Le pare-feu de Windows XP Service Pack 2

La version originale de Windows XP contenait déjà un pare-feu, mais personne ne l’a vraiment remarqué. Les raisons en étaient le manque de confort et les fonctionnalités médiocres. Avec le Service Pack 2, Microsoft a …

Le pare-feu de Windows XP Service Pack 2

  1. Magazine
  2. »
  3. Article
  4. »
  5. Windows
  6. »
  7. Le pare-feu de Windows XP Service Pack 2

La version originale de Windows XP contenait déjà un pare-feu, mais personne ne l’a vraiment remarqué. Les raisons en étaient le manque de confort et les fonctionnalités médiocres. Avec le Service Pack 2, Microsoft a amélioré le pare-feu et l’a doté de nouvelles fonctionnalités. Le réglage du pare-feu n’est toutefois pas aussi trivial qu’il n’y paraît. Dans l’article suivant, nous fournissons une aide et des conseils pour le réglage et l’adaptation du pare-feu.

Protection contre quoi ?

Ceux qui utilisent déjà un pare-feu « étranger » comme ZoneAlarm ou Sygate se demanderont certainement s’ils doivent maintenant miser sur le complément de Microsoft. Un conseil préalable : il n’est pas nécessaire de changer de produit. Les produits tiers offrent toujours plus de confort et de protection.

Le pare-feu Windows ferme tous les ports et toutes les tentatives de connexion (p. ex. aussi ping) de l’extérieur. Les données entrantes qui n’ont pas été demandées sont rejetées par le pare-feu. De plus, Microsoft a réussi à ce que les systèmes soient déjà protégés par le pare-feu lors de l’activation de la pile réseau. Sans exceptions correspondantes, l’ordinateur est donc bien protégé contre les attaques de l’extérieur.

En revanche, les connexions sortantes ne sont pas systématiquement bloquées, contrairement aux pare-feu d’application traditionnels. Si, avec ZoneAlarm et autres, il faut accorder explicitement des droits sortants à chaque application, le pare-feu Windows ne l’exige que lorsqu’une application ouvre un port en tant que serveur, c’est-à-dire lorsqu’elle attend de recevoir des données. En revanche, les communications sortantes telles que la navigation ou le courrier électronique ne sont pas bloquées.

Où est quoi ?

Le centre de commande du pare-feu est l’icône correspondante dans le panneau de configuration.

Le premier onglet affiche 3 modes de fonctionnement du pare-feu.

Outre Actif et Inactif, il existe également le mode de fonctionnement « Ne pas autoriser les exceptions ». Dans ce mode de fonctionnement, toutes les exceptions que l’utilisateur a définies ultérieurement sont ignorées. Ce mode convient par exemple lorsque l’on est connecté à un point d’accès public avec son ordinateur portable.

Fig. 1 : le pare-feu connaît 3 modes de fonctionnement

Dans l’onglet « Exceptions », le pare-feu énumère toutes les règles de filtrage qui s’appliquent à toutes les connexions réseau protégées par le pare-feu.

Fig. 2 : Les programmes et services listés sous Exceptions sont valables pour tous les adaptateurs protégés.

Le 3ème onglet « Avancé » propose des options supplémentaires. Il permet en outre de définir quelles connexions réseau sont couvertes par le pare-feu. Avant le Service Pack 2, il fallait le définir dans les propriétés de chaque connexion réseau. Si l’on désactive ici une connexion, celle-ci est complètement ignorée par le pare-feu.

Fig. 3 : Sous Avancé, il est également possible de définir quelles connexions sont protégées par le pare-feu.

Si une connexion est protégée par le pare-feu, on le reconnaît – comme auparavant – au symbole du cadenas.

Ill. 4 : Toutes les connexions sont protégées par le pare-feu.

Définir des exceptions

Si une application telle qu’un serveur FTP souhaite établir une connexion, le pare-feu le signale par une boîte de dialogue d’information :

Fig. 5 : Dialogue d’avertissement du pare-feu

Trois options de sélection sont proposées ici. Si l’on clique sur Continuer à bloquer ou Ne plus bloquer, le pare-feu le note dans les exceptions. L’illustration 2 se présente alors comme suit pour « Ne plus bloquer ».

Fig. 6 : Nouvelle entrée.

La difficulté réside toutefois dans les détails. Comme on peut le voir sur l’image, le programme de test « The Personal FTP-Server » a été ajouté à la liste des exceptions et activé (reconnaissable à la coche). Ainsi, le programme a toujours accès.

Il n’y a cependant pas de liste propre indiquant quels programmes ne peuvent toujours pas accéder à Internet (= continuer à bloquer). Si l’on avait donc répondu à la question de l’ill. 5 par « Continuer à bloquer », le résultat aurait été le suivant :

Fig. 7 : Cette fois-ci, le programme a été bloqué, mais la coche n’existe pas.

Il faut donc faire très attention sous Exceptions si l’on modifie quelque chose ici, car les autorisations et les interdictions sont gérées dans une liste commune. Si l’on a autorisé ou interdit de nombreuses applications, l’ensemble devient vite confus.

Voici deux conseils de sécurité :
1. le Pare-feu Windows ne crée pas de somme de contrôle pour les programmes autorisés afin de les identifier clairement. Il serait donc concevable avec le pare-feu Windows que l’utilisateur « autorise » une application, mais que celle-ci soit ensuite remplacée par un cheval de Troie, etc. Windows fixe les restrictions uniquement en fonction du nom de fichier et du chemin d’accès.

2) En outre, un programme peut s’accorder lui-même les droits correspondants via une API présente dans le système, dans la mesure où le compte connecté y est autorisé. Comme de nombreux utilisateurs à domicile travaillent sur le système en tant qu’administrateurs, il en résulte un risque de sécurité supplémentaire. Il existe déjà des vers en circulation qui ferment simplement le pare-feu sous un compte d’administrateur.

Les boutons « Programme » ou « Port » permettent également de définir ses propres exceptions comme autorisation ou blocage. Il faut donc d’abord attendre une demande de confirmation du système.

Pour savoir quels programmes ont besoin de quels ports, consultez des pages comme

  • http://www.iana.org
  • http://ports.tantalo.net
  • L’article 842242 dans la MS KB

Exceptions pour une seule connexion

La liste des exceptions sur le 2e onglet s’applique à toutes les connexions couvertes par le pare-feu (ce que l’on peut voir sur le 3e onglet). Mais si l’on souhaite autoriser une exception uniquement pour une connexion spécifique , il faut choisir une autre voie.

Il faut tout d’abord sélectionner la connexion concernée et choisir ensuite à droite Paramètres.

Fig. 8 : Les réglages effectués ne sont valables que pour la connexion « vpn tunnel ».

Sous Services, on peut sélectionner les services existants ou en ajouter de nouveaux en cliquant sur Modifier.

Ill. 9 : Exceptions valables uniquement pour une connexion

Sous Ajouter, les options suivantes s’offrent à vous :

Fig. 10 : Définir sa propre exception

On peut uniquement définir le port et le protocole. Si l’on a besoin de plusieurs ports pour un cas, il faut ajouter plusieurs exceptions. Cette boîte de dialogue ne connaît pas l’indication des applications – comme pour les exceptions générales. Pour ceux qui ne reçoivent pas toujours la même IP d’un serveur DHCP, il est également possible de saisir « localhost » dans le champ Nom. En outre, il est possible de saisir ici le sous-réseau complet. Ainsi, l’entrée est valable pour les réseaux de l’espace d’adressage 192.168.1.1 à 192.168.1.x. L’adresse de l’espace d’adressage est indiquée dans le champ de saisie :

192.168.1.0/24 (24 est la forme abrégée normalisée du masque de sous-réseau 255.255.255.0).

L’onglet ICMP offre des options supplémentaires :

Fig. 11 : Paramètres ICMP pour les professionnels

Problème de partage de fichiers et d’imprimantes

Sur de nombreux systèmes, le partage de fichiers et d’imprimantes est défini comme exception générale, sinon un réseau local ne fonctionne plus.

Remarque : si l’on n’a pas besoin du partage de fichiers et d’imprimantes pour un réseau local, il faut absolument le laisser désactivé sous Exceptions.

Fig. 12 Désactiver le partage de fichiers et d’imprimantes s’il n’est pas nécessaire

Mais comme l’exception du deuxième onglet s’applique à toutes les connexions surveillées (voir ill. 3), le partage de fichiers et d’imprimantes serait également accessible de l’extérieur via Internet. Ceci même si l’on utilise une connexion commutée pour l’accès à Internet.

Pour que cela ne soit pas possible, Microsoft a limité l’accès à son propre sous-réseau. On peut le contrôler comme suit : On sélectionne le partage de fichiers et d’imprimantes sur le deuxième onglet, puis on clique sur Modifier.

Fig. 13 : Modifier le partage de fichiers et d’imprimantes

Dans la boîte de dialogue suivante, les ports partagés du partage de fichiers et d’imprimantes sont affichés.

Fig. 14 : Ports du partage de fichiers et d’imprimantes

Il est maintenant possible d’afficher les domaines auxquels l’exception s’applique en cliquant sur « Modifier le domaine ».

Fig. 15 : Modifier la zone

Malheureusement, deux problèmes surviennent.

Comme PC-Welt l’a soi-disant découvert dans un test, il arrive dans certaines circonstances que la protection soit inefficace ici et que les partages de fichiers et d’imprimantes soient ouverts pour les connexions web. Voir aussi Heise Security.

En outre, la protection peut également être contournée si le fournisseur d’accès transmet un masque de sous-réseau erroné.

Mise à jour : 24.12.2004

Le patch KB886185 corrige la faille de sécurité. Le patch est également décrit en détail ici.

Pour contourner la possible faille de sécurité sans le patch, il existe 3 solutions.

1ère solution – Ne pas protéger la carte réseau par le pare-feu

Si l’on n’utilise pas sa carte réseau pour se connecter (par ex. accès à Internet via un modem DSL USB ou un adaptateur RNIS), on peut exclure la connexion LAN de la protection par le pare-feu.

Tout d’abord, il faut désactiver le partage de fichiers et d’imprimantes de manière générale (ill. 12).

Ensuite, on exclut la connexion LAN de la protection du pare-feu. Ainsi, toutes les règles du pare-feu ne s’appliquent plus. La connexion LAN a maintenant à nouveau accès au réseau.

Fig. 16 : Ne pas protéger la connexion LAN

Cette procédure n’est toutefois pas recommandée, car les vers ne peuvent certes plus pénétrer dans le système depuis l’extérieur, mais ils peuvent très bien se propager en interne.

2e solution : indiquer des zones

Pour chacun des 4 ports de l’illustration 15, on saisit ce qui suit dans la zone Liste définie par l’utilisateur :
192.168.1.0/24
En fonction de la plage d’adresses pour le propre réseau, il faut adapter la première plage IP. Dans l’exemple, les IP locales sont utilisées de 192.168.1.1 à 192.168.1.255. Vous pouvez voir quelle plage IP votre ordinateur utilise en cliquant sur Démarrer-> Exécuter-> CMD et ici avec IPconfig. Le 24 est la forme abrégée du masque de sous-réseau 255.255.255.0.

3ème solution : Partage de fichiers et d’imprimantes uniquement pour l’adaptateur réseau

La troisième solution est à mon avis la meilleure. On désactive le partage de fichiers et d’imprimantes en tant qu’exception générale.

Fig. 17 : Désactiver le partage de fichiers et d’imprimantes en général

Ensuite, on passe au 3e onglet du pare-feu et on définit 4 exceptions propres uniquement pour la connexion LAN, qui représentent le partage de fichiers et d’imprimantes.

Fig. 18 : Paramètres pour la connexion LAN

Dans la boîte de dialogue suivante, on ajoute des exceptions pour les ports UDP 137 et 138 ainsi que pour les ports TCP 139 et 445.

Illustration 19 : Indiquer le port

Le paramétrage final devrait alors ressembler à ce qui suit :

Fig. 2o : Le résultat

Le cas échéant, il faut encore activer l’une ou l’autre fonction sous ICMP (par ex. autoriser l’écho), si les applications réseau le requièrent.

Par rapport à la première méthode, la 3e méthode présente l’avantage que l’adaptateur LAN reste lui aussi protégé de manière générale contre d’autres attaques et ports de serveur.

Comptabilité

Le pare-feu peut également consigner ce qui a été bloqué ou autorisé. Les options nécessaires à cet effet se trouvent sous Avancé -> Paramètres de sécurité.

Fig. 21 : Journalisation

Déploiement des paramètres avec et sans stratégie de groupe

Au sein d’un Active Directory, le pare-feu des clients peut être facilement contrôlé par des stratégies de groupe. Dans l’article 600339 de la base de données TechNet, Microsoft décrit la configuration possible via les stratégies de groupe.

Ceux qui n’utilisent pas de stratégies de groupe trouveront leur bonheur dans le même article. Un fichier de réponse permet de définir les paramètres du pare-feu dès l’installation.

L’article de la base de données TechNet décrit en détail comment contrôler le Service Pack au sein d’un domaine via les stratégies de groupe. Une partie spécifique est consacrée au contrôle du pare-feu.

Problèmes liés au pare-feu

Un problème fréquent dans les réseaux est que l’ordinateur n’est plus visible. Dans ce cas, il faut activer le point« Autoriser les demandes d’écho entrantes » pour la connexion LAN dans les paramètres avancés sous ICMP (ill. 11). Également documenté dans les archives de conseils WinTotal.

Sous l’entrée KB 875357, Microsoft décrit les problèmes possibles liés au pare-feu. Ceux-ci surviennent en général lorsque des programmes ont besoin de certains ports réseau, mais que le pare-feu ne les libère pas. Comme le pare-feu Windows ne se comporte pas de manière aussi transparente que d’autres représentants, l’utilisateur ne se rend pas vraiment compte de la demande de port des applications. L’article décrit comment découvrir les problèmes et définir manuellement les exceptions.

L’article 842242 cite en outre nommément quelques programmes qui nécessitent des autorisations spéciales.

Un article complet sur le pare-feu en anglais est également disponible dans le centre de téléchargement Microsoft.

Moyens de bord ou produit tiers ?

Ceux qui utilisaient jusqu’à présent un pare-feu n’ont certainement pas besoin de passer à la solution propriétaire de XP. La plupart des produits offrent sans exception une meilleure protection que le développement propre de Microsoft. Si l’on considère que les non-professionnels sont justement des victimes potentielles d’attaques, le projet de « pare-feu simple pour tout le monde » a échoué. Je conseille à l’utilisateur responsable d’examiner s’il ne se donne pas un peu plus de sécurité avec des produits comme l’accessible ZoneAlarm, le Sygate ou un autre pare-feu logiciel. Toutefois, le pare-feu Windows est mieux que pas de protection du tout. Et l’expérience avec de nombreux virus montre qu’une grande partie des PC n’est justement pas correctement protégée.

Pour ceux qui peuvent se passer du pare-feu Windows de Windows XP avec SP2, il suffit de désactiver le service Pare-feu Windows/partage de la connexion Internet sous Administration -> Services. Ainsi, l’utilisation éventuelle de la connexion Internet partagée ne fonctionne plus. Ceux qui ne peuvent pas renoncer à cette fonction doivent au moins activer le pare-feu sur « inactif ». En règle générale, le pare-feu tiers et le pare-feu Windows inactif ne devraient pas se gêner l’un l’autre.

Enfin, il est possible de désactiver la surveillance du pare-feu dans le centre de sécurité si le produit tiers ne prend pas en charge l’intégration dans le centre de sécurité.

Articles similaires