Paramètres du pare-feu

Les paramètres de pare-feu appliquent des règles Windows Defender Firewall bloquant les accès non autorisés au réseau, ce qui réduit le risque de menaces à la sécurité du réseau sur l'ensemble des points de terminaison. Cette politique prend en charge la version 1709 de Windows et les versions ultérieures.

Qu'est-ce que Windows Defender Firewall ?

Windows Defender Firewall est une application de sécurité qui filtre les transmissions de données réseau vers et depuis un système Windows et bloque les connexions dangereuses et les programmes qui initient ces connexions.

Fonctionnement du pare-feu

Le pare-feu utilise un ensemble prédéfini de règles pour les deux types (entrant/sortant) de trafic réseau. Vous pouvez ajouter un programme aux listes des programmes autorisés, ce qui permet à ce programme de se connecter via le pare-feu. Le flux de travaux de politique est le suivant :
  1. Cochez la case Configurer les paramètres de pare-feu .
  2. Configurez les paramètres globaux pour la politique de pare-feu.
  3. Configurez la façon dont le pare-feu se comporte lorsque des points de terminaison sont connectés à un réseau de domaine, privé ou public.
  4. Configurez des règles de pare-feu personnalisées pour le réseau que vous avez sélectionné dans la politique.

Configuration des paramètres de pare-feu

Une configuration de pare-feu est une collection de profils ou de règles. Vous appliquez ces profils ou ces règles sur l'ordinateur afin de déterminer les autorisations pour toutes les connexions entrantes et sortantes sur des ports spécifiques. Windows utilise des profils pour se connecter à Internet ou au réseau. Windows utilise les profils suivants :
  • Domaine : Le profil de domaine s'applique aux réseaux où le système hôte peut s'authentifier auprès d'un contrôleur de domaine.
  • Privé : Le profil privé est un profil attribué par l'utilisateur et est utilisé pour désigner des réseaux privés ou domestiques.
  • Public : Le profil public (profil par défaut) est utilisé pour désigner des réseaux publics tels que des points d'accès Wi-Fi dans les cafés, les aéroports ou d'autres lieux.

Le tableau suivant décrit les paramètres de pare-feu que vous pouvez configurer pour les appareils Windows.

Tableau 1. Paramètres de pare-feu
Paramètre de stratégie Description Appareils pris en charge
Configurer les paramètres de pare-feu Si cette option est activée, vous pouvez configurer les paramètres globaux, les paramètres réseau et des règles de pare-feu personnalisées sur le trafic vers et depuis vos points de terminaison Windows. Windows Professionnel, Éducation, Entreprise
Paramètres globaux
Désactiver le protocole FTP Si elle est activée, cette option définit la façon dont le pare-feu gère le trafic FTP.

Si vous sélectionnez Non, le pare-feu effectue le suivi de tout le trafic FTP. Si vous sélectionnez Oui, le pare-feu n'inspecte pas le trafic FTP.

 Windows Professionnel, Éducation, Entreprise
Délai d'inactivité de l'association de sécurité avant la suppression Définissez la durée maximale (en secondes) pendant laquelle l'appareil attend avant de supprimer des associations de sécurité en veille. La plage est comprise entre 300 et 3600 secondes.

Les associations de sécurité constituent un accord entre deux homologues ou des points de terminaison. Ces accords contiennent toutes les informations requises pour l'échange sécurisé de données.

 Windows Professionnel, Éducation, Entreprise
Codage de clé pré-partagée Sélectionnez le type de codage utilisé pour la clé pré-partagée.

Une clé pré-partagée (PSK) est une clé secrète partagée entre deux appareils (par exemple, un client et un serveur) qui sont connectés via un canal sécurisé. La clé PSK est utilisée par le serveur pour authentifier le client. Une clé PSK peut être utilisée dans des environnements où il n'est pas possible d'utiliser des certificats client pour l'authentification mutuelle.

 Windows Professionnel, Éducation, Entreprise
Exemptions IPSec Sélectionnez le trafic qui est exempt d'exécution IPsec.

IPsec (Internet Protocol Security) est un cadre de normes ouvertes destinées à garantir des communications privées et sécurisées sur les réseaux IP via l'utilisation de services de sécurité cryptographiques. IPsec prend en charge l'authentification d'homologue au niveau réseau, l'authentification de l'origine des données, l'intégrité des données, la confidentialité des données (chiffrement) et la protection anti-réexécution. IPsec est un ensemble de protocoles de sécurité utilisés pour transférer des paquets d'IP de manière confidentielle sur Internet. IPsec est obligatoire pour toutes les implémentations IPv6, et facultative pour IPv4.

  • Exempter les codes de type ICMP IPv6 de reconnaissance de voisinage
  • Exempter ICMP
  • Exempter les codes de type ICMP IPv6 de reconnaissance de routeur
  • Exempter le trafic DHCP IPv4 et IPv6
 Windows Professionnel, Éducation, Entreprise
Vérification de la liste de révocation de certificat Sélectionnez le mode d'application de la vérification de la liste de révocation de certificat.
  • Désactiver la vérification CRL (valeur par défaut) : Désactive la vérification CRL.
  • Echec de vérification CRL sur le certificat révoqué uniquement : La vérification CRL est tentée et la validation de certificat échoue uniquement si le certificat est révoqué. Les autres échecs rencontrés lors de la vérification CRL (par exemple, l'URL de révocation inaccessible) n'entraînent pas l'échec de la validation de certificat.
  • Echec de vérification CRL suite à la survenue d'une erreur : La vérification CRL est requise et la validation du certificat échoue si une erreur s'est produite lors du traitement de CRL.
 Windows Professionnel, Éducation, Entreprise
Activer le jeu d'authentification de correspondance opportuniste par module de clés Définit la façon dont les modules de clés ignorent les suites d'authentification. L'activation de cette option impose aux modules de clés d'ignorer uniquement les suites d'authentification qu'ils ne prennent pas en charge. La désactivation de cette option impose aux modules de clé d'ignorer l'ensemble de l'authentification s'ils ne prennent pas en charge toutes les suites d'authentification de l'ensemble. Windows Professionnel, Éducation, Entreprise
Mise en file d'attente des paquets Sélectionnez le mode de mise en file d'attente des paquets sur l'appareil. Ce paramètre permet d'assurer une mise à l'échelle appropriée.

Cette valeur spécifie comment la mise à l'échelle pour le logiciel côté réception est activée pour la réception et l'effacement du texte chiffré dans le chemin de réacheminement pour le scénario de passerelle de tunnel IPsec. L'utilisation de cette option garantit que l'ordre du paquet est préservé. Le type de données pour cette valeur d'option est un entier et une combinaison d'indicateurs. Valeurs valides :

  • Mise en file d'attente désactivée : Toutes les files d'attente sont désactivées.
  • File d'attente des paquets chiffrés entrants : Les paquets chiffrés entrants sont placés en file d'attente.
  • File d'attente uniquement après chiffrement des paquets : Les paquets sont placés en file d'attente après chiffrement pour le réacheminement.
 Windows Professionnel, Éducation, Entreprise
  • Configurer le réseau du domaine (WorkPlace)
  • Configurer le réseau privé (sans reconnaissance)
  • Configurer le réseau public (reconnaissance)
  • Activer le mode furtif : Si cette option est activée, l'appareil est défini sur le mode furtif.

    Le mode furtif permet d'empêcher des utilisateurs malveillants d'obtenir des informations sur les appareils et services du réseau. Lorsqu'il est activé, le mode furtif bloque les messages ICMP sortants non accessibles et les messages de réinitialisation TCP depuis les ports sans application active d'écoute sur ce port.

  • Désactiver l'exemption de paquets sécurisés IPsec avec le mode furtif : Si cette option est activée, elle définit la façon dont le pare-feu gère le trafic non sollicité sécurisé par IPsec.

    Si cette option n'est pas activée, le pare-feu autorise le trafic réseau non sollicité sécurisé par IPsec.

    Ce paramètre s'applique uniquement lorsque vous activez le Mode furtif.

  • Activer la protection : Si cette option est activée et que le pare-feu est activé, le serveur doit bloquer l'ensemble du trafic entrant, quels que soient les autres paramètres de politique. La valeur par défaut est de décocher la case.
  • Désactiver les réponses unicast aux diffusions de type multidiffusion : Si cette option est activée, elle définit le comportement pour les réponses au trafic réseau de multidiffusion ou diffusion.

    Si vous désactivez cette option, le pare-feu bloque toutes les réponses au trafic réseau de multidiffusion ou diffusion.

  • Désactiver les notifications entrantes : Si cette option est activée, elle définit le comportement de notification pour le pare-feu. Le pare-feu peut envoyer des notifications à l'utilisateur lorsqu'il bloque une nouvelle application.

    Si cette option est désactivée (case à cocher claire), le pare-feu n'envoie aucune notification.

  • Bloquer les connexions sortantes : Si cette option est activée, le pare-feu bloque les connexions sortantes. Le pare-feu bloque l'ensemble du trafic sortant sauf indication contraire explicite.
  • Bloquer les connexions entrantes : Si cette option est activée, le pare-feu bloque toutes les connexions entrantes. Le pare-feu bloque l'ensemble du trafic entrant sauf indication contraire.
  • Appliquer les règles de pare-feu d'application autorisée depuis le magasin local : Si vous sélectionnez Oui, les règles de pare-feu d'application autorisées au niveau du magasin local sont appliquées car elles sont reconnues et appliquées par le pare-feu.
  • Appliquer les règles de pare-feu Defender depuis le magasin local : Si vous sélectionnez Oui, les règles de pare-feu du magasin local sont appliquées car elles sont reconnues et appliquées par le pare-feu.
  • Appliquer les règles de pare-feu Defender de port global depuis le magasin local : Si vous sélectionnez Oui, les règles de pare-feu de port global dans le magasin local sont appliquées car elles sont reconnues et appliquées par le pare-feu.
  • Appliquer les règles IPsec depuis le magasin local : Si vous sélectionnez Oui, les règles de sécurité de connexion du magasin local sont appliquées, quelles que soient les versions des règles de sécurité de connexion ou de schéma.
 Windows Professionnel, Éducation, Entreprise
Configurer les règles de pare-feu Liste de règles qui contrôlent le trafic via le pare-feu Windows. Pour ajouter une règle, cliquez sur l'icône Ajouter (+) dans l'angle droit de cette section.
  • Nom de la règle : Identificateur alphanumérique unique pour la règle. Le nom de règle ne doit pas comporter de barre oblique (/).
  • Description de la règle : Description de la règle.
  • Direction du trafic : La règle est activée en fonction du sens de circulation.
    • Sortant (valeur par défaut) : La règle s'applique au trafic sortant.
    • Entrant : La règle s'applique au trafic entrant.
  • Bloquer le trafic : La règle bloque le trafic en fonction de l'option utilisée dans le paramètre Direction du trafic. Par défaut, cette option autorise tout le trafic.
  • Types de réseau : Type de réseau (domaine, privé ou public) qui s'applique à la règle. Si aucun type de réseau n'est sélectionné, la valeur par défaut est tous les types de réseau.
  • Configurations d'application : Règles qui contrôlent les connexions pour une application, un programme ou un service.
    • Tout (valeur par défaut) : La règle s'applique à l'ensembles des applications, programmes ou services.
    • Nom de la famille de packages : Nom unique de l'application Microsoft Store. Pour plus d'informations sur l'obtention du nom de la famille de packages, voir Exemples d'obtention manuelle d'ID d'application Windows.
    • Chemin de fichier : Chemin d'accès complete au fichier de l'application. Exemple : C:\Windows\System\Notepad.exe
    • Service Windows : Nom de service utilisé lorsqu'un service, et non une application, envoie ou reçoit du trafic.
  • Configuration d'adresse IP - Adresse locale : Adresses IP locales qui s'appliquent à la règle :
    • Toute adresse
    • Adresses spécifiques : Liste d'adresses locales séparées par des virgules qui sont couvertes par la règle.
      • Une adresse IPv6 valide.
      • Une plage d'adresses IPv4 au format "adresse de début-adresse de fin" sans espace. Par exemple : 24.194.231.8-24.194.231.12
      • Une plage d'adresses IPv6 au format "adresse de début-adresse de fin" sans espace. Par exemple : 2001:0DB8:ABCD:0012:0000:0000:0000:0000-2001:0DB8:ABCD:0012:FFFF:FFFF:FFFF:FFF
  • Configuration d'adresse IP - Adresse distante : Adresses IP distantes qui s'appliquent à la règle :
    • Toute adresse
    • Adresses spécifiques : Liste de jetons séparés par des virgules qui sont couverts par la règle.
      • "Defaultgateway"
      • "DHCP"
      • "DNS"
      • "WINS"
      • "Intranet" (Ce jeton est pris en charge sur les versions 1809 et ultérieures de Windows)
      • "RmtIntranet" (Ce jeton est pris en charge sur les versions 1809 et ultérieures de Windows)
      • "Internet" (Ce jeton est pris en charge sur les versions 1809 et ultérieures de Windows)
      • "Ply2Renders" (Ce jeton est pris en charge sur les versions 1809 et ultérieures de Windows)
      • "LocalSubnet" indique une adresse locale sur le sous-réseau local. Ce jeton n'est pas sensible à la casse.
      • Une adresse IPv6 valide.
      • Une plage d'adresses IPv4 au format "adresse de début-adresse de fin" sans espace. Par exemple : 24.194.231.8-24.194.231.12
      • Une plage d'adresses IPv6 au format "adresse de début-adresse de fin" sans espace. Par exemple : 2001:0DB8:ABCD:0012:0000:0000:0000:0000-2001:0DB8:ABCD:0012:FFFF:FFFF:FFFF:FFF
  • Protocoles et ports : Protocoles ou ports local et distant qui s'appliquent à la règle.
    • Tout (valeur par défaut) : Tout port ou protocole s'applique à la règle.
    • TCP : (Transmission Control Protocol) Protocole de communication utilisé sur Internet et tout réseau qui suit les normes IETF (Internet Engineering Task Force) pour le protocole interréseau. TCP constitue un protocole hôte à hôte fiable dans les réseaux à commutation de paquets et dans les systèmes interconnectés de ces réseaux.
      • Tous les ports
      • Ports spécifiques : Liste de plages de ports séparées par des virgules.
    • UDP : (User Datagram Protocol) Protocole Internet qui fournit un service de datagramme non fiable et sans connexion. Il permet à un programme d'application d'une machine ou d'un processus d'envoyer un datagramme à un programme d'application d'une autre machine ou d'un autre processus.
      • Tous les ports
      • Ports spécifiques : Liste de plages de ports séparées par des virgules.
    • Port personnalisé : Liste de numéros de port séparés par des virgules. Les valeurs admises sont comprises entre 0 et 255.
  • Types d'interface : Type de connexion réseau qui s'applique à la règle.
    • Accès distant
    • Sans fil
    • réseau local
  • Utilisateurs autorisés : Liste des utilisateurs locaux autorisés pour cette règle. La liste est une chaîne au format SDDL (Security Descriptor Definition Language). Pour plus d'informations sur le langage SDDL, voir https://docs.microsoft.com/en-us/windows/win32/secauthz/security-descriptor-string-format.
 Windows Professionnel, Éducation, Entreprise