qq questions que je me pose sur le SP2 de XP que je viens d'installer
(dans le but de le déployer à sa sortie) :
- peut-on exporter la config "sécurité" (essenciellement la config
firewall) d'un poste pour la déployer (sans avoir à passer par la très
pénible doc WF_XPSP2 "Deploying Windows Firewall Settings for
Microsoft® Windows® XP with Service Pack 2") ?
- peut-on désactiver directement le firewall dans l'install du SP2 ?
- J'ai mis le firewall sur "On" et laissé les réglages par défaut.
Lorsque j'utilise un navigateur (IE ou Mozilla), un client FTP, ou
n'importe quoi d'autre (sauf la MMC pour l'instant), il laisse tout
passer sans me poser de question (sauf donc qd j'ai lancé la MMC). Que
filtre-il alors ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Thierry MILLE [MVP]
"Fredolu" a écrit dans le message de news:
Bonjour,
qq questions que je me pose sur le SP2 de XP que je viens d'installer (dans le but de le déployer à sa sortie) :
- peut-on exporter la config "sécurité" (essenciellement la config firewall) d'un poste pour la déployer (sans avoir à passer par la très pénible doc WF_XPSP2 "Deploying Windows Firewall Settings for Microsoft® Windows® XP with Service Pack 2") ? - peut-on désactiver directement le firewall dans l'install du SP2 ?
Oui de trois façons : => par modification du fichier réponse => stratégies de groupes => net shell
- J'ai mis le firewall sur "On" et laissé les réglages par défaut. Lorsque j'utilise un navigateur (IE ou Mozilla), un client FTP, ou n'importe quoi d'autre (sauf la MMC pour l'instant), il laisse tout passer sans me poser de question (sauf donc qd j'ai lancé la MMC). Que filtre-il alors ?
Le pare feu de Windows XP (désormais appelé Windows Firewall) ne filtre PAS les sorties. Il en est ainsi. C'est un pare feu à mémoire d'état filtrant uniquement le trafic entrant.
Cordialement
-- Thierry MILLE FAQ Longhorn : www.lab-os.com
"Fredolu" <a.fredolu@laposte.net> a écrit dans le message de news:
d5c8cd3f.0404160636.576e5aaa@posting.google.com...
Bonjour,
qq questions que je me pose sur le SP2 de XP que je viens d'installer
(dans le but de le déployer à sa sortie) :
- peut-on exporter la config "sécurité" (essenciellement la config
firewall) d'un poste pour la déployer (sans avoir à passer par la très
pénible doc WF_XPSP2 "Deploying Windows Firewall Settings for
Microsoft® Windows® XP with Service Pack 2") ?
- peut-on désactiver directement le firewall dans l'install du SP2 ?
Oui de trois façons :
=> par modification du fichier réponse
=> stratégies de groupes
=> net shell
- J'ai mis le firewall sur "On" et laissé les réglages par défaut.
Lorsque j'utilise un navigateur (IE ou Mozilla), un client FTP, ou
n'importe quoi d'autre (sauf la MMC pour l'instant), il laisse tout
passer sans me poser de question (sauf donc qd j'ai lancé la MMC). Que
filtre-il alors ?
Le pare feu de Windows XP (désormais appelé Windows Firewall) ne filtre PAS
les sorties. Il en est ainsi. C'est un pare feu à mémoire d'état filtrant
uniquement le trafic entrant.
qq questions que je me pose sur le SP2 de XP que je viens d'installer (dans le but de le déployer à sa sortie) :
- peut-on exporter la config "sécurité" (essenciellement la config firewall) d'un poste pour la déployer (sans avoir à passer par la très pénible doc WF_XPSP2 "Deploying Windows Firewall Settings for Microsoft® Windows® XP with Service Pack 2") ? - peut-on désactiver directement le firewall dans l'install du SP2 ?
Oui de trois façons : => par modification du fichier réponse => stratégies de groupes => net shell
- J'ai mis le firewall sur "On" et laissé les réglages par défaut. Lorsque j'utilise un navigateur (IE ou Mozilla), un client FTP, ou n'importe quoi d'autre (sauf la MMC pour l'instant), il laisse tout passer sans me poser de question (sauf donc qd j'ai lancé la MMC). Que filtre-il alors ?
Le pare feu de Windows XP (désormais appelé Windows Firewall) ne filtre PAS les sorties. Il en est ainsi. C'est un pare feu à mémoire d'état filtrant uniquement le trafic entrant.
Cordialement
-- Thierry MILLE FAQ Longhorn : www.lab-os.com
a.fredolu
Oui de trois façons : => par modification du fichier réponse => stratégies de groupes => net shell
Merci pour votre réponse. Le fichier de réponse c'est pour une install complète non ? Ou est-ce qu'il existe un unattend de service pack ?
Le pare feu de Windows XP (désormais appelé Windows Firewall) ne filtre PAS les sorties. Il en est ainsi. C'est un pare feu à mémoire d'état filtrant uniquement le trafic entrant.
bon, ok. J'avais vu ça à propos d'un firewall actuel mpais j'avais lu que celui du SP2 devait devenir un "vrai" firewall. Donc les régles permettent de dire (au plus précis) : j'autorise un flux entrant TCP sur le port 5000 si et uniquement si il est destiné à l'application trucmuche ? Par contre n'importe quelle appli peut sortir sans autorisation
Oui de trois façons :
=> par modification du fichier réponse
=> stratégies de groupes
=> net shell
Merci pour votre réponse.
Le fichier de réponse c'est pour une install complète non ? Ou est-ce
qu'il existe un unattend de service pack ?
Le pare feu de Windows XP (désormais appelé Windows Firewall) ne filtre PAS
les sorties. Il en est ainsi. C'est un pare feu à mémoire d'état filtrant
uniquement le trafic entrant.
bon, ok. J'avais vu ça à propos d'un firewall actuel mpais j'avais lu
que celui du SP2 devait devenir un "vrai" firewall.
Donc les régles permettent de dire (au plus précis) : j'autorise un
flux entrant TCP sur le port 5000 si et uniquement si il est destiné à
l'application trucmuche ? Par contre n'importe quelle appli peut
sortir sans autorisation
Oui de trois façons : => par modification du fichier réponse => stratégies de groupes => net shell
Merci pour votre réponse. Le fichier de réponse c'est pour une install complète non ? Ou est-ce qu'il existe un unattend de service pack ?
Le pare feu de Windows XP (désormais appelé Windows Firewall) ne filtre PAS les sorties. Il en est ainsi. C'est un pare feu à mémoire d'état filtrant uniquement le trafic entrant.
bon, ok. J'avais vu ça à propos d'un firewall actuel mpais j'avais lu que celui du SP2 devait devenir un "vrai" firewall. Donc les régles permettent de dire (au plus précis) : j'autorise un flux entrant TCP sur le port 5000 si et uniquement si il est destiné à l'application trucmuche ? Par contre n'importe quelle appli peut sortir sans autorisation
Thierry MILLE
"Fredolu" a écrit dans le message de news:
Oui de trois façons : => par modification du fichier réponse => stratégies de groupes => net shell
Merci pour votre réponse. Le fichier de réponse c'est pour une install complète non ? Ou est-ce qu'il existe un unattend de service pack ?
Ce document rendu public décrit les moyens de configurer le pare feu Windows
Le pare feu de Windows XP (désormais appelé Windows Firewall) ne filtre PAS les sorties. Il en est ainsi. C'est un pare feu à mémoire d'état filtrant uniquement le trafic entrant.
bon, ok. J'avais vu ça à propos d'un firewall actuel mpais j'avais lu que celui du SP2 devait devenir un "vrai" firewall. Donc les régles permettent de dire (au plus précis) : j'autorise un flux entrant TCP sur le port 5000 si et uniquement si il est destiné à l'application trucmuche ? Par contre n'importe quelle appli peut sortir sans autorisation
C'est un firewall stateful qui ne filtre pas le trafic sortant, son objectif principal est de protéger la station des attaques externes (en ayant prenant soin des programmes qui sont exécutés localement) tout en réduisant au minimum les interférences avec l'utilisateur.
Donc : vous pouvez ouvrir un port sur la machine, au besoin faire du port fowarding sur un autre hôte du réseau interne ou autoriser une application à écouter sur un port (ou un ensmble de ports).
Cordialement
-- Thierry MILLE FAQ Longhorn : www.lab-os.com
"Fredolu" <a.fredolu@laposte.net> a écrit dans le message de news:
d5c8cd3f.0404190048.1e056fc1@posting.google.com...
Oui de trois façons :
=> par modification du fichier réponse
=> stratégies de groupes
=> net shell
Merci pour votre réponse.
Le fichier de réponse c'est pour une install complète non ? Ou est-ce
qu'il existe un unattend de service pack ?
Ce document rendu public décrit les moyens de configurer le pare feu Windows
Le pare feu de Windows XP (désormais appelé Windows Firewall) ne filtre
PAS
les sorties. Il en est ainsi. C'est un pare feu à mémoire d'état filtrant
uniquement le trafic entrant.
bon, ok. J'avais vu ça à propos d'un firewall actuel mpais j'avais lu
que celui du SP2 devait devenir un "vrai" firewall.
Donc les régles permettent de dire (au plus précis) : j'autorise un
flux entrant TCP sur le port 5000 si et uniquement si il est destiné à
l'application trucmuche ? Par contre n'importe quelle appli peut
sortir sans autorisation
C'est un firewall stateful qui ne filtre pas le trafic sortant, son objectif
principal est de protéger la station des attaques externes (en ayant prenant
soin des programmes qui sont exécutés localement) tout en réduisant au
minimum les interférences avec l'utilisateur.
Donc : vous pouvez ouvrir un port sur la machine, au besoin faire du port
fowarding sur un autre hôte du réseau interne ou autoriser une application à
écouter sur un port (ou un ensmble de ports).
Le pare feu de Windows XP (désormais appelé Windows Firewall) ne filtre PAS les sorties. Il en est ainsi. C'est un pare feu à mémoire d'état filtrant uniquement le trafic entrant.
bon, ok. J'avais vu ça à propos d'un firewall actuel mpais j'avais lu que celui du SP2 devait devenir un "vrai" firewall. Donc les régles permettent de dire (au plus précis) : j'autorise un flux entrant TCP sur le port 5000 si et uniquement si il est destiné à l'application trucmuche ? Par contre n'importe quelle appli peut sortir sans autorisation
C'est un firewall stateful qui ne filtre pas le trafic sortant, son objectif principal est de protéger la station des attaques externes (en ayant prenant soin des programmes qui sont exécutés localement) tout en réduisant au minimum les interférences avec l'utilisateur.
Donc : vous pouvez ouvrir un port sur la machine, au besoin faire du port fowarding sur un autre hôte du réseau interne ou autoriser une application à écouter sur un port (ou un ensmble de ports).
Cordialement
-- Thierry MILLE FAQ Longhorn : www.lab-os.com
a.fredolu
Ce document rendu public décrit les moyens de configurer le pare feu Windows Firewall :
C'est un firewall stateful qui ne filtre pas le trafic sortant, son objectif principal est de protéger la station des attaques externes (en ayant prenant soin des programmes qui sont exécutés localement) tout en réduisant au minimum les interférences avec l'utilisateur.
Donc : vous pouvez ouvrir un port sur la machine, au besoin faire du port fowarding sur un autre hôte du réseau interne ou autoriser une application à écouter sur un port (ou un ensmble de ports).
Là je suis moyennement d'accord.
Je ne vois pas comment ouvrir des ports pour une application donnée : soit je choisis une appli dans les Exceptions, soit je choisis un port. Mais pas une appli à laquelle j'assigne également des ports. Rien de plus sous netsh.
Ensuite, effectivement on peut considérer que c'est un firewall stateful du moment qu'il agit sur la couche application, mais ne vérifiant pas le contenu des paquets (par exemple la conformité aux RFC) c'est loin d'en être un réellement. Je veux dire par là que ce firewall me semble pratique (avant découverte de failles critiques :o)) pour une utilisation sur les postes clients d'une entreprise, plutôt que d'acheter de coûteux et superflus firewall personnels, mais ça ne fait en aucun cas office de réel firewall (surtout stateful).
Ce document rendu public décrit les moyens de configurer le pare feu Windows
Firewall :
C'est un firewall stateful qui ne filtre pas le trafic sortant, son objectif
principal est de protéger la station des attaques externes (en ayant prenant
soin des programmes qui sont exécutés localement) tout en réduisant au
minimum les interférences avec l'utilisateur.
Donc : vous pouvez ouvrir un port sur la machine, au besoin faire du port
fowarding sur un autre hôte du réseau interne ou autoriser une application à
écouter sur un port (ou un ensmble de ports).
Là je suis moyennement d'accord.
Je ne vois pas comment ouvrir des ports pour une application donnée :
soit je choisis une appli dans les Exceptions, soit je choisis un
port. Mais pas une appli à laquelle j'assigne également des ports.
Rien de plus sous netsh.
Ensuite, effectivement on peut considérer que c'est un firewall
stateful du moment qu'il agit sur la couche application, mais ne
vérifiant pas le contenu des paquets (par exemple la conformité aux
RFC) c'est loin d'en être un réellement. Je veux dire par là que ce
firewall me semble pratique (avant découverte de failles critiques
:o)) pour une utilisation sur les postes clients d'une entreprise,
plutôt que d'acheter de coûteux et superflus firewall personnels, mais
ça ne fait en aucun cas office de réel firewall (surtout stateful).
C'est un firewall stateful qui ne filtre pas le trafic sortant, son objectif principal est de protéger la station des attaques externes (en ayant prenant soin des programmes qui sont exécutés localement) tout en réduisant au minimum les interférences avec l'utilisateur.
Donc : vous pouvez ouvrir un port sur la machine, au besoin faire du port fowarding sur un autre hôte du réseau interne ou autoriser une application à écouter sur un port (ou un ensmble de ports).
Là je suis moyennement d'accord.
Je ne vois pas comment ouvrir des ports pour une application donnée : soit je choisis une appli dans les Exceptions, soit je choisis un port. Mais pas une appli à laquelle j'assigne également des ports. Rien de plus sous netsh.
Ensuite, effectivement on peut considérer que c'est un firewall stateful du moment qu'il agit sur la couche application, mais ne vérifiant pas le contenu des paquets (par exemple la conformité aux RFC) c'est loin d'en être un réellement. Je veux dire par là que ce firewall me semble pratique (avant découverte de failles critiques :o)) pour une utilisation sur les postes clients d'une entreprise, plutôt que d'acheter de coûteux et superflus firewall personnels, mais ça ne fait en aucun cas office de réel firewall (surtout stateful).