Firewall de SP2

Le
a.fredolu
Bonjour,

qq questions que je me pose sur le SP2 de XP que je viens d'installer
(dans le but de le déployer à sa sortie) :

- peut-on exporter la config "sécurité" (essenciellement la config
firewall) d'un poste pour la déployer (sans avoir à passer par la très
pénible doc WF_XPSP2 "Deploying Windows Firewall Settings for
Microsoft® Windows® XP with Service Pack 2") ?
- peut-on désactiver directement le firewall dans l'install du SP2 ?

- J'ai mis le firewall sur "On" et laissé les réglages par défaut.
Lorsque j'utilise un navigateur (IE ou Mozilla), un client FTP, ou
n'importe quoi d'autre (sauf la MMC pour l'instant), il laisse tout
passer sans me poser de question (sauf donc qd j'ai lancé la MMC). Que
filtre-il alors ?
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Thierry MILLE [MVP]
Le #685664
"Fredolu"
Bonjour,

qq questions que je me pose sur le SP2 de XP que je viens d'installer
(dans le but de le déployer à sa sortie) :

- peut-on exporter la config "sécurité" (essenciellement la config
firewall) d'un poste pour la déployer (sans avoir à passer par la très
pénible doc WF_XPSP2 "Deploying Windows Firewall Settings for
Microsoft® Windows® XP with Service Pack 2") ?
- peut-on désactiver directement le firewall dans l'install du SP2 ?



Oui de trois façons :
=> par modification du fichier réponse
=> stratégies de groupes
=> net shell


- J'ai mis le firewall sur "On" et laissé les réglages par défaut.
Lorsque j'utilise un navigateur (IE ou Mozilla), un client FTP, ou
n'importe quoi d'autre (sauf la MMC pour l'instant), il laisse tout
passer sans me poser de question (sauf donc qd j'ai lancé la MMC). Que
filtre-il alors ?


Le pare feu de Windows XP (désormais appelé Windows Firewall) ne filtre PAS
les sorties. Il en est ainsi. C'est un pare feu à mémoire d'état filtrant
uniquement le trafic entrant.


Cordialement

--
Thierry MILLE
FAQ Longhorn :
www.lab-os.com

a.fredolu
Le #764251

Oui de trois façons :
=> par modification du fichier réponse
=> stratégies de groupes
=> net shell



Merci pour votre réponse.
Le fichier de réponse c'est pour une install complète non ? Ou est-ce
qu'il existe un unattend de service pack ?


Le pare feu de Windows XP (désormais appelé Windows Firewall) ne filtre PAS
les sorties. Il en est ainsi. C'est un pare feu à mémoire d'état filtrant
uniquement le trafic entrant.


bon, ok. J'avais vu ça à propos d'un firewall actuel mpais j'avais lu
que celui du SP2 devait devenir un "vrai" firewall.
Donc les régles permettent de dire (au plus précis) : j'autorise un
flux entrant TCP sur le port 5000 si et uniquement si il est destiné à
l'application trucmuche ? Par contre n'importe quelle appli peut
sortir sans autorisation

Thierry MILLE
Le #763714
"Fredolu"

Oui de trois façons :
=> par modification du fichier réponse
=> stratégies de groupes
=> net shell



Merci pour votre réponse.
Le fichier de réponse c'est pour une install complète non ? Ou est-ce
qu'il existe un unattend de service pack ?

Ce document rendu public décrit les moyens de configurer le pare feu Windows

Firewall :

http://www.microsoft.com/downloads/details.aspx?FamilyIDË307a1d-2f97-4e63-a581-bf25685b4c43&DisplayLang=en


Le pare feu de Windows XP (désormais appelé Windows Firewall) ne filtre
PAS
les sorties. Il en est ainsi. C'est un pare feu à mémoire d'état filtrant
uniquement le trafic entrant.


bon, ok. J'avais vu ça à propos d'un firewall actuel mpais j'avais lu
que celui du SP2 devait devenir un "vrai" firewall.
Donc les régles permettent de dire (au plus précis) : j'autorise un
flux entrant TCP sur le port 5000 si et uniquement si il est destiné à
l'application trucmuche ? Par contre n'importe quelle appli peut
sortir sans autorisation


C'est un firewall stateful qui ne filtre pas le trafic sortant, son objectif
principal est de protéger la station des attaques externes (en ayant prenant
soin des programmes qui sont exécutés localement) tout en réduisant au
minimum les interférences avec l'utilisateur.

Donc : vous pouvez ouvrir un port sur la machine, au besoin faire du port
fowarding sur un autre hôte du réseau interne ou autoriser une application à
écouter sur un port (ou un ensmble de ports).


Cordialement

--
Thierry MILLE
FAQ Longhorn :
www.lab-os.com


a.fredolu
Le #760987
Ce document rendu public décrit les moyens de configurer le pare feu Windows
Firewall :

http://www.microsoft.com/downloads/details.aspx?FamilyIDË307a1d-2f97-4e63-a581-bf25685b4c43&DisplayLang=en



impec, merci.


C'est un firewall stateful qui ne filtre pas le trafic sortant, son objectif
principal est de protéger la station des attaques externes (en ayant prenant
soin des programmes qui sont exécutés localement) tout en réduisant au
minimum les interférences avec l'utilisateur.

Donc : vous pouvez ouvrir un port sur la machine, au besoin faire du port
fowarding sur un autre hôte du réseau interne ou autoriser une application à
écouter sur un port (ou un ensmble de ports).



Là je suis moyennement d'accord.

Je ne vois pas comment ouvrir des ports pour une application donnée :
soit je choisis une appli dans les Exceptions, soit je choisis un
port. Mais pas une appli à laquelle j'assigne également des ports.
Rien de plus sous netsh.

Ensuite, effectivement on peut considérer que c'est un firewall
stateful du moment qu'il agit sur la couche application, mais ne
vérifiant pas le contenu des paquets (par exemple la conformité aux
RFC) c'est loin d'en être un réellement. Je veux dire par là que ce
firewall me semble pratique (avant découverte de failles critiques
:o)) pour une utilisation sur les postes clients d'une entreprise,
plutôt que d'acheter de coûteux et superflus firewall personnels, mais
ça ne fait en aucun cas office de réel firewall (surtout stateful).


Publicité
Poster une réponse
Anonyme