Rechercher sur TLD Google
Favoris   Démarrage   Envoyer   Imprimer   Moteur TLD   RSS


Accueil > Dossiers > Windows XP Service Pack 2 > Windows Firewall

Windows XP Service Pack 2

Quelles sont exactement les améliorations de la seconde mise à jour de Windows XP ? Sont-elles suffisantes pour en faire un système d'exploitation enfin sécurisé ?

Date de publication : Lundi 05 juillet 2004

Auteur :

Marque associée : Microsoft

Page : 4 sur 13




Windows Firewall

Pour sécuriser un système d'exploitation, la première mesure à prendre est sans aucun doute d'installer un pare-feu (firewall) qui bloquera le trafic réseau non désiré venant d'Internet ou d'autres machines du réseau local. En effet, en ne laissant ouverts que les ports TCP et UDP sur lesquels écoutent les applications que vous utilisez réellement en réseau, vous fermez de nombreuses portes d'entrée aux pirates et aux virus.
Microsoft bien conscient de cela a d'ailleurs intégré un pare-feu dans Windows XP mais celui-ci, nommé Internet Connection Firewall (ICF), est malheureusement désactivé par défaut laissant la porte ouverte à des attaques de tous types. De plus une fois activée, l'ICF connaît malheureusement plusieurs problèmes notamment lors du démarrage de Windows pendant lequel le pare-feu ne fonctionne pas encore.


Vous l'avez compris, la principale nouveauté du Service Pack 2 de Windows XP est la présence d'un tout nouveau pare-feu renommé pour l'occasion Windows Firewall et qui sera ce coup-ci activé dès l'installation du Service Pack 2. Une icône a d'ailleurs été ajoutée dans le panneau de configuration pour pouvoir le lancer rapidement. Voici ci-dessous les nouveautés apportées par Windows Firewall :

  • Activation du pare-feu dès l'installation du Service Pack 2.
  • Le pare-feu est désormais actif pendant le démarrage de Windows. Seules les communications avec les serveurs DNS et DHCP sont alors autorisées (pour les PC faisant parti d'un domaine). C'est à la fin du démarrage de Windows que sont appliqués les paramètres de configuration du pare-feu.
  • Les CD d'installation de Windows XP intégrant le Service Pack 2 permettent d'activer et de configurer le pare-feu dès l'installation de Windows.
  • La même configuration du pare-feu est désormais appliquée à toutes les connexions réseaux (Ethernet, Wi-Fi, Internet...). Il n'est donc plus nécessaire de configurer les ports à ouvrir ou à fermer pour chaque connexion réseau. Il est cela dit toujours possible d'ouvrir tel ou tel port uniquement sur telle ou telle connexion réseau.
  • Possibilité de restreindre l'ouverture de chaque port en fonction de l'adresse IP de la machine voulant s'y connecter. Il est ainsi possible d'ouvrir chaque port soit à tous les ordinateurs soit à tous les ordinateurs faisant parti du même sous-réseau (par exemple le sous-réseau 192.168.0.x) soit à une liste d'ordinateurs voulus. Avec l'ICF, les ports ouverts étaient en effet accessibles obligatoirement à tous les ordinateurs. Les ports UDP 137, 138 et TCP 139, 445 notamment utilisés pour le partage de fichiers et d'imprimantes sont désormais configurés par défaut pour ne répondre qu'aux ordinateurs du sous-réseau. Ils étaient en effet en cause dans les récentes failles de sécurité exploitées par les virus Blaster et Sasser via Internet.
  • Ajout d'un nouveau mode de fonctionnement. Outre les modes "activé" et "désactivé", un troisième mode de fonctionnement a été ajouté au pare-feu, il s'agit du mode "activé sans exceptions". Dans ce mode, les ouvertures de ports personnalisées (exceptions) par l'utilisateur ne sont plus prises en compte et tout le trafic entrant est automatiquement bloqué. Ce mode est utile si vous utilisez votre ordinateur par exemple sur un réseau pulic comme dans un aéroport. Vous êtes alors certain que les ports qui sont normalement ouverts lorsque vous êtes chez vous ou au bureau ne pourront pas être utilisés par quelqu'un pour accéder à votre ordinateur. Bien entendu c'est à l'utilisateur d'activer ce mode lorsqu'il se rend dans ce genre d'endroits avec son ordinateur.
  • Windows Firewall permet de choisir tout comme l'ICF les ports à ouvrir mais il permet désormais également de choisir précisément les applications autorisées à communiquer avec l'extérieur en fonction du nom de l'exécutable et indépendamment du port qu'elle utilisera. Le port ouvert par l'application sera refermé aussitôt que celle-ci n'en aura plus besoin.
  • Les ordinateurs étant sur un domaine peuvent désormais utiliser plusieurs profils : par exemple une configuration très stricte du pare-feu lorsque le PC est connecté au bureau et une moins stricte pour une utilisation personnelle ce qui est bien utile pour les ordinateurs portables.
  • Possibilité d'activer, de désactiver et de configurer le pare-feu en ligne de commandes grâce à l'utilitaire Netsh.
  • Possibilité de configurer le pare-feu en modifiant le fichier "Netfw.inf".
  • Support complet du protocole IPv6 alors que l'ICF ne supporte que l'IPv4. Si les deux protocoles sont installés sur le même ordinateur, l'ouverture ou la fermeture d'un port s'applique aux deux protocoles.
  • Nouvelle interface utilisateur plus simple.
  • Ajout d'un bouton pour restaurer la configuration par défaut du pare-feu.

    Maintenant que nous avons listé toutes les nouveautés du pare-feu intégré à Windows XP Service Pack 2, voyons en quelques unes en détail prises d'écran à l'appui.

    L'onglet "Exceptions" liste tous les ports et programmes autorisés à être contactés par d'autres ordinateurs (trafic entrant). Comme je vous le disais, le partage de fichiers et d'imprimantes est autorisé par défaut sur le même sous-réseau. Le service d'aide à distance est également autorisé mais lui pour tous les ordinateurs.


    Pour ouvrir un port, il suffit de cliquer sur "Add port" et de saisir, le nom de l'application, le numéro du port ainsi que son type (UDP ou TCP).


    Pour sélectionner quels ordinateurs auront le droit de se connecter sur ce port, il faut cliquer sur "Change scope" et autoriser soit tous les ordinateurs soit uniquement les ordinateurs du même sous-réseau soit uniquement certains ordinateurs représentés par leur adresse IP.


    Mais il est désormais également possible de choisir les applications autorisées à communiquer avec l'extérieur en indiquant simplement le chemin et le nom du fichier exécutable de l'application. Pour cela, il suffit de cliquer sur "Add Program". Lorsqu'un ordinateur voudra communiquer avec cette application, le pare-feu ouvrira le port correspondant si elle est dans la liste des applications autorisées. Il est là aussi possible de choisir les ordinateurs autorisés comme ci-dessus.


    Toujours dans l'onglet "Exceptions", si la case "Notifications" en bas est cochée, à chaque fois que le pare-feu bloquera une application non autorisée à communiquer avec le réseau, une fenêtre s'affichera demandant ce que vous voulez faire : bloquer l'application, l'autoriser ou seulement la bloquer jusqu'à sa prochaine tentative.


    L'onglet "Advanced" permet de faire plusieurs réglages divers.


    Dans cet onglet on peut notamment ouvrir des ports uniquement pour certaines connexions alors que les paramètres vus plus haut s'adressent à toutes les connexions réseaux. Par exemple, il est possible d'activer le serveur web (port 80) uniquement sur le réseau local ce qui le rendrait inaccessible depuis Internet. Si deux règles définies dans les exceptions et dans ce module s'opposent, visiblement après un rapide test, c'est celle de l'onglet "Advanced" qui est utilisée.


    Au niveau sécurité, l'enregistrement des incidents du pare-feu est quelque chose de très important pour voir ce qui s'est réellement passé en cas d'incident. Windows Firewall permet donc d'enregistrer tout ça dans un fichier log.


    Enfin, il est possible de gérer le protocole ICMP notamment utilisé par la commande ping pour résoudre les problèmes réseaux.


    Page précédente
    Security Center



    Actualités relatives
    Annonces

    Fichiers relatifs
    Dossiers relatifs
    Drivers Microsoft LifeCam 2.0
    Microsoft propose une évolution de ses pilotes LifeCam pour les webcams du même nom. Attardons-nous quelques instants sur les améliorations apportées par cette version 2.0.

    Test de Windows XP
    Après un mois de tests acharnés, nous vous présentons le tout nouveau système d'exploitation de la firme Microsoft : Windows XP.