entrer le nom complet icientrer la description iciPermet d’afficher et de modifier la liste des exceptions de programmes définie par la stratégie de groupe. Le Pare-feu Windows utilise deux listes d’exceptions de programmes : la première est définie par les paramètres de stratégie de groupe, la seconde est définie par le composant Pare-feu Windows du Panneau de configuration.
Si vous activez ce paramètre de stratégie, vous pourrez afficher et modifier la liste des exceptions de programmes définie par la stratégie de groupe. Si vous ajoutez un programme à cette liste et que vous lui attribuez le statut Activé, ce programme peut recevoir des messages non sollicités sur tous les ports qu’il demande au Pare-feu Windows d’ouvrir, même si ce port est bloqué par un autre paramètre de stratégie, tel que « Pare-feu Windows : définir les exceptions de ports entrants ». Pour afficher la liste des programmes, activez le paramètre de stratégie et cliquez sur le bouton Afficher. Pour ajouter un programme, activez le paramètre de stratégie, notez la syntaxe, puis cliquez sur le bouton Afficher. Dans la boîte de dialogue Afficher le contenu, tapez une chaîne de définition utilisant le format de la syntaxe. Pour supprimer un programme, cliquez sur sa définition et appuyez sur la touche SUPPR. Pour modifier une définition, supprimez la définition actuelle de la liste, puis ajoutez-en une nouvelle avec d’autres paramètres. Pour autoriser les administrateurs à ajouter des programmes à la liste des exceptions de programmes locaux définie par le composant Pare-feu Windows dans le Panneau de configuration, activez également le paramètre de stratégie « Pare-feu Windows : autoriser les exceptions de programmes locaux ».
Si vous désactivez ce paramètre de stratégie, la liste des exceptions de programmes définie par la stratégie de groupe sera supprimée. Si une liste d’exceptions de programmes locaux existe, elle est ignorée, sauf si vous activez le paramètre de stratégie « Pare-feu Windows : autoriser les exceptions de programmes locaux ».
Si vous ne configurez pas ce paramètre de stratégie, le Pare-feu Windows utilisera uniquement la liste des exceptions de programmes locaux définie par les administrateurs à l’aide du composant Pare-feu Windows du Panneau de configuration.
Remarque : si vous entrez une chaîne de définition non valide, le Pare-feu Windows l’ajoute à la liste sans effectuer de détection d’erreurs. Cela vous permet d’ajouter des programmes que vous n’avez pas encore installés, mais vous risquez également de créer par erreur plusieurs entrées pour le même programme, avec des valeurs Portée ou Statut en conflit. Les paramètres de portée sont combinés pour les entrées multiples.
Remarque : si l’état d’une chaîne de définition est « désactivé », le Pare-feu Windows ignorera les demandes de port effectuées par ce programme et ignorera les autres définitions qui modifient l’état de ce programme en « activé ». Ainsi, si l’état est « désactivé », les administrateurs ne pourront pas autoriser le programme à demander au Pare-feu Windows d’ouvrir des ports supplémentaires. Cependant, même en étant « désactivé », le programme pourra toujours recevoir des messages non sollicités sur un port si un autre paramètre de stratégie ouvre ce port.
Remarque : le Pare-feu Windows ouvre les ports pour le programme uniquement lorsque le programme est en cours d’exécution et à l’écoute des messages entrants. Si le programme n’est pas ouvert, ou n’est pas à l’écoute de ces messages, le Pare-feu Windows n’ouvre pas ses ports.Pare-feu Windows : définir les exceptions des programmes en entréePermet aux administrateurs d’utiliser le composant Pare-feu Windows dans le Panneau de configuration afin de définir une liste d’exceptions de programmes locaux. Le Pare-feu Windows utilise deux listes d’exceptions de programmes ; la deuxième est définie par le paramètre de stratégie « Pare-feu Windows : définir les exceptions de programmes entrants ».
Si vous activez ce paramètre de stratégie, le composant Pare-feu Windows du Panneau de configuration autorisera les administrateurs à définir une liste d’exceptions de programmes locaux.
Si vous désactivez ce paramètre de stratégie, le composant Pare-feu Windows du Panneau de configuration n’autorisera pas les administrateurs à définir une liste d’exceptions de programmes locaux. Toutefois, les administrateurs locaux seront toujours autorisés à créer des règles de pare-feu dans le composant logiciel enfichable Pare-feu Windows avec sécurité avancée. Si vous souhaitez empêcher l’application de toutes les règles créées localement, utilisez le composant logiciel enfichable Éditeur d’objets de stratégie de groupe et configurez le Pare-feu Windows avec sécurité avancée (Configuration ordinateur\Paramètres Windows\Paramètres de sécurité) de sorte que les règles de pare-feu locales ne soient pas appliquées.Pare-feu Windows : autoriser les exceptions de programmes locauxAutorise les messages entrant non sollicités provenant de systèmes spécifiés utilisant l’authentification par transport IPsec.
Si vous activez ce paramètre de stratégie, vous devez entrer un descripteur de sécurité contenant une liste d’ordinateurs ou de groupes d’ordinateurs. Si un ordinateur dans cette liste s’authentifie par IPsec, le Pare-feu Windows ne bloquer pas ses messages non sollicités. Ce paramètre de stratégie a priorité sur les autres paramètres de stratégie qui pourraient bloquer ces messages.
Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, le Pare-feu Windows ne fera aucune exception pour les messages envoyés par les ordinateurs utilisant l’authentification IPsec. Si vous activez ce paramètre de stratégie et ajoutez des ordinateurs à la liste, le Pare-feu Windows supprimera la liste lorsqu’il désactivera cette stratégie.
Remarque : vous définissez les entrées dans cette liste en utilisant des chaînes SDDL (Security Descriptor Definitions Language). Pour obtenir des informations sur le format SDDL, voir les informations sur le déploiement du Pare-feu Windows sur le site Web de Microsoft (http://go.microsoft.com/fwlink/?LinkId=25131).Pare-feu Windows : autoriser à ignorer la sécurité IPsec authentifiéePare-feu WindowsActive le Pare-feu Windows.
Si vous activez ce paramètre de stratégie, le Pare-feu Windows s’exécutera en ignorant le paramètre de stratégie « Configuration ordinateur\Modèles d’administration\Réseau\Connexions réseau\Interdire l’utilisation de pare-feu de connexion Internet sur le réseau de votre domaine DNS ».
Si vous désactivez ce paramètre, le Pare-feu Windows ne s’exécutera pas. Ceci est la seule façon de vous assurer que le Pare-feu Windows ne s’exécute pas et que les administrateurs qui ouvrent une session locale ne peuvent pas le démarrer.
Si vous ne configurez pas ce paramètre de stratégie, les administrateurs pourront utiliser le composant Pare-feu Windows du Panneau de configuration pour activer ou désactiver le Pare-feu Windows, sauf si le paramètre de stratégie « Interdire l’utilisation de pare-feu de connexion Internet sur le réseau de votre domaine DNS » prévaut.Pare-feu Windows : protéger toutes les connexions réseauSpécifie que le Pare-feu Windows bloque tous les messages entrants non sollicités. Ce paramètre de stratégie a priorité sur tous les autres paramètres de stratégie du Pare-feu Windows qui autorisent ce message.
Si vous activez ce paramètre de stratégie, dans le composant Pare-feu Windows du Panneau de configuration, la case à cocher « Bloquer toutes les connexions entrantes » sera activée et les administrateurs ne pourront pas la désactiver. Il est préférable d’activer également le paramètre de stratégie « Pare-feu Windows : protéger toutes les connexions réseau », sinon les administrateurs d’ordinateurs locaux pourront contourner la stratégie « Pare-feu Windows : ne pas autoriser d’exceptions » en désactivant le pare-feu.
Si vous désactivez ce paramètre de stratégie, le Pare-feu Windows appliquera d’autres paramètres de stratégie qui autorisent les messages entrants non sollicités. Dans le composant Pare-feu Windows du Panneau de configuration, la case à cocher « Bloquer toutes les connexions entrantes » sera désactivée et les administrateurs ne pourront pas l’activer.
Si vous ne configurez pas ce paramètre de stratégie, le Pare-feu Windows appliquera d’autres paramètres de stratégie qui autorisent les messages entrants non sollicités. Dans le composant Pare-feu Windows du Panneau de configuration, la case à cocher « Bloquer toutes les connexions entrantes » sera désactivée par défaut, mais les administrateurs pourront la modifier.Pare-feu Windows : n’autoriser aucune exceptionAutorise le partage de fichiers entrants et des imprimantes. Dans ce but, le Pare-feu Windows ouvre les ports UDP 137 et 138 et les ports TCP 139 et 445.
Si vous activez ce paramètre de stratégie, le Pare-feu Windows ouvrira ces ports pour autoriser l’ordinateur à recevoir des travaux d’impression et des demandes d’accès aux fichiers partagés. Vous devez spécifier les adresses IP ou les sous-réseaux depuis lesquels les messages entrants sont autorisés. Dans le composant Pare-feu Windows du Panneau de configuration, la case à cocher « Partage de fichiers et d’imprimantes » sera activée et les administrateurs ne pourront pas la désactiver.
Si vous désactivez ce paramètre de stratégie, le Pare-feu Windows bloquera ces ports pour empêcher l’ordinateur local de partager des fichiers et des imprimantes. Si un administrateur tente d’ouvrir l’un de ces ports en l’ajoutant à une liste d’exceptions de ports locaux, le Pare-feu Windows n’ouvre pas le port. Dans le composant Pare-feu Windows du Panneau de configuration, la case à cocher « Partage de fichiers et d’imprimantes » sera désactivée et les administrateurs ne pourront pas l’activer.
Si vous ne configurez pas ce paramètre de stratégie, le Pare-feu Windows n’ouvrira pas ces ports. L’ordinateur ne peut donc pas partager de fichiers ou d’imprimantes, sauf si un administrateur utilise d’autres paramètres de stratégie pour ouvrir les ports requis. Dans le composant Pare-feu Windows du Panneau de configuration, l’option « Partage de fichiers et d’imprimantes » est désélectionnée. Les administrateurs peuvent modifier cette case à cocher.
Remarque : si un paramètre de stratégie ouvre le port TCP 445, le Pare-feu Windows autorise les requêtes d’écho ICMP entrants (les messages envoyés par l’utilitaire Ping), même si le paramètre de stratégie « Pare-feu Windows : autoriser les exceptions ICMP » les bloque. Les paramètres de stratégie qui peuvent ouvrir le port TCP 445 incluent notamment « Pare-feu Windows : autoriser l’exception de partage de fichiers entrants et d’imprimantes », « Pare-feu Windows : autoriser l’exception d’administration à distance entrante » et « Pare-feu Windows : définir les exceptions de ports entrants ».Pare-feu Windows : autoriser l’exception de partage de fichiers entrants et d’imprimantesDéfinit l’ensemble de types de messages ICMP (Internet Control Message Protocol) que le Pare-feu Windows autorise. Des utilitaires peuvent utiliser les messages ICMP pour déterminer le statut d’autres ordinateurs. Par exemple, la commande Ping utilise le message de demande Echo. Si vous n’activez pas le type de message « Autoriser les requêtes d’écho entrantes », le Pare-feu Windows bloquera les demandes d’écho envoyées par la commande Ping exécutée sur d’autres ordinateurs, mais ne bloquera pas les demandes d’écho sortantes envoyées par la commande Ping exécutée sur l’ordinateur local.
Si vous activez ce paramètre de stratégie, vous devrez spécifier la liste des types de messages ICMP que le Pare-feu Windows autorise l’ordinateur local à envoyer ou à recevoir.
Si vous désactivez ce paramètre de stratégie, le Pare-feu Windows bloquera tous les types de messages ICMP entrants et sortants répertoriés dans la liste. Par conséquent, les outils qui utilisent les messages ICMP bloqués ne pourront pas envoyer ces messages à ou depuis cet ordinateur. Si vous activez ce paramètre de stratégie en autorisant certains types de messages, puis le désactivez ultérieurement, le Pare-feu Windows supprimera la liste des types de messages que vous aviez autorisés.
Si vous ne configurez pas ce paramètre de stratégie, le Pare-feu Windows se comportera comme si vous l’aviez désactivé.
Remarque : si un paramètre de stratégie ouvre le port TCP 445, le Pare-feu Windows autorise les requêtes d’écho entrantes, même si le paramètre de stratégie « Pare-feu Windows : autoriser les exceptions ICMP » les bloque. Les paramètres de stratégie qui peuvent ouvrir le port TCP 445 incluent notamment « Pare-feu Windows : autoriser l’exception de partage de fichiers et d’imprimantes », « Pare-feu Windows : autoriser l’exception d’administration à distance » et « Pare-feu Windows : définir les exceptions de ports entrants ».
Remarque : les autres paramètres de stratégie du Pare-feu Windows n’affectent que les messages entrants, mais plusieurs options du paramètre de stratégie « Pare-feu Windows : autoriser les exceptions ICMP » affectent les communications sortantes.Pare-feu Windows : autoriser les exceptions ICMPAutorise le Pare-feu Windows à enregistrer des informations sur les messages entrants non sollicités qu’il reçoit.
Si vous activez ce paramètre de stratégie, le Pare-feu Windows écrira les informations dans un fichier journal. Vous devez spécifier le nom, l’emplacement et la taille maximale du fichier journal. L’emplacement peut contenir des variables d’environnement. Vous devez également spécifier si vous souhaitez enregistrer les informations sur les messages entrants que le pare-feu bloque (perd), et les informations sur les connexions entrantes et sortantes établies. Le Pare-feu Windows n’offre aucune option permettant d’enregistrer les messages entrants reçus.
Si vous configurez le nom du fichier journal, assurez-vous que le compte du service de Pare-feu Windows possède les autorisations d’écriture dans le dossier contenant le fichier journal. Le chemin d'accès par défaut du fichier journal est le suivant : %systemroot%\system32\LogFiles\Firewall\pfirewall.log.
Si vous désactivez ce paramètre de stratégie, le Pare-feu Windows n'enregistre pas les informations dans le fichier journal. Si vous activez ce paramètre de stratégie, et que le Pare-feu Windows crée le fichier journal et y ajoute des informations, le fichier journal n’est pas modifié.
Si vous ne configurez pas ce paramètre de stratégie, le Pare-feu Windows se comportera comme si le paramètre de stratégie était désactivé.
Pare-feu Windows : autoriser la journalisationEmpêche le Pare-feu Windows d’afficher des notifications à l’utilisateur lorsqu’un programme demande que le Pare-feu Windows ajoute le programme à la liste des exceptions de programmes.
Si vous activez ce paramètre de stratégie, le Pare-feu Windows empêchera l’affichage de ces notifications.
Si vous le désactivez, le Pare-feu Windows autorisera l’affichage de ces notifications. Dans le composant Pare-feu Windows du Panneau de configuration, la case à cocher « Me prévenir lorsque le Pare-feu Windows bloque un nouveau programme » sera activée et les administrateurs ne pourront pas la désactiver.
Si vous ne configurez pas ce paramètre de stratégie, le Pare-feu Windows se comportera comme si le paramètre de stratégie était désactivé, sauf que dans le composant Pare-feu Windows du Panneau de configuration, la case à cocher « Me prévenir lorsque le Pare-feu Windows bloque un nouveau programme » sera activée par défaut et les administrateurs pourront la modifier.Pare-feu Windows : empêcher les notificationsPermet d’afficher et de modifier la liste des exceptions de ports entrants définie par la stratégie de groupe. Le Pare-feu Windows utilise deux listes d’exceptions de ports : la première est définie par les paramètres de stratégie de groupe, la seconde est définie par le composant Pare-feu Windows du Panneau de configuration.
Si vous activez ce paramètre de stratégie, vous pouvez afficher et modifier la liste des exceptions de ports entrants définie par la stratégie de groupe. Pour afficher cette liste des exceptions de ports, activez le paramètre de stratégie et cliquez sur le bouton Afficher. Pour ajouter un port, activez le paramètre de stratégie, notez la syntaxe, puis cliquez sur le bouton Afficher. Dans la boîte de dialogue Afficher le contenu, tapez une chaîne de définition utilisant le format de la syntaxe. Pour supprimer un port, cliquez sur sa définition et appuyez sur la touche SUPPR. Pour modifier une définition, supprimez la définition actuelle de la liste, puis ajoutez-en une nouvelle avec d’autres paramètres. Pour autoriser les administrateurs à ajouter des ports à la liste des exceptions de ports locaux définie par le composant Pare-feu Windows dans le Panneau de configuration, activez également le paramètre de stratégie « Pare-feu Windows : autoriser les exceptions de ports locaux ».
Si vous désactivez ce paramètre de stratégie, la liste des exceptions de ports définie par la stratégie de groupe sera supprimée, mais les autres paramètres de stratégie pourront continuer d’ouvrir ou de bloquer les ports. En outre, si une liste d’exceptions de ports locaux existe, elle est ignorée, sauf si vous activez le paramètre de stratégie « Pare-feu Windows : autoriser les exceptions de ports locaux ».
Si vous ne configurez pas ce paramètre de stratégie, le Pare-feu Windows utilisera uniquement la liste des exceptions de ports locaux définie par les administrateurs à l’aide du composant Pare-feu Windows du Panneau de configuration. Les autres paramètres de stratégie pourront continuer d’ouvrir ou de bloquer les ports.
Remarque : si vous entrez une chaîne de définition non valide, le Pare-feu Windows l’ajoute à la liste sans effectuer de détection d’erreurs, et vous risquez de créer par erreur plusieurs entrées pour le même port, avec des valeurs Portée ou Statut en conflit. Les paramètres de portée sont combinés pour les entrées multiples. Si les entrées ont des valeurs de statut différentes, toute définition dont le statut est « Désactivé » a priorité sur les définitions dont le statut est « Activé », et le port ne reçoit aucun message. Par conséquent, si l’état d’un port est « Désactivé », vous pouvez empêcher les administrateurs d’utiliser le composant Pare-feu Windows dans le Panneau de configuration pour activer le port.
Remarque : la seule conséquence de la définition de l’état sur la valeur « Désactivé » est que le Pare-feu Windows ignore les autres définitions de ce port qui modifient l’état en « Activé ». Si un autre paramètre de stratégie ouvre un port, ou si un programme de la liste des exceptions de programmes demande au Pare-feu Windows d’ouvrir un port, le Pare-feu Windows ouvre le port.
Remarque : si un paramètre de stratégie ouvre le port TCP 445, le Pare-feu Windows autorise les messages de requêtes d’écho ICMP entrants (les messages envoyés par l’utilitaire Ping), même si le paramètre de stratégie « Pare-feu Windows : autoriser les exceptions ICMP » les bloque. Les paramètres de stratégie qui peuvent ouvrir le port TCP 445 incluent notamment « Pare-feu Windows : autoriser l’exception de partage de fichiers entrants et d’imprimantes », « Pare-feu Windows : autoriser l’exception d’administration à distance entrante » et « Pare-feu Windows : définir les exceptions de ports entrants ».Pare-feu Windows : définir les exceptions de ports entrantsPermet aux administrateurs d’utiliser le composant Pare-feu Windows dans le Panneau de configuration pour définir une liste d’exceptions de ports locaux. Le Pare-feu Windows utilise deux listes d’exceptions de ports ; la deuxième est définie par le paramètre de stratégie « Pare-feu Windows : définir les exceptions de ports entrants ».
Si vous activez ce paramètre, le composant Pare-feu Windows du Panneau de configuration autorisera les administrateurs à définir une liste d’exceptions de ports locaux.
Si vous le désactivez, le composant Pare-feu Windows du Panneau de configuration n’autorisera pas les administrateurs à définir une liste d’exceptions de ports locaux. Toutefois, les administrateurs locaux seront toujours autorisés à créer des règles de pare-feu dans le composant logiciel enfichable Pare-feu Windows avec sécurité avancée. Si vous souhaitez empêcher l’application de toutes les règles créées localement, utilisez le composant logiciel enfichable Éditeur d’objets de stratégie de groupe et configurez le Pare-feu Windows avec sécurité avancée (Configuration ordinateur\Paramètres Windows\Paramètres de sécurité) de sorte que les règles de pare-feu locales ne soient pas appliquées.Pare-feu Windows : autoriser les exceptions de ports locauxProfil du domaineProfil standardAutorise l’administration à distance de cet ordinateur à l’aide des outils d’administration tels que la console MMC (Microsoft Management Console) et WMI (Windows Management Instrumentation). Dans ce but, le Pare-feu Windows ouvre les ports TCP 135 et 445. Les services utilisent en général ces ports pour communiquer via les protocoles RPC (Remote Procedure Calls) et DCOM (Distributed Component Object Model). En outre, sur Windows XP Professionnel avec Service Pack 2 au minimum et sur Windows Server 2003 avec Service Pack 1 au minimum, ce paramètre de stratégie permet à SVCHOST.EXE et LSASS.EXE de recevoir des messages entrants non sollicités ; il permet également aux services hébergés d’ouvrir des ports supplémentaires attribués dynamiquement, généralement dans la plage allant des ports 1024 à 1034. Sur Windows Vista, ce paramètre de stratégie ne permet pas de contrôler les connexions à SVCHOST.EXE et LSASS.EXE.
Si vous activez de paramètre de stratégie, le Pare-feu Windows autorisera l’ordinateur à recevoir des messages non sollicités associés à l’administration à distance. Vous devez spécifier les adresses IP ou les sous-réseaux depuis lesquels les messages entrants sont autorisés.
Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, le Pare-feu Windows n’ouvrira ni le port 135 ni le port 445. En outre, sur Windows XP Professionnel avec Service Pack 2 au minimum et sur Windows Server 2003 avec Service Pack 1 au minimum, le Pare-feu Windows empêchera SVCHOST.EXE et LSASS.EXE de recevoir des messages non sollicités, et les services hébergés d’ouvrir des ports supplémentaires attribués dynamiquement. Étant donné que le fait de désactiver ce paramètre de stratégie ne bloque pas le port TCP 445, cela ne crée pas de conflit avec le paramètre de stratégie « Pare-feu Windows : autoriser l’exception de partage de fichiers et d’imprimantes ».
Remarque : les utilisateurs mal intentionnés tentent souvent d’attaquer les réseaux et les ordinateurs en utilisant RPC et DCOM. Nous vous recommandons de contacter les éditeurs de vos programmes critiques pour déterminer s’ils sont hébergés par SVCHOST.exe ou par LSASS.exe, ou s’ils requièrent RPC et DCOM. Si ce n’est pas le cas, n’activez pas ce paramètre de stratégie.
Remarque : si un paramètre de stratégie ouvre le port TCP 445, le Pare-feu Windows autorise les messages de requêtes d’écho ICMP entrants (les messages envoyés par l’utilitaire Ping), même si le paramètre de stratégie « Pare-feu Windows : autoriser les exceptions ICMP » les bloque. Les paramètres de stratégie qui peuvent ouvrir le port TCP 445 incluent notamment « Pare-feu Windows : autoriser l’exception de partage de fichiers entrants et d’imprimantes », « Pare-feu Windows : autoriser l’exception d’administration à distance entrants » et « Pare-feu Windows : définir les exceptions de ports entrants ».Pare-feu Windows : autoriser l’exception d’administration à distance entrante Autorise l’ordinateur local à recevoir des demandes du Bureau à distance. Dans ce but, le Pare-feu Windows ouvre le port TCP 3389.
Si vous activez ce paramètre de stratégie, le Pare-feu Windows ouvre ce port pour que l’ordinateur puisse recevoir des requêtes de Bureau à distance. Vous devez spécifier les adresses IP ou les sous-réseaux depuis lesquels les messages entrants sont autorisés. Dans le composant Pare-feu Windows du Panneau de configuration, l’option « Bureau à distance » est sélectionnée et l’administrateur ne peut pas la désélectionner.
Si vous désactivez ce paramètre de stratégie, le Pare-feu Windows bloque ce port, ce qui empêche cet ordinateur de recevoir les requêtes de Bureau à distance. Si un administrateur tente d’ouvrir ce port en l’ajoutant à une liste d’exceptions de ports locaux, le Pare-feu Windows n’ouvre pas le port. Dans le composant Pare-feu Windows du Panneau de configuration, la case à cocher « Bureau à distance » sera désactivée et les administrateurs ne pourront pas l’activer.
Si vous ne configurez pas ce paramètre de stratégie, le Pare-feu Windows n’ouvrira pas ce port. L’ordinateur ne peut donc pas recevoir de requêtes Bureau à distance, sauf si un administrateur utilise d’autres paramètres de stratégie pour ouvrir le port. Dans le composant Pare-feu Windows du Panneau de configuration, l’option « Bureau à distance » est désélectionnée. Les administrateurs pourront modifier cette case à cocher.Pare-feu Windows : autoriser les exceptions du Bureau à distance en entréeEmpêche cet ordinateur de recevoir des réponses de monodiffusion à ses messages de multidiffusion ou de diffusion sortants.
Si vous activez ce paramètre de stratégie et si cet ordinateur envoie des messages de multidiffusion ou de diffusion à d’autres ordinateurs, le Pare-feu Windows bloquera les réponses de monodiffusion envoyées par les autres ordinateurs.
Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, et si cet ordinateur envoie des messages de multidiffusion ou de diffusion à d’autres ordinateurs, le Pare-feu Windows attendra pendant trois secondes des réponses de monodiffusion envoyées par les autres ordinateurs, puis bloquera toutes les autres réponses.
Remarque : Ce paramètre de stratégie est sans effet si le message de monodiffusion est une réponse au message de diffusion DHCP (Dynamic Host Configuration Protocol) envoyé par cet ordinateur. Le Pare-feu Windows autorise toujours ces réponses de monodiffusion DHCP. Cependant, ce paramètre de stratégie peut interférer avec les messages NetBIOS qui détectent les conflits de noms.Pare-feu Windows : empêcher les réponses de monodiffusion pour des requêtes de multidiffusion ou de diffusionAutorise l’ordinateur local à recevoir des messages Plug-and-Play non sollicités émis par les périphériques réseau tels que les routeurs avec pare-feu intégrés. Dans ce but, le Pare-feu Windows ouvre le port TCP 2869 et le port UDP 1900.
Si vous activez ce paramètre de stratégie, le Pare-feu Windows ouvre ces ports et autorise l’ordinateur à recevoir des messages Plug-and-Play. Vous devez spécifier les adresses IP ou les sous-réseaux depuis lesquels les messages entrants sont autorisés. Dans le composant Pare-feu Windows du Panneau de configuration, l’option « Infrastructure UPnP » est sélectionnée et l’administrateur ne peut pas la désélectionner.
Si vous désactivez ce paramètre de stratégie, le Pare-feu Windows bloque ces ports et empêche cet ordinateur de recevoir des messages Plug-and-Play. Si un administrateur tente d’ouvrir ces ports en les ajoutant à une liste d’exceptions de ports locaux, le Pare-feu Windows n’ouvre pas les ports. Dans le composant Pare-feu Windows du Panneau de configuration, la case à cocher « Infrastructure UPnP » sera désactivée et les administrateurs ne pourront pas l’activer.
Si vous ne configurez pas ce paramètre de stratégie, le Pare-feu Windows n’ouvrira pas ces ports. L’ordinateur ne peut donc pas recevoir de messages Plug-and-Play, sauf si un administrateur utilise d’autres paramètres de stratégie pour ouvrir les ports requis ou activer les programmes requis. Dans le composant Pare-feu Windows du Panneau de configuration, l’option « Infrastructure UPnP » est désélectionnée. Les administrateurs pourront modifier cette case à cocher.Pare-feu Windows : autoriser les exceptions d’infrastructure UPnP entranteDéfinir les exceptions de programmes :Spécifier le programme à autoriser ou à bloquer.Syntaxe : <Path>:<Scope>:<Status>:<Name> <Path> représente le chemin d’accès et le nom du programme <Scope> peut être soit * (tous les réseaux), soit une liste séparée par des virgules de n'importe quel nombre ou combinaison des éléments suivants : Adresses IP, comme 10.0.0.1 Descriptions de sous-réseau, comme 10.2.3.0/24 La chaîne « localsubnet » <Status> peut être soit « enabled », soit « disabled » <Name> constitue une chaîne de texteExemple :La chaîne de définition suivante ajoute le programmeTEST.EXE à la liste d’exceptions de programmeset l’autorise à recevoir des messages provenant de 10.0.0.1,ou de n’importe quel système sur le sous-réseau 10.3.4.x : %programfiles%\test.exe:10.0.0.1,10.3.4.0/24:enabled:Programme de testDéfinir les exceptions de programmes :Spécifier le programme à autoriser ou à bloquer.Syntaxe : <Path>:<Scope>:<Status>:<Name> <Path> représente le chemin d’accès et le nom du programme <Scope> peut être soit * (tous les réseaux), soit une liste séparée par des virgules de n'importe quel nombre ou combinaison des éléments suivants : Adresses IP, comme 10.0.0.1 Descriptions de sous-réseau, comme 10.2.3.0/24 La chaîne « localsubnet » <Status> peut être soit « enabled », soit « disabled » <Name> constitue une chaîne de texteExemple :La chaîne de définition suivante ajoute le programmeTEST.EXE à la liste d’exceptions de programmeset l’autorise à recevoir des messages provenant de 10.0.0.1,ou de n’importe quel système sur le sous-réseau 10.3.4.x : %programfiles%\test.exe:10.0.0.1,10.3.4.0/24:enabled:Test programSpécifier les homologues IPSec à exclureen utilisant une chaîne SDDL.Syntaxe : O:<OwnerSID>G:<GroupSID>D:<DACLflags> <OwnerSID> représente le descripteur de sécurité du propriétaire <GroupSID> représente le descripteur de sécurité du groupe <DACLflags> constitue une liste d’ACEExemple : O:DAG:DAD:(A;;RCGW;;;S-1-5-21-2157571284-1609012320)Syntaxe :Entrez « * » pour autoriser les messages provenant de n’importe quel réseau, ouentrez une liste séparée par des virgules qui contientn’importe quel nombre ou combinaison des éléments suivants : Adresses IP, comme 10.0.0.1 Descriptions de sous-réseau, comme 10.2.3.0/24 La chaîne « localsubnet »Exemple : pour autoriser les messages provenant de 10.0.0.1,10.0.0.2, et de n’importe quel système sur lesous-réseau local ou sur le sous-réseau 10.3.4.x,entrez le texte suivant sous « Autoriser les messages entrants » non sollicités provenant des adresses IP suivantes » : 10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24Syntaxe :Entrez « * » pour autoriser les messages provenant de n’importe quel réseau, ouentrez une liste séparée par des virgules qui contientn’importe quel nombre ou combinaison des éléments suivants : Adresses IP, comme 10.0.0.1 Descriptions de sous-réseau, comme 10.2.3.0/24 La chaîne « localsubnet »Exemple : pour autoriser les messages provenant de 10.0.0.1,10.0.0.2, et de n’importe quel système sur lesous-réseau local ou sur le sous-réseau 10.3.4.x,entrez le texte suivant sous « Autoriser les messages entrants » non sollicités provenant des adresses IP suivantes » : 10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24Autoriser la destination inaccessible sortanteAutoriser l’extinction de source sortanteAutoriser la redirectionAutoriser les requêtes d’écho entrantesAutoriser les requêtes de routeur entrantesAutoriser le temps dépassé sortantAutoriser le problème de paramètre sortantAutoriser les requêtes de datage entrantesAutoriser les requêtes de masque entrantesAutoriser les paquets sortants trop grandsAutoriser la destination inaccessible sortanteAutoriser l’extinction de source sortanteAutoriser la redirectionAutoriser les requêtes d’écho entrantesAutoriser les requêtes de routeur entrantesAutoriser le temps dépassé sortantAutoriser le problème de paramètre sortantAutoriser les requêtes de datage entrantesAutoriser les requêtes de masque entrantesAutoriser les paquets sortants trop grandsEnregistrer les paquets ignorés dans le journalEnregistrer les connexions réussies dans le journal%systemroot%\system32\LogFiles\Firewall\pfirewall.logLimite de taille (Ko) :Enregistrer les paquets ignorés dans le journalEnregistrer les connexions réussies dans le journal%systemroot%\system32\LogFiles\Firewall\pfirewall.logLimite de taille (Ko) :Définir les exceptions de ports :Spécifier le port à ouvrir ou à bloquer.Syntaxe : <Port>:<Transport>:<Étendue>:<État>:<Nom> <Port> est un nombre de port en format décimal <Transport> peut être soit « TCP », soit « UDP » <Étendue> peut être soit * (tous les réseaux), soit une liste séparée par des virgules de n’importe quel nombre ou combinaison des éléments suivants : Adresses IP, comme 10.0.0.1 Descriptions de sous-réseau, comme 10.2.3.0/24 La chaîne « localsubnet » <État> peut être soit « enabled », soit « disabled » <Nom> constitue une chaîne de texteExemple :La chaîne de définition suivante ajoute le port TCP 80à la liste d’exceptions de ports et l’autorise àrecevoir des messages provenant des adresses 10.0.0.1, 10.0.0.2, ou de n’importequel système sur le sous-réseau 10.3.4.x : 80:TCP:10.0.0.1,10.0.0.2,10.3.4.0/24:enabled:Service WebDéfinir les exceptions de ports :Spécifier le port à ouvrir ou à bloquer.Syntaxe : <Port>:<Transport>:<Étendue>:<État>:<Nom> <Port> est un nombre de port en format décimal <Transport> peut être soit « TCP », soit « UDP » <Étendue> peut être soit * (tous les réseaux), soit une liste séparée par des virgules de n’importe quel nombre ou combinaison des éléments suivants : Adresses IP, comme 10.0.0.1 Descriptions de sous-réseau, comme 10.2.3.0/24 La chaîne « localsubnet » <État> peut être soit « enabled », soit « disabled » <Nom> constitue une chaîne de texteExemple :La chaîne de définition suivante ajoute le port TCP 80à la liste d’exceptions de ports et l’autorise àrecevoir des messages provenant des adresses 10.0.0.1, 10.0.0.2, ou de n’importequel système sur le sous-réseau 10.3.4.x : 80:TCP:10.0.0.1,10.0.0.2,10.3.4.0/24:enabled:Web serviceSyntaxe :Entrez « * » pour autoriser les messages provenant de n’importe quel réseau, ouentrez une liste séparée par des virgules qui contientn’importe quel nombre ou combinaison des éléments suivants : Adresses IP, comme 10.0.0.1 Descriptions de sous-réseau, comme 10.2.3.0/24 La chaîne « localsubnet »Exemple : pour autoriser les messages provenant de 10.0.0.1,10.0.0.2, et de n’importe quel système sur lesous-réseau local ou sur le sous-réseau 10.3.4.x,entrez le texte suivant sous « Autoriser les messages entrants » non sollicités provenant des adresses IP suivantes » : 10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24Syntaxe :Entrez « * » pour autoriser les messages provenant de n’importe quel réseau, ouentrez une liste séparée par des virgules qui contientn’importe quel nombre ou combinaison des éléments suivants : Adresses IP, comme 10.0.0.1 Descriptions de sous-réseau, comme 10.2.3.0/24 La chaîne « localsubnet »Exemple : pour autoriser les messages provenant de 10.0.0.1,10.0.0.2, et de n’importe quel système sur lesous-réseau local ou sur le sous-réseau 10.3.4.x,entrez le texte suivant sous « Autoriser les messages entrants » non sollicités provenant des adresses IP suivantes » : 10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24Syntaxe :Entrez « * » pour autoriser les messages provenant de n’importe quel réseau, ouentrez une liste séparée par des virgules qui contientn’importe quel nombre ou combinaison des éléments suivants : Adresses IP, comme 10.0.0.1 Descriptions de sous-réseau, comme 10.2.3.0/24 La chaîne « localsubnet »Exemple : pour autoriser les messages provenant de 10.0.0.1,10.0.0.2, et de n’importe quel système sur lesous-réseau local ou sur le sous-réseau 10.3.4.x,entrez le texte suivant sous « Autoriser les messages entrants » non sollicités provenant des adresses IP suivantes » : 10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24Syntaxe :Entrez « * » pour autoriser les messages provenant de n’importe quel réseau, ouentrez une liste séparée par des virgules qui contientn’importe quel nombre ou combinaison des éléments suivants : Adresses IP, comme 10.0.0.1 Descriptions de sous-réseau, comme 10.2.3.0/24 La chaîne « localsubnet »Exemple : pour autoriser les messages provenant de 10.0.0.1,10.0.0.2, et de n’importe quel système sur lesous-réseau local ou sur le sous-réseau 10.3.4.x,entrez le texte suivant sous « Autoriser les messages entrants » non sollicités provenant des adresses IP suivantes » : 10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24Syntaxe :Entrez « * » pour autoriser les messages provenant de n’importe quel réseau, ouentrez une liste séparée par des virgules qui contientn’importe quel nombre ou combinaison des éléments suivants : Adresses IP, comme 10.0.0.1 Descriptions de sous-réseau, comme 10.2.3.0/24 La chaîne « localsubnet »Exemple : pour autoriser les messages provenant de 10.0.0.1,10.0.0.2, et de n’importe quel système sur lesous-réseau local ou sur le sous-réseau 10.3.4.x,entrez le texte suivant sous « Autoriser les messages entrants » non sollicités provenant des adresses IP suivantes » : 10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24Syntaxe :Entrez « * » pour autoriser les messages provenant de n’importe quel réseau, ouentrez une liste séparée par des virgules qui contientn’importe quel nombre ou combinaison des éléments suivants : Adresses IP, comme 10.0.0.1 Descriptions de sous-réseau, comme 10.2.3.0/24 La chaîne « localsubnet »Exemple : pour autoriser les messages provenant de 10.0.0.1,10.0.0.2, et de n’importe quel système sur lesous-réseau local ou sur le sous-réseau 10.3.4.x,entrez le texte suivant sous « Autoriser les messages entrants » non sollicités provenant des adresses IP suivantes » : 10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24