Dépannage des paramètres du Pare-feu Windows dans Windows XP Service Pack 2 pour les utilisateurs expérimentés

Traductions disponibles Traductions disponibles
Numéro d'article: 875357 - Voir les produits auxquels s'applique cet article
Avertissement
Cet article est destiné aux utilisateurs expérimentés. Si vous ne maîtrisez pas le dépannage avancé, vous pouvez demander à un utilisateur plus expérimenté de vous aider ou vous pouvez contacter le support technique. Pour plus d'informations sur la procédure à suivre, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://support.microsoft.com/contactus/?ln=fr
Agrandir tout | Réduire tout

Sommaire

Résumé

Le Pare-feu Microsoft Windows est le logiciel de pare-feu mis à jour de Windows XP Service Pack 2 (SP2) ; il remplace le Pare-feu de connexion Internet (ICF, Internet Connection Firewall). Si le Pare-feu Microsoft Windows bloque un port qui est déjà utilisé par un service ou un programme, vous pouvez définir une exception dans le Pare-feu Windows. Il se peut que le Pare-feu Windows bloque un programme ou un service si les conditions suivantes sont vérifiées :
  • Le programme ne répond pas à une demande du client.
  • Les programmes clients ne reçoivent pas de données du serveur.
Une alerte de sécurité du Pare-feu Windows vous prévient que le Pare-feu Windows bloque un programme particulier. Dans ce cas-là, il suffit de sélectionner l'option Débloquer ce programme de la boîte de dialogue Alerte de sécurité. Pour définir les programmes et les ports bloqués, vous pouvez configurer la journalisation des paquets ignorés dans le Pare-feu Windows. Avec Windows Firewall Netsh Helper, vous pouvez configurer le Pare-feu Windows et la journalisation dans le Pare-feu à l'invite de commande. Il ne s'agit pas toujours d'un problème de compatibilité du programme. Les paramètres de stratégie de groupe peuvent également bloquer des programmes. Windows XP Service Pack 2 (SP2) comporte plusieurs utilitaires permettant de résoudre des problèmes liés au Pare-feu Windows.

INTRODUCTION

Pour résoudre les problèmes de blocage liés à un pare-feu, la meilleure solution consiste à configurer les programmes pour qu'ils acceptent les pare-feu de filtrage avec état. Faute de pouvoir modifier un programme, vous pouvez ajouter des exceptions de ports et de programmes dans le Pare-feu Windows. Cet article indique les symptômes liés à la configuration par défaut du pare-feu de Windows XP Service Pack 2, explique comment configurer les exceptions de ports et de programmes et comment exécuter certaines méthodes de dépannage pour les paramètres du pare-feu.

Plus d'informations

Les problèmes liés à la configuration par défaut du pare-feu sont de deux types : Les programmes clients ne reçoivent aucune donnée du serveur. Les applications serveur qui fonctionnent sur un ordinateur exécutant le Service Pack 2 Windows XP sont susceptibles de ne pas répondre à des demandes de clients.
Si un programme est bloqué, vous recevrez éventuellement une alerte de sécurité du Pare-feu Windows :
Réduire cette imageAgrandir cette image
2868008
Pour plus d'informations concernant ces symptômes et la procédure de dépannage avancé permettant de résoudre le problème, reportez-vous à la section Dépannage avancé.

Configuration du Pare-feu Windows à l'aide de l'alerte de sécurité du pare-feu

Pour débloquer le programme, cliquez sur Débloquer dans la boîte de dialogue Alerte de sécurité.

Configuration du Pare-feu Windows à l'aide du Centre de sécurité Windows

Ajout d'une exception de programme

Lorsque vous ajoutez un programme dans la liste des exceptions, vous autorisez le pare-feu à ouvrir des plages de ports susceptibles de changer à chaque exécution du programme. Pour ajouter une exception de programme, procédez comme suit :
  1. Ouvrez une session sur un compte d'administrateur.
  2. Cliquez sur Démarrer, puis sur Exécuter. Tapez wscui.cpl, puis cliquez sur OK.
  3. Dans le Centre de sécurité Windows, cliquez sur Pare-feu Windows.
  4. Sous l'onglet Exceptions, cliquez sur Ajouter un programme.
  5. Dans la liste des programmes, cliquez sur le programme que vous souhaitez ajouter, puis cliquez sur OK. Si le nom de votre programme ne figure pas dans la liste, cliquez sur Parcourir pour le rechercher et cliquez sur OK. Remarque Si vous ne savez pas où se trouve le programme en question, contactez le fournisseur et demandez-lui l'emplacement de son programme.

    Pour plus d'informations sur le fabricant de votre matériel, visitez le site Web suivant :
    http://support.microsoft.com/gp/vendors/fr
  6. Cliquez sur OK.
  7. Testez le programme pour vérifier que les paramètres du pare-feu sont corrects.
Si vous rencontrez encore des problèmes, vous pouvez demander à d'autres utilisateurs de vous aider ou vous pouvez contacter le support technique. Pour plus d'informations sur la procédure à suivre, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://support.Microsoft.com/contactus

Dépannage avancé

Cette section est destinée aux utilisateurs expérimentés. Si vous ne maîtrisez pas le dépannage avancé, vous pouvez demander à un utilisateur plus expérimenté de vous aider ou vous pouvez contacter le support technique. Pour plus d'informations sur la procédure à suivre, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://support.Microsoft.com/contactus

Identification des symptômes

Les problèmes liés à la configuration du pare-feu par défaut se manifestent de deux manières :
  • Les programmes clients ne reçoivent aucune donnée du serveur. Il se peut par exemple que les programmes client suivants ne reçoivent aucune donnée :
    • un client FTP ;
    • un logiciel de transmission multimédia en continu ;
    • des notifications de nouveau courrier dans certains programmes de messagerie.
  • Les applications serveur qui fonctionnent sur un ordinateur exécutant le Service Pack 2 Windows XP peuvent ne pas répondre à des demandes de clients. Il se peut, par exemple, que les programmes serveur suivants ne répondent pas :
    • un programme serveur Web, comme les services Internet (IIS) ;
    • Bureau à distance :
    • Partage de fichiers.
    Remarques
    • Les problèmes rencontrés avec les programmes de réseau ne sont pas toujours liés aux pare-feu. Ils peuvent être causés par la modification des règles de sécurité RPC ou DCOM. Il faut donc savoir si le problème s'accompagne d'une alerte de sécurité du Pare-feu Windows indiquant qu'un programme est bloqué.
    • Les problèmes liés aux services ne déclenchent pas une alerte de sécurité du Pare-feu Windows car les services ne sont généralement pas associés à une ouverture de session utilisateur. Si le problème est lié à un service, vous devez configurer le pare-feu conformément au paragraphe « Configuration du Pare-feu Windows avec le Centre de sécurité Windows ».

Ajout d'une exception de port

Si l'ajout d'un programme dans la liste des exceptions ne résout pas le problème, essayez d'ajouter des ports manuellement. Pour cela, vous devez d'abord rechercher les ports utilisés par le programme. Le mieux est de contacter le fournisseur. Si vous ne pouvez pas contacter le fournisseur ou si vous ne disposez pas de la liste des ports, essayez d'utiliser l'outil Netstat.exe pour identifier les ports utilisés.
Identification des ports
  1. Démarrez le programme et essayez d'utiliser ses fonctionnalités réseau. Par exemple, avec un programme multimédia, essayez de lancer un flux audio. Avec un serveur Web, essayez de démarrer le service.
  2. Cliquez sur Démarrer, sur Exécuter, tapez cmd, puis cliquez sur OK.
  3. À l'invite de commande, tapez netstat ?ano > netstat.txt, puis appuyez sur ENTRÉE. Cette commande permet de créer le fichier Netstat.txt. Ce fichier répertorie tous les ports d'écoute.

    Réduire cette imageAgrandir cette image
    2868009


  4. À l'invite de commande, tapez tasklist > tasklist.txt et appuyez sur ENTRÉE. Si le programme en question s'exécute en tant que service, tapez tasklist /svc > tasklist.txt au lieu de tasklist > tasklist.txt pour répertorier les services qui sont chargés dans chaque processus.

    Réduire cette imageAgrandir cette image
    2868010


    Réduire cette imageAgrandir cette image
    2868012


  5. Ouvrez le fichier Tasklist.txt et recherchez le programme qui pose problème. Notez par écrit l'identificateur du processus et ouvrez le fichier Netstat.txt. Notez les entrées associées à l'identificateur de processus, ainsi que le protocole utilisé.

    Réduire cette imageAgrandir cette image
    2868013
Si les numéros de port du processus sont inférieurs à 1024, ils ne varieront probablement pas. Si les numéros utilisés sont égaux ou supérieurs à 1024, il se peut que le programme utilise une plage de ports. Il se peut, par conséquent, que vous ne puissiez résoudre le problème en ouvrant individuellement des ports.

Ajout de l'exception de port
  1. Cliquez sur Démarrer, puis sur Exécuter. Tapez wscui.cpl, puis cliquez sur OK.
  2. Dans le Centre de sécurité Windows, cliquez sur Pare-feu Windows.

    Réduire cette imageAgrandir cette image
    2868014


  3. Cliquez sur l'onglet Exceptions, puis cliquez sur Ajouter un port pour afficher la boîte de dialogue Ajouter un port.

    Réduire cette imageAgrandir cette image
    2868015


  4. Tapez un nom descriptif pour l'exception de port et le numéro de port que votre programme utilise, puis sélectionnez le protocole TCP ou UDP.

    Réduire cette imageAgrandir cette image
    2868016


  5. Cliquez sur Modifier l'étendue.

    Réduire cette imageAgrandir cette image
    2868017
  6. Affichez ou définissez l'étendue pour l'exception du port, puis cliquez sur OK.

    Réduire cette imageAgrandir cette image
    2868018


  7. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un port.

    Réduire cette imageAgrandir cette image
    2868019


  8. Testez le programme pour vérifier que les paramètres du port conviennent à votre programme.

Utilisation de la journalisation

Vous pouvez activer la journalisation de manière à pouvoir retrouver la source du trafic entrant et les détails sur le trafic bloqué. %Windir%\pfirewall.log est le fichier journal par défaut. Pour activer la journalisation, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, tapez firewall.cpl, puis cliquez sur OK.
  2. Cliquez sur l'onglet Avancé.

    Réduire cette imageAgrandir cette image
    2868020


  3. Dans la zone Journal de sécurité, cliquez sur Paramètres.

    Réduire cette imageAgrandir cette image
    2868021


  4. Activez la case à cocher Enregistrer les paquets ignorés, puis cliquez sur OK.

    Réduire cette imageAgrandir cette image
    2868022


  5. Cliquez sur OK.

    Réduire cette imageAgrandir cette image
    2868023

Remarque Les opérations sortantes effectuées normalement ne sont pas enregistrées. Le trafic sortant non bloqué n'est pas enregistré dans le journal.


Interprétation du fichier journal
Les informations suivantes tirées du journal sont recueillies pour chaque paquet enregistré :

Réduire ce tableauAgrandir ce tableau
ChampsDescriptionExemple
DateAffiche l'année, le mois et la date de la transaction enregistrée. Les dates sont enregistrées au format AAAA-MM-JJ, où AAAA est l'année, MM le mois et JJ le jour.2001-01-27
HeureAffiche l'heure, les minutes et les secondes de la transaction enregistrée. Les heures sont enregistrées au format suivant : HH:MM:SS, où HH représente les heures (sur 24 heures), MM, les minutes et SS, les secondes.21:36:59
ActionIndique l'opération exécutée par le pare-feu. Les options du pare-feu sont OUVERT, FERMÉ, IGNORER et INFO-ÉVÉNEMENTS-PERDUS. INFO-ÉVÉNEMENTS-PERDUS indique le nombre d'événements qui se sont produits mais qui n'ont pas été enregistrés dans le journal.OUVERT
ProtocoleIndique le protocole utilisé pour la communication. Le protocole peut également être exprimé en nombre de paquets n'utilisant pas TCP, UDP ou ICMP.TCP
src-ipIndique l'adresse IP source ou l'adresse IP de l'ordinateur essayant d'établir les communications.192.168.0.1
dst-ipIndique l'adresse IP du destinataire de la communication.192.168.0.1
src-portIndique le numéro du port source de l'ordinateur émetteur. Les entrées src-port sont des nombres entiers compris entre 1 et 65 535. Seuls TCP et UDP affichent une entrée src-port correcte. Les autres protocoles indiquent - pour l'entrée src-port.4039
dst-portIndique le numéro du port de l'ordinateur du destinataire. Les entrées dst-port sont des nombres entiers compris entre 1 et 65 535. Seuls TCP et UDP affichent une entrée dst-port correcte. Les autres protocoles affichent - pour l'entrée dst-port.53
TailleIndique la taille des paquets en octets.60
tcpflagsIndique les indicateurs de contrôle TCP se trouvant dans l'en-tête TCP d'un paquet IP :
  • Ack Champ Accusé de réception significatif
  • Fin Plus aucune donnée de l'expéditeur
  • Psh Fonction Push
  • Rst Réinitialiser la connexion
  • Syn Synchroniser les numéros de séquence
  • Urg Champ Pointeur d'urgence significatif
Les indicateurs sont signalés en majuscules.
AFP
tcpsynIndique le numéro de séquence TCP du paquet.1315819770
tcpackIndique le numéro d'accusé de réception TCP du paquet.0
tcpwinIndique la taille de la fenêtre TCP en octets.64240
icmptypeIndique un nombre représentant le champ Type du message ICMP.8
icmpcodeIndique un nombre représentant le champ Code du message ICMP.0
InfoIndique une entrée information dépendant du type d'action effectuée. Par exemple, une action INFO-ÉVÉNEMENTS-PERDUS crée une entrée pour le nombre d'événements qui se sont produits mais n'ont pas été enregistrés dans le journal depuis la dernière occurrence de ce type d'événement.23

Remarque Un tiret (-) figure dans les champs pour lesquels aucune entrée n'est disponible.

Utilisation du support de ligne de commandes

Windows Firewall Netsh Helper a été ajouté à Windows XP dans le pack Microsoft Advanced Networking. Cette application d'assistance pour ligne de commande s'appliquait auparavant au Pare-feu Windows IPv6. Avec le Service Pack 2 Windows XP, l'application d'assistance prend désormais en charge la configuration du pare-feu IPv4.

Avec Netsh Helper, vous pouvez désormais :
  • Configurer l'état standard du Pare-feu Windows. (Inactif, Activé et Activé sans exceptions.)
  • Configurer les ports devant être ouverts.
  • Configurer les ports pour permettre un accès global ou pour limiter l'accès au sous-réseau local.
  • Définir les ports à ouvrir sur toutes les interfaces ou sur une interface spécifique.
  • Configurer les options de connexion.
  • Configurer les options de traitement du protocole ICMP.
  • Ajouter ou supprimer des programmes dans la liste des exceptions.
Ces options de configuration s'appliquent aux Pare-feu Windows IPv4 et IPv6 sauf si une fonctionnalité spécifique n'existe pas dans la version concernée.
Recueil de données de diagnostique
L'outil Netsh.exe permet de recueillir des informations sur la configuration et l'état du Pare-feu Windows à partir de la ligne de commandes. Cet outil ajoute la prise en charge du pare-feu IPv4 au contexte Netsh suivant :
netsh firewall
Pour utiliser ce contexte, tapez netsh firewall à l'invite de commande et utilisez les commandes Netsh en fonction des besoins. Les commandes suivantes permettent de recueillir des informations sur l'état et la configuration du pare-feu :
  • Netsh firewall show state
  • Netsh firewall show config

Comparez le résultat de ces commandes au résultat de la commande netstat ?ano pour identifier les programmes pouvant avoir des ports d'écoute ouverts sans exceptions dans la configuration du pare-feu. Les commandes de recueil de données et de configuration compatibles figurent dans les tableaux ci-dessous.

Remarque Seul un administrateur peut modifier les paramètres.

Recueil de données
Réduire ce tableauAgrandir ce tableau
CommandeDescription
show allowedprogramIndique les programmes autorisés.
show configIndique la configuration locale en détail.
show currentprofileIndique le profil.
show icmpsettingIndique les paramètres ICMP.
show loggingIndique les paramètres de connexion.
show opmodeIndique le mode d'opération.
show portopeningIndique les ports avec exceptions.
show serviceIndique les services.
show stateIndique les informations sur l'état.
show notificationsIndique les paramètres des notifications.

Configuration
Réduire ce tableauAgrandir ce tableau
CommandeDescription
add allowedprogramPermet d'ajouter du trafic avec exception en précisant le nom de fichier du programme.
set allowedprogramPermet de modifier les paramètres d'un programme autorisé.
delete allowedprogramPermet de supprimer un programme autorisé.
set icmpsettingPermet de préciser le trafic ICMP autorisé.
set loggingPermet de préciser les options de connexion du Pare-feu Windows, globalement ou pour une connexion spécifique (interface).
set opmodePermet de préciser le mode d'opération du Pare-feu Windows, globalement ou pour une connexion spécifique (interface).
add portopeningPermet d'ajouter un trafic avec exception en précisant un port TCP ou UDP.
set portopeningPermet de modifier les paramètres d'un port TCP ou UDP ouvert.
delete portopeningPermet de supprimer un port TCP ou UDP ouvert.
set servicePour activer ou ignorer le trafic RPC et DCOM, le partage de fichiers et d'imprimantes et le trafic UPnP.
set notificationsPermet de préciser si les notifications à l'utilisateur, lorsque les programmes essaient d'ouvrir les ports, sont activées.
resetRétablit la configuration standard du pare-feu. Cette fonction est équivalente au bouton Paramètres par défaut de l'interface du Pare-feu Windows.

Résolution des problèmes liés au pare-feu

Le Pare-feu Windows ne présente pas uniquement des problèmes de compatibilité. Procédez comme suit pour diagnostiquer les autres problèmes :
  1. Pour vérifier que le protocole TCP/IP fonctionne correctement, utilisez la commande ping pour tester l'adresse de boucle de rappel (127.0.0.1) et l'adresse IP associée.
  2. Vérifiez si le pare-feu a été désactivé intentionnellement ou réglé sur Activé sans exceptions dans la configuration de l'interface utilisateur.
  3. Utilisez les commandes netsh pour rechercher les informations sur l'état et la configuration qui indiqueraient des paramètres involontaires compromettant le fonctionnement souhaité.
  4. Définissez l'état du service Pare-feu Windows / Partage de connexion Internet en tapant à l'invite de commande : sc query sharedaccess (Le nom abrégé du service est SharedAccess.) Réglez le problème du démarrage du service en fonction du code de sortie Win32 s'il ne démarre pas.
  5. Définissez l'état du pilote de pare-feu Ipnat.sys en tapant à l'invite de commande :
    sc query ipnat
    Cette commande renvoie également le code de sortie Win32 de la dernière tentative de démarrage. Si le pilote ne démarre pas, procédez comme avec un autre pilote.
  6. Si le pilote et le service fonctionnent et qu'il n'y a aucune erreur associée dans les journaux d'événements, utilisez l'option Paramètres par défaut de l'onglet Avancé des propriétés du Pare-feu Windows pour résoudre des problèmes de configuration potentiels.
  7. Si le problème persiste, vérifiez si des paramètres de stratégie ne compromettent pas le fonctionnement. Pour cela, tapez GPResult /v > gpresult.txt à l'invite de commande et vérifiez si le fichier texte que vous obtenez comporte des stratégies configurées liées au pare-feu.

Configuration de la stratégie de groupe du Pare-feu Windows

Contactez l'administrateur réseau pour savoir si un paramètre de stratégie de groupe compromet le fonctionnement des programmes et des scénarios dans un environnement professionnel.

Les paramètres de stratégie de groupe du Pare-feu Windows se trouvent dans les chemins des composants Éditeur d'objets de stratégie de groupe suivants :
  • Configuration ordinateur/Modèles d'administration/Réseau/Connexions réseau/Pare-feu Windows
  • Configuration ordinateur/Modèles d'administration/Réseau/Connexions réseau/Pare-feu Windows/Profil du domaine
  • Configuration ordinateur/Modèles d'administration/Réseau/Connexions réseau/Pare-feu Windows/Profil standard

Dans ces emplacements, vous pouvez configurer les paramètres de stratégie de groupe suivants :
  • Pare-feu Windows : autoriser le contournement de la sécurité du protocole Internet (IPSec) authentifiée.
  • Pare-feu Windows : protéger toutes les connexions réseau.
  • Pare-feu Windows : n'autoriser aucune exception.
  • Pare-feu Windows : définir les exceptions de programmes.
  • Pare-feu Windows : autoriser les exceptions de programmes locaux.
  • Pare-feu Windows : autoriser l'exception d'administration à distance.
  • Pare-feu Windows : autoriser l'exception de partage de fichiers et d'imprimantes.
  • Pare-feu Windows : autoriser les exceptions ICMP.
  • Pare-feu Windows : autoriser l'exception du Bureau à distance.
  • Pare-feu Windows : autoriser l'exception d'infrastructure UPnP.
  • Pare-feu Windows : empêcher les notifications.
  • Pare-feu Windows : autoriser la journalisation.
  • Pare-feu Windows : empêcher les réponses monodiffusion pour des requêtes multidiffusion ou diffusion.
  • Pare-feu Windows : définir les exceptions de ports.
  • Pare-feu Windows : autoriser les exceptions de ports locaux.

Pour plus d'informations sur les paramètres des stratégies de groupe du Pare-feu Windows, téléchargez le livre blanc :
Déploiement des paramètres du Pare-feu Windows de Microsoft Windows XP avec Service Pack 2

Références

843090 Description de la fonction Pare-feu Windows dans le Service Pack 2 Windows XP
892199 Certains modèles d'administration du Guide de sécurité Windows XP peuvent vous empêcher de démarrer le service Pare-feu Windows dans Windows XP Service Pack 2
920074 Impossible de démarrer le service Pare-feu Windows dans Microsoft Windows XP SP2
886257 Impact du Pare-feu Windows sur l'infrastructure UPnP dans Windows XP Service Pack 2

Si ces articles ne vous aident pas à résoudre le problème ou si vous rencontrez des symptômes différents de ceux décrits dans cet article, effectuez une recherche dans la Base de connaissances Microsoft pour plus d'informations. Pour effectuer une recherche dans la Base de connaissances Microsoft, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://support.microsoft.com/?ln=fr
Tapez ensuite le texte du message d'erreur que vous avez reçu ou une description du problème dans le champ Rechercher du support technique (KB).

Propriétés

Numéro d'article: 875357 - Dernière mise à jour: mardi 2 juillet 2013 - Version: 4.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Édition familiale
Mots-clés : 
kbresolve kbgraphxlink kbnomt kbscreenshot kbtshoot kbhowtomaster KB875357
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com