle règle

  4. Dans la page Type de règle de l’Assistant Nouvelle règle de trafic entrant, sélectionnez Personnalisé, puis Suivant

    Remarque

    Informations que l’utilisateur doit remarquer, même si vous pouvez créer des règles en sélectionnant Programme ou Port, ces choix limitent le nombre de pages présentées par l’Assistant. Si vous sélectionnez Personnalisé, vous voyez toutes les pages et vous disposez de la plus grande flexibilité pour créer vos règles.

  5. Dans la page Programme, sélectionnez Ce chemin d’accès au programme.

  6. Tapez le chemin d’accès au programme dans la zone de texte. Utilisez des variables d’environnement, le cas échéant, pour vous assurer que les programmes installés à différents emplacements sur différents ordinateurs fonctionnent correctement.

  7. Effectuez l'une des opérations suivantes :

    • Si le fichier exécutable contient un seul programme, sélectionnez Suivant
    • Si le fichier exécutable est un conteneur pour plusieurs services qui doivent tous être autorisés à recevoir le trafic réseau entrant, sélectionnez Personnaliser, Appliquer aux services uniquement, ok, puis Suivant
    • Si le fichier exécutable est un conteneur pour un seul service ou contient plusieurs services, mais que la règle ne s’applique qu’à l’un d’entre eux, sélectionnez Personnaliser, sélectionnez Appliquer à ce service, puis sélectionnez le service dans la liste. Si le service n’apparaît pas dans la liste, sélectionnez Appliquer au service avec ce nom court de service, puis tapez le nom court du service dans la zone de texte. Sélectionnez OK, puis Suivant

    Important

    Pour utiliser les options Appliquer à ce service ou Appliquer au service avec ce nom court de service , le service doit être configuré avec un identificateur de sécurité (SID) de type RESTRICTED ou UNRESTRICTED. Pour case activée le type SID d’un service, exécutez la commande suivante :sc qsidtype <ServiceName>

    Si le résultat est NONE, une règle de pare-feu ne peut pas être appliquée à ce service.

    Pour définir un type SID sur un service, exécutez la commande suivante : sc sidtype <ServiceName> <Type>

    Dans la commande précédente, la valeur de <Type> peut être UNRESTRICTED ou RESTRICTED. Bien que la commande autorise également la valeur de NONE, ce paramètre signifie que le service ne peut pas être utilisé dans une règle de pare-feu comme décrit ici. Par défaut, la plupart des services dans Windows sont configurés en tant que UNRESTRICTED. Si vous remplacez le type de SID par RESTRICTED, le service risque de ne pas démarrer. Nous vous recommandons de modifier le type de SID uniquement sur les services que vous souhaitez utiliser dans les règles de pare-feu, et de remplacer le type UNRESTRICTEDde SID par .

  8. Il est recommandé de limiter la règle de pare-feu pour le programme aux seuls ports dont il a besoin pour fonctionner. Dans la page Protocoles et ports , vous pouvez spécifier les numéros de port pour le trafic autorisé. Si le programme tente d’écouter sur un port différent de celui spécifié ici, il est bloqué. Pour plus d’informations sur les options de protocole et de port, consultez Créer une règle de port d’entrée. Une fois que vous avez configuré les options de protocole et de port, sélectionnez Suivant

  9. Dans la page Étendue , vous pouvez spécifier que la règle s’applique uniquement au trafic réseau vers ou à partir des adresses IP entrées sur cette page. Configurez en fonction de votre conception, puis sélectionnez Suivant

  10. Dans la page Action , sélectionnez Autoriser la connexion, puis suivant

  11. Dans la page Profil , sélectionnez les types d’emplacements réseau auxquels cette règle s’applique, puis sélectionnez Suivant

  12. Dans la page Nom , tapez un nom et une description pour votre règle, puis sélectionnez Terminer

Créer une règle de trafic sortant pour un service ou un programme

Par défaut, Windows Defender Pare-feu autorise tout le trafic réseau sortant, sauf s’il correspond à une règle qui interdit le trafic. Ce type de règle empêche le programme d’envoyer tout trafic réseau sortant sur n’importe quel port. Pour créer une règle de pare-feu de trafic sortant pour un programme ou un service :

  1. Ouvrir le Pare-feu Windows avec la console Advanced Security
  2. Dans le volet de navigation, sélectionnez Règles de trafic sortant
  3. Sélectionnez Action, puis Nouvelle règle
  4. Dans la page Type de règle de l’Assistant Nouvelle règle de trafic sortant, sélectionnez Personnalisé, puis Suivant

    Remarque

    Bien que vous puissiez créer de nombreuses règles en sélectionnant Programme ou Port, ces choix limitent le nombre de pages présentées par l’Assistant. Si vous sélectionnez Personnalisé, vous voyez toutes les pages et vous disposez de la plus grande flexibilité pour créer vos règles.

  5. Dans la page Programme, sélectionnez Ce chemin d’accès au programme.
  6. Tapez le chemin d’accès au programme dans la zone de texte. Utilisez les variables d’environnement appropriées pour vous assurer que les programmes installés à différents emplacements sur différents ordinateurs fonctionnent correctement
  7. Effectuez l'une des opérations suivantes :
    • Si le fichier exécutable contient un seul programme, sélectionnez Suivant
    • Si le fichier exécutable est un conteneur pour plusieurs services qui doivent tous être bloqués pour l’envoi du trafic réseau sortant, sélectionnez Personnaliser, Appliquer aux services uniquement, ok, puis Suivant
    • Si le fichier exécutable est un conteneur pour un seul service ou contient plusieurs services, mais que la règle ne s’applique qu’à l’un d’entre eux, sélectionnez Personnaliser, sélectionnez Appliquer à ce service, puis sélectionnez le service dans la liste. Si le service n’apparaît pas dans la liste, sélectionnez Appliquer au service avec ce nom court de service, puis tapez le nom court du service dans la zone de texte. Sélectionnez OK, puis Suivant
  8. Si vous souhaitez que le programme soit autorisé à envoyer sur certains ports, mais que l’envoi est bloqué sur d’autres, vous pouvez restreindre la règle de pare-feu pour bloquer uniquement les ports ou protocoles spécifiés. Dans la page Protocoles et ports , vous pouvez spécifier les numéros de port ou les numéros de protocole pour le trafic bloqué. Si le programme tente d’envoyer vers ou à partir d’un numéro de port différent de celui spécifié ici, ou en utilisant un numéro de protocole différent de celui spécifié ici, le comportement de pare-feu sortant par défaut autorise le trafic. Pour plus d’informations sur le protocole et les options de port, consultez Créer une règle de port de trafic sortant. Une fois que vous avez configuré les options de protocole et de port, sélectionnez Suivant
  9. Dans la page Étendue , vous pouvez spécifier que la règle s’applique uniquement au trafic réseau vers ou à partir des adresses IP entrées sur cette page. Configurez en fonction de votre conception, puis sélectionnez Suivant
  10. Dans la page Action , sélectionnez Bloquer la connexion, puis Suivant
  11. Dans la page Profil , sélectionnez les types d’emplacements réseau auxquels cette règle s’applique, puis sélectionnez Suivant
  12. Dans la page Nom , tapez un nom et une description pour votre règle, puis sélectionnez Terminer

Créer des règles de trafic entrant pour la prise en charge des appels de procédure distante (RPC)

Pour autoriser le trafic réseau rpc (appel de procédure distante) entrant, vous devez créer deux règles de pare-feu :

  • La première règle autorise les paquets réseau entrants sur le port TCP 135 vers le service mappeur de point de terminaison RPC. Le trafic entrant se compose de demandes de communication avec un service réseau spécifié. Le mappeur de point de terminaison RPC répond avec un numéro de port attribué dynamiquement que le client doit utiliser pour communiquer avec le service
  • la deuxième règle autorise le trafic réseau envoyé au numéro de port attribué dynamiquement

L’utilisation des deux règles configurées comme décrit dans cette rubrique permet de protéger votre appareil en autorisant le trafic réseau uniquement à partir d’appareils qui ont reçu une redirection de port dynamique RPC et vers uniquement les numéros de port TCP attribués par le mappeur de point de terminaison RPC.

Service mappeur de point de terminaison RPC

  1. Ouvrir le Pare-feu Windows avec la console Advanced Security
  2. Dans le volet de navigation, sélectionnez Règles de trafic entrant
  3. Sélectionnez Action, puis Nouvelle règle
  4. Dans la page Type de règle de l’Assistant Nouvelle règle de trafic entrant, sélectionnez Personnalisé, puis Suivant
  5. Dans la page Programme , sélectionnez Ce chemin d’accès du programme, puis tapez %systemroot%\system32\svchost.exe
  6. Sélectionnez Personnaliser.
  7. Dans la boîte de dialogue Personnaliser les paramètres du service , sélectionnez Appliquer à ce service, sélectionnez Appel de procédure distante (RPC) avec un nom court RpcS, sélectionnez OK, puis suivant
  8. Dans l’avertissement relatif aux règles de renforcement du service Windows, sélectionnez Oui.
  9. Dans la boîte de dialogue Protocole et ports, pour Type de protocole, sélectionnez TCP.
  10. Pour Port local, sélectionnez Mappeur de point de terminaison RPC, puis Suivant
  11. Dans la page Étendue , vous pouvez spécifier que la règle s’applique uniquement au trafic réseau vers ou à partir des adresses IP entrées sur cette page. Configurez en fonction de votre conception, puis sélectionnez Suivant
  12. Dans la page Action , sélectionnez Autoriser la connexion, puis suivant
  13. Dans la page Profil , sélectionnez les types d’emplacements réseau auxquels cette règle s’applique, puis sélectionnez Suivant
  14. Dans la page Nom , tapez un nom et une description pour votre règle, puis sélectionnez Terminer

Services réseau compatibles RPC

  1. Sur le même objet de stratégie de groupe que celui que vous avez modifié dans la procédure précédente, sélectionnez Action, puis Nouvelle règle
  2. Dans la page Type de règle de l’Assistant Nouvelle règle de trafic entrant, sélectionnez Personnalisé, puis Suivant
  3. Dans la page Programme , sélectionnez Ce chemin d’accès du programme, puis tapez le chemin du fichier exécutable qui héberge le service réseau. Sélectionnez Personnaliser
  4. Dans la boîte de dialogue Personnaliser les paramètres du service , sélectionnez Appliquer à ce service, puis sélectionnez le service que vous souhaitez autoriser. Si le service n’apparaît pas dans la liste, sélectionnez Appliquer au service avec ce nom court de service, puis tapez le nom court du service dans la zone de texte.
  5. Sélectionnez OK, puis Suivant
  6. Dans la boîte de dialogue Protocole et ports, pour Type de protocole, sélectionnez TCP.
  7. Pour Port local, sélectionnez Ports dynamiques RPC, puis Suivant
  8. Dans la page Étendue , vous pouvez spécifier que la règle s’applique uniquement au trafic réseau vers ou à partir des adresses IP entrées sur cette page. Configurez en fonction de votre conception, puis sélectionnez Suivant
  9. Dans la page Action , sélectionnez Autoriser la connexion, puis suivant
  10. Dans la page Profil , sélectionnez les types d’emplacements réseau auxquels cette règle s’applique, puis sélectionnez Suivant
  11. Dans la page Nom , tapez un nom et une description pour votre règle, puis sélectionnez Terminer