Histoire et introduction au pare-feu Windows

Cette série d'articles est une version plus synthétique et organisée de l'article sur le pare-feu Windows déjà présent sur le site, je vous invite à le lire en entier si le sujet vous intéresse entièrement, vous pourrez y retrouver l'histoire du pare-feu, mais aussi comment faire pour créer des règles et utiliser le GPO.

Néanmoins, ici, nous n'allons parler que de la présentation globale du pare-feu Windows et de son histoire. Mais pour commencer, nous allons jouer à un jeu d'association de mots. Je vais dire quelque chose et vous dites le premier mot qui vous uvient à l'esprit.

Sécurité Internet.

Avez-vous dit pare - feu ? Je pense que je l'aurais fait. Quand on pense à sécuriser nos appareils au niveau du réseau, on pense aux périmètres. Ces périmètres sont définis et protégés par des pare-feu, principalement au niveau matériel, avec des dispositifs de mise en réseau spécialisés conçus pour gérer cette tâche particulière dans nos réseaux. Aujourd'hui, nous sommes ici pour parler d'une autre couche de pare-feu que vous pouvez et devriez utiliser dans vos environnements. Oui, nous parlons bien du pare-feu Windows et c’est du sérieux !

Il est facile de se moquer du pare-feu Windows en fonction de son histoire. À l'époque de Windows XP et Server 2003, cela était assez inutile et causait bien plus de maux de tête qu'il n'en résolvait. En fait, ces sentiments étaient si courants que je trouve encore aujourd'hui de nombreuses entreprises qui désactivent complètement le pare-feu Windows sur tous leurs systèmes joints à un domaine par défaut. Si vous leur posez la question, il n'y a généralement pas de raison spécifique pour laquelle ils le font - il en a toujours été ainsi ou c'est dans notre politique de sécurité écrite qu'il y a des réponses standard. C'est un problème, car le pare-feu Windows Defender avec sécurité avancée (WFAS) qui existe dans les systèmes d'exploitation Windows d'aujourd'hui est beaucoup plus robuste et avancé que jamais auparavant, et peut absolument être utilisé pour améliorer votre architecture de sécurité. J'irais jusqu'à dire qu'il est tout à fait ridicule de désactiver WFAS sur un système d'exploitation actuel, à moins que vous n'ayez une très bonne raison très spécifique de le faire.

Les 3 différentes consoles d'administration du pare-feu Windows

Tout d'abord, il est important de savoir qu'il existe trois consoles différentes à partir desquelles vous pouvez configurer les paramètres du pare-feu Windows. Deux de ces consoles sont redondantes l'une de l'autre, et la troisième est beaucoup plus performante que les autres. Jetons un coup d'œil.

I - Pare-feu Windows Defender (Panneau de configuration)

Lorsque vous essayez de lancer une application ou un paramètre dans Windows Server 2019, il est généralement plus efficace de cliquer simplement sur le bouton Démarrer, puis de taper un mot relatif à la tâche que vous essayez d'accomplir. Dans mon cas, j'ai cliqué sur Démarrer et tapé le mot pare-feu. La meilleure option de correspondance qui a été fournie en premier dans mes résultats de recherche était le pare - feu Windows Defender, j'ai donc cliqué dessus.

Il est intéressant de noter que ce lien ouvre la console de configuration du pare-feu Windows à partir du Panneau de configuration, la façon traditionnelle de définir les paramètres système. Cette console est toujours en ligne et entièrement capable de manipuler les fonctions de base du pare-feu, telles que l'activation ou la désactivation du pare-feu Windows, mais comme cet outil réside dans le Panneau de configuration, nous devons supposer que ce n'est en fait pas l'outil que Microsoft a l'intention que nous utilisions. N'oubliez pas que toutes les nouvelles fonctionnalités de configuration ont été migrées vers les écrans Paramètres Windows, plutôt que vers l'ancien Panneau de configuration :

II - Pare-feu et protection du réseau (Paramètres de sécurité Windows)

Bien que les outils basés sur le Panneau de configuration aient toujours été le bon endroit pour effectuer ces modifications dans les versions précédentes du système d'exploitation, nous savons déjà qu'il existe de nombreuses options Windows Defender stockées dans les paramètres Windows. Se pourrait-il que des paramètres de configuration du pare-feu Windows Defender soient également stockés dans la section Sécurité Windows des paramètres ?

Oui, il y en a certainement. Ouvrez les paramètres Windows et cliquez sur Mise à jour et sécurité, puis sur Sécurité Windows. Vous êtes déjà venu ici : c'est l'écran qui donne un bref résumé des composants de Windows Defender. Effectivement, il y en a un ici appelé Pare-feu et protection du réseau. Cliquez sur ce bouton et vous serez redirigé vers une nouvelle plate-forme de configuration pour les fonctions du pare-feu Windows qui n'existaient pas dans les versions antérieures de Windows Server :

Cliquer sur l'un des liens fournis ici ouvrira des options de configuration supplémentaires. Par exemple, si vous souhaitez activer ou désactiver rapidement certains profils de pare-feu (nous en apprendrons plus sous peu), vous pouvez cliquer sur le profil que vous souhaitez configurer, tel que le profil réseau du domaine , et à partir de là, désactivez facilement le pare-feu pour ce profil de réseautage. De nombreuses entreprises désactivent le profil de réseau de domaine sur leurs ordinateurs, de sorte que le pare-feu ne protège pas le trafic qui se produit à l'intérieur d'un réseau LAN d'entreprise.

Bien que la désactivation du pare-feu soit généralement une mauvaise idée, elle est parfois nécessaire pour s'adapter à votre modèle commercial :

L'écran de configuration du pare-feu disponible dans les paramètres Windows est un bon endroit pour prendre des décisions simples et supplémentaires concernant le pare-feu Windows Defender, mais cette interface a des capacités limitées. Pour toute utilisation réelle de la fonctionnalité ou de la configuration du pare-feu….

III - Pare-feu Windows Defender avec sécurité avancée (WFAS)

Si vous êtes quelque peu comme moi, vous ne serez pas satisfait de ces informations et voudrez voir ce qui se passe sous le capot, et vous voudrez donc un peu plus d'informations que les outils de base du pare-feu Windows ne peuvent vous en donner.

Vous pouvez soit cliquer sur l'un des liens des paramètres avancés affichés dans les captures d'écran précédentes, soit simplement ouvrir l'invite de commande ou Démarrer | Exécutez l'invite et tapez wf.msc.

L'une ou l'autre de ces fonctions lancera la console d'administration complète de WFAS :

Ici, vous pouvez voir des informations beaucoup plus détaillées sur l'activité et les règles qui sont en jeu avec le pare-feu Windows et faire des ajustements plus précis dans vos allocations et vos blocages. Il existe également une section de surveillance où vous pouvez afficher les règles activement engagées, y compris les règles de sécurité de connexion. Cette section est importante car elle met en évidence le fait que WFAS fait bien plus que bloquer le trafic réseau. Ce n'est pas seulement un pare-feu, c'est aussi une plateforme de connectivité. Si vous prévoyez d'utiliser IPsec pour le chiffrement du trafic réseau, que ce soit IPsec natif à l'intérieur de votre réseau ou via la technologie d'accès à distance DirectAccess, vous verrez des règles renseignées dans cette section qui sont les définitions de ces tunnels IPsec. Le pare-feu Windows est en fait responsable de la réalisation de ces connexions et tunnels chiffrés. C'est bien plus avancé que le pare-feu Windows d'antan.

Les 3 différents profils de pare-feu

Lorsqu'une carte réseau sur un ordinateur ou un serveur est connectée à un réseau, le pare-feu Windows attribue à cette connexion l'un des trois profils différents. Vous vous êtes probablement déjà interfacé avec ce processus décisionnel sans même vous en rendre compte. Lorsque vous connectez votre ordinateur portable au Wi-Fi de votre café local, Windows vous a-t-il demandé si vous vous connectiez à un réseau domestique, professionnel ou public? C'est votre pare-feu Windows qui vous demande quel profil vous souhaitez attribuer à la nouvelle connexion réseau. La raison pour laquelle vous pouvez attribuer des NIC et des connexions réseau à différents profils de pare-feu est que vous pouvez attribuer des règles d'accès et des critères différents pour ce qui est autorisé ou non sur ces différents profils. En effet, il vous demande à quel point faites-vous confiance à ce réseau? Par exemple, lorsque votre ordinateur portable est connecté au réseau d'entreprise, vous pouvez probablement être un peu plus laxiste que lorsque ce même ordinateur portable est connecté dans un hôtel à travers le pays. En attribuant des règles de pare-feu plus intenses au profil qui est actif lorsque vous êtes à l'hôtel, vous construisez des murs plus grands auxquels les attaquants doivent faire face lorsque vous travaillez sur cet Internet public.

Jetons un coup d'œil aux trois types de profils disponibles, avec une description rapide de chacun :

I - Profil de domaine

C'est le seul que vous ne pouvez pas choisir d'attribuer. Le profil de domaine n'est actif que lorsque vous êtes sur un ordinateur joint à un domaine qui est actuellement connecté à un réseau sur lequel un contrôleur de domaine pour votre domaine est accessible. Ainsi, pour toute machine d'entreprise à l'intérieur du réseau d'entreprise, vous pouvez vous attendre à ce que le profil de domaine soit actif.

II - Profil privé

Lorsque vous vous connectez à un nouveau réseau et que vous êtes invité à choisir où vous êtes connecté, si vous choisissez Domicile ou Travail , cette connexion se verra attribuer le profil privé.

III - Profil public

lorsque vous y êtes invité, si vous choisissez Public, alors bien sûr, le profil de pare-feu public vous est attribué. De plus, si vous n'êtes pas invité pour une raison quelconque, ou si vous ne choisissez pas du tout une option et fermez simplement la fenêtre qui vous demande quoi attribuer à votre nouvelle connexion, ce profil public sera le profil par défaut qui est donné à toutes les connexions qui n'ont pas de profil différent déjà attribué. Dans les versions les plus récentes de Windows (en particulier dans Win10), vous n'obtenez généralement pas l'invite vous demandant de quel type de réseau il s'agit; à la place, vous obtenez une invite vous demandant si vous souhaitez ou non autoriser votre ordinateur à communiquer avec d'autres périphériques sur le nouveau réseau. En fait, il s'agit toujours de la même invite et la décision que vous prenez à cette invite attribuera votre connexion au profil de pare-feu public ou privé.

Chaque connexion réseau se voit attribuer sa propre définition de profil, vous pouvez certainement avoir plus d'un profil de pare-feu actif en même temps sur le même système. Par exemple, mon serveur Awoui-RA01 est connecté à la fois au réseau d'entreprise et à Internet public.

Dans WFAS, vous pouvez voir que le profil de domaine et le profil public sont actifs :

Voilà, c'en est fini pour la petite présentation du pare-feu Windows ! Miantenant, si vous voulez entrer dans des aspects techniques, n'hésitez pas à aller jeter un coup d'oeil à l'article qui explique Comment créer une nouvelle règle de pare-feu entrant.