Le pare-feu Windows peut être l'un des plus gros cauchemars à configurer pour les administrateurs système, avec l'ajout de la priorité de stratégie de groupe, il devient juste un casse-tête. Ici, nous allons vous expliquer du début à la fin comment configurer facilement le pare-feu Windows via la stratégie de groupe et, en prime, vous montrer comment résoudre l'un des plus gros pièges.
Notre mission
Nous avons constaté que de nombreux utilisateurs ont installé Skype sur leurs machines et que cela les rend moins productifs. Nous avons été chargés de nous assurer que les utilisateurs ne peuvent pas utiliser Skype au travail, mais ils sont invités à le garder installé sur leur ordinateur portable et à l'utiliser à la maison ou pendant les pauses déjeuner sur une connexion 3G / 4G. Compte tenu de ces informations, nous décidons d'utiliser le pare-feu Windows et la stratégie de groupe.
La méthode
Le moyen le plus simple de commencer à contrôler le pare-feu Windows via la stratégie de groupe est de configurer un PC de référence et de créer les règles à l'aide de Windows 7, nous pouvons ensuite exporter cette stratégie et l'importer dans la stratégie de groupe. En faisant cela, nous avons l'avantage supplémentaire de pouvoir voir si toutes les règles sont configurées et fonctionnent comme nous le souhaitons, avant de les déployer sur toutes les machines clientes.
Création d'un modèle de pare-feu
Afin de créer un modèle pour le pare-feu Windows, nous devons lancer le Centre Réseau et partage, le moyen le plus simple de le faire est de cliquer avec le bouton droit de la souris sur l'icône du réseau et de sélectionner Ouvrir le Centre Réseau et partage dans le menu contextuel.
Lorsque le Centre Réseau et partage s'ouvre, cliquez sur le lien Pare-feu Windows dans le coin inférieur gauche.
Lors de la création d'un modèle pour le pare-feu Windows, il est préférable de le faire via le pare-feu Windows avec la console de sécurité avancée, pour lancer ce clic sur Paramètres avancés sur le côté gauche.
Remarque: À ce stade, je vais modifier les règles spécifiques à Skype, mais vous pouvez ajouter vos propres règles pour les ports ou même les applications. Toutes les modifications que vous devez apporter au pare-feu doivent être effectuées maintenant.
À partir de là, nous pouvons commencer à modifier nos règles de pare-feu.Dans notre cas, lorsque l'application Skype est installée, elle crée ses propres exceptions de pare-feu qui permettent à skype.exe de communiquer sur les profils de réseau de domaine, privé et public.
Nous devons maintenant modifier notre règle de pare-feu, pour la modifier, double-cliquez sur la règle. Cela fera apparaître les propriétés de la règle Skype.
Basculez vers l'onglet Avancé et décochez la case Domaine.
Lorsque vous essayez de lancer Skype maintenant, vous serez invité à demander s'il peut communiquer sur le profil de réseau de domaine, décochez la case et cliquez sur autoriser l'accès.
Si vous revenez maintenant à vos règles de pare-feu entrant, vous verrez qu'il existe deux nouvelles règles, car lorsque vous y êtes invité, vous avez choisi de ne pas autoriser le trafic Skype entrant. Si vous regardez la colonne de profil, vous verrez qu'ils sont tous les deux pour le profil de réseau de domaine.
Remarque: la raison pour laquelle il existe deux règles est qu'il existe des règles distinctes pour TCP et UDP
Tout va bien jusqu'à présent, mais si vous lancez Skype, vous pourrez toujours vous connecter.
Même si vous modifiez les règles pour bloquer le trafic entrant pour skype.exe et le configurer pour bloquer le trafic en utilisant N'IMPORTE QUEL protocole, il est toujours capable de revenir d'une manière ou d'une autre. Le correctif est simple, l'empêchez de communiquer en premier lieu. Pour ce faire, passez aux règles sortantes et commencez à créer une nouvelle règle.
Puisque nous voulons créer une règle pour le programme Skype, cliquez simplement sur Suivant, puis recherchez le fichier exécutable Skype et cliquez sur Suivant.
Vous pouvez laisser l'action par défaut qui consiste à bloquer la connexion et cliquer sur Suivant.
Décochez les cases Privé et Public et cliquez sur Suivant pour continuer.
Maintenant, donnez un nom à votre règle et cliquez sur Terminer
Maintenant, si vous essayez de lancer Skype alors que vous êtes connecté à un réseau de domaine, cela ne fonctionnera pas
Cependant, s'ils essaient de se connecter lorsqu'ils rentrent chez eux, cela leur permettra de se connecter correctement
Ce sont toutes les règles de pare-feu que nous allons créer pour le moment, n'oubliez pas de tester vos règles comme nous l'avons fait pour Skype.
Exportation de la politique
Pour exporter la politique, dans le volet de gauche, cliquez sur la racine de l'arborescence qui dit Pare-feu Windows avec sécurité avancée. Cliquez ensuite sur Action et sélectionnez Exporter la politique dans le menu.
Vous devez l'enregistrer soit sur un partage réseau, soit même sur une clé USB si vous avez un accès physique à votre serveur. Nous irons avec un partage de réseau.
Remarque: faites attention aux virus lorsque vous utilisez une clé USB, la dernière chose à faire est d'infecter un serveur avec un virus
Importation de la stratégie dans la stratégie de groupe
Pour importer la stratégie de pare-feu, vous devez ouvrir un objet de stratégie de groupe existant ou créer un nouvel objet de stratégie de groupe et le lier à une unité d'organisation contenant des comptes d'ordinateur. Nous avons un GPO appelé Firewall Policy qui est lié à une OU appelée Geek Computers, cette OU contient tous nos ordinateurs. Nous allons simplement continuer et utiliser cette politique.
Naviguez maintenant vers:
Ouvrez Configuration ordinateur \ Stratégies \ Paramètres Windows \ Paramètres de sécurité \ Pare-feu Windows avec sécurité avancée
Cliquez sur Pare-feu Windows avec sécurité avancée, puis sur Action et politique d'importation
Vous serez informé que si vous importez la stratégie, elle écrasera tous les paramètres existants, cliquez sur Oui pour continuer, puis recherchez la stratégie que vous avez exportée dans la section précédente de cet article. Une fois la politique importée, vous en serez informé.
Si vous regardez nos règles, vous verrez que les règles Skype que j'ai créées sont toujours là.
Essai
Remarque: vous ne devez effectuer aucun test avant de terminer la section suivante de l'article. Si vous le faites, toutes les règles qui ont été configurées localement seront respectées. La seule raison pour laquelle j'ai fait des tests maintenant était de souligner certaines choses.
Pour voir si les règles de pare-feu ont été déployées sur les clients, vous devrez basculer vers une machine cliente et ouvrir à nouveau les paramètres du pare-feu Windows. Comme vous pouvez le voir, il devrait y avoir un message indiquant que certaines des règles de pare-feu sont gérées par votre administrateur système.
Cliquez sur le lien Autoriser un programme ou une fonctionnalité via le pare-feu Windows sur le côté gauche.
Comme vous devriez le voir maintenant, nous avons des règles appliquées par la stratégie de groupe ainsi que celles créées localement.
Que se passe-t-il ici et comment puis-je y remédier?
Par défaut, la fusion des règles est activée entre les stratégies de pare-feu locales sur les ordinateurs Windows 7 et la stratégie de pare-feu spécifiée dans les stratégies de groupe qui ciblent ces ordinateurs. Cela signifie que les administrateurs locaux peuvent créer leurs propres règles de pare-feu, et ces règles seront fusionnées avec les règles obtenues via la stratégie de groupe. Pour résoudre ce problème, cliquez avec le bouton droit sur Pare-feu Windows avec sécurité avancée et sélectionnez les propriétés dans le menu contextuel. Lorsque la boîte de dialogue s'ouvre, cliquez sur le bouton Personnaliser sous la section des paramètres.
Modifiez l'option Appliquer les règles de pare-feu local de Non configuré à Non.
Une fois que vous avez cliqué sur OK, passez aux profils Privé et Public et faites la même chose pour les deux.
C'est tout ce qu'il y a à faire les gars, allez vous amuser avec le pare-feu.
