Gérer le pare-feu Microsoft Defender peut s’avérer complexe, surtout si vous devez le configurer correctement sur plusieurs ordinateurs. Le pare-feu intégré est robuste et hautement personnalisable, mais la configuration via la stratégie de groupe (GPO) est essentielle, notamment sur les grands réseaux. Si vous gérez un domaine et souhaitez des règles cohérentes, la configuration via GPO vous évitera bien des soucis par la suite. Attention cependant : une erreur de configuration peut bloquer l’accès à certains utilisateurs ou créer une faille de sécurité. Ce guide vous aidera à maîtriser vos règles de pare-feu, qu’il s’agisse de créer de nouvelles règles ou de gérer les stratégies existantes, et à les déployer facilement sur tous vos ordinateurs. Vous apprendrez à optimiser le pare-feu et à ouvrir les ports uniquement lorsque cela est nécessaire, ou à bloquer tout le trafic inutile. Des opérations classiques, certes, mais il est important de bien les maîtriser.
Comment corriger la configuration et les règles du pare-feu sous Windows à l’aide d’une stratégie de groupe (GPO) ?
Activer le pare-feu Microsoft Defender via la stratégie de groupe
C’est ici que tout commence. Ouvrez la console de gestion des stratégies de groupe (gpmc.msc ).Créez un nouvel objet de stratégie de groupe (GPO), par exemple gpoFirewallDefault pour plus de clarté, puis modifiez-le. L’objectif est de configurer le pare-feu pour qu’il démarre automatiquement, afin que même les utilisateurs disposant de droits d’administrateur local ne puissent pas le désactiver. Dans Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Services système, recherchez Pare-feu Windows. Définissez son type de démarrage sur Automatique. Ainsi, le pare-feu s’activera au redémarrage et restera actif. Assurez-vous également que les utilisateurs ne sont pas autorisés à arrêter le service ; cela empêche les administrateurs malveillants de désactiver la protection. De plus, dans Configuration ordinateur > Stratégies > Modèles d’administration > Réseau > Connexions réseau > Windows Defender > Pare-feu > Profil de domaine, activez l’option Pare-feu Windows Defender : Protéger toutes les connexions réseau. Enfin, n’oubliez pas d’activer le pare-feu pour les profils Domaine, Privé et Public (fonctionnalités natives de Windows).
Pour vérifier le bon fonctionnement du système, vous pouvez activer la journalisation en modifiant le fichier de configuration %systemroot%\system32\logfiles\firewall\pfirewall.log. C’est très pratique pour le dépannage ou pour détecter des comportements anormaux du réseau. Sur certaines configurations, le pare-feu peut ne pas enregistrer beaucoup d’informations par défaut ; il est donc conseillé de modifier les paramètres.
Créer de nouvelles règles de pare-feu Windows via une stratégie de groupe
Vous souhaitez ajouter de nouvelles règles pour contrôler le trafic réseau ? Accédez à Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Pare-feu Windows avec fonctions avancées de sécurité. Vous y trouverez des options pour les règles de trafic entrant, sortant et de sécurité des connexions : un large choix s’offre à vous. Autoriser le protocole RDP via le port TCP 3389 est une opération courante, mais vous devrez créer des règles adaptées à vos besoins spécifiques.
Faites un clic droit sur Règles de trafic entrant, puis sélectionnez Nouvelle règle. L’assistant vous semblera familier : il ressemble aux règles du pare-feu local, mais il est adapté au niveau du domaine. Pour choisir le type de règle, vous pouvez opter pour :
- Programme — pour des exécutables spécifiques,
- Port — pour les ports TCP/UDP,
- Prédéfini — pour les services Windows courants,
- Personnalisé — pour un contrôle plus précis des protocoles et des plages d’adresses IP.
Dans votre cas, sélectionnez Port, choisissez TCP et saisissez 3389 pour RDP. Ensuite, choisissez l’action à effectuer sur cette connexion : Autoriser, Autoriser si sécurisé ou Bloquer. Généralement, il s’agit d’autoriser les connexions RDP entrantes pour des profils spécifiques.
Choisissez les profils à appliquer (généralement les trois).Nommez ensuite la règle, par exemple « Autoriser RDP ».Pour plus de précision, créez également une règle UDP pour le port 3389, car certains systèmes utilisent désormais UDP pour RDP. Répétez l’opération pour les autres ports ou services.
Si vous préférez la programmation par script, vous pouvez également ajouter des règles en masse à l’aide de lignes de texte comme :
3389:TCP:localsubnet:enabled:In_RDP_TCP 3389:UDP:localsubnet:enabled:In_RDP_UDP 445:TCP:localsubnet:enabled:In_SMB_TCP
Importez-les ensuite dans la stratégie de groupe « Définir les exceptions de port entrant ». La manipulation directe du texte accélère le déploiement de plusieurs règles, notamment pour les configurations complexes.
Déploiement des règles de pare-feu sur les PC appropriés
Cette étape est assez simple, mais cruciale. Vous devez lier votre GPO à l’unité d’organisation (UO) appropriée : faites un clic droit sur l’UO et choisissez « Lier un GPO existant ». Sélectionnez ensuite l’ensemble de règles que vous avez créé. N’oubliez pas : effectuez des tests sur quelques machines avant le déploiement à l’échelle du réseau, car une règle incorrecte peut bloquer l’accès ou laisser des ports ouverts.
Après avoir établi la liaison, exécutez le script gpupdate /forcesur vos machines cibles (ou laissez-les se mettre à jour automatiquement).Utilisez des outils comme Test-NetConnection dans PowerShell ou Portqry pour vérifier que vos ports sont ouverts ou bloqués comme prévu. Si ce n’est pas encore le cas, vérifiez les paramètres de votre pare-feu local dans Panneau de configuration > Système et sécurité > Pare-feu Windows Defender : vos nouvelles règles devraient y être présentes, appliquées et non modifiables par les utilisateurs.
Pour une vérification rapide, vous pouvez exécuter la commande Get-NetFirewallRule -Action Allow -Enabled True -Direction Inbound | Format-Table...pour voir ce qui est actif. Assurez-vous simplement que toutes vos règles sont correctement appliquées et suffisamment strictes.
Comment exporter et importer vos paramètres de pare-feu
Vous prévoyez de réutiliser des règles sur plusieurs configurations ou d’en faire une sauvegarde ? Le Pare-feu Windows peut exporter ses stratégies. Ouvrez simplement la console du Pare-feu Windows Defender avec fonctions avancées de sécurité. Dans le menu, sélectionnez Action > Exporter la stratégie. Enregistrez votre configuration dans un fichier, puis, si nécessaire, vous pourrez l’importer sur d’autres machines ou restaurer les paramètres ultérieurement en choisissant Importer la stratégie. C’est une solution très pratique si vous créez une image système de base ou si vous mettez à jour plusieurs systèmes simultanément.
Combinaison des règles de domaine et des paramètres locaux
Parfois, vous souhaitez accorder une certaine liberté aux utilisateurs ou aux administrateurs, tout en conservant un contrôle strict au niveau du domaine. Dans la stratégie de groupe (GPO), un paramètre permet la fusion des règles : il se trouve dans la stratégie « Pare-feu Windows : Définir les exceptions de port entrant ». Vous pouvez activer ou désactiver la création de règles locales et définir si ces règles doivent prévaloir sur les règles du domaine, être fusionnées avec elles ou être bloquées par celles-ci. Sur certaines configurations, les règles locales sont prioritaires, ce qui peut expliquer ce comportement. Par conséquent, si vous souhaitez appliquer des politiques strictes, vérifiez attentivement ces paramètres.
Conseil : il est essentiel de bien comprendre les priorités ; les règles de blocage prévalent sur les règles d’autorisation, mais des règles de refus locales peuvent s’infiltrer. Il faut donc être prudent avec ce que l’on autorise.
Résumé
- Configurez le pare-feu pour qu’il démarre automatiquement via une stratégie de groupe (GPO), notamment pour la sécurité du domaine.
- Créez des règles pour des ports ou des services spécifiques, à l’aide de l’assistant ou par importation de texte en masse.
- Liez votre GPO à l’unité d’organisation appropriée, puis forcez les mises à jour de stratégie et vérifiez que les ports sont ouverts (ou fermés).
- Utilisez la fonction d’export/import pour sauvegarder ou déployer des configurations en masse.
- Gérez les règles locales et de domaine dans la GPO pour éviter les surprises.
Conclure
Configurer correctement le pare-feu Windows Defender via une stratégie de groupe (GPO) n’est pas sorcier, mais cela exige une planification minutieuse. Sur certaines machines, ces stratégies ne s’appliquent pas instantanément ou nécessitent un redémarrage ; les tests sont donc essentiels : ne vous contentez pas d’appliquer des règles sans vérifier leur bon fonctionnement. Une fois configuré pour bloquer les éléments dangereux tout en autorisant les éléments essentiels, votre système est en bon état. Un peu de patience maintenant vous évitera bien des soucis par la suite. En espérant que cela puisse aider certains à sécuriser et à mieux gérer leur réseau.