Dernière mise
à jour : 30/04/2005
Pages complèmentaires : les
firewalls, gérer
les connexions réseau à partir de l'Invite de commandes.
Un didacticiel sur le Pare-feu Windows
Paramétrer le Pare-feu Windows à
partir de l'Invite de commandes
Astuces sur le pare-feu Windows
Résoudre un problème sur
le Pare-feu Windows
Paramétrer
le pare-feu Windows
Cette fonctionnalité a été grandement améliorée
avec l'arrivée du Service Pack 2 pour Windows XP. Quelques
explications préalables sont nécessaires :
Un port est un canal entrant ou sortant de votre système,
qui permet d'identifier une terminaison logicielle au travers d'un
réseau utilisant le protocole TCP/IP ou UDP. Certains ports
sont associés à des protocoles réseau standard.
Par exemple, HTTP (Hypertext Transfer Protocol) est généralement
associé au port 80. Quand, à travers une connexion
Internet, vous tentez d'accéder à un ordinateur distant
(une visite sur une page Internet), vous ouvrez un ou plusieurs
ports sur votre ordinateur. En retour, l'ordinateur distant envoie
les informations que vous avez demandées (la page Internet)
en utilisant un ou plusieurs autres ports. Il est ainsi possible
à votre ordinateur d'effectuer simultanément différentes
requêtes et de recevoir différents types d'informations
: recevoir des messages, opérer un téléchargement,
surfer sur le Web. Nous pouvons donc définir un port comme
une antenne particulière qui permet de recevoir et de traiter
un type spécifique d'informations. Les numéros de
ports sont compris entre 1 et 65 535.
Un protocole est un format normalisé pour l'envoi et la réception
de données. Les protocoles sont utilisés selon leurs
fonctions. Par exemple, SMTP (Simple Mail Transfer Protocol) est
utilisé pour l'envoi d'e-mails, tandis que FTP (File Transfer
Protocol) sert à l'envoi de fichiers volumineux. Chaque protocole
est associé à un port spécifique. Par exemple,
les messages FTP sont associés au port 21. Les protocoles
TCP et UDP permettent les transmissions de données, respectivement
avec ou sans contrôle d'erreur.
Par défaut, le pare-feu Windows est configuré pour
laisser "passer" certaines applications et en bloquer
d'autres. Puisque le pare-feu bloque certains ports, processus ou
programmes, il nous faut instituer une nouvelle règle, ouvrant
explicitement tel ou tel port, ou permettant à tel logiciel
d'accéder au réseau (Internet ou réseau local).
Imaginons que vous souhaitiez autoriser la fonctionnalité
Partage de bureau à distance dans NetMeeting. Pour cela,
suivez cette procédure :
1) Cliquez sur Démarrer/Exécuter puis saisissez :
firewall.cpl
2) Cliquez sur l'onglet Exceptions.
3) Cliquez sur le bouton Ajouter un programme... puis sur le bouton
Parcourir...
4) Sélectionnez ce fichier \Program Files\NetMeeting\conf.exe
puis cliquez sur le bouton OK.
5) Répétez la même procédure pour ce
programme : \Windows\System32\mnmsrvc.exe.
Notez que le bouton Modifier l'étendue... vous permet de
spécifier un jeu d'ordinateurs concernés par cette
stratégie.
Il vous est possible maintenant d'utiliser cette fonctionnalité...
Tout le jeu consiste maintenant à empêcher certains
des utilisateurs de votre machine ou du réseau à accéder
à une partie ou à l'ensemble des paramètres
du pare-feu Windows.
Paramétrer le
Pare-feu Windows à partir de l'Invite de commandes
Vous pouvez vous servir de la commande Netsh. Afin de visualiser
les différentes arborescences de l'aide, saisissez ces quelques
commandes :
netsh firewall
netsh firewall set
netsh firewall set portopening
Afin d'afficher la configuration actuelle, saisissez :
netsh show config
Afin de réinitialiser les paramètres sur le mode par
défaut, saisissez :
netsh show reset Astuces sur le Pare-feu
Windows
- Protéger les connexions réseau :
Configuration requise : Microsoft Windows XP Professionnel avec
SP2 ou une version postérieure.
Si cette stratégie est activée, le pare-feu Windows
s'exécutera. Dans ce cas, les options présentes dans
le module Pare-feu Windows seront grisées. Dans l'onglet
Général, le bouton radio Activé (recommandé)
sera actif, mais il ne sera pas possible de modifier cette option.
Si cette stratégie est désactivée le pare-feu
Windows ne s'exécutera pas. Dans l'onglet Général,
les boutons radio Activé (recommandé), Désactivé
(recommandé) et la case à cocher Ne pas autoriser
d'exceptions seront grisés.
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez \Software\Policies\Microsoft\WindowsFirewall\StandardProfile.
2) Créez une valeur DWORD nommée EnableFirewall
3) Éditez cette entrée et inscrivez ceci comme données
de la valeur :
* 1 : la stratégie est activée.
* 0 : la stratégie est désactivée.
Un message vous annonce que vous êtes en liberté surveillée...
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Modèles
d'administration/Réseau/Connexions réseau/Pare-feu
Windows/Profil standard : Pare-feu Windows : Protéger toutes
les connexions réseau.
- N'autoriser aucune
exception :
Configuration requise : Microsoft Windows XP Professionnel avec
SP2 ou une version postérieure.
Si cette stratégie est définie, la case à cocher
Ne pas autoriser d'exceptions sera activée et l'utilisateur
ne pourra la changer. Si cette stratégie est désactivée
la case à cocher Ne pas autoriser d'exceptions sera décochée
et l'utilisateur ne pourra la changer.
Cette stratégie est à déployer en corrélation
avec la stratégie précédente : Pare-feu Windows
: Protéger toutes les connexions réseau.
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez \Software\Policies\Microsoft\WindowsFirewall\StandardProfile.
2) Créez une valeur DWORD nommée DoNotAllowExceptions
3) Éditez cette entrée et inscrivez ceci comme données
de la valeur :
* 1 : la stratégie est active.
* 0 : la stratégie est désactivée.
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Modèles
d'administration/Réseau/Connexions réseau/Pare-feu
Windows/Profil standard : Pare-feu Windows : N'autoriser aucune
exception.
- Définir les exceptions de programmes
:
Configuration requise : Microsoft Windows XP Professionnel avec
SP2 ou une version postérieure.
Cette stratégie permet d'afficher et de modifier la liste
des exceptions de programmes définie par la stratégie
de groupe.
La syntaxe d'un programme est la suivante :
<chemin_d'accès>:<étendue>:<état>:<nom>
* <chemin_d'accès> : permet de définir le chemin
et le nom du fichier exécutable responsable du lancement
du programme.
* <étendue> : permet de définir un jeu d'ordinateurs
pour lequel le programme est bloqué ou autorisé.
Vous pouvez utiliser les valeurs suivantes :
* * : n'importe quel ordinateur (y compris ceux présents
sur Internet).
Une liste délimitée par des virgules et composée
des éléments suivants :
* Adresses IP, description de sous-réseaux, la chaîne
localsubnet. Cette dernière correspond à l'option
Uniquement mon réseau (ou sous-réseau).
* <état> : valeur qui peut être soit Enabled
(activé) soit Disabled (désactivé).
* <nom> : est une chaîne de texte.
Imaginons que vous souhaitiez autoriser le programme Macromedia
Dreamweaver MX à transmettre des données sur un site
FTP. Pour cela, vous devrez procéder de cette façon
:
1) Ouvrez \SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\AuthorizedApplications\List.
2) Créez une valeur chaîne nommée %programfiles%\dreamweaver.exe:localsubnet:enabled:Programme_FTP
3) Éditez cette entrée et saisissez ceci comme données
de la valeur : %programfiles%\dreamweaver.exe:localsubnet:enabled:Programme_FTP
Les modifications faites au Registre apparaîtront dans le
module du pare-feu Windows.
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Modèles
d'administration/Réseau/Connexions réseau/Pare-feu
Windows/Profil standard : Pare-feu Windows : Définir les
exceptions de programmes.
Dans ce cas, la procédure est très simple :
1) Cochez le bouton radio Activer.
2) Cliquez sur les boutons Afficher... et Ajouter...
3) Dans la zone de texte Entrez l'élément à
ajouter :, saisissez votre définition de chaîne comme
expliqué précédemment.
4) Validez en cliquant sur les boutons OK.
- Autoriser
les exceptions de programmes locaux :
Configuration requise : Microsoft Windows XP Professionnel avec
SP2 ou une version postérieure.
Cette stratégie permet d'utiliser le composant Pare-feu Windows
dans le Panneau de configuration pour définir une liste d'exceptions
locales.
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez \Software\Policies\Microsoft\WindowsFirewall\StandardProfile\AuthorizedApplications.
2) Créez une valeur DWORD nommée AllowUserPrefMerge
3) Éditez cette entrée et affectez-lui, comme données
de la valeur, le chiffre 1.
Si vous désactivez cette stratégie, il ne vous sera
pas possible d'ajouter un programme :
1) Dans le module Pare-feu Windows, cliquez sur l'onglet Exceptions.
Le bouton Ajouter un programme... sera grisé.
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Modèles
d'administration/Réseau/Connexions réseau/Pare-feu
Windows/Profil standard : Pare-feu Windows : Autoriser les exceptions
de programmes locaux.
- Autoriser l'exception d'administration
à distance :
Configuration requise : Microsoft Windows XP Professionnel avec
SP2 ou une version postérieure.
Cette stratégie autorise l'administration à distance
de cet ordinateur à l'aide des outils d'administration comme
les consoles MMC (Microsoft Management Console) et WMI (Windows
Management Instrumentation). Le pare-feu Windows ouvre les ports
TCP 135 et 445. Les services utilisent en général
ces ports pour communiquer par RPC (Remote Procedure Calls) et par
COM dynamique (DCOM). Ce paramètre de stratégie permet
également à SVCHOST.EXE et LSASS.EXE de recevoir des
messages non sollicités et aux services hébergés
d'ouvrir des ports supplémentaires attribués dynamiquement,
compris généralement entre 1024 et 1034.
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez \SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\RemoteAdminSettings.
2) Créez une valeur DWORD nommée Enabled
3) Éditez cette entrée et affectez-lui, comme données
de la valeur, le chiffre 1 (activée).
4) Créez une valeur chaîne nommée RemoteAddresses
5) Éditez cette entrée et affectez-lui, comme données
de la valeur, la chaîne de définition.
Par exemple, saisissez ceci : 10.0.0.1,10.0.0.2, localsubnet,10.3.4.0/24
Vous autorisez de cette façon n'importe quel message provenant
des adresses IP 10.0.0.1 et 10.0.0.2, du masque de sous-réseau
et sur le sous-réseau 10.3.4.x.
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Modèles
d'administration/Réseau/Connexions réseau/Pare-feu
Windows/Profil standard : Pare-feu Windows : Autoriser l'exception
d'administration à distance.
Il suffit d'entrer, dans la zone de texte Autoriser les messages
entrants non sollicités provenant de :, une définition
de valeurs en respectant la même syntaxe que précédemment.
- Autoriser l'exception de partage de fichiers et d'imprimantes
:
Configuration requise : Microsoft Windows XP Professionnel avec
SP2 ou une version postérieure.
Cette stratégie autorise le partage de fichiers et d'imprimantes.
Le pare-feu Windows ouvre les ports UDP 137 et 138, et les ports
TCP 139 et 445.
Si cette stratégie est désactivée, la case
à cocher Partage de fichiers et d'imprimantes, visible quand
vous cliquez sur l'onglet Exceptions, sera grisée.
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez \SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\Services\FileAndPrint.
2) Créez une valeur DWORD nommée Enabled
3) Éditez cette entrée et affectez-lui, comme données
de la valeur, le chiffre 1 (activée).
4) Créez une valeur chaîne nommée RemoteAddresses
5) Éditez cette entrée et affectez-lui, comme données
de la valeur, la chaîne de définition voulue.
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Modèles
d'administration/Réseau/Connexions réseau/Pare-feu
Windows/Profil standard : Pare-feu Windows : Autoriser l'exception
de partage de fichiers et d'imprimantes.
- Autoriser
les exceptions ICMP :
Configuration requise : Microsoft Windows XP Professionnel avec
SP2 ou une version postérieure.
Cette stratégie définit l'ensemble des types de messages
ICMP (Internet Control Message Protocol) autorisés par le
pare-feu Windows. Si vous désactivez cette stratégie,
le pare-feu Windows bloque tous les types de messages ICMP entrants
et les types de messages ICMP sortants.
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez \SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\IcmpSettings.
2) Créez les valeurs DWORD selon le tableau suivant :
Valeurs DWORD - Type de message ICMP
AllowInboundRouterRequest Autoriser les requêtes de routeur
entrantes
AllowInboundTimestampRequest Autoriser les requêtes de datage
entrantes
AllowOutboundDestinationUnreachable Autoriser la destination inaccessible
sortante
AllowOutboundPacketTooBig Autoriser les paquets sortants trop grands
AllowOutboundParameterProblem Autoriser le problème de paramètres
sortants
AllowOutboundSourceQuench Autoriser l'extinction de sources sortantes
AllowOutboundTimeExceeded Autoriser le temps dépassé
sortant
AllowRedirect Autoriser la redirection
Si la stratégie est désactivée, toutes les
valeurs DWORD reçoivent, comme données de la valeur,
le chiffre 0.
À l'inverse, il vous est possible d'activer
certains paramètres en tournant la valeur DWORD correspondante
sur le chiffre 1.
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Modèles
d'administration/Réseau/Connexions réseau/Pare-feu
Windows/Profil standard : Pare-feu Windows : Autoriser les exceptions
ICMP.
Définition : ICMP - Internet Control
Message Protocol : protocole de gestion des erreurs de transmission
qui, par exemple, est utilisé quand vous faites un "ping"
sur une machine du réseau afin de vérifier son bon
fonctionnement.
- Autoriser l'exception du Bureau
à distance :
Configuration requise : Microsoft Windows XP Professionnel avec
SP2 ou une version postérieure.
Cette stratégie autorise cet ordinateur à recevoir
les requêtes de Bureau à distance. Le pare-feu Windows
ouvre le port TCP 3389. Si vous désactivez ce paramètre
de stratégie, le pare-feu Windows bloque ce port, ce qui
empêchera cet ordinateur de recevoir les requêtes de
Bureau à distance. De plus, la case à cocher Bureau
à distance, visible en cliquant sur l'onglet Exceptions,
sera grisée.
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez \SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\Services\RemoteDesktop.
2) Créez une valeur DWORD nommée Enabled
3) Éditez cette entrée et affectez-lui, comme données
de la valeur, le chiffre 1 (activée).
4) Créez une valeur chaîne nommée RemoteAddresses
5) Éditez cette entrée et affectez-lui, comme données
de la valeur, la chaîne de définition voulue.
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Modèles
d'administration/Réseau/Connexions réseau/Pare-feu
Windows/Profil standard : Pare-feu Windows : Autoriser l'exception
du Bureau à distance.
- Autoriser l'exception
d'infrastructure UPnP :
Configuration requise : Microsoft Windows XP Professionnel avec
SP2 ou une version postérieure.
Autorise cet ordinateur à recevoir des messages Plug-and-Play
non sollicités émis par les périphériques
réseau tels que les routeurs avec pare-feu intégrés.
Dans ce cas, le pare-feu Windows ouvre les ports TCP 2869 et UDP
1900.
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez \SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\Services\UPnPFramework.
2) Créez une valeur DWORD nommée Enabled
3) Éditez cette entrée et affectez-lui, comme données
de la valeur, le chiffre 1 (activée).
4) Créez une valeur chaîne nommée RemoteAddresses
5) Éditez cette entrée et affectez-lui, comme données
de la valeur, la chaîne de définition voulue.
Si cette stratégie est désactivée, le pare-feu
Windows bloque ces ports et empêche cet ordinateur de recevoir
des messages Plug-and-Play. De plus, la case à cocher Infrastructure
UPnP, visible en cliquant sur l'onglet Exceptions, sera grisée.
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Modèles
d'administration/Réseau/Connexions réseau/Pare-feu
Windows/Profil standard : Pare-feu Windows : Autoriser l'exception
d'infrastructure UPnP.
Définition :
Universal Plug-and-Play (UPnP) est une architecture de gestion de
réseau distribuée et ouverte qui exploite le protocole
TCP/IP et le Web pour permettre l'interconnexion entre périphériques
et appareils de tous types dans le cadre d'un réseau de proximité.
- Empêcher les notifications :
Configuration requise : Microsoft Windows XP Professionnel avec
SP2 ou une version postérieure.
Cette stratégie activée empêche le pare-feu
Windows d'afficher un message à l'utilisateur lorsqu'un programme
demande que le pare-feu Windows ajoute le programme à la
liste des exceptions de programmes.
Si cette stratégie est désactivée, le pare-feu
Windows autorise l'affichage de ces notifications.
La case à cocher Afficher une notification lorsque le Pare-feu
Windows bloque un programme est sélectionnée et l'utilisateur
ne peut pas la désélectionner puisqu'elle est grisée
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez \SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile.
2) Créez une valeur DWORD nommée DisableNotifications
3) Éditez cette entrée et affectez-lui, comme données
de la valeur, le chiffre 1 (activée).
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Modèles
d'administration/Réseau/Connexions réseau/Pare-feu
Windows/Profil standard : Pare-feu Windows : Empêcher les
notifications.
- Autoriser la journalisation :
Configuration requise : Microsoft Windows XP Professionnel avec
SP2 ou une version postérieure.
Autorise le pare-feu Windows à enregistrer des informations
sur les messages entrants non sollicités qu'il reçoit.
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez \SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\Logging.
2) Créez une valeur DWORD nommée LogDroppedPackets
3) Éditez cette entrée et affectez-lui, comme données
de la valeur, le chiffre 1 (activée).
Cela correspond à autoriser les paquets ignorés dans
le journal.
4) Créez une valeur DWORD nommée LogFileSize
5) Éditez cette entrée et affectez-lui, comme données
de la valeur, la limite de taille en Ko du fichier journal.
Par exemple : 1000 si vous souhaitez définir une taille maximale
de 4096 Ko. La Calculatrice Windows vous permet de convertir rapidement
la valeur décimale (4096) en sa valeur hexadécimale
(1000).
6) Créez une valeur DWORD nommée LogSuccessfulConnections
7) Éditez cette entrée et affectez-lui, comme données
de la valeur, le chiffre 1 (activée).
Cela correspond à autoriser les connexions réussies
dans le journal.
8) Créez une valeur chaîne nommée LogFilePath
9) Éditez cette entrée et affectez-lui, comme données
de la valeur, l'emplacement et le nom de votre fichier journal (par
exemple : c:\journal.log).
Si vous désactivez ce paramètre de stratégie,
le pare-feu Windows n'enregistre aucune information dans le fichier
journal. De plus, les paramètres accessibles par le bouton
Paramètres... de la rubrique Journal de sécurité
seront grisés.
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Modèles
d'administration/Réseau/Connexions réseau/Pare-feu
Windows/Profil standard : Pare-feu Windows : Autoriser la journalisation.
- Empêcher les réponses monodiffusion
:
Configuration requise : Microsoft Windows XP Professionnel avec
SP2 ou une version postérieure.
Empêche cet ordinateur de recevoir des réponses monodiffusion
à ses messages sortants multidiffusion ou diffusion. Si vous
activez ce paramètre de stratégie, et si cet ordinateur
envoie des messages multidiffusion ou diffusion à d'autres
ordinateurs, le pare-feu Windows bloque les réponses monodiffusion
envoyées par ces autres ordinateurs. Si vous désactivez
ou ne configurez pas ce paramètre de stratégie, et
si cet ordinateur envoie un message multidiffusion ou diffusion
à d'autres ordinateurs, le pare-feu Windows attend pendant
trois secondes les réponses monodiffusion des autres ordinateurs,
puis bloque les autres réponses.
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez \SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile.
2) Créez une valeur DWORD nommée DisableUnicastResponsesToMulticastBroadcast
3) Éditez cette entrée et affectez-lui, comme données
de la valeur, le chiffre 1 (activée).
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Modèles
d'administration/Réseau/Connexions réseau/Pare-feu
Windows/Profil standard : Pare-feu Windows : Empêcher les
réponses monodiffusion pour des requêtes multidiffusion
ou diffusion.
Définition : Diffusion
: mode de réception d'un flux de données par un client.
Un flux de données de diffusion peut être en multidiffusion
ou en monodiffusion. Dans une connexion de diffusion, le client
est passif et ne contrôle pas les moments de début
et d’arrêt du flux de données. C’est l'inverse
d'une connexion à la demande, où le client contrôle
le démarrage et l'arrêt du flux de données.
Par exemple, un message de diffusion DHCP (Dynamic Host Configuration
Protocol) permet d'attribuer une adresse IP aux ordinateurs qui
sont "à l'écoute".
- Définir
les exceptions de ports :
Configuration requise : Microsoft Windows XP Professionnel avec
SP2 ou une version postérieure.
Permet d'afficher et de modifier la liste des exceptions de ports
définie par la stratégie de groupe. Pour autoriser
les administrateurs à ajouter des ports à liste locale
des exceptions de ports définie par le composant pare-feu
Windows, activez également la stratégie Pare-feu Windows
: Autoriser les exceptions de ports locaux.
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez \SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\GloballyOpenPorts.
2) Créez une valeur DWORD nommée Enabled
3) Éditez cette entrée et affectez-lui, comme données
de la valeur, le chiffre 1 (activée).
4) Ouvrez \SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\GloballyOpenPorts\List
5) Créez une valeur chaîne nommée du nom du
port autorisé.
Par exemple, définissez le nom suivant : 80:TCP:localsubnet:enabled:Web
6) Éditez cette entrée et affectez-lui, comme données
de la valeur, la définition de chaîne voulue.
En suivant notre exemple, saisissez : 80:TCP:localsubnet:enabled:Web
Vous remarquerez dans ce cas deux choses :
* Il ne vous sera pas possible de modifier ce port en le sélectionnant
dans la rubrique Programmes et services : puis en cliquant sur le
bouton Modifier... Il ne vous est pas non plus possible de le supprimer.
* Si vous n'activez pas la stratégie définie dans
le paragraphe suivant, le bouton Ajouter un port... est grisé.
Remarque : Si un paramètre de stratégie
ouvre le port TCP 445, le pare-feu Windows autorise les messages
de requêtes d'écho ICMP entrants (les messages envoyés
par l'utilitaire Ping), même si le paramètre de stratégie
Pare-feu Windows : Autoriser les exceptions ICMP les bloque.
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Modèles
d'administration/Réseau/Connexions réseau/Pare-feu
Windows/Profil standard : Pare-feu Windows : Définir les
exceptions de ports.
- Autoriser les exceptions
de ports :
Configuration requise : Microsoft Windows XP Professionnel avec
SP2 ou une version postérieure.
Permet aux administrateurs d'utiliser le composant pare-feu Windows
dans le Panneau de configuration pour définir une liste d'exceptions
de ports locaux. Si cette stratégie est désactivée,
le bouton Ajouter un port..., accessible en cliquant sur l'onglet
Exception, sera grisé. De plus, que cette stratégie
soit activée ou désactivée, les administrateurs
ne peuvent pas modifier certains programmes et services présents
dans la liste par défaut.
Si vous modifiez directement le Registre, suivez ces étapes
:
1) Ouvrez \SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\GloballyOpenPorts.
2) Créez une valeur DWORD nommée AllowUserPrefMerge
3) Éditez cette entrée et affectez-lui, comme données
de la valeur, le chiffre 1 (activée).
Cette stratégie est accessible depuis l’éditeur
de stratégie de groupe en ouvrant Configuration ordinateur/Modèles
d'administration/Réseau/Connexions réseau/Pare-feu
Windows/Profil standard : Pare-feu Windows : Autoriser les exceptions
de ports.
Problèmes
sur le Pare-feu Windows
- "En raison d’un problème non identifié,
Windows ne peut pas afficher les paramètres du Pare-feu
windows" :
Vous pouvez également avoir ce message d'erreur quand vous loulezpartager votre connexion Internet : "Impossible d'activer le partage d'accès - Erreur 1060 : Le service spécifié n'existe pas en tant que service installé."
1) Dans un nouveau document Bloc-notes copiez le texte suivant
:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Pare-feu Windows / Partage de connexion
Internet"
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"Description"="Assure la traduction d'adresses
de réseau, l'adressage, les services de résolution
de noms et/ou les services de prévention d'intrusion pour
un réseau de petite entreprise ou un réseau domestique."
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:000010b7
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
00
"SharedAutoDial"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program
Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002"
"1723:TCP"="1723:TCP:*:Enabled:@xpsp2res.dll,-22015"
"1701:UDP"="1701:UDP:*:Enabled:@xpsp2res.dll,-22016"
"500:UDP"="500:UDP:*:Enabled:@xpsp2res.dll,-22017"
"3389:TCP"="3389:TCP:*:Disabled:@xpsp2res.dll,-22009"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000
"DoNotAllowExceptions"=dword:00000000
"DisableNotifications"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\P2P Networking\\P2P Networking.exe"="C:\\WINDOWS\\system32\\P2P
Networking\\P2P Networking.exe:*:Enabled:P2P Networking"
"C:\\Program Files\\Kazaa\\kazaa.exe"="C:\\Program
Files\\Kazaa\\kazaa.exe:*:Enabled:Kazaa Media Desktop"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program
Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program
Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP"="139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002"
"1900:UDP"="1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007"
"2869:TCP"="2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008"
"3389:TCP"="3389:TCP:*:Disabled:@xpsp2res.dll,-22009"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"{026651CA-A8D5-4AAE-852C-76D28693E489}"=dword:00000001
"{5A22E09A-59BE-4371-A9FA-61DFCD25D6C0}"=dword:00000001
"{C088CD92-59B0-4582-A661-6A27AD2BE8F4}"=dword:00000001
"{55FEE25F-DA5B-4942-9AFB-F085C8B93B0F}"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
2) Enregistrez-le en ayant soin de lui affecter une extension
.reg.
3) Double-cliquez dessus afin que les informations contenues soient
fusionnées au Registre Windows.
4) Redémarrez votre ordinateur.
5) Cliquez sur Démarrer/Exécuter puis saisissez
: cmd
6) En Invite de commandes saisissez : netsh firewall reset
Problème soumis par D. DiMartino.
- "Impossible de démarrer le service Pare-feu Windows
/ Partage de connexion Internet sur Ordinateur local - Erreur
10047 : Une adresse incompatible avec le protocole demandé
à été utilisée" :
Si vous avez installé le Service Pack 2, suivez cette procédure
:
1) Cliquez sur Démarrer/Exécuter puis saisissez
: cmd
2) En Invite de commandes saisissez ceci : netsh Winsock reset
Sinon, reportez-vous à la solution concernant ce problème
: "Une opération a
été tentée sur autre chose qu'un socket".
Problème soumis par "L. et C. Henry".
- Impossible de démarrer le service Pare-feu Windows
/ Partage de connexion Internet :
Vous obtenez dans ce cas une erreur 1705.
1) Cliquez sur Démarrer/Exécuter puis saisissez
: cmd
2) En Invite de commandes saisissez ces commandes :
*) reg delete hklm\System\CurrentControlSet\Services\SharedAccess
/v DependOnService
*) reg add hklm\System\CurrentControlSet\Services\SharedAccess
/v DependOnService /t reg_multi_sz /d "Netman"
3) Redémarrez votre ordinateur.
Sinon et toujours à partir de l'Invite de commandes :
* reg delete hklm\System\CurrentControlSet\Services\SharedAccess
/v DependOnService
* reg add hklm\System\CurrentControlSet\Services\SharedAccess
/v DependOnService /t reg_multi_sz /d "Netman WinMgmt"
Nous recréons les dépendances du service "Pare-feu
Windows / Partage de connexion Internet" en ajoutant les
services "Connexions réseau" et "Infrastructure
de gestion Windows". |
|
