La fonction de pare-feu de Windows Server 2003 de Microsoft est si rudimentaire que de nombreux administrateurs système la considèrent comme inutile. Il s'agit toujours d'un simple pare-feu dynamique basé sur l'hôte qui ne prend en charge que la protection entrante. À mesure que Windows Server 2008 se rapproche de nous, sa fonction de pare-feu intégrée a été considérablement améliorée. Jetons un coup d'oeil à ce nouveau sommet
Pourquoi devriez-vous utiliser ce pare-feu basé sur l'hôte pour Windows ?
De nombreuses entreprises utilisent aujourd’hui du matériel de sécurité externe pour renforcer leurs réseaux. Cela signifie qu'ils utilisent des pare-feu et des systèmes de prévention des intrusions pour construire un mur à toute épreuve autour de leurs réseaux, les protégeant ainsi naturellement des attaquants malveillants sur Internet. Cependant, si un attaquant parvient à franchir les défenses du périmètre et à accéder au réseau interne, seule la sécurité de la certification Windows l'empêchera d'accéder à l'actif le plus précieux d'une entreprise : ses données.
En effet, la plupart des professionnels de l'informatique n'utilisent pas de pare-feu basés sur l'hôte pour renforcer leurs serveurs. Pourquoi cela se produit-il ? Parce que la plupart des professionnels de l'informatique pensent que le déploiement de pare-feu basés sur l'hôte cause plus de problèmes que la valeur qu'ils apportent.
J'espère qu'après avoir lu cet article, vous prendrez un moment pour réfléchir aux pare-feu Windows basés sur l'hôte. Dans Windows Server 2008, ce pare-feu basé sur l'hôte est intégré à Windows, est préinstallé, possède plus de fonctionnalités que les versions précédentes et est plus facile à configurer. C'est l'un des meilleurs moyens de renforcer un serveur de base critique. Le pare-feu Windows avec sécurité avancée combine le pare-feu hôte et IPSec. Contrairement au Pare-feu de périmètre, le Pare-feu Windows avec sécurité avancée s'exécute sur chaque ordinateur exécutant cette version de Windows et fournit une protection locale contre les attaques réseau pouvant traverser le réseau de périmètre ou provenir de l'organisation. Il assure également la sécurité des connexions d'ordinateur à ordinateur, vous permettant d'exiger une authentification et une protection des données pour les communications.
Alors, que peut faire ce pare-feu avancé de Windows Server et comment le configurer ?
Ce que propose le nouveau pare-feu et comment il peut vous aider
Le pare-feu intégré à Windows Server 2008 est désormais « avancé ». Ce n'est pas seulement moi qui dis qu'il est avancé, Microsoft l'appelle désormais Pare-feu Windows avec sécurité avancée (WFAS en abrégé).
Voici les nouveautés qui justifient son nouveau nom :
1. Nouvelle interface graphique.
Configurez maintenant ce pare-feu avancé via une unité de console de gestion.
2. Protection bidirectionnelle.
Filtrez les communications sortantes et entrantes.
3. Meilleure coopération avec IPSEC.
Le pare-feu Windows avec sécurité avancée intègre la fonctionnalité du pare-feu Windows et la sécurité du protocole Internet (IPSec) dans une console unique. Utilisez ces options avancées pour configurer l’échange de clés, la protection des données (intégrité et chiffrement) et les paramètres d’authentification selon les besoins de votre environnement.
4. Configuration des règles avancées.
Vous pouvez créer des règles de pare-feu pour divers objets sur Windows Server et configurer des règles de pare-feu pour déterminer s'il convient de bloquer ou d'autoriser le trafic via le Pare-feu Windows avec sécurité avancée.
Lorsqu'un paquet entrant atteint votre ordinateur, le Pare-feu Windows avec sécurité avancée inspecte le paquet et détermine s'il répond aux critères spécifiés dans les règles de pare-feu. Si le paquet correspond aux critères de la règle, le Pare-feu Windows avec sécurité avancée effectue l'action spécifiée dans la règle, c'est-à-dire bloque la connexion ou autorise la connexion. Si un paquet ne correspond pas aux critères de la règle, le Pare-feu Windows avec sécurité avancée supprime le paquet et crée une entrée dans le fichier journal du pare-feu (si la journalisation est activée).
Lors de la configuration d'une règle, vous pouvez choisir parmi une variété de critères : tels que le nom de l'application, le nom du service système, le port TCP, le port UDP, l'adresse IP locale, l'adresse IP distante, le fichier de configuration, le type d'interface (tel qu'une carte réseau), l'utilisateur. , groupe d'utilisateurs, ordinateur, groupe d'ordinateurs, protocole, type ICMP, etc. Les critères d'une règle sont additionnés ; plus vous ajoutez de critères, plus le Pare-feu Windows avec sécurité avancée correspond parfaitement au trafic entrant.
En ajoutant une protection bidirectionnelle, une meilleure interface graphique et une configuration de règles avancée, le pare-feu Windows avec sécurité avancée devient aussi puissant que les pare-feu traditionnels basés sur l'hôte tels que ZoneAlarm Pro.
Je sais que la première chose à laquelle tout administrateur de serveur pense lorsqu'il utilise un pare-feu basé sur l'hôte est la suivante : cela affectera-t-il le fonctionnement normal de cette infrastructure de serveur critique. Cependant, il s'agit d'un problème possible avec toute mesure de sécurité, Windows 2008 Advanced Security. configurer automatiquement de nouvelles règles pour tout nouveau rôle ajouté à ce serveur. Toutefois, si vous exécutez une application non Microsoft sur votre serveur et qu'elle nécessite une connectivité réseau entrante, vous devrez créer une nouvelle règle basée sur le type de communication.
En utilisant ce pare-feu avancé, vous pouvez mieux renforcer votre serveur contre les attaques, empêcher votre serveur d'être exploité pour attaquer d'autres et véritablement déterminer quelles données entrent et sortent de votre serveur. Voyons comment atteindre ces objectifs.
Découvrez les options de configuration de la sécurité avancée du pare-feu Windows.
Dans les versions précédentes de Windows Server , vous pouviez configurer votre carte réseau ou configurer le pare-feu Windows à partir du Panneau de configuration. Cette configuration est très simple.
Pour le Pare-feu Windows avec sécurité avancée, la plupart des administrateurs peuvent le configurer soit à partir du Gestionnaire de serveur Windows, soit à partir du composant logiciel enfichable MMC Pare-feu Windows avec sécurité avancée uniquement. Voici des captures d'écran des deux interfaces de configuration :
Figure 1. Gestionnaire de serveur Windows Server 2008
Figure 2. Console de gestion du pare-feu de sécurité avancée Windows 2008
Le moyen le plus simple et le plus rapide que j'ai trouvé pour démarrer ce pare-feu Windows avec sécurité avancée consiste à taper « pare-feu » dans la zone de recherche du menu Démarrer, comme indiqué ci-dessous :
Figure 3. Comment démarrer rapidement la console de gestion du pare-feu de sécurité avancée Windows 2008
De plus, vous pouvez configurer le pare-feu Windows avec sécurité avancée à l'aide de Netsh, un outil de ligne de commande qui configure les paramètres des composants réseau. Utilisez netsh advfirewall pour créer des scripts qui configurent automatiquement un ensemble de paramètres de pare-feu Windows avec une sécurité avancée pour le trafic IPv4 et IPv6. Vous pouvez également utiliser la commande netsh advfirewall pour afficher la configuration et l'état du pare-feu Windows avec sécurité avancée.
[Page coupée] Que peut-on configurer à l'aide du nouveau composant logiciel enfichable MMC Pare-feu Windows avec sécurité avancée ?
Étant donné le grand nombre de fonctionnalités que vous pouvez configurer à l'aide de cette nouvelle console de gestion de pare-feu, il m'est impossible de toutes les mentionner. Si vous avez déjà regardé l'interface graphique de configuration du pare-feu intégré de Windows 2003, vous remarquerez rapidement qu'il y a de nombreuses options cachées dans ce nouveau pare-feu de sécurité avancée Windows. Permettez-moi de sélectionner certaines des fonctions les plus couramment utilisées pour vous présenter.
Par défaut, lorsque vous accédez pour la première fois à la console de gestion du Pare-feu Windows avec sécurité avancée, vous verrez que le Pare-feu Windows avec sécurité avancée est activé par défaut et bloque les connexions entrantes qui ne correspondent pas aux règles entrantes. De plus, ce nouveau pare-feu sortant est désactivé par défaut.
Vous remarquerez également que ce pare-feu Windows avec sécurité avancée dispose également de plusieurs profils parmi lesquels les utilisateurs peuvent choisir. 
Figure 4. Fichiers de configuration fournis dans le pare-feu Windows 2008 avec sécurité avancée
Dans ce pare-feu Windows avec sécurité avancée, il existe un profil de domaine, un profil privé et un profil public. Les profils permettent de regrouper les paramètres, tels que les règles de pare-feu et les règles de sécurité de connexion, qui sont appliqués à un ordinateur en fonction de l'endroit où il est connecté. Selon que votre ordinateur se trouve sur un réseau local d'entreprise ou dans un café local, par exemple.
À mon avis, parmi toutes les améliorations dont nous avons discuté dans le pare-feu de sécurité avancé de Windows 2008, l'amélioration la plus significative réside dans des règles de pare-feu plus complexes. Jetez un œil à l'option permettant d'ajouter une exception dans le pare-feu Windows Server 2003, comme indiqué ci-dessous :
[img]/u/info_img/2009-06/05/20071018183935294.jpg
Figure 5. Fenêtre d'exception du pare-feu du serveur Windows 2003
Comparons la fenêtre de configuration dans Windows 2008 Server .
Notez que les onglets Protocole et Port ne représentent qu'une petite partie de cette fenêtre à onglets multiples. Vous pouvez également appliquer des règles aux utilisateurs et aux ordinateurs, aux programmes et services, ainsi qu'aux plages d'adresses IP. Grâce à cette configuration complexe de règles de pare-feu, Microsoft a déplacé le pare-feu de sécurité avancé Windows vers le serveur IAS de Microsoft.
Le nombre de règles par défaut fournies par le pare-feu Windows avec sécurité avancée est également surprenant. Dans Windows 2003 Server , il n'existe que trois règles d'exception par défaut. Le pare-feu de sécurité avancé de Windows 2008 fournit environ 90 règles de pare-feu entrantes par défaut et au moins 40 règles sortantes par défaut.
Comment créer une règle entrante personnalisée ?
Supposons que vous ayez installé la version Windows du serveur de site Web Apache sur votre serveur Windows 2008. Si vous utilisez déjà le serveur Web IIS intégré à Windows, ce port sera automatiquement ouvert pour vous. Cependant, comme vous utilisez désormais un serveur Web tiers et que le pare-feu entrant est activé, vous devez ouvrir cette fenêtre manuellement.
Voici les étapes :
·Identifiez le protocole que vous souhaitez bloquer - dans notre cas, il s'agit de TCP/IP (son homologue serait UDP/IP ou ICMP).
·Identifiez l'adresse IP source, le numéro de port source, l'adresse IP de destination et le port de destination. La communication Web que nous effectuons est une communication de données provenant de n'importe quelle adresse IP et de n'importe quel numéro de port et circulant vers le port 80 de ce serveur. (Notez que vous pouvez créer ici une règle pour un programme spécifique, tel que le serveur HTTP Apache).
·Ouvrez le pare-feu Windows avec la console de gestion de sécurité avancée.
·Ajouter des règles - Cliquez sur le bouton Nouvelle règle dans la MMC du Pare-feu Windows avec sécurité avancée pour démarrer l'assistant permettant de démarrer une nouvelle règle.
Figure 8. Console de gestion de pare-feu avancée Windows 2008 Server - Bouton Nouvelle règle
·Sélectionnez la règle que vous souhaitez créer pour un port.
·Configurer le protocole et le numéro de port - Sélectionnez le protocole TCP par défaut et entrez 80 comme port, puis cliquez sur Suivant.
· Sélectionnez la valeur par défaut « Autoriser la connexion » et cliquez sur Suivant.
· Sélectionnez Appliquer cette règle à tous les profils par défaut et cliquez sur Suivant.
· Donnez un nom à cette règle et cliquez sur Suivant.
À ce stade, vous obtiendrez une règle comme indiqué ci-dessous :
Figure 9. Console de gestion du pare-feu avancé Windows 2008 Server après la création de règles
Après mes tests, mon serveur de site Web Apache récemment installé ne fonctionnait pas correctement lorsque cette règle n'était pas activée. Cependant, après avoir créé cette règle, cela fonctionne bien !
Conclusion : de grandes améliorations qui valent la peine d'être essayées
Avec des fichiers de configuration de pare-feu, des paramètres de règles complexes, 30 fois plus de règles par défaut et de nombreuses fonctionnalités de sécurité avancées non mentionnées dans cet article, le pare-feu de sécurité avancé de Windows 2008 Server est véritablement ce que Microsoft appelle un pare-feu avancé. Je pense que ce pare-feu intégré, gratuit et avancé basé sur l'hôte garantira que Windows Server deviendra encore plus sécurisé à l'avenir. Mais si vous ne l’utilisez pas, cela ne vous servira à rien. J'espère donc que vous essayerez ce nouveau pare-feu avancé Windows aujourd'hui.
Découvrez les options de configuration de la sécurité avancée du pare-feu Windows.
Dans les versions précédentes de Windows Server , vous pouviez configurer votre carte réseau ou configurer le pare-feu Windows à partir du Panneau de configuration. Cette configuration est très simple.
Pour le Pare-feu Windows avec sécurité avancée, la plupart des administrateurs peuvent le configurer soit à partir du Gestionnaire de serveur Windows, soit à partir du composant logiciel enfichable MMC Pare-feu Windows avec sécurité avancée uniquement. Voici des captures d'écran des deux interfaces de configuration :
Figure 1. Gestionnaire de serveur Windows Server 2008
Figure 2. Console de gestion du pare-feu de sécurité avancée Windows 2008
Le moyen le plus simple et le plus rapide que j'ai trouvé pour démarrer ce pare-feu Windows avec sécurité avancée consiste à taper « pare-feu » dans la zone de recherche du menu Démarrer, comme indiqué ci-dessous :
Figure 3. Comment démarrer rapidement la console de gestion du pare-feu de sécurité avancée Windows 2008
De plus, vous pouvez configurer le pare-feu Windows avec sécurité avancée à l'aide de Netsh, un outil de ligne de commande qui configure les paramètres des composants réseau. Utilisez netsh advfirewall pour créer des scripts qui configurent automatiquement un ensemble de paramètres de pare-feu Windows avec une sécurité avancée pour le trafic IPv4 et IPv6. Vous pouvez également utiliser la commande netsh advfirewall pour afficher la configuration et l'état du pare-feu Windows avec sécurité avancée.