Règles de sécurité pour le pare-feu Windows et pour les connexions IPsec dans Windows Vista et dans Windows Server 2008

Traductions disponibles Traductions disponibles
Numéro d'article: 942957 - Voir les produits auxquels s'applique cet article
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Cet article aborde les thèmes suivants :
  • règles de sécurité pour le pare-feu Windows dans Windows Vista ;
  • règles de sécurité pour les connexions IPsec dans Windows Vista et dans Windows Server 2008.
  • procédure pour établir une connexion chiffrée entre Windows Vista et Windows XP ou entre Windows Vista et Windows Server 2003.

Plus d'informations

Dans Windows Vista, les nouvelles règles de sécurité du pare-feu Windows et de la connexion IPsec sont totalement intégrées à la stratégie de groupe. Par conséquent, les paramètres de prise en charge fusionnent, et le comportement est délégué de la même manière que dans les autres paramètres de stratégie de groupe.

Règles de sécurité pour le pare-feu Windows dans Windows Vista

Le composant logiciel enfichable MMC (Microsoft Management Console) « Pare-feu Windows avec fonctions avancées de sécurité » prend en charge les types de règles de sécurité suivants.

Remarque La liste des règles de sécurité du pare-feu Windows et la liste des règles de sécurité de connexion sont fusionnées à partir de tous les paramètres de stratégie de groupe applicables. Ces règles de sécurité sont ensuite traitées dans l'ordre suivant. L'ordre suivant est toujours mis en ?uvre, quelle que soit la source des règles de sécurité.
  • Règle de sécurisation renforcée du service Windows
    La règle de sécurisation renforcée du service Windows empêche des services d'établir des connexions. Les restrictions de service sont configurées de telle manière que les services Windows peuvent uniquement communiquer d'une manière spécifique. Par exemple, vous pouvez restreindre le trafic via un port spécifique. Toutefois, tant qu'une règle de pare-feu n'est pas créée, le trafic n'est pas autorisé.
  • Règle de sécurité de connexion
    La règle de sécurité de connexion définit comment et quand les ordinateurs sont authentifiés à l'aide de la fonctionnalité IPsec. Des règle de sécurité de connexion sont utilisées pour définir une isolation de serveur et de domaine. Les règles de sécurité de connexion sont également utilisées pour mettre en ?uvre la stratégie Protection d'accès réseau.
  • Règle de contournement authentifiée
    La règle de contournement authentifiée permet à certains ordinateurs d'être connectés si le trafic est protégé à l'aide de la fonctionnalité IPsec quelles que soient les autres règles entrantes. Les ordinateurs spécifiés peuvent contourner les règles entrantes qui bloquent le trafic. Par exemple, vous pouvez activer l'administration à distance de pare-feu à partir de certains ordinateurs en créant uniquement des règles de contournement authentifiées pour ces ordinateurs. Vous pouvez également activer la prise en charge d'une assistance à distance en appelant le support technique.
  • Règle de blocage
    La règle de blocage bloque de manière explicite un certain type de trafic entrant ou un certain type de trafic sortant.
  • Règle d'autorisation
    La règle d'autorisation autorise de manière explicite certains types de trafic entrant ou certains types de trafic sortant.
  • Règle par défaut
    La règle par défaut est configurée de telle manière que la règle entrante par défaut bloque les connexions, et la règle sortante par défaut autorise les connexions.

Règles de sécurité pour les connexions IPsec dans Windows Vista et dans Windows Server 2008

Les deux types de règles IPsec suivants sont appliqués à un ordinateur Windows Vista ou Windows Server 2008 :
  • Règles IPsec
    Des règles IPsec antérieures sont actuellement déployées dans Windows 2000 et dans Windows Server 2003. Ces règles sont gérées par le service Agent de stratégie. Ces règles IPsec sont des règles IKE (Internet Key Exchange) qui prennent en charge uniquement l'authentification Kerberos ordinateur, les certificats x.509 ou l'authentification par clé pré-partagée. Ces règles IPsec sont configurées dans le composant logiciel enfichable MMC « Gestion de la stratégie de sécurité du protocole IP ». Les règles Agent de stratégie basées sur IKE sont appliquées de la même façon que dans Windows 2000 et dans Windows Server 2003. Bien que plusieurs stratégies puissent être appliquées à un ordinateur donné, seule la dernière stratégie appliquée aboutit. Il s'agit de la méthode selon laquelle « le dernier qui écrit gagne ». En outre, il n'est pas possible de fusionner les paramètres de stratégie IKE.
  • Règles de sécurité de connexion
    Les règles de sécurité de connexion sont uniquement prises en charge dans Windows Vista et dans Windows Server 2008. La prise en charge est assurée par une extension de IKE appelée protocole AuthIP (Authenticated Internet Protocol). AuthIP ajoute la prise en charge des mécanismes d'authentification suivants :
    • informations d'identification Kerberos d'utilisateur interactif ou informations d'identification NTLMv2 d'utilisateur interactif ;
    • certificats x.509 utilisateur ;
    • certificats SSL (Secure Sockets Layer) ordinateur ;
    • certificats d'état NAP ;
    • authentification anonyme (authentification facultative).
    Vous pouvez configurer des règles de sécurité pour le composant logiciel enfichable « Pare-feu Windows avec fonctions avancées de sécurité » à l'aide des outils suivants :
    • stratégie de groupe basée sur un domaine ;
    • composant logiciel enfichable « Pare-feu Windows avec fonctions avancées de sécurité » ;

      Remarque Le composant logiciel enfichable « Pare-feu Windows avec fonctions avancées de sécurité » est l'emplacement de stockage par défaut pour les stratégies qui sont accessibles à l'aide de la commande wf.msc.
    • composant logiciel enfichable Stratégie de groupe local (Gpedit.msc) ;
    • commande netsh advfirewall.

      Remarque La commande netsh advfirewall pointe sur la même banque que la commande wf.msc.
    Comme les autres règles de pare-feu et de stratégie de groupe, les règles de sécurité de connexion sont fusionnées à partir de tous les objets de stratégie de groupe applicables.

    Il est possible de configurer des stratégies de sécurité de connexion afin de créer des stratégies basées sur IPsec qui sont compatibles avec des clients basés sur IKE version 1, tels que Microsoft Windows 2000, Windows XP et Windows Server 2003. Des stratégies de sécurité de connexion peuvent également être configurées pour créer des stratégies prenant en charge uniquement les communications entre des ordinateurs Windows Vista et Windows Server 2008.

    Un administrateur peut créer une stratégies de sécurité de connexion en appliquant les méthodes suivantes :
    • L'administrateur peut créer une stratégie de sécurité de connexion prenant en charge uniquement l'authentification Kerberos, les certificats x.509 utilisateur ou l'authentification ordinateur.

      Remarques
      • Dans ce cas, le service Mpssvc crée automatiquement à la fois des stratégies AuthIP et des stratégies IKE antérieures.
      • Si l'authentification par clé pré-partagée basée sur l'ordinateur est spécifiée, aucune règle AuthIP n'est créée.
    • L'administrateur peut créer une stratégie de sécurité de connexion qui nécessite une l'authentification utilisateur.

      Remarque Dans ce cas, seule une stratégie AuthIP est créée pour les négociations entre Windows Vista et Windows Vista et entre Windows Vista et Windows Server 2008. Ceci est dû au fait que IKE ne prend pas en charge l'authentification utilisateur.
    • L'administrateur peut créer une stratégie de sécurité de connexion dans laquelle des options d'authentification utilisateur sont ajoutées à la stratégie. L'administrateur peut également sélectionner l'option La seconde authentification est facultative.

      Remarque Le service Mpssvc crée à la fois des stratégies AuthIP et des stratégies IKE antérieures. Une authentification utilisateur facultative est incluse dans le jeu AuthIP. L'authentification utilisateur facultative n'est pas incluse dans la stratégie IKE antérieure.
    • L'administrateur peut créer une stratégie de sécurité de connexion qui nécessite une authentification NTLM.

      Remarque Dans ce cas, seule une stratégie AuthIP est créée pour les négociations entre Windows Vista et Windows Vista et entre Windows Vista et Windows Server 2008 car IKE ne prend pas en charge l'authentification NTLM.
    • L'administrateur sélectionne l'algorithme « Diffie-Hellman » dans l'algorithme « Échange de clés du mode principal » global qui est incompatible avec des clients antérieurs, par exemple l'algorithme « Diffie-Hellman à courbe elliptique P-256 ».

      Remarques
      • Dans ce cas, l'algorithme « Diffie-Hellman » n'est pas pris en charge par les clients de la version 1 antérieure de IKE. En outre, les négociations IKE n'aboutissent pas.
      • Nous vous recommandons d'utiliser le paramètre « Diffie-Hellman groupe 2 » car ce dernier est pris en charge par une large gamme de clients.
      • Le paramètre « Diffie-Hellman groupe 14 » est pris en charge dans Windows XP Service Pack 2 (SP2) et dans Windows Server 2003.
      • Dans ce cas, la modification du comportement de clé concerne l'algorithme « Diffie-Hellman » qui n'est généralement pas utilisé pour les négociations basées sur AuthIP.
      • Lorsque le service Mpssvc crée des règles AuthIP, il indique que les négociations entre Windows Vista et Windows Vista ou entre Windows Vista et Windows Server 2008 doivent uniquement utiliser l'algorithme « Diffie-Hellman » si la méthode d'authentification du mode principal est définie sur Anonyme.
      • Lorsque le service Mpssvc crée des règles IKE, il utilise toujours l'algorithme « Diffie-Hellman » qui est spécifique au paramètre Échange de clés du mode principal global.
      • Un secret partagé SSPI (Security Support Provider Interface) est utilisé pour générer les informations de clé dans les échanges AuthIP dans lesquels l'échange de clés du mode principal ne comporte pas d'échange Diffie-Hellman.

    Certificats utilisés par AuthIP

    • AuthIP utilise les certificats SSL comportant des paramètres d'authentification client ou des paramètres d'authentification serveur configurés. Les certificats SSL peuvent être des certificats d'authentification client. Les certificats SSL peuvent être à la fois des certificats d'authentification client et des certificats d'authentification serveur.
    • Si vous élaborez des stratégies pour l'utilisation de l'authentification de certificat pour Windows Vista, vous devez avoir des certificats compatibles avec AuthIP. Cela signifie que les certificats que vous déployez sur les clients doivent être des certificats SSL qui utilisent l'authentification client ou l'authentification serveur. L'authentification dépend du type d'authentification souhaité : authentification à sens unique ou authentification mutuelle. Les certificats SSL diffèrent des certificats numériques standard qui sont utilisés dans Windows XP ou dans Windows Server 2003.
    • Par défaut, les certificats SSL sont utilisés par les implémentations NAP.

Traitement de la stratégie de groupe pour le composant logiciel enfichable « Pare-feu Windows avec fonctions avancées de sécurité »

Les règles de sécurité de connexion sont fusionnées à partir de tous les objets de stratégie de groupe applicables. Toutefois, un groupe connexe de paramètres pour IPsec et AuthIP gère le comportement IPsec non cumulable par défaut. Ce groupe de paramètres inclut des jeux d'authentification globaux, des paramètres Mode rapide, des paramètres d'échange de clé et les exemptions du protocole ICMP (Internet Control Message Protocol).

Le jeu d'options de sécurité de connexion par défaut ou les options IPsec qui sont appliqués à l'objet Stratégie de groupe de priorité la plus élevée aboutissent sur un client Windows Vista. Par exemple, toutes les règles de sécurité de connexion sur le client Windows Vista qui utilisent des jeux d'authentification par défaut ou des jeux de chiffrement utilisent les jeux de l'objet Stratégie de groupe de priorité la plus élevée. Si vous souhaitez davantage de souplesse, vous pouvez utiliser les options suivantes :
  • Pour les jeux d'authentification, configurez une authentification à l'aide d'une règle de sécurité de connexion au lieu d'utiliser l'authentification par défaut.
  • Pour les jeux de chiffrement Mode rapide, utilisez la commande netsh pour configurer les paramètres de chiffrement Mode rapide pour chaque règle de sécurité de connexion, comme requis.
  • Des jeux de chiffrement de mode principal, un seul est pris en charge pour chaque stratégie. Lors de la réception de plusieurs jeux de chiffrement de mode principal, le jeu de chiffrement dont l'objet Stratégie de groupe à la priorité la plus élevée est appliqué à toutes les règles de sécurité de connexion dans la stratégie de groupe. Toutefois, vous ne pouvez pas personnaliser les règles pour l'utilisation de jeux de chiffrement de mode principal différents.
  • Lorsque vous configurez des objets Stratégie de groupe pour des stratégies de sécurité de connexion et des stratégies de pare-feu, vous pouvez désactiver l'utilisation des règles de pare-feu et des règles de sécurité de connexion locales. Par conséquent, seuls les paramètres de stratégie de groupe qui sont liés aux objets Stratégie de groupe de site, aux objets Stratégie de groupe de domaine ou aux objets Stratégie de groupe d'unité d'organisation, peuvent contrôler le comportement du pare-feu Windows.
Pour télécharger le livre blanc « Introduction to Windows Firewall with Advanced Security » (Introduction au pare-feu Windows avec fonctions avancées de sécurité) pour Windows Vista, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
http://www.microsoft.com/downloads/details.aspx?FamilyId=DF192E1B-A92A-4075-9F69-C12B7C54B52B&displaylang=en
Pour plus d'informations sur AuthIP dans Windows Vista, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
http://technet.microsoft.com/en-us/library/bb878069.aspx
Pour plus d'informations sur le nouveau pare-feu Windows de Windows Vista et de Windows Server 2008, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
http://technet.microsoft.com/en-us/library/bb877967.aspx

Procédure pour établir une connexion chiffrée entre Windows Vista et Windows XP ou entre Windows Vista et Windows Server 2003

Dans Windows Server 2003 et dans Windows XP, la configuration de stratégie IPsec se compose généralement d'un ensemble de règles pour protéger la plupart du trafic sur le réseau et d'un autre ensemble de règles pour les exemptions de trafic protégé. Une configuration peut inclure une isolation de serveur et une isolation de domaine. Des exemptions sont requises pour les communications non protégées avec les serveurs d'infrastructure réseau tels que les serveurs DHCP (Dynamic Host Configuration Protocol), les serveurs DNS (Domain Name System) et les contrôleurs de domaine. Au démarrage, un ordinateur doit être en mesure d'obtenir une adresse IP et d'utiliser DNS pour rechercher un contrôleur de domaine. En outre, l'ordinateur doit pouvoir se connecter à son domaine avant de commencer à utiliser l'authentification Kerberos pour s'authentifier en tant que serveur homologue IPsec. D'autres exemptions sont requises pour communiquer avec des noeuds réseau qui ne prennent pas en charge IPsec. Dans certains cas, de nombreuses exceptions rendent plus difficiles le déploiement de la protection IPsec dans un réseau d'entreprise et la gestion de ce réseau au fil du temps.

Dans Windows Server 2008 et dans Windows Vista, IPsec fournit un comportement en option pour la négociation d'une protection IPsec. Supposons que IPsec est activé et qu'un n?ud IPsec qui exécute Windows Server 2008 ou Windows Vista établit une communication avec un autre n?ud réseau. Dans ce cas, le n?ud IPsec va essayer de communiquer sans chiffrement ou « en clair ». Le n?ud va essayer de négocier un communication protégée en parallèle. Si le serveur homologue IPsec qui a établi la communication ne reçoit pas de réponse à la tentative de négociation initiale, la communication se poursuit en clair. Si le serveur homologue IPsec qui a établi la communication reçoit une réponse à la tentative de négociation initiale, la communication en clair se poursuit jusqu'à la fin de la négociation. Une fois la négociation terminée, les communications successives bénéficient d'une protection accrue. Le n?ud IPsec qui a établi la communication peut déterminer si le n?ud réseau avec lequel il communique peut exécuter IPsec. Il peut ainsi se comporter en conséquence. Le comportement de ce n?ud IPsec est dû au comportement facultatif IPsec. Il est également dû à la configuration recommandée qui requiert une protection pour les communications établies entrantes et qui demande une protection pour les communications établies sortantes. Ce nouveau comportement simplifie énormément la configuration de stratégie IPsec. Par exemple, le n?ud IPsec qui a établi la communication n'a pas nécessairement un jeu de filtres IPsec prédéfinis pour exempter des hôtes qui ne peuvent pas protéger le trafic réseau à l'aide de IPsec. Ce n?ud IPsec essaie à la fois le trafic protégé et le trafic non protégé en parallèle. Si aucune communication protégée n'est possible, le n?ud IPsec qui a établi la communication utilise une communication non protégée.

Ce nouveau comportement de négociation améliore également les performances des connexions non protégées aux hôtes. Un noeud IPsec qui exécute Windows Server 2003 ou Windows XP est configuré pour demander des communications protégées, mais il active des communications non protégées. Ce comportement IPsec est également appelé retour à la transmission en clair. Le n?ud IPsec envoie des messages de négociation et attend une réponse. Le n?ud IPsec qui a établi la communication patiente trois secondes avant de revenir à la transmission en clair et d'essayer des communications non protégées. Dans Windows Server 2008 et dans Windows Vista, ce délai de trois secondes n'est plus observé lors du retour à la transmission en clair car des communications en clair sont déjà en cours lorsque le n?ud IPsec qui a établi la communication attend une réponse.

Pour plus d'informations sur l'isolation de serveur et l'isolation de domaine, consultez le site Web de Microsoft à l'adresse suivante (en anglais) :
http://technet.microsoft.com/en-us/network/bb545651.aspx

Points importants concernant l'établissement d'une connexion chiffrée entre Windows Vista et Windows XP ou entre Windows Vista et Windows Server 2003

  • Si vous activez uniquement une connexion chiffrée dans Windows Vista, ce dernier négocie uniquement au niveau IPsec avec tous les autres clients. Cela inclut les clients Windows XP.
  • Par défaut, Windows XP ou Windows Server 2003 ne négocie pas au niveau IPsec. Par conséquent, il est nécessaire d'affecter une règle IPsec dans Windows XP ou dans Windows Server 2003 pour établir une connexion chiffrée entre Windows Vista et Windows XP ou entre Windows Vista et Windows Server 2003.
  • Par défaut, si l'option N?autoriser que les connexions sécurisées est sélectionnée, Windows Vista négocie à l'aide de la méthode de chiffrement AES-128 et 3DES. La méthode de chiffrement AES-128 n'est pas prise en charge dans Windows XP. La méthode de chiffrement 3DES est prise en charge dans Windows XP et dans Windows Server 2003.
  • Par défaut, si IPsec est activé dans Windows XP ou dans Windows Server 2003, il négocie à l'aide de la méthode de chiffrement 3DES.
Pour établir une connexion chiffrée entre un ordinateur Windows Vista et un ordinateur Windows XP à l'aide du composant logiciel enfichable « Pare-feu Windows avec fonctions avancées de sécurité », procédez comme suit :
  1. Sur un ordinateur Windows Vista, cliquez sur Démarrer
    Réduire cette imageAgrandir cette image
    Bouton Démarrer
    , tapez firewall dans la zone Rechercher, puis cliquez sur Pare-feu Windows avec fonctions avancées de sécurité dans la liste Programmes.
  2. Dans l'arborescence de la console, cliquez sur Règles de trafic entrant.
  3. Dans la liste Règles de trafic entrant, double-cliquez sur Bureau à distance (TCP-In), puis sur l'onglet Général.
  4. Dans la zone Action, cliquez sur N?autoriser que les connexions sécurisées, activez la case à cocher Exiger le chiffrement, puis cliquez sur OK.
  5. Dans l'arborescence de la console, cliquez sur Règles de sécurité de connexion, puis sur Nouvelle règle dans le menu Action.
  6. Cliquez sur Isolation, puis sur Suivant.
  7. Cliquez sur Imposer l'authentification des connexions entrantes et sortantes, puis sur Suivant.
  8. Cliquez sur Par défaut, puis sur Suivant.
  9. Activez les cases à cocher suivantes, puis cliquez sur Suivant :
    • Domaine
    • Privé
    • Public
  10. Tapez le nom de la règle dans la zone Nom, la description de la règle dans la zone Description (facultatif) si vous le souhaitez, puis cliquez sur Terminer.
  11. Dans le menu Fichier, cliquez sur Quitter.
  12. Sur l'ordinateur Windows XP, cliquez sur Démarrer, sur Exécuter, tapez secpol.msc, puis cliquez sur OK.
  13. Dans l'arborescence de la console, cliquez avec le bouton droit sur Stratégies de sécurité IP sur l'ordinateur local dans le volet gauche, puis cliquez sur Créer une stratégie de sécurité IP.
  14. Cliquez sur Suivant, puis suivez les instructions de l'Assistant Stratégie de sécurité IP afin de créer la stratégie de sécurité IP. Utilisez les paramètres par défaut pour créer cette stratégie.
  15. Cliquez avec le bouton droit sur Nouvelle stratégie de sécurité IP, puis cliquez sur Attribuer.
  16. Dans le menu Fichier, cliquez sur Quitter.

Propriétés

Numéro d'article: 942957 - Dernière mise à jour: mercredi 6 février 2008 - Version: 1.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Vista Édition Intégrale
  • Windows Vista Entreprise
  • Windows Vista Professionnel
  • Windows Vista Édition Familiale Premium
  • Windows Vista Édition Familiale Basique
  • Windows Vista Starter
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
Mots-clés : 
kbexpertiseadvanced kbhowto kbinfo KB942957
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com