OVH Cloud OVH Cloud

Firewall de SP2

4 réponses
Avatar
a.fredolu
Bonjour,

qq questions que je me pose sur le SP2 de XP que je viens d'installer
(dans le but de le déployer à sa sortie) :

- peut-on exporter la config "sécurité" (essenciellement la config
firewall) d'un poste pour la déployer (sans avoir à passer par la très
pénible doc WF_XPSP2 "Deploying Windows Firewall Settings for
Microsoft® Windows® XP with Service Pack 2") ?
- peut-on désactiver directement le firewall dans l'install du SP2 ?

- J'ai mis le firewall sur "On" et laissé les réglages par défaut.
Lorsque j'utilise un navigateur (IE ou Mozilla), un client FTP, ou
n'importe quoi d'autre (sauf la MMC pour l'instant), il laisse tout
passer sans me poser de question (sauf donc qd j'ai lancé la MMC). Que
filtre-il alors ?

4 réponses

Avatar
Thierry MILLE [MVP]
"Fredolu" a écrit dans le message de news:

Bonjour,

qq questions que je me pose sur le SP2 de XP que je viens d'installer
(dans le but de le déployer à sa sortie) :

- peut-on exporter la config "sécurité" (essenciellement la config
firewall) d'un poste pour la déployer (sans avoir à passer par la très
pénible doc WF_XPSP2 "Deploying Windows Firewall Settings for
Microsoft® Windows® XP with Service Pack 2") ?
- peut-on désactiver directement le firewall dans l'install du SP2 ?



Oui de trois façons :
=> par modification du fichier réponse
=> stratégies de groupes
=> net shell


- J'ai mis le firewall sur "On" et laissé les réglages par défaut.
Lorsque j'utilise un navigateur (IE ou Mozilla), un client FTP, ou
n'importe quoi d'autre (sauf la MMC pour l'instant), il laisse tout
passer sans me poser de question (sauf donc qd j'ai lancé la MMC). Que
filtre-il alors ?


Le pare feu de Windows XP (désormais appelé Windows Firewall) ne filtre PAS
les sorties. Il en est ainsi. C'est un pare feu à mémoire d'état filtrant
uniquement le trafic entrant.


Cordialement

--
Thierry MILLE
FAQ Longhorn :
www.lab-os.com

Avatar
a.fredolu

Oui de trois façons :
=> par modification du fichier réponse
=> stratégies de groupes
=> net shell



Merci pour votre réponse.
Le fichier de réponse c'est pour une install complète non ? Ou est-ce
qu'il existe un unattend de service pack ?


Le pare feu de Windows XP (désormais appelé Windows Firewall) ne filtre PAS
les sorties. Il en est ainsi. C'est un pare feu à mémoire d'état filtrant
uniquement le trafic entrant.


bon, ok. J'avais vu ça à propos d'un firewall actuel mpais j'avais lu
que celui du SP2 devait devenir un "vrai" firewall.
Donc les régles permettent de dire (au plus précis) : j'autorise un
flux entrant TCP sur le port 5000 si et uniquement si il est destiné à
l'application trucmuche ? Par contre n'importe quelle appli peut
sortir sans autorisation

Avatar
Thierry MILLE
"Fredolu" a écrit dans le message de news:


Oui de trois façons :
=> par modification du fichier réponse
=> stratégies de groupes
=> net shell



Merci pour votre réponse.
Le fichier de réponse c'est pour une install complète non ? Ou est-ce
qu'il existe un unattend de service pack ?

Ce document rendu public décrit les moyens de configurer le pare feu Windows

Firewall :

http://www.microsoft.com/downloads/details.aspx?FamilyIDË307a1d-2f97-4e63-a581-bf25685b4c43&DisplayLang=en


Le pare feu de Windows XP (désormais appelé Windows Firewall) ne filtre
PAS
les sorties. Il en est ainsi. C'est un pare feu à mémoire d'état filtrant
uniquement le trafic entrant.


bon, ok. J'avais vu ça à propos d'un firewall actuel mpais j'avais lu
que celui du SP2 devait devenir un "vrai" firewall.
Donc les régles permettent de dire (au plus précis) : j'autorise un
flux entrant TCP sur le port 5000 si et uniquement si il est destiné à
l'application trucmuche ? Par contre n'importe quelle appli peut
sortir sans autorisation


C'est un firewall stateful qui ne filtre pas le trafic sortant, son objectif
principal est de protéger la station des attaques externes (en ayant prenant
soin des programmes qui sont exécutés localement) tout en réduisant au
minimum les interférences avec l'utilisateur.

Donc : vous pouvez ouvrir un port sur la machine, au besoin faire du port
fowarding sur un autre hôte du réseau interne ou autoriser une application à
écouter sur un port (ou un ensmble de ports).


Cordialement

--
Thierry MILLE
FAQ Longhorn :
www.lab-os.com


Avatar
a.fredolu
Ce document rendu public décrit les moyens de configurer le pare feu Windows
Firewall :

http://www.microsoft.com/downloads/details.aspx?FamilyIDË307a1d-2f97-4e63-a581-bf25685b4c43&DisplayLang=en



impec, merci.


C'est un firewall stateful qui ne filtre pas le trafic sortant, son objectif
principal est de protéger la station des attaques externes (en ayant prenant
soin des programmes qui sont exécutés localement) tout en réduisant au
minimum les interférences avec l'utilisateur.

Donc : vous pouvez ouvrir un port sur la machine, au besoin faire du port
fowarding sur un autre hôte du réseau interne ou autoriser une application à
écouter sur un port (ou un ensmble de ports).



Là je suis moyennement d'accord.

Je ne vois pas comment ouvrir des ports pour une application donnée :
soit je choisis une appli dans les Exceptions, soit je choisis un
port. Mais pas une appli à laquelle j'assigne également des ports.
Rien de plus sous netsh.

Ensuite, effectivement on peut considérer que c'est un firewall
stateful du moment qu'il agit sur la couche application, mais ne
vérifiant pas le contenu des paquets (par exemple la conformité aux
RFC) c'est loin d'en être un réellement. Je veux dire par là que ce
firewall me semble pratique (avant découverte de failles critiques
:o)) pour une utilisation sur les postes clients d'une entreprise,
plutôt que d'acheter de coûteux et superflus firewall personnels, mais
ça ne fait en aucun cas office de réel firewall (surtout stateful).