GPO : Gestion des règles du pare-feu Windows


Windows Server 2012R2 Windows Server 2016 Windows Server 2019

Présentation

Dans ce tutoriel, nous allons voir comment ajouter des règles au pare-feu (firewall) Windows à l’aide de stratégie de groupe.

Pour information, le pare-feu Windows a été implémenté dans le système d’exploitation Windows avec le service pack 2 (SP2) de Windows XP. Il est maintenant partie intégrante du système et certaine fonctionnalité comme DirectAccess requiert que celui-ci soit activé pour fonctionner.

Dans beaucoup d’entreprise, les administrateurs système ont tendances à désactiver le pare-feu par GPO pour éviter le blocage d’application.

Ce que je vous propose de voir dans ce tutoriel est de créer une stratégie qui va autoriser tout le trafic sur le profil Domaine à la place de désactiver le pare-feu.

Ce type de règle reste dangereuse, il est conseillé d’autoriser seulement le trafic légitime sur votre réseau.

Par défaut, le pare-feu Windows laisse passer l’ensemble des connexions sortantes à moins qu’une règle de blocage soit configurée. Normalement seul les règles de trafic entrant sont à configurer (RDP, VNC …).

Configuration de la stratégie de groupe (GPO)

Depuis la console Gestion des stratégies de groupe, faire un clic droit à l’emplacement où la stratégie doit être appliquée et cliquer sur Créer un objet GPO dans ce domaine et le lier ici 1.

New strategy

Nommer la stratégie 1 et cliquer sur OK 2.

name the strategy

Faire un clic droit sur la stratégie 1 et cliquer sur Modifier 2.

Edit strategy

Dans l’éditeur des stratégies de groupe, aller à l’emplacement suivant : Configuration ordinateur / Stratégies / Paramètres Windows / Paramètres de sécurité / Pare-feu Windows avec fonctions avancées de sécurité. 

Strategy editor

Faire un clic droit sur Règle de trafic entrant 1 puis cliquer sur Nouvelle règle 2.

Add in rule

Choisir le type de règle Personnalisée 1 et cliquer sur Suivant 2.

Select rule type

Sélectionner Tous les programmes 1 puis cliquer sur Suivant 2.

All programs

Type de protocole, choisir Tous 1 et cliquer sur Suivant 2.

Allow all protocol

Configuration d’étendue, choisir Tout adresse IP 1 et cliquer sur Suivant 2.

Scope

Configurer l’action de la règle, choisir Autoriser la connexion 1 puis cliquer sur Suivant 2.

Select action

Sélectionner le profil, ici afin de limiter les risques la règle ne sera appliquée que si l’ordinateur est connecté au domaine de l’entreprise, choisir Domaine 1 et cliquer sur Suivant 2.

Choose profil

Nommer 1 la règle et cliquer Terminer 2.

Name rule

La règle a été ajoutée à la stratégie.

firewall rule added

Si nécessaire faire de même pour le trafic sortant. Par défaut le trafic sortant n’est pas bloqué.

Aller sur un ordinateur du domaine où la stratégie s’applique, si nécessaire faire un gpupdate et vérifier que la règle soit présente dans les règles de trafic entrant.

Client rule

Conclusion

Dans un environnement où un domaine Active Directory, la configuration du pare-feu Windows peut être effectué par des stratégies de groupe et ce qui rend son administration facile.

Maintenant que vous savez comment créer une règle, je vous invite à réactiver le pare-feu des ordinateurs afin de reprendre le contrôle.

Si un jour avec besoin de bloquer un port sur l’ensemble du parc une règle dans une stratégie de groupe et c’est fait.




2 réflexions au sujet de “GPO : Gestion des règles du pare-feu Windows”

  1. Bonjour,

    J’aimerais savoir comment supprimer ce type de règle une fois que la gpo n’est plus appliquée svp.
    J’ai des ordinateurs qui ont conservé des règles de gpo qui n’existent plus sur le serveur.

    Merci d’avance.

    Répondre
    • Bonjour,

      Pour supprimer des règles de firewall appliqué par GPO, il faut supprimer les règles liées à la GPO et la laisser appliquée. De cette manière les règles sont supprimés.

      Si la GPO n’est plus lié ou supprimer, les règles restent.

      Romain

      Répondre

Laisser un commentaire