Présentation
Dans ce tutoriel, nous allons voir comment ajouter des règles au pare-feu (firewall) Windows à l’aide de stratégie de groupe.
Pour information, le pare-feu Windows a été implémenté dans le système d’exploitation Windows avec le service pack 2 (SP2) de Windows XP. Il est maintenant partie intégrante du système et certaine fonctionnalité comme DirectAccess requiert que celui-ci soit activé pour fonctionner.
Dans beaucoup d’entreprise, les administrateurs système ont tendances à désactiver le pare-feu par GPO pour éviter le blocage d’application.
Ce que je vous propose de voir dans ce tutoriel est de créer une stratégie qui va autoriser tout le trafic sur le profil Domaine à la place de désactiver le pare-feu.
Ce type de règle reste dangereuse, il est conseillé d’autoriser seulement le trafic légitime sur votre réseau.
Par défaut, le pare-feu Windows laisse passer l’ensemble des connexions sortantes à moins qu’une règle de blocage soit configurée. Normalement seul les règles de trafic entrant sont à configurer (RDP, VNC …).
Configuration de la stratégie de groupe (GPO)
Depuis la console Gestion des stratégies de groupe, faire un clic droit à l’emplacement où la stratégie doit être appliquée et cliquer sur Créer un objet GPO dans ce domaine et le lier ici 1.
Nommer la stratégie 1 et cliquer sur OK 2.
Faire un clic droit sur la stratégie 1 et cliquer sur Modifier 2.
Dans l’éditeur des stratégies de groupe, aller à l’emplacement suivant : Configuration ordinateur / Stratégies / Paramètres Windows / Paramètres de sécurité / Pare-feu Windows avec fonctions avancées de sécurité.
Faire un clic droit sur Règle de trafic entrant 1 puis cliquer sur Nouvelle règle 2.
Choisir le type de règle Personnalisée 1 et cliquer sur Suivant 2.
Sélectionner Tous les programmes 1 puis cliquer sur Suivant 2.
Type de protocole, choisir Tous 1 et cliquer sur Suivant 2.
Configuration d’étendue, choisir Tout adresse IP 1 et cliquer sur Suivant 2.
Configurer l’action de la règle, choisir Autoriser la connexion 1 puis cliquer sur Suivant 2.
Sélectionner le profil, ici afin de limiter les risques la règle ne sera appliquée que si l’ordinateur est connecté au domaine de l’entreprise, choisir Domaine 1 et cliquer sur Suivant 2.
Nommer 1 la règle et cliquer Terminer 2.
La règle a été ajoutée à la stratégie.
Si nécessaire faire de même pour le trafic sortant. Par défaut le trafic sortant n’est pas bloqué.
Aller sur un ordinateur du domaine où la stratégie s’applique, si nécessaire faire un gpupdate et vérifier que la règle soit présente dans les règles de trafic entrant.
Conclusion
Dans un environnement où un domaine Active Directory, la configuration du pare-feu Windows peut être effectué par des stratégies de groupe et ce qui rend son administration facile.
Maintenant que vous savez comment créer une règle, je vous invite à réactiver le pare-feu des ordinateurs afin de reprendre le contrôle.
Si un jour avec besoin de bloquer un port sur l’ensemble du parc une règle dans une stratégie de groupe et c’est fait.