Introduction

Le pare-feu intégré de Windows Seven est bidirectionnel
7parefeuintro3 Le pare-feu ou firewall logiciel  de Windows 7 a pour vocation de définir quelles sont les communications autorisées ou interdites qui transitent sur le réseau domestique ou Internet sur votre ordinateur. Ce parefeu personnel vérifie à la fois les programmes qui tentent d’envoyer ou de recevoir des données et il surveille l’activité des ports, en créant au besoin automatiquement, des règles de confiance ou à la demande de l’utilisateur des règles de communication spécifiques.

L’objectif du pare-feu bidirectionnel intégré de Microsoft, actif par défaut, est d’aider l’utilisateur à lutter contre les virus informatiques et les logiciels espions en filtrant les communications saines et en stoppant les connexions non autorisées. Bien entendu, ce firewall va de concert avec un logiciel antivirus, le tout récent Microsoft Security Essentials 1.0 ou un autre font tout aussi bien l’affaire.


Un module qui s’adapte à l’utilisateur novice ou avancé

7parefeuintro2 Beaucoup d’utilisateurs se sont plaints de la qualité du pare-feu de Microsoft. Ce qui était peut-être vrai pour celui de Windows XP ne l’est déjà plus pour celui de Vista ou de Windows Sept qui sont quasiment identiques et plus aboutis. Comme la plupart des firewalls de qualité, ce module filtre de lui-même les communications au mieux.

Le Pare-feu Windows est intéressant en ce sens qu’il peut s’employer de deux façons. Le premier mode, classique, ne nécessite aucune connaissance technique et se contente d'accepter les connexions avec les programmes qu'il reconnaît et de bloquer toutes les connexions entrantes avec les programmes non identifiés qui ne figurent pas dans la liste des programmes dits autorisés. Le second mode, avancé, va plus loin en matière de sécurité et permet à l’utilisateur de créer au cas par cas des règles de communications entrantes et sortantes drastiques dont lui seul sera responsable. Ici, tout sera bloqué par défaut et devra être défini.


Pourquoi investir dans un firewall payant ?

7parefeuintro1 Dans notre dossier, nous passons en revue les diverses possibilités de cet outil méconnu et trop souvent sous-exploité par les utilisateurs. Pourquoi investir dans un logiciel tiers payant, alors que le pare-feu de Windows 7, lorsqu'il est bien configuré, peut amplement suffire ?

Un bon firewall est avant tout un firewall dont toutes les règles de communications, entrantes et sortantes, sont connues et régulièrement mises à jour par l'administrateur de la machine. Il est parfois nécessaire de consacrer du temps à paramétrer cet outil afin d'augmenter la sécurité de son PC.

Activer le pare-feu de Windows 7 en mode classique

Choisir avant tout un emplacement réseau adapté
7firewall01 L'emplacement réseau offre quatre types de profils différents et est indissociable du pare-feu de Windows Seven. C'est pourquoi  l'utilisateur ou l'administrateur réseau de la machine doit avant toute utilisation du pare-feu valider l'emplacement réseau le plus adapté, ceci afin de garantir un niveau de sécurité le plus approprié possible.  L'aide en ligne détaille tout cela.

Le Réseau domestique permet de voir les ordinateurs et périphériques sur le réseau et permet aux autres utilisateurs du réseau de voir votre ordinateur. Le Réseau de bureau concerne les réseaux de petites entreprises ou lieux de travail mais vous ne pourrez pas créer ou vous joindre à un groupe résidentiel comme dans le réseau domestique. Le Réseau public est à activer comme son nom l'indique dans les lieux publics comme les cybercafés, aéroports ou bornes Wi-Fi (hotspots payants ou gratuits). Enfin, l'emplacement Réseau avec Domaine est utilisé pour les réseaux de domaine tels que les réseaux d’entreprise. Un tel emplacement réseau est uniquement contrôlé par l'administrateur réseau et vous ne pouvez ni le sélectionner ni le modifier par vous-même.

Pour définir votre emplacement réseau, rendez-vous dans Démarrer, Panneau de configuration, Réseau et Internet, Centre Réseau et partage. Vous pouvez alternativement saisir dans la barre de recherche "Réseau" et opter pour "Centre Réseau et partage". Dans notre cas, nous avons fait le choix du Réseau domestique.

7firewall02    7firewall03


Premier démarrage du pare-feu

Dès l'installation de Windows, le firewall est actif par défaut en mode automatique. Pour une raison ou une autre, si ça n'est pas le cas, vous devez l'activer en passant par le menu Démarrer, Panneau de configuration, Système et Sécurité, Pare-Feu Windows et en cliquant au final sur Activer ou désactiver le Pare-feu Windows.  L'autre méthode plus rapide consiste à saisir dans la barre de recherche le mot-clé "pare-feu" et de cliquer dans la fenêtre qui s'ouvre sur le bouton "Utiliser les paramètres recommandés".

7firewall04    7firewall05


Autoriser ou non un programme en mode classique

Cliquez à présent sur "Autoriser un programme ou une fonctionnalité via le Pare-feu Windows". La fenêtre qui s'ouvre liste les programmes et fonctionnalités autorisés. En rapport avec le profil choisi, à savoir réseau domestique, on constate que l'Assistance à distance, la Recherche du réseau et le Réseau de base sont actifs dans le mode privé et public. Dès lancement d'une application non listée le Pare-feu Windows la détecte et requiert votre attention pour choisir le comportement à adopter. Ici, pour Windows Live Messenger c'est à vous de valider ou non la connexion. Notez qu'à ce stade vous pouvez édifier cette règle pour les réseaux privés ou publics seulement ou les deux à la fois (en cochant les cases correspondantes).

7firewall06    7firewall07

À l'issue de l'opération, la règle s'ajoute à celles déjà existantes. Pour mieux connaître les implications d'une règle que vous auriez validée, il suffit de la mettre en surbrillance et de cliquer sur le bouton Détails. Si cette règle de filtrage n'a plus d'utilité, parce que vous n'utilisez plus l'application, vous pouvez temporairement l'invalider en la décochant. Si vous êtes certain de ne plus exploiter du tout cette même application, vous devez en revanche impérativement effacer la règle créée (bouton Supprimer). Ce mode de filtrage est incomplet, en ce sens que le trafic sortant n'est pas contrôlé. C'est pourquoi, il vaut mieux passer en mode Avancé, comme nous le montrons à l'étape suivante.

7firewall8    7firewall09

Mode avancé et création d'une règle de trafic pour un programme

Activer le mode avancé
Le pare-feu fonctionne par défaut en mode classique et ne filtre pas les données sortantes. En nous rendant dans le panneau principal nous allons pouvoir profiter du plein potentiel de cet outil en l'exploitant en mode bidirectionnel. Il faut pour cela cliquer sur le lien Paramètre avancés. Le Pare-feu Windows avec fonctions avancées de sécurité s'ouvre. La première chose à faire est de cliquer sur Propriétés. Dans la fenêtre qui suit, pour les onglets Profil de domaine, privé et public sous la rubrique État du pare-feu on choisira Activé (recommandé).

7firewall10    7firewall11


Bloquer les connexions entrantes et sortantes

Il est également nécessaire pour ces mêmes onglets (domaine, privé et public), toujours dans la rubrique État du pare-feu, de valider pour les connexions entrantes Bloquer par défaut et pour les connexions sortantes Bloquer. Désormais pour les trois emplacements par défaut, le firewall devra suivre à la lettre les règles de filtrage que vous allez créer. En retournant dans le panneau avancé, vous pourrez constater dans la Vue d'ensemble que l'état des icônes pour les trois profils est actif. Les connexions entrantes et sortantes sont bien bloquées. Votre machine ne communique plus ni de l'intérieur, ni de l'extérieur et il va falloir procéder à la mise en place laborieuse des règles de filtrage pour toutes les applications requérant une connexion.

7firewall12    7firewall13


Création d'une première règle de trafic sortant pour un programme

Nous allons décrire la procédure pour créer vos règles de trafic. Il faudra adapter cette procédure au cas par cas, selon les programmes élus. Le premier programme essentiel est le navigateur Web. Cliquez sur le panneau de  gauche sur Règles de trafic sortant, puis à droite sur le lien Nouvelle règle. Choisissez pour Type de règle l'option Programme, puis Suivant. Ensuite, cliquez pour la rubrique Programme, Au programme ayant pour chemin d'accès, sur le bouton Parcourir en indiquant le chemin de votre navigateur. Cliquez de nouveau sur Suivant.

7firewall14    7firewall15

Sous la rubrique Action, il faut valider Autoriser la connexion, puis suivant. Cette règle sera la même et devra être appliquée quel que soit le profil élu, Domaine, Privé et Public doivent donc tous les trois être cochés.

7firewall16    7firewall17


Il ne reste plus qu'à nommer et décrire si vous le souhaitez votre application. Étant donné que nous sommes sous Windows 7 x64, nous intitulons cette règle pour le navigateur Internet Explorer x64 du même nom. Cliquez enfin sur Terminer. La règle est créée, fonctionnelle et visible dans le panneau du parefeu avancé. Il faut à présent, dans notre cas, créer une règle spécifique pour le client de messagerie Outlook, le client FTP, le client de messagerie instantané (WLM), le lecteur audio pour le streaming (Aimp2) et cetera.

7firewall18    7firewall19

Création d'une règle de trafic pour un port en particulier

Lorsque l'on ouvre un programme, on lui permet le plus souvent de communiquer de façon globale lorsqu'il s'exécute et de clore la connexion lorsqu'il est fermé (autoriser la connexion). Il est possible d'affiner différemment la chose, en déclenchant une ouverture et une fermeture sur des ports en particulier. Ce type de règle permet d'autoriser la connexion d'un numéro de port TCP ou UDP. L'utilisateur peut également définir le protocole ainsi que les ports locaux. Vous pouvez ouvrir les ports pour votre client de messagerie (25 pour le SMTP, 110 pour le POP), tous les navigateurs Web en un coup si vous en exploitez plusieurs (port 80), votre client FTP (port 21 par défaut), votre application d'IRC (client mIRC 6667), votre serveur de stockage en réseau NAS, votre logiciel eMule pour le P2P (4672, 4772), µtorrent (6881)… The Internet Assigned Numbers Authority (IANA) rassemble les ports connus.

7firewall20    7firewall21

Nous allons par exemple créer une règle sortante pour notre client FTP Filezilla. Plutôt que de laisser le champ libre à ce programme et de le laisser communiquer sur les autres ports, nous allons restreindre les connexions au strict minimum. Dans Pare-feu Windows avec fonctions avancées de sécurité, cliquez comme pour l'ouverture des programmes sur Règles de trafic entrant, puis sur Nouvelle règle. Nous choisissons cette fois dans le Type de règle, Port. Ensuite, dans Protocoles et ports, TCP. Et dans ports locaux spécifiques nous entrons le port par défaut, donc le 21.

7firewall22    7firewall23

Il faut à l'étape suivante Autoriser la connexion et appliquer la règle pour Domaine, Privé et Public. Comme pour l'autorisation d'un programme on nommera l'application avec son bref descriptif.

7firewall24    7firewall25

En ouvrant un port, tous les programmes de la machine peuvent accepter le trafic réseau de ce port, il y a donc un danger. C'est pourquoi il vaut mieux restreindre le port ouvert à un programme spécifique, juste après avoir créé la règle. Rendez-vous dans le panneau avancé et mettez en surbrillance la règle du FTP, puis cliquez sur Propriétés. Sous l'onglet Programmes et services, allez dans Ce programme et avec Parcourir indiquez le chemin de l'application.

7firewall26    7firewall27

Modification d'une règle de filtrage

La modification d'une règle peut très rapidement être mise en œuvre. Il faut pour cela dans le Pare-feu Windows 7 avec fonctions avancées de sécurité sélectionner la règle et choisir ses Propriétés. Sous l'onglet Général, vous pouvez désactiver la règle, bloquer la connexion, modifier le nom du programme. Dans Protocoles et ports, vous pouvez passer à un autre protocole (TCP, UDP, IGMP, IPV6…), changer le port local, distant, les paramètres ICMP...

7firewall28    7firewall29

Sous l'onglet Etendue, vous pouvez restreindre l'utilisation d'une application ou d'un port à une ou plusieurs adresses IP locales ou distantes. Dans Avancé, vous avez encore la possibilité de changer les profils auxquels la règle s'applique (Domaine, Privé, Public).

7firewall30    7firewall31


Exemple de modification de port

Dans notre exemple, nous décidons de changer le port par défaut du FTP pour la liaison entre notre stockage NAS et notre machine (192.168.0.3). Dans l'interface du Synology, en lieu et place du port par défaut 21, nous choisissons un autre port et une connexion sécurisée SSL/TLS uniquement. Nous procédons aux modifications dans les Propriétés du client Filezilla.

7firewall32    7firewall33

Il nous faut également appliquer les modifications dans les propriétés de la règle FTP du pare-feu que nous avons créée plus haut dans le firewall et également dans le client Filezilla.

7firewall34    7firewall35

7firewall36

Autres points concernant le pare-feu de Windows 7

Tester la sécurité de votre ordinateur
Vous pouvez pour vous assurer que votre pare-feu est bien armé, tester la sécurité de votre PC en vous rendant sur un site qui testera votre vulnérabilité. Il y en a énormément sur le Net avec Shields UP!!, PCFlanksou encore Secunia. Cela vous délivrera un état sur les ports masqués, l'état des ports les plus dangereux pour filtrer les chevaux de Troie ; il y a également des tests de vulnérabilités…

7firewall37    7firewall38


Revenir aux Paramètres par défaut

Le firewall de Windows 7 est relativement souple, puisqu'il se connecte automatiquement si aucun logiciel pare-feu n'est actif. En revanche, il se coupe automatiquement si vous décidez d'installer un logiciel tiers. Vous pouvez en outre pour plus de lisibilité, visualiser les règles par profil, état, groupe. Si pour une raison ou une autre vous décidez de réinitialiser le parefeu, il suffit de l'exécuter en mode classique (Démarrer, Panneau de configuration, Système et Sécurité, Pare-Feu Windows) et de valider Paramètres par défaut.

7firewall39    7firewall40


Exporter et Importer la stratégie du pare-feu

En tant qu'administrateur vous pouvez exporter la stratégie du pare-feu. Attention, il ne s'agit pas des règles de filtrage ! C'est une stratégie qui vous permettra, lors de la prochaine réinstallation de votre système d'exploitation Windows Seven, de gagner du temps en retrouvant les paramétrages et l'état du firewall. Rendez-vous dans le pare-feu avancé et choisissez dans Actions, Exporter la stratégie (*.wfw)…

7firewall41    7firewall42


Ajout automatisé d'une exception dans le pare-feu par les applications

Certains programmes,  pour faciliter la configuration aux utilisateurs, créent automatiquement leurs règles de confiance pour le Pare-feu de Windows Vista / Seven, avec votre accord. C'est le cas du client de P2P µtorrent qui vous propose dans les options de connexion d'ajouter une exception au pare-feu.

7firewall43    7firewall44

Conclusion

Un firewall amplement suffisant ?
Le pare-feu de Windows 7 est totalement adapté pour assurer la sécurité sur le poste de travail d'un particulier. Il peut s'utiliser de deux manières : pour filtrer les connexions entrantes ou en mode bidirectionnel pour filtrer à la fois les connexions entrantes et sortantes. Il est activé automatiquement, c'est une bonne chose mais il ne faudra pas oublier de le commuter en mode avancé pour profiter de son plein potentiel et bénéficier d'un filtrage plus complet et donc d'une sécurité accrue.


Création de règles de filtrage automatiquement ou manuellement

Les règles sont créées automatiquement pour la plupart des programmes reconnus, cela concerne entre autres, le navigateur Web, le partage de fichiers et d'imprimantes, la gestion de services à distance, le lecteur Windows Média. L'utilisateur a la possibilité de désactiver ces règles de filtrage, de les supprimer, de les modifier en mode avancé. Un double-clic donne accès à une multitude de paramètres : protocoles et ports, restrictions à certaines adresses IP locales ou distantes, profils sur lesquels appliquer la règle (Domaine, Privé, Public), utilisateurs autorisés, exceptions…


La gestion des règles de filtrage

Les règles de trafic entrant et sortant sont clairement listées en mode avancé. L'utilisateur peut les filtrer par profil, par état (activé ou désactivé) ou par groupe (assistance à distance, groupe résidentiel, partage de fichiers et d'imprimantes, par recherche du réseau…). L'édition d'une nouvelle règle est extrêmement aisée avec l'assistant. Tous les types de règles sont possibles, par programme, par port, modèle prédéfini (peer to peer, bureau à distance, lecteur Windows Média, périphérique mobile sans fil) ou enfin une règle personnalisée. Étape par étape, l'utilisateur parvient à son objectif.

7parefeuconclu01    7parefeuconclu02

 

Nous ne pouvons donc que vous conseiller d'utiliser cette protection intégrée à Windows 7, et surtout de l'utiliser au mieux de ses capacités.

+ Les plus

  • Un pare-feu bidirectionnel
  • Édition, création, suppression ou modification d'une règle
  • Règles automatiques pour les programmes reconnus
  • Mode avancé extrêmement complet
  • Filtrage par profil, état, groupe

- Les moins

  • Ne filtre que les connexions entrantes en mode de base
  • Décalage entre le mode simple et le mode avancé