Comment faire pour bloquer des ports et protocoles réseau spécifiques en utilisant IPSec

Traductions disponibles Traductions disponibles
Numéro d'article: 813878 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Les règles de filtrage IPSec (Internet Protocol Security) peuvent être utilisées pour protéger des ordinateurs Windows 2000, Windows XP et Windows Server 2003 des attaques menées par le biais du réseau telles que les virus et les vers informatiques. Cet article explique comment filtrer en fonction d'une combinaison de protocole et de port pour le trafic réseau entrant et sortant. Il décrit les étapes à suivre pour déterminer si des stratégies IPSec sont actuellement affectées à un ordinateur Windows 2000, Windows XP ou Windows Server 2003, pour créer et affecter une nouvelle stratégie IPSec et pour annuler l'affectation d'une stratégie IPSec existante et la supprimer.

Plus d'informations

Les stratégies IPSec peuvent être appliquées localement ou à un membre d'un domaine dans le cadre des stratégies de groupe de ce domaine. Les stratégies IPSec locales peuvent être statiques (elles persistent après les redémarrages) ou dynamiques (volatiles). Les stratégies IPSec statiques sont inscrites au Registre local et persistent après le redémarrage du système d'exploitation. Les stratégies IPSec dynamiques ne sont pas inscrites au Registre de façon permanente et sont supprimées lors du redémarrage du système d'exploitation ou du service Agent de stratégie IPSec.

Important Cet article contient des informations sur la modification du Registre à l'aide de l'outil Ipsecpol.exe. Avant de modifier le Registre, assurez-vous de savoir comment le restaurer en cas de problème. Pour plus d'informations sur la sauvegarde, la restauration et la modification du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
256986 Description du Registre de Microsoft Windows
Remarque Les règles de filtrage IPSec peuvent provoquer des pertes de données dans les programmes réseau ; ces programmes peuvent également cesser de répondre aux requêtes réseau et notamment ne plus être en mesure d'authentifier des utilisateurs. Utilisez les règles de filtrage IPSec comme une mesure défensive de dernier recours et seulement en pleine connaissance des conséquences du blocage de ports spécifiques sur votre environnement. Si une stratégie IPSec créée à l'aide des étapes décrites dans cet article a des effets indésirables sur vos programmes réseau, reportez-vous à la section "Annulation de l'affectation et suppression d'une stratégie IPSec" plus loin dans cet article afin de connaître la procédure à suivre pour désactiver et supprimer immédiatement une stratégie.

Vérification de l'activation d'une stratégie IPSec

Ordinateurs Windows Server 2003

Avant de créer ou d'affecter une nouvelle stratégie IPSec à un ordinateur Windows Server 2003, déterminez si des stratégies IPSec sont déjà appliquées à partir du Registre local ou dans le cadre d'un objet de stratégie de groupe (GPO). Pour cela, procédez comme suit :
  1. Installez Netdiag.exe à partir du CD-ROM de Windows Server 2003 en exécutant le fichier Suptools.msi situé dans le dossier Support\Tools.
  2. Ouvrez une invite de commandes, puis définissez C:\Program Files\Support Tools comme dossier de travail.
  3. Exécutez la commande suivante pour vérifier qu'aucune stratégie IPSec existante n'est déjà affectée à l'ordinateur :
    netdiag /test:ipsec
    Si aucune stratégie n'est affectée, le message suivant s'affiche :
    IP Security test . . . . . . . . . : Passed IPSec policy service is active, but no policy is assigned.

Ordinateurs Windows XP

Avant de créer ou d'affecter une nouvelle stratégie IPSec à un ordinateur Windows XP, déterminez si des stratégies IPSec sont déjà appliquées à partir du Registre local ou dans le cadre d'un objet de stratégie de groupe. Pour cela, procédez comme suit :
  1. Installez Netdiag.exe à partir du CD-ROM de Windows XP en exécutant le fichier Setup.exe situé dans le dossier Support\Tools.
  2. Ouvrez une invite de commandes, puis définissez C:\Program Files\Support Tools comme dossier de travail.
  3. Exécutez la commande suivante pour vérifier qu'aucune stratégie IPSec existante n'est déjà affectée à l'ordinateur :
    netdiag /test:ipsec
    Si aucune stratégie n'est affectée, le message suivant s'affiche :
    IP Security test . . . . . . . . . : Passed IPSec policy service is active, but no policy is assigned.

Ordinateurs Windows 2000

Avant de créer ou d'affecter une nouvelle stratégie IPSec à un ordinateur Windows 2000, déterminez si des stratégies IPSec sont déjà appliquées à partir du Registre local ou dans le cadre d'un objet de stratégie de groupe. Pour cela, procédez comme suit :
  1. Installez Netdiag.exe à partir du CD-ROM de Windows 2000 en exécutant le fichier Setup.exe situé dans le dossier Support\Tools.
  2. Ouvrez une invite de commandes, puis définissez C:\Program Files\Support Tools comme dossier de travail.
  3. Exécutez la commande suivante pour vérifier qu'aucune stratégie IPSec existante n'est déjà affectée à l'ordinateur :
    netdiag /test:ipsec
    Si aucune stratégie n'est affectée, le message suivant s'affiche :
    IP Security test . . . . . . . . . : Passed IPSec policy service is active, but no policy is assigned.

Création d'une stratégie statique pour bloquer le trafic

Ordinateurs Windows Server 2003 et Windows XP

Pour les systèmes sur lesquels aucune stratégie IPSec n'a été définie localement et activée, créez une stratégie statique locale visant à bloquer le trafic à destination d'un protocole et d'un port spécifiques des ordinateurs Windows Server 2003 et Windows XP. Pour cela, procédez comme suit :
  1. Vérifiez que le service Agent de stratégie IPSec est activé et démarré dans le composant logiciel enfichable MMC Services.
  2. Installez IPSeccmd.exe. IPSeccmd.exe fait partie des outils de support du Service Pack 2 (SP2) Windows XP.

    Remarque L'outil IPSeccmd.exe fonctionnera sur les systèmes d'exploitation Windows XP et Windows Server 2003, mais n'est disponible que dans le package d'outils de support du SP2 Windows XP.

    Pour plus d'informations sur le téléchargement et l'installation des Outils de support de Windows XP Service Pack 2, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    838079 Outils de support du Service Pack 2 Windows XP
  3. Ouvrez une invite de commandes et définissez comme dossier de travail celui dans lequel vous avez installé les outils de support du Service Pack 2 Windows XP.

    Remarque Le dossier par défaut des outils de support du SP2 Windows XP est C:\Program Files\Support Tools.
  4. Pour créer une stratégie IPSec locale et une règle de filtrage qui s'applique au trafic réseau entre une adresse IP quelconque et l'adresse IP de l'ordinateur Windows Server 2003 ou Windows XP que vous configurez, utilisez la commande ci-dessous.

    Remarque Dans cette commande, protocole et numéro_port sont des variables.
    IPSeccmd.exe -w REG -p "Block protocolenuméro_port Filter" -r "Block Inbound protocolenuméro_port Rule" -f *=0:numéro_port:protocole -n BLOCK ?x
    Par exemple, pour bloquer le trafic réseau d'une adresse IP et d'un port source vers un port de destination UDP 1434 sur un ordinateur Windows Server 2003 ou Windows XP, tapez ce qui suit. Cette stratégie est suffisante pour aider les ordinateurs qui exécutent Microsoft SQL Server 2000 à se protéger contre le ver « Slammer ».
    IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -f *=0:1434:UDP -n BLOCK -x
    L'exemple suivant bloque l'accès entrant sur le port TCP 80 mais permet l'accès sortant sur le port TCP 80. Cette stratégie est suffisante pour aider les ordinateurs qui exécutent Microsoft Internet Information Services (IIS) 5.0 à se protéger contre les vers « Code Red » et « Nimda ».
    IPSeccmd.exe -w REG -p "Block TCP 80 Filter" -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK -x
    Remarque Le commutateur -x permet d'affecter la stratégie immédiatement. Si vous entrez cette commande, l'affectation de la stratégie "Bloc UDP 1434 Filter" est annulée et "Block TCP 80 Filter" est affectée. Pour ajouter la stratégie sans l'affecter, tapez la commande sans le commutateur -x à la fin.
  5. Pour ajouter une règle de filtrage supplémentaire à la stratégie existante "Block UDP 1434 Filter" qui bloque le trafic réseau en provenance de votre ordinateur Windows Server 2003 ou Windows XP à destination d'une adresse IP, utilisez la commande ci-dessous.

    Remarque Dans cette commande, protocole et numéro_port sont des variables :
    IPSeccmd.exe -w REG -p "Block protocolenuméro_port Filter" -r "Block Outbound protocolenuméro_port Rule" -f *0=:numéro_port:protocole -n BLOCK
    Par exemple, pour bloquer le trafic réseau qui provient de votre ordinateur Windows Server 2003 ou Windows XP qui est dirigé vers le port UDP 1435 sur un autre hôte, tapez ce qui suit. Cette stratégie est suffisante pour empêcher les ordinateurs qui exécutent Microsoft SQL Server 2000 de répandre le ver « Slammer ».
    IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK
    Remarque Cette commande vous permet d'ajouter autant de règles de filtrage que vous le souhaitez à une stratégie. Vous pouvez par exemple utiliser cette commande pour bloquer plusieurs ports à l'aide d'une même stratégie.
  6. La stratégie décrite à l'étape 5 sera maintenant appliquée et persistera à chaque redémarrage de l'ordinateur. Toutefois, si une stratégie IPSec de domaine est affectée par la suite à l'ordinateur, cette stratégie locale sera remplacée et ne sera plus valide.

    Pour vérifier l'affectation de votre règle de filtrage, définissez C:\Program Files\Support Tools comme dossier de travail à l'invite de commandes, puis tapez la commande suivante :
    netdiag /test:ipsec /debug
    Si des stratégies pour le trafic entrant et sortant sont affectées comme dans ces exemples, le message suivant s'affiche :
    IP Security test . . . . . . . . . :
    Passed Local IPSec Policy Active: 'Block UDP 1434 Filter' IP Security Policy Path: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{D239C599-F945-47A3-A4E3-B37BC12826B9}

    There are 2 filters
    No Name
    Filter Id: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    Policy Id: {509492EA-1214-4F50-BF43-9CAC2B538518}
    Src Addr : 0.0.0.0 Src Mask : 0.0.0.0
    Dest Addr : 192.168.1.1 Dest Mask : 255.255.255.255
    Tunnel Addr : 0.0.0.0 Src Port : 0 Dest Port : 1434
    Protocol : 17 TunnelFilter: No
    Flags: Inbound Block
    No Name
    Filter Id: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    Policy Id: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    Src Addr : 192.168.1.1 Src Mask : 255.255.255.255
    Dest Addr : 0.0.0.0 Dest Mask : 0.0.0.0
    Tunnel Addr : 0.0.0.0 Src Port : 0 Dest Port : 1434
    Protocol : 17 TunnelFilter: No
    Flags: Outbound Block
    Remarque Les adresses IP et les numéros GUID seront différents et correspondront à ceux de votre ordinateur Windows Server 2003 ou Windows XP.

Ordinateurs Windows 2000

Pour les systèmes sur lesquels aucune stratégie IPSec n'a été définie localement et activée, procédez comme suit pour créer une stratégie statique locale visant à bloquer le trafic à destination d'un protocole et d'un port spécifiques sur un ordinateur Windows 2000 sans stratégie IPSec existante affectée :
  1. Vérifiez que le service Agent de stratégie IPSec est activé et démarré dans le composant logiciel enfichable MMC Services.
  2. Reportez-vous au site Web de Microsoft à l'adresse suivante pour télécharger et installer Ipsecpol.exe (en anglais) :
    http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361
  3. Ouvrez une invite de commandes et définissez le dossier dans lequel vous avez installé Ipsecpol.exe comme dossier de travail.

    Remarque Le dossier par défaut pour Ipsecpol.exe est C:\Program Files\Resource Kit.
  4. Pour créer une nouvelle stratégie IPSec locale et une règle de filtrage pour tout le trafic réseau d'une adresse IP quelconque vers l'adresse IP de l'ordinateur Windows 2000 que vous configurez, utilisez la commande suivante, où protocole et numéro_port sont des variables :
    ipsecpol -w REG -p "Block protocolenuméro_port Filter" -r "Block Inbound protocolenuméro_port Rule" -f *=0:numéro_port:protocole -n BLOCK ?x
    Par exemple, pour bloquer le trafic réseau d'une adresse IP et d'un port source vers un port de destination UDP 1434 sur un ordinateur Windows 2000, tapez ce qui suit. Cette stratégie est suffisante pour aider les ordinateurs qui exécutent Microsoft SQL Server 2000 à se protéger contre le ver « Slammer ».
    ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -f *=0:1434:UDP -n BLOCK -x
    L'exemple suivant bloque l'accès entrant sur le port TCP 80 mais permet l'accès sortant sur le port TCP 80. Cette stratégie est suffisante pour aider les ordinateurs qui exécutent Microsoft Internet Information Services (IIS) 5.0 à se protéger contre les vers « Code Red » et « Nimda ».
    ipsecpol -w REG -p "Block TCP 80 Filter" -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK -x
    Remarque Le commutateur -x permet d'affecter la stratégie immédiatement. Si vous entrez cette commande, l'affectation de la stratégie "Bloc UDP 1434 Filter" est annulée et "Block TCP 80 Filter" est affectée. Pour ajouter la stratégie sans l'affecter, tapez la commande sans le commutateur -x à la fin.
  5. Pour ajouter une règle de filtrage supplémentaire à la stratégie existante "Block UDP 1434 Filter" qui bloque le trafic réseau en provenance de votre ordinateur Windows 2000 à destination d'une adresse IP, utilisez la commande suivante, où protocole et numéro_port sont des variables :
    ipsecpol -w REG -p "Block protocolenuméro_port Filter" -r "Block Outbound protocolenuméro_port Rule" -f *0=:numéro_port:protocole -n BLOCK
    Par exemple, pour bloquer le trafic réseau qui provient de votre ordinateur Windows 2000 qui est dirigé vers le port UDP 1435 sur un autre hôte, tapez ce qui suit. Cette stratégie est suffisante pour empêcher les ordinateurs qui exécutent Microsoft SQL Server 2000 de répandre le ver « Slammer ».
    ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK
    Remarque Vous pouvez, à l'aide de cette commande, ajouter à une stratégie autant de règles de filtrage que vous le souhaitez (par exemple, pour bloquer plusieurs ports avec la même stratégie).
  6. La stratégie décrite à l'étape 5 sera maintenant appliquée et persistera à chaque redémarrage de l'ordinateur. Toutefois, si une stratégie IPSec de domaine est affectée par la suite à l'ordinateur, cette stratégie locale sera remplacée et ne sera plus valide. Pour vérifier l'affectation de votre règle de filtrage, à l'invite de commandes, définissez C:\Program Files\Support Tools comme dossier de travail, puis tapez la commande suivante :
    netdiag /test:ipsec /debug
    Si, comme dans ces exemples, des stratégies pour le trafic entrant et sortant sont affectées, le message suivant s'affiche :
    IP Security test . . . . . . . . . :
    Passed Local IPSec Policy Active: 'Block UDP 1434 Filter' IP Security Policy Path: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{D239C599-F945-47A3-A4E3-B37BC12826B9}

    There are 2 filters
    No Name
    Filter Id: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    Policy Id: {509492EA-1214-4F50-BF43-9CAC2B538518}
    Src Addr : 0.0.0.0 Src Mask : 0.0.0.0
    Dest Addr : 192.168.1.1 Dest Mask : 255.255.255.255
    Tunnel Addr : 0.0.0.0 Src Port : 0 Dest Port : 1434
    Protocol : 17 TunnelFilter: No
    Flags: Inbound Block
    No Name
    Filter Id: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    Policy Id: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    Src Addr : 192.168.1.1 Src Mask : 255.255.255.255
    Dest Addr : 0.0.0.0 Dest Mask : 0.0.0.0
    Tunnel Addr : 0.0.0.0 Src Port : 0 Dest Port : 1434
    Protocol : 17 TunnelFilter: No
    Flags: Outbound Block
    Remarque Les adresses IP et les numéros GUID seront différents et correspondront à ceux de votre ordinateur Windows 2000.

Ajout d'une règle de blocage pour un protocole et un port spécifiques

Ordinateurs Windows Server 2003 et Windows XP

Pour ajouter une règle de blocage pour un protocole et un port spécifiques sur un ordinateur Windows Server 2003 ou Windows XP qui utilise une stratégie IPSec statique existante affectée localement, procédez comme suit :
  1. Installez IPSeccmd.exe. IPSeccmd.exe fait partie des outils de support du SP2 Windows XP.

    Pour plus d'informations sur le téléchargement et l'installation des Outils de support de Windows XP Service Pack 2, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    838079 Outils de support du Service Pack 2 Windows XP
  2. Identifiez le nom de la stratégie IPSec affectée actuellement. Pour cela, tapez ce qui suit à l'invite de commandes :
    netdiag /test:ipsec
    Si une stratégie est affectée, un message semblable au suivant s'affiche :
    IP Security test . . . . . . . . . : Passed
    Local IPSec Policy Active: 'Block UDP 1434 Filter'
  3. Si une stratégie IPSec est déjà affectée à l'ordinateur (local ou du domaine), utilisez la commande suivante pour ajouter une règle de filtrage BLOCK à cette stratégie.

    Remarque Dans cette commande, nom_stratégie_IPSec_existante, protocole et numéro_port sont des variables.
    IPSeccmd.exe -p "nom_stratégie_IPSec_existante" -w REG -r "Block protocolenuméro_port Rule" -f *=0:numéro_port:protocole -n BLOCK
    Par exemple, Pour ajouter une règle de filtrage afin de bloquer l'accès entrant sur le port TCP 80 vers le bloc UDP 1434 Filter, tapez la commande suivante :
    IPSeccmd.exe -p "Block UDP 1434 Filter" -w REG -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK

Ordinateurs Windows 2000

Pour ajouter une règle de blocage pour un protocole et un port spécifiques sur un ordinateur Windows 2000 avec une stratégie IPSec statique existante affectée localement, procédez comme suit :
  1. Reportez-vous au site Web de Microsoft à l'adresse suivante pour télécharger et installer Ipsecpol.exe :
    http://support.microsoft.com/kb/927229
  2. Identifiez le nom de la stratégie IPSec affectée actuellement. Pour cela, tapez ce qui suit à l'invite de commandes :
    netdiag /test:ipsec
    Si une stratégie est affectée, un message semblable au suivant s'affiche :
    IP Security test . . . . . . . . . : Passed
    Local IPSec Policy Active: 'Block UDP 1434 Filter'
  3. Si une stratégie IPSec est déjà affectée à l'ordinateur (local ou du domaine), utilisez la commande suivante pour ajouter une règle de filtrage BLOCK à cette stratégie, où nom_stratégie_IPSec_existante, protocole et numéro_port sont des variables :
    ipsecpol -p "nom_stratégie_IPSec_existante" -w REG -r "Block protocolenuméro_port Rule" -f *=0:numéro_port:protocole -n BLOCK
    Par exemple, Pour ajouter une règle de filtrage afin de bloquer l'accès entrant sur le port TCP 80 vers le bloc UDP 1434 Filter, tapez la commande suivante :
    ipsecpol -p "Block UDP 1434 Filter" -w REG -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK

Ajout d'une stratégie de blocage dynamique pour un protocole et un port spécifiques

Ordinateurs Windows Server 2003 et Windows XP

Vous devrez peut-être bloquer temporairement l'accès à un port spécifique. Par exemple, vous devez bloquer temporairement un port spécifique jusqu'à l'installation d'un correctif, ou si une stratégie IPSec de domaine est déjà affectée à l'ordinateur. Pour bloquer temporairement l'accès à un port sur un ordinateur Windows Server 2003 ou Windows XP à l'aide d'une stratégie IPSec, procédez comme suit :
  1. Installez IPSeccmd.exe. IPSeccmd.exe fait partie des outils de support du Service Pack 2 Windows XP.

    Remarque L'outil IPSeccmd.exe fonctionnera sur les systèmes d'exploitation Windows XP et Windows Server 2003, mais n'est disponible que dans le package d'outils de support du SP2 Windows XP.

    Pour plus d'informations sur la façon de télécharger et d'installer des Outils de support de Windows XP Service Pack 2, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    838079 Outils de support du Service Pack 2 Windows XP
  2. Pour ajouter un filtre BLOCK dynamique qui bloque tous les paquets d'une adresse IP quelconque vers l'adresse IP et le port ciblé de votre système, tapez le code ci-dessous à une invite de commandes.

    Remarque Dans cette commande, protocole et numéro_port sont des variables.
    IPSeccmd.exe -f [*=0:numéro_port:protocole]
    Remarque Cette commande crée le filtre de blocage de façon dynamique. La stratégie reste affectée tant que le service Agent de stratégie IPSec est en cours d'exécution. Si le service Agent de stratégie IPSec ou l'ordinateur sont redémarrés, cette stratégie est perdue. Si vous voulez réaffecter dynamiquement la règle de filtrage IPSec à chaque redémarrage du système, créez un script de démarrage qui applique à nouveau la règle de filtrage. Si vous souhaitez appliquer ce filtre en permanence, configurez-le en tant que stratégie IPSec statique. Le composant logiciel enfichable MMC Gestion des stratégies de sécurité IP fournit une interface graphique utilisateur permettant de gérer la configuration des stratégies IPSec. Si une stratégie IPSec de domaine est déjà appliquée, il est possible que la commande netdiag /test:ipsec /debug n'indique les détails du filtre que si elle est exécutée par un utilisateur disposant d'informations d'identification d'administrateur de domaine.

Ordinateurs Windows 2000

Vous pourrez en certaines circonstances être amené à bloquer temporairement un port spécifique (par exemple, jusqu'à l'installation d'un correctif, ou si une stratégie IPSec de domaine est déjà affectée à l'ordinateur). Pour bloquer temporairement l'accès à un port sur un ordinateur Windows 2000 à l'aide d'une stratégie IPSec, procédez comme suit :
  1. Reportez-vous au site Web de Microsoft à l'adresse suivante pour télécharger et installer Ipsecpol.exe :
    http://support.microsoft.com/kb/927229
  2. Pour ajouter un filtre BLOCK dynamique qui bloque tous les paquets d'une adresse IP quelconque vers l'adresse IP et le port ciblé de votre système, tapez le code suivant à une invite de commandes, où protocole et numéro_port sont des variables :
    ipsecpol -f [*=0:numéro_port:protocole]
    Remarque Cette commande crée le filtre de blocage de manière dynamique ; la stratégie restera affectée tant que le service Agent de stratégie IPSec est en cours d'exécution. Si le service IPSec ou l'ordinateur sont redémarrés, ce paramétrage sera perdu. Si vous voulez réaffecter dynamiquement la règle de filtrage IPSec à chaque redémarrage du système, créez un script de démarrage qui applique à nouveau la règle de filtrage. Si vous souhaitez appliquer ce filtre en permanence, configurez-le en tant que stratégie IPSec statique. Le composant logiciel enfichable MMC Gestion des stratégies de sécurité IP fournit une interface graphique utilisateur permettant de gérer la configuration des stratégies IPSec. Si une stratégie IPSec de domaine est déjà appliquée, il est possible que la commande netdiag /test:ipsec /debug n'indique les détails du filtre que si elle est exécutée par un utilisateur disposant d'informations d'identification d'administrateur de domaine. Une version mise à jour de Netdiag.exe disponible dans le Service Pack 4 Windows 2000 permettra aux administrateurs locaux d'afficher la stratégie IPSec de domaine.

Règles de filtrage IPSec et stratégie de groupe

Pour les environnements dans lesquels les stratégies IPSec sont affectées par un paramètre de stratégie de groupe, vous devez mettre à jour l'ensemble de la stratégie de domaine pour bloquer le protocole et le port spécifiques. Après avoir correctement configuré les paramètres IPSec de la stratégie de groupe, vous devez forcer l'actualisation des paramètres de la stratégie de groupe sur tous les ordinateurs Windows Server 2003, Windows XP et Windows 2000 du domaine. Pour cela, utilisez la commande suivante :
secedit /refreshpolicy machine_policy
La modification de la stratégie IPSec sera détectée selon l'un des deux modes d'interrogation ci-après. Pour une stratégie IPSec récemment affectée appliquée à un objet de stratégie de groupe, la stratégie IPSec sera appliquée aux clients dans l'intervalle défini comme fréquence d'interrogation de la stratégie de groupe ou lorsque la commande secedit /refreshpolicy machine_policy sera exécutée sur les ordinateurs clients. Si la stratégie IPSec est déjà affectée à un objet de stratégie de groupe et que vous ajoutez de nouveaux filtres ou de nouvelles règles IPSec à une stratégie existante, la commande secedit ne permettra pas à IPSec de reconnaître les modifications. Dans ce scénario, les modifications apportées à une stratégie IPSec existante basée sur des objets de stratégie de groupe seront détectées selon la fréquence d'interrogation de cette stratégie IPSec. Cette fréquence d'interrogation est spécifiée sous l'onglet Général de cette stratégie IPSec. Vous pouvez également forcer une actualisation des paramètres de la stratégie IPSec en redémarrant le service Agent de stratégie IPSec. Si le service IPSec est arrêté ou redémarré, les communications sécurisées par IPSec seront interrompues et prendront plusieurs secondes pour reprendre. Cela peut provoquer l'arrêt de connexions de programmes, en particulier dans le cas de connexions qui transfèrent activement de grands volumes de données. Dans les situations dans lesquelles la stratégie IPSec est appliquée seulement sur l'ordinateur local, vous n'avez pas à redémarrer le service.

Annulation de l'affectation et suppression d'une stratégie IPSec

Ordinateurs Windows Server 2003 et Windows XP

  • Ordinateurs disposant d'une stratégie statique définie localement
    1. Ouvrez une invite de commandes et définissez comme dossier de travail celui dans lequel vous avez installé Ipsecpol.exe.
    2. Pour annuler l'affectation du filtre créé antérieurement, utilisez la commande suivante :
      IPSeccmd.exe -w REG -p "Block protocolenuméro_port Filter" ?y
      Pae exemple, pour annuler l'affectation du bloc UDP 1434 Filter créé antérieurement, utilisez la commande suivante :
      IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -y
    3. Pour supprimer le filtre créé, utilisez la commande suivante :
      IPSeccmd.exe -w REG -p "Block protocolenuméro_port Filter" -r "Block protocolenuméro_port Rule" ?o
      Par exemple, pour supprimer le filtre « Block UDP 1434 Filter » et les deux règles que vous avez créées, utilisez la commande suivante :
      IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -r "Block Outbound UDP 1434 Rule" -o
  • Ordinateurs disposant d'une stratégie dynamique définie localement
    L'application de la stratégie IPSec dynamique est annulée si le service Agent de stratégie IPSec est arrêté à l'aide de la commande net stop policyagent. Pour supprimer les commandes spécifiques qui ont été utilisées sans arrêter le service Agent de stratégie IPSec, procédez comme suit :
    1. Ouvrez une invite de commandes et définissez comme dossier de travail celui dans lequel vous avez installé les outils de support du Service Pack 2 Windows XP.
    2. Tapez la commande suivante :
      IPSeccmd.exe ?u
      Remarque Vous pouvez également redémarrer le service Agent de stratégie IPSec pour désactiver toutes les stratégies affectées de manière dynamique.

Ordinateurs Windows 2000

  • Ordinateurs disposant d'une stratégie statique définie localement
    1. Ouvrez une invite de commandes et définissez comme dossier de travail celui dans lequel vous avez installé Ipsecpol.exe.
    2. Pour annuler l'affectation du filtre créé antérieurement, utilisez la commande suivante :
      ipsecpol -w REG -p "Block protocolenuméro_port Filter" ?y
      Pae exemple, pour annuler l'affectation du bloc UDP 1434 Filter créé antérieurement, utilisez la commande suivante :
      ipsecpol -w REG -p "Block UDP 1434 Filter" -y
    3. Pour supprimer le filtre créé, utilisez la commande suivante :
      ipsecpol -w REG -p "Block protocolenuméro_port Filter" -r "Block protocolenuméro_port Rule" ?o
      Par exemple, pour supprimer le filtre « Block UDP 1434 Filter » et les deux règles créées antérieurement, utilisez la commande suivante :
      ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -r "Block Outbound UDP 1434 Rule" -o
  • Ordinateurs disposant d'une stratégie dynamique définie localement

    L'application de la stratégie IPSec dynamique sera annulée si le service Agent de stratégie IPSec est arrêté (à l'aide de la commande net stop policyagent). Toutefois, pour supprimer les commandes spécifiques utilisées précédemment sans arrêter le service Agent de stratégie IPSec, procédez comme suit :
    1. Ouvrez une invite de commandes et définissez comme dossier de travail celui dans lequel vous avez installé Ipsecpol.exe.
    2. Tapez la commande suivante :
      Ipsecpol ?u
      Remarque Vous pouvez également redémarrer le service Agent de stratégie IPSec pour désactiver toutes les stratégies affectées de manière dynamique.

Application de votre nouvelle règle de filtrage à tous les protocoles et ports

Par défaut dans Microsoft Windows 2000 et Microsoft Windows XP, IPSec dispense le trafic de diffusion, de multidiffusion et des protocoles RSVP, IKE et Kerberos de toute restriction de filtrage et d'authentification. Pour plus d'informations sur ces dispenses, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
253169 Trafic pouvant ou non être sécurisé par IPSec
Lorsqu'IPSec est utilisé uniquement pour autoriser et bloquer le trafic, supprimez les dispenses relatives aux protocoles Kerberos et RSVP en modifiant une valeur du Registre. Pour obtenir des instructions détaillées sur la façon de procéder, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
254728 Trafic Kerberos entre les contrôleurs de domaine non sécurisé par IPSec
À l'aide de ces instructions, vous pouvez renforcer la protection du port UDP 1434 même dans les cas où des intrus définissent les ports Kerberos TCP/UDP 88 comme port source. Lorsque vous supprimez les dispenses Kerberos, les paquets Kerberos sont sécurisés par tous les filtres de la stratégie IPSec. Par conséquent, le trafic Kerberos peut être sécurisé dans le cadre d'une stratégie IPSec, bloqué ou autorisé. Par conséquent, si les filtres IPSec filtrent le trafic Kerberos vers les adresses IP du contrôleur de domaine, vous devrez peut-être modifier votre stratégie IPSec pour ajouter de nouveaux filtres autorisant le trafic Kerberos vers chacune des adresses IP du contrôleur de domaine (si vous n'utilisez pas IPSec pour sécuriser tout le trafic entre les contrôleurs de domaine comme décrit dans l'article 254728 de la Base de Connaissances).

Application des règles de filtrage IPSec au redémarrage de l'ordinateur

Toutes les stratégies IPSec dépendent du service Agent de stratégie IPSec pour leur affectation. Lors du démarrage d'un ordinateur Windows 2000, le service Agent de stratégie IPSec n'est pas nécessairement le premier service à démarrer. Il peut donc y avoir un bref moment pendant lequel la connexion réseau de l'ordinateur est vulnérable à des attaques de virus ou de vers informatiques. Cette situation ne se présente que si un service potentiellement vulnérable démarre et accepte la connexion avant que le service Agent de stratégie IPSec ait complètement démarré et affecté toutes les stratégies.

Propriétés

Numéro d'article: 813878 - Dernière mise à jour: vendredi 23 mars 2007 - Version: 6.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Édition familiale
  • Microsoft Windows XP Professional
Mots-clés : 
kbhowto KB813878
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com