GPO : Gestion des règles du pare-feu Windows

Windows 10  Windows Server 2012R2  Windows Server 2016  Windows Server 2019

Présentation

Dans ce tutoriel, nous allons voir comment ajouter des règles au pare-feu (firewall) Windows à l’aide de stratégie de groupe.

Pour information, le pare-feu Windows a été implémenté dans le système d’exploitation Windows avec le service pack 2 (SP2) de Windows XP. Il est maintenant partie intégrante du système et certaine fonctionnalité comme DirectAccess requiert que celui-ci soit activé pour fonctionner.

Dans beaucoup d’entreprise, les administrateurs système ont tendances à désactiver le pare-feu par GPO pour éviter le blocage d’application.

Ce que je vous propose de voir dans ce tutoriel est de créer une stratégie qui va autoriser tout le trafic sur le profil Domaine à la place de désactiver le pare-feu.

Ce type de règle reste dangereuse, il est conseillé d’autoriser seulement le trafic légitime sur votre réseau.

Par défaut, le pare-feu Windows laisse passer l’ensemble des connexions sortantes à moins qu’une règle de blocage soit configurée. Normalement seul les règles de trafic entrant sont à configurer (RDP, VNC …).

Configuration de la stratégie de groupe (GPO)

Depuis la console Gestion des stratégies de groupe, faire un clic droit à l’emplacement où la stratégie doit être appliquée et cliquer sur Créer un objet GPO dans ce domaine et le lier ici 1.

New strategy

Nommer la stratégie 1 et cliquer sur OK 2.

name the strategy

Faire un clic droit sur la stratégie 1 et cliquer sur Modifier 2.

Edit strategy

Dans l’éditeur des stratégies de groupe, aller à l’emplacement suivant : Configuration ordinateur / Stratégies / Paramètres Windows / Paramètres de sécurité / Pare-feu Windows avec fonctions avancées de sécurité. 

Strategy editor

Faire un clic droit sur Règle de trafic entrant 1 puis cliquer sur Nouvelle règle 2.

Add in rule

Choisir le type de règle Personnalisée 1 et cliquer sur Suivant 2.

Select rule type

Sélectionner Tous les programmes 1 puis cliquer sur Suivant 2.

All programs

Type de protocole, choisir Tous 1 et cliquer sur Suivant 2.

Allow all protocol

Configuration d’étendue, choisir Tout adresse IP 1 et cliquer sur Suivant 2.

Scope

Configurer l’action de la règle, choisir Autoriser la connexion 1 puis cliquer sur Suivant 2.

Select action

Sélectionner le profil, ici afin de limiter les risques la règle ne sera appliquée que si l’ordinateur est connecté au domaine de l’entreprise, choisir Domaine 1 et cliquer sur Suivant 2.

Choose profil

Nommer 1 la règle et cliquer Terminer 2.

Name rule

La règle a été ajoutée à la stratégie.

firewall rule added

Si nécessaire faire de même pour le trafic sortant. Par défaut le trafic sortant n’est pas bloqué.

Aller sur un ordinateur du domaine où la stratégie s’applique, si nécessaire faire un gpupdate et vérifier que la règle soit présente dans les règles de trafic entrant.

Client rule

Conclusion

Dans un environnement où un domaine Active Directory, la configuration du pare-feu Windows peut être effectué par des stratégies de groupe et ce qui rend son administration facile.

Maintenant que vous savez comment créer une règle, je vous invite à réactiver le pare-feu des ordinateurs afin de reprendre le contrôle.

Si un jour avec besoin de bloquer un port sur l’ensemble du parc une règle dans une stratégie de groupe et c’est fait.





Related Posts


GPO : boucle de rappel

SommaireContexte et problématiqueSolution : traitement par boucle de rappelConclusion Dans ce tutoriel, je vais essayer de vous présenter simplement le fonctionnement des boucles de rappel (Loopback P

Windows Serveur installation et configuration du rôle DHCP

Dans ce tutoriel, nous allons voir comment installer et configurer un serveur DHCP sous Windows Server dans un environnement Active Directory. Pour rappel, le service DHCP permet de distribuer des adr

PRTG : configurer un capteur Netflow

PRTG dispose d'un capteur Netflow, qui permet de le transformer en serveur Netflow afin de pouvoir analyser les flux réseaux. Avant de configurer le capteur, il faut régler l'équipement réseau pour en