Ajouter ou modifier une règle de pare-feu

Les règles peuvent être créées pour le trafic entrant ou sortant. La règle peut être configurée de manière à spécifier le programme, le service, le protocole ou le port. À mesure qu’évolue votre environnement informatique, vous pouvez modifier, créer ou supprimer des règles.

Les règles de pare-feu sont appliquées dans l’ordre de priorité suivant :

• Contournement authentifié (règles qui remplacent les règles de blocage)
  
  
• Bloquer la connexion
  
  
• Autoriser la connexion
  
  

Étant donné que le Pare-feu Windows avec sécurité avancée bloque par défaut la totalité du trafic TCP/IP non sollicité entrant, vous pouvez être amené à configurer des règles de programme, de port et de service système pour les programmes ou services faisant office de serveurs, d’écouteurs ou d’homologues. Les règles de programme, de port et de service système doivent être gérées régulièrement car les configurations et les rôles de serveur sont appelés à évoluer.

Important

Les paramètres d’une règle de pare-feu renforcent les niveaux de restriction des critères de la règle auxquels doivent répondre les demandes de connexion. Par exemple, si vous ne spécifiez aucun programme ou service sous l’onglet Programmes et services, tous les programmes et services sont autorisés à se connecter, même s’ils répondent à d’autres critères. Par conséquent, l’ajout de critères plus détaillés rend progressivement la règle plus restrictive et moins susceptible d’être respectée.

Pour ajouter un programme à la liste des règles, vous devez spécifier le chemin d’accès complet du fichier exécutable (.exe) utilisé par le programme. Un service système qui s’exécute dans son propre fichier .exe unique et qui n’est pas hébergé par un conteneur de services est considéré comme un programme et peut être ajouté à la liste des règles. De même, un programme qui fonctionne comme un service système et qui s’exécute (qu’un utilisateur soit ou non connecté à l’ordinateur) est également considéré comme un programme, sous réserve qu’il s’exécute dans son propre fichier .exe unique.

Attention

L’ajout de programmes qui hébergent des services, tels que Svchost.exe, Dllhost.exe et Inetinfo.exe, à la liste des règles sans apport de restrictions supplémentaires dans la règle peut exposer l’ordinateur à des menaces de sécurité. En outre, l’ajout de ces programmes peut générer des conflits avec d’autres stratégies de sécurisation renforcée des services sur les ordinateurs exécutant Windows Server 2008 R2 ou Windows Server 2008.

Lorsque vous ajoutez un programme à la liste des règles, le Pare-feu Windows avec sécurité avancée ouvre (débloque) et ferme (bloque) dynamiquement les ports requis par le programme. Lorsque le programme est en cours d’exécution et à l’écoute du trafic entrant, le Pare-feu Windows avec sécurité avancée ouvre les ports requis ; lorsque le programme n’est pas en cours d’exécution ou à l’écoute du trafic entrant, le Pare-feu Windows avec sécurité avancée ferme les ports. En raison de ce comportement dynamique, l’ajout de programmes à la liste des règles est la méthode recommandée pour autoriser le trafic entrant non sollicité à franchir le Pare-feu Windows avec sécurité avancée.

	Remarques
	Vous pouvez utiliser des règles de programme afin d’autoriser le trafic entrant non sollicité à ne franchir le Pare-feu Windows avec sécurité avancée que si le programme utilise Windows Sockets (Winsock) pour créer des attributions de port. Si un programme ne recourt pas à Winsock pour attribuer des ports, vous devez déterminer les ports qu’il utilise et les ajouter à la liste des règles.

Dans certains cas, si vous ne pouvez pas ajouter un programme ou service système à la liste des règles, vous devez déterminer le ou les ports qu’il utilise, puis ajouter ces ports à la liste des règles du Pare-feu Windows avec fonctions avancées de sécurité.

L’onglet Protocoles et ports permet de sélectionner un protocole parmi une liste des protocoles les plus utilisés et de leur numéro associé. Si le protocole ne figure pas dans la liste, sélectionnez Personnalisé et spécifiez le numéro correspondant.

Si vous sélectionnez le protocole TCP ou UDP, vous pouvez ensuite spécifier les ports local et distant auxquels la règle s’applique. Lorsque vous ajoutez un port TCP ou UDP à la liste des règles, le port est ouvert (débloqué) chaque fois que le Pare-feu Windows avec fonctions avancées de sécurité est en cours d’exécution, qu’un programme ou service système soit ou non à l’écoute du trafic entrant sur le port. Par conséquent, si vous devez autoriser le trafic entrant non sollicité à franchir le Pare-feu Windows avec sécurité avancée, vous devez créer une règle de programme au lieu d’une règle de port.

Utilisez l’onglet Étendue pour spécifier une adresse IP, un sous-réseau ou une plage d’adresses IP. Vous pouvez utiliser des adresses IPv4 et IPv6.