8Sep
Le pare-feu Windows peut être l'un des plus grands cauchemars pour les administrateurs système à configurer, avec l'ajout de la priorité de la stratégie de groupe, il devient juste un casse-tête. Ici, nous allons vous emmener du début à la fin sur la façon de configurer facilement le pare-feu Windows via la stratégie de groupe et, en prime, vous montrer comment réparer l'un des plus gros pièges.
Notre mission
Il a été porté à notre attention que beaucoup d'utilisateurs ont installé Skype sur leurs machines et cela les rend moins productifs. Nous avons été chargés de veiller à ce que les utilisateurs ne puissent pas utiliser Skype au travail, mais ils sont invités à le conserver sur leur ordinateur portable et à l'utiliser à la maison ou pendant les pauses déjeuner sur une connexion 3G / 4G.Compte tenu de ces informations, nous décidons d'utiliser le pare-feu Windows et la stratégie de groupe.
La méthode
La manière la plus simple de commencer à contrôler le pare-feu Windows via la stratégie de groupe est de configurer un PC de référence et de créer les règles à l'aide de Windows 7, puis de l'exporter vers la stratégie de groupe. En faisant cela, nous avons l'avantage supplémentaire de pouvoir voir si toutes les règles sont configurées et fonctionnent comme nous le souhaitons, avant de les déployer sur toutes les machines clientes.
Création d'un modèle de pare-feu
Pour créer un modèle pour le pare-feu Windows, nous devons lancer le Centre Réseau et partage, la manière la plus simple est de cliquer avec le bouton droit sur l'icône réseau et de sélectionner Ouvrir le Centre Réseau et partage.menu contextuel. 
Lorsque le Centre Réseau et partage s'ouvre, cliquez sur le lien Pare-feu Windows dans le coin inférieur gauche.
Lors de la création d'un modèle pour le pare-feu Windows, il est préférable de le faire via la console Pare-feu Windows avec sécurité avancée, pour lancer ce clic sur Paramètres avancés sur le côté gauche.
Remarque: À ce stade, je vais modifier les règles spécifiques à Skype, mais vous pouvez ajouter vos propres règles pour les ports ou même les applications. Quelles que soient les modifications que vous devez apporter au pare-feu, faites-le maintenant.
De là, nous pouvons commencer à modifier nos règles de pare-feu. Dans notre cas, lorsque l'application Skype est installée, elle crée ses propres exceptions de pare-feu qui permettent à skype.exe de communiquer sur les profils de réseau public, privé et public.
Maintenant, nous devons modifier notre règle de pare-feu, pour l'éditer, double-cliquez sur la règle. Cela fera apparaître les propriétés de la règle Skype.
Passez à l'onglet Avancé et décochez la case Domaine.
Lorsque vous essayez de lancer Skype maintenant, vous serez invité à lui demander s'il peut communiquer sur le profil de réseau de domaine, décochez la case et cliquez sur autoriser l'accès.
Si vous revenez maintenant à vos règles de pare-feu entrants, vous verrez qu'il y a deux nouvelles règles, car lorsque vous y étiez invité, vous avez choisi de ne pas autoriser le trafic Skype entrant. Si vous regardez dans la colonne de profil, vous verrez qu'ils sont tous les deux pour le profil de réseau de domaine.
Note: La raison pour laquelle il y a deux règles est parce qu'il y a des règles séparées pour TCP et UDP
Tout est bon jusqu'ici, cependant si vous lancez Skype, vous pourrez toujours vous connecter.
Même si vous changez les règles pour bloquer l'entréetrafic pour skype.exe et le définir pour bloquer le trafic en utilisant n'importe quel protocole, il est encore capable de revenir en quelque sorte. La solution est simple, l'empêcher de pouvoir communiquer en premier lieu. Pour ce faire, passez aux règles de trafic sortant et commencez à créer une nouvelle règle.
Puisque nous voulons créer une règle pour le programme Skype, cliquez simplement sur Suivant, puis recherchez le fichier exécutable Skype et cliquez sur Suivant.
Vous pouvez laisser l'action à la valeur par défaut qui est de bloquer la connexion et cliquez sur suivant.
Désactivez les cases à cocher Privé et Public et cliquez sur Suivant pour continuer.
Donnez un nom à votre règle et cliquez sur
. Si vous essayez de lancer Skype alors que vous êtes connecté à un réseau de domaine, cela ne fonctionnera pas.
Cependant, s'ils essayent de se connecter quand ils rentrent à la maison, ils pourront se connecter correctement.
C'est toutes les règles de firewall que nous allons créer pour le moment, n'oubliez pas de tester vos règles comme nous l'avons fait pour Skype.
Exportation de la politique
Pour exporter la politique, dans le volet de gauche, cliquez sur la racine de l'arborescence qui indique Windows Firewall with Advanced Security. Ensuite, cliquez sur Action et sélectionnez Export Policy dans le menu.
Vous devriez enregistrer ceci dans un partage réseau, ou même un USB si vous avez un accès physique à votre serveur. Nous irons avec un partage réseau.
Note: Attention aux virus lors de l'utilisation d'un port USB, la dernière chose que vous voulez faire est d'infecter un serveur avec un virus
Importer la politique dans la stratégie de groupe
Pour importer la politique de pare-feu, vous devez ouvrir un GPO existant ou créer un nouveauGPO et le lier à une unité d'organisation qui contient des comptes d'ordinateur. Nous avons un GPO appelé Firewall Policy qui est lié à une unité d'organisation appelée Geek Computers, cette unité d'organisation contient tous nos ordinateurs. Nous allons simplement aller de l'avant et utiliser cette politique.
Accédez maintenant à:
Ouvrez Configuration de l'ordinateur \ Stratégies \ Paramètres Windows \ Paramètres de sécurité \ Pare-feu Windows avec sécurité avancée
Cliquez sur Pare-feu Windows avec sécurité avancée, puis cliquez sur Action et importation Stratégie
Vous serez informé que si vous importez la stratégieil va remplacer tous les paramètres existants, cliquez sur Oui pour continuer, puis recherchez la stratégie que vous avez exportée dans la section précédente de cet article. Une fois la politique terminée, vous serez averti.
Si vous allez voir nos règles, vous verrez que les règles Skype que j'ai créées sont toujours là.
Test
Remarque: Vous ne devez effectuer aucun test avant d'avoir terminé la section suivante de l'article. Si vous le faites, toutes les règles qui ont été configurées localement seront respectées. La seule raison pour laquelle j'ai fait quelques tests maintenant était de montrer quelques choses.
Pour voir si les règles de pare-feu ont été déployées sur les clients, vous devez passer à un ordinateur client et ouvrir de nouveau les paramètres du pare-feu Windows. Comme vous pouvez le voir, il devrait y avoir un message indiquant que certaines règles de pare-feu sont gérées par votre administrateur système.
Cliquez sur le lien Autoriser un programme ou une fonction via le pare-feu Windows sur le côté gauche.
Comme vous devriez le voir maintenant, nous avons des règles appliquées par la stratégie de groupe ainsi que celles créées localement.
Que se passe-t-il ici et comment puis-je le réparer?
Par défaut, la fusion de règles est activée entre les stratégies de pare-feu locales sur les ordinateurs Windows 7 et la stratégie de pare-feu spécifiée dans les stratégies de groupe qui ciblent ces ordinateurs. Cela signifie que les administrateurs locaux peuvent créer leurs propres règles de pare-feu et que ces règles seront fusionnées avec les règles obtenues via la stratégie de groupe. Pour résoudre ce problème, cliquez sur Windows Firewall avec Advanced Security et sélectionnez les propriétés dans le menu contextuel. Lorsque la boîte de dialogue s'ouvre, cliquez sur le bouton Personnaliser sous la section des paramètres.
Modifiez l'option Appliquer les règles de pare-feu local de Non configuré à Non.
Une fois que vous avez cliqué sur OK, passez aux profils Privé et Public et faites la même chose pour les deux.
C'est tout ce qu'il y a à faire, allez faire un peu de pare-feu.