Contents

Windows Firewall with Advanced Security

Isolating Microsoft Store Apps on Your Network
Securing IPsec
PowerShell
Design Guide
Design Process
Deployment Goals
Protect Devices from Unwanted Network Traffic
Restrict Access to Only Trusted Devices
Require Encryption
Restrict Access
Mapping Goals to a Design
Basic Design
Domain Isolation Design
Server Isolation Design
Certificate-based Isolation Design
Evaluating Design Examples
Basic Design Example
Domain Isolation Design Example
Server Isolation Design Example
Certificate-based Isolation Design Example
Designing a Strategy
Gathering the Info You Need
Network
Active Directory
Computers
Other Relevant Information
Determining the Trusted State of Your Computers
Planning Your Design
 Planning Settings for a Basic Firewall Policy
Planning Domain Isolation Zones
Exemption List
Isolated Domain
Boundary Zone
Encryption Zone
Planning Server Isolation Zones
Planning Certificate-based Authentication
Documenting the Zones
Planning Group Policy Deployment for Your Isolation Zones
Planning Isolation Groups for the Zones
Planning Network Access Groups
Planning the GPOs
Planning GPO Deployment
Appendix A: Sample GPO Template Files for Settings Used in this Guide
Deployment Guide
Planning to Deploy
Implementing Your Plan
Checklist: Creating Group Policy Objects
Checklist: Implementing a Basic Firewall Policy Design
Checklist: Configuring Basic Firewall Settings
Checklist: Creating Inbound Firewall Rules
Checklist: Creating Outbound Firewall Rules
Checklist: Implementing a Domain Isolation Policy Design
Checklist: Configuring Rules for the Isolated Domain
Checklist: Configuring Rules for the Boundary Zone
Checklist: Configuring Rules for the Encryption Zone
Checklist: Configuring Rules for an Isolated Server Zone
Checklist: Implementing a Standalone Server Isolation Policy Design
Checklist: Configuring Rules for Servers in a Standalone Isolated Server Zone
Checklist: Creating Rules for Clients of a Standalone Isolated Server Zone
Checklist: Implementing a Certificate-based Isolation Policy Design
Procedures Used in This Guide
Add Production Devices to the Membership Group for a Zone
Add Test Devices to the Membership Group for a Zone
Assign Security Group Filters to the GPO
Change Rules from Request to Require Mode
Configure Authentication Methods
Configure Data Protection (Quick Mode) Settings
Configure Group Policy to Autoenroll and Deploy Certificates
Configure Key Exchange (Main Mode) Settings
Configure the Rules to Require Encryption
Configure the Windows Firewall Log
Configure the Workstation Authentication Certificate Template
Configure Windows Firewall to Suppress Notifications When a Program Is Blocked
Confirm That Certificates Are Deployed Correctly
Copy a GPO to Create a New GPO
Create a Group Account in Active Directory
Create a Group Policy Object
Create an Authentication Exemption List Rule
Create an Authentication Request Rule
Create an Inbound ICMP Rule
Create an Inbound Port Rule
Create an Inbound Program or Service Rule
Create an Outbound Port Rule
Create an Outbound Program or Service Rule
Create Inbound Rules to Support RPC
Create WMI Filters for the GPO
Create Windows Firewall rules in Intune
Enable Predefined Inbound Rules
Enable Predefined Outbound Rules
Exempt ICMP from Authentication
Link the GPO to the Domain
Modify GPO Filters
Open IP Security Policies
Open Group Policy
Open Group Policy
Open Windows Firewall
Restrict Server Access
Enable Windows Firewall
Verify Network Traffic
 Pare-feu Windows Defender avec sécurité avancée
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Il s’agit d’une vue d’ensemble du pare-feu Windows Defender avec sécurité avancée (WFAS ) et les fonctionnalités
de sécurité (IPsec) Internet Protocol.

Description des fonctionnalités

Le pare-feu Windows Defender avec sécurité avancée est une partie importante d’un modèle de sécurité
multiniveau. En fournissant basée sur l’hôte, trafic réseau bidirectionnel filtrage pour un appareil, le pare-feu
Windows Defender bloque le trafic réseau non autorisés sont transmises dans ou en dehors de l’appareil local.
Pare-feu Windows Defender fonctionne également avec prise en charge réseau afin qu’elle peut aussi appliquer les
paramètres de sécurité appropriés pour les types de réseaux auquel l’appareil est connecté. Pare-feu Windows
Defender et les paramètres de configuration de sécurité du protocole Internet (IPsec) sont intégrées dans une
seule Console MMC (Microsoft Management) nommé pare-feu Windows Defender, afin que le pare-feu Windows
Defender est également une partie importante de votre réseau stratégie d’isolation.

Applications pratiques
Pour vous aider à relever les défis de sécurité réseau, le pare-feu Windows Defender offre les avantages suivants:
Réduit le risque de menaces de sécurité réseau. Pare-feu Windows Defender réduit la surface d’attaque
d’un appareil, en fournissant une couche supplémentaire pour le modèle de défense en profondeur.
Réduction de la surface d’attaque d’un appareil augmente la facilité de gestion et réduit la probabilité d’une
attaque.
Protège les données sensibles et propriété intellectuelle. Grâce à son intégration avec IPsec, pare-feu
Windows Defender offre un moyen simple de mettre en œuvre les communications réseau authentifié, de
bout en bout. Il fournit l’accès évolutif, hiérarchisé aux ressources réseau approuvé, afin de garantir
l’intégrité des données et éventuellement contribue à protéger la confidentialité des données.
Étend la valeur des investissements existants. , Car le pare-feu Windows Defender est un pare-feu basé
sur l’hôte qui est inclus dans le système d’exploitation, il n’existe aucun autre matériel ou les logiciels requis.
Pare-feu Windows Defender est également conçu pour compléter les solutions de sécurité réseau non
Microsoft existant par le biais d’une interface de programmation d’application documentée (API).

Dans cette section

RUBRIQUE DESCRIPTION

Isolation des applications du MicrosoftStore sur votre réseau Vous pouvez personnaliser votre configuration du pare-feu
Windows Defender pour isoler l’accès au réseau des
applications Microsoft Store qui s’exécutent sur des appareils.

Sécurisation des connexions IPsec de bout en bout à l’aide de Vous pouvez utiliser IKEv2 pour aider à sécuriser les
IKEv2 connexions IPSec de bout en bout pour.
RUBRIQUE DESCRIPTION

Pare-feu Windows Defender avec fonctions avancées de En savoir plus sur l’utilisation de Windows PowerShell pour
sécurité Administration avec Windows PowerShell gérer le pare-feu Windows Defender.

Pare-feu Windows Defender avec le Guide de conception de Découvrez comment créer une conception pour le
fonctions avancées de sécurité déploiement du pare-feu Windows Defender avec sécurité
avancée.

Pare-feu Windows Defender avec le Guide de déploiement de Découvrez comment déployer le pare-feu Windows Defender
fonctions avancées de sécurité avec sécurité avancée.
 Isolation des applications du MicrosoftStore sur votre
réseau
17/04/2019 • 13 minutes to read

S'applique à
Windows10
Windows Server2016
Lorsque vous ajoutez de nouveaux périphériques à votre réseau, vous voudrez peut-être personnaliser votre pare-
feu Windows Defender avec la configuration de sécurité avancée pour isoler l’accès au réseau des nouvelles
applications Microsoft Store qui s’exécutent sur chacun d’eux. Les développeurs qui créent des applications
Microsoft Store peuvent déclarer certaines fonctionnalités d’application qui permettent à différentes classes de
l’accès réseau. Un développeur peut décider de l’application requiert que le type d’accès au réseau et configurer
cette fonctionnalité pour l’application. Lorsque l’application est installée sur un appareil, les règles de pare-feu
appropriées sont créés automatiquement pour activer l’accès. Vous pouvez ensuite personnaliser la configuration
du pare-feu pour affiner cet accès si ils souhaitent mieux contrôler l’accès au réseau de l’application.
Par exemple, un développeur peut décider que son application doit se connecter uniquement aux réseaux locaux
approuvés (par exemple, comme à la maison ou de travail) et non à Internet. De cette façon, les développeurs
peuvent définir l’étendue d’accès au réseau pour leur application. Cette isolation réseau empêche une application
d’accéder à un réseau et un type de connexion (entrant ou sortant) si la connexion n’a pas été configurée pour
l’application. Ensuite, l’administrateur de réseau peut personnaliser le pare-feu pour limiter davantage les
ressources auxquelles l’application peut accéder.
La possibilité de définir et d’appliquer ces limites réseau permet de s’assurer que les applications qui compromises
peuvent accéder qu’aux réseaux où ils ont été expressément accordé à l’accès. Cela réduit considérablement la
portée de leur impact sur les autres applications, l’appareil et le réseau. En outre, les applications peuvent être
isolées et protégées contre les accès malveillants à partir du réseau.
Lors de la création de nouvelles applications du Microsoft Store, un développeur peut définir les fonctionnalités de
réseau suivants pour leur application:
Mise en réseau Home\Work
Fournit l’accès entrant et sortant aux réseaux intranet que l’utilisateur a désignés comme une maison ou à
un réseau de travail, ou si le réseau dispose d’un contrôleur de domaine authentifié.
Internet (client)
Fournit un accès sortant à Internet et aux réseaux non approuvés, tels que des aéroports et des cafés (par
exemple, des réseaux intranet où l’utilisateur a désigné le réseau comme étant Public). La plupart des
applications qui nécessitent un accès Internet doivent utiliser cette fonctionnalité.
Internet (Client et serveur)
Fournit l’accès entrant et sortant à Internet et aux réseaux non approuvés, tels que des aéroports et des
cafés. Cette fonctionnalité est un sur-ensemble de la fonctionnalité Internet (Client) et Internet (Client)
n’a pas besoin d’être activé si cette fonctionnalité est activée.
Proximité
Fournit la communication en champ proche (NFC ) avec des appareils qui se trouvent à proximité de
 l’appareil. Proximité peut être utilisée pour envoyer des fichiers ou communiquer avec une application sur
un appareil située à proximité.
Dans cette rubrique
Pour isoler les applications Microsoft Store sur votre réseau, vous devez utiliser la stratégie de groupe pour définir
vos paramètres d’isolement réseau et de créer des règles de pare-feu application Microsoft Store personnalisés.
Prérequis
Étape 1: Définir votre réseau
Étape 2: Créer des règles de pare-feu personnalisées

Prérequis
Un contrôleur de domaine est installé sur votre réseau, et vos appareils sont joints au domaine Windows.
Votre application Microsoft Store est installée sur l’appareil client.
Les outils d’Administration de serveur distant (RSAT) sont installés sur votre appareil client. Lorsque vous
effectuez les étapes suivantes à partir de votre appareil client, vous pouvez sélectionner votre application
Microsoft Store lorsque vous créez des règles de pare-feu Windows Defender.

Remarque: vous pouvez installer le serveur distant sur votre appareil exécutant Windows 10 à partir du
Centre de téléchargement Microsoft.

Étape 1: Définir votre réseau

La fonctionnalité de Mise en réseau de Home\Work permet d’accéder aux ressources intranet. Les
administrateurs peuvent utiliser les paramètres de stratégie de groupe pour définir l’étendue de l’intranet. Cela
garantit que les applications Microsoft Store peuvent accéder aux ressources intranet correctement.
Un point de terminaison réseau est considérée comme partie du Réseau Home\Work si:
Il fait partie du sous-réseau local d’un réseau approuvé.
Par exemple, les utilisateurs à domicile indicateur généralement leur réseau comme étant approuvé.
Appareils locaux seront désignées comme telle.
Un appareil se trouve sur un réseau, et il est authentifié sur un contrôleur de domaine.
Les points de terminaison au sein de l’espace d’adressage intranet sont considérés comme privés.
Les points de terminaison au sein du sous-réseau local sont considérés comme privés.
L’appareil est configuré pour DirectAccess et le point de terminaison fait partie de l’espace d’adressage
intranet.
L’espace d’adressage intranet se compose de sites Active Directory et de sous-réseaux configurés, et il est
configuré pour l’isolation du réseau Windows spécifiquement à l’aide de la stratégie de groupe. Vous pouvez
désactiver l’utilisation de sites Active Directory et les sous-réseaux à l’aide de la stratégie de groupe en déclarant
que les définitions de sous-réseau sont faisant autoritées.
N’importe quel proxy que vous configurez ou qui sont automatiquement configurés avec la configuration
automatique de proxy (à l’aide de Proxy Auto-Discovery protocole WPAD (Web)) est exemptés de la zone intranet.
Vous pouvez ajouter des adresses proxy à l’aide de la stratégie de groupe.
Tous les autres points de terminaison qui ne répondent pas aux critères précédemment indiqués sont considérés
comme des points de terminaison sur Internet.
Pour configurer un objet de stratégie de groupe qui définit l’espace d’adresse de votre intranet
1. Ouvrez le composant logiciel enfichable Gestion des stratégies de groupe (gpmc.msc) et modifier la
stratégie de domaine par défaut.
2. À partir de l’éditeur de gestion de stratégie de groupe, développez la Configuration de l’ordinateur,
développez des stratégies, développez Modèles d’administration, développez réseau, puis cliquez sur
L’isolement réseau.
3. Dans le volet droit, double-cliquez sur les plages de réseaux privés pour les applications.
4. Dans la boîte de dialogue plages de réseaux privés pour les applications , cliquez sur activé. Dans la
zone de texte sous-réseaux privés , tapez les sous-réseaux privés pour votre intranet, séparés par des
virgules si nécessaire.
Par exemple, si l’intranet de Contoso est défini comme 10.0.0.0 avec un masque de sous-réseau
255.255.255.0, vous feriez tapez 10.0.0.0/24 dans la zone de texte de sous-réseaux privés .
5. Double-cliquez sur les définitions de sous-réseau sont faisant autoritées.
Si vous souhaitez que les définitions de sous-réseau que vous avez créé précédemment pour constituer la
source unique pour la définition de votre sous-réseau, cliquez sur activé. Dans le cas contraire, laissez la
valeur par défaut Non configuré afin que vous pouvez ajouter des sous-réseaux supplémentaires à l’aide
de paramètres locaux ou heuristique d’isolement réseau.
Pour configurer les adresses de serveur proxy pour l’intranet et Internet
1. Double-cliquez sur les serveurs proxy Internet pour les applications. Cliquez sur activéet tapez dans la
zone de texte Proxys de domaine , les adresses IP de vos serveurs proxy Internet, séparées par des points-
virgules.
2. Double-cliquez sur les serveurs proxy Intranet pour les applications. Cliquez sur activéet tapez dans la
zone de texte adresse IP, les adresses IP de vos serveurs proxy intranet, séparées par des points-virgules.
3. Double-cliquez sur les définitions de Proxy sont faisant autoritées.
Si vous souhaitez que les définitions de proxy que vous avez créé précédemment pour constituer la source
unique pour votre définition de proxy, cliquez sur activé. Dans le cas contraire, laissez la valeur par défaut
Non configuré afin que vous pouvez ajouter des serveurs proxy supplémentaires à l’aide de paramètres
locaux ou heuristique d’isolement réseau.

Étape 2: Créer des règles de pare-feu personnalisées

Les applications de Microsoft Store peuvent déclarer des nombreuses fonctionnalités en plus des capacités réseau
indiquées précédemment. Par exemple, les applications peuvent déclarer des fonctionnalités pour accéder à
certains périphériques matériels, le système de fichiers local et identité de l’utilisateur.
Le tableau suivant fournit une liste complète des fonctionnalités possibles d’une application.

FONCTIONNALITÉ NOM DESCRIPTION

Internet (client) internetClient Votre connexion Internet sortante.

FONCTIONNALITÉ
Internet (client & serveur)
Mise en réseau Home\Work
Accès à la bibliothèque documents
Accès à la bibliothèque images
Accès à la bibliothèque vidéo
Accès à la bibliothèque Musique
Informations d’identification de
Windows par défaut
Stockage amovible
Certificats utilisateur partagés
Services de localisation
NOM DESCRIPTION
internetClientServer Votre connexion Internet, y compris les
connexions entrantes non sollicitées à
partir d’Internet l’application peut
envoyer des informations vers ou à
partir de votre appareil par le biais d’un
pare-feu. Vous n’avez pas besoin de
déclarer internetClient si cette
fonctionnalité est déclarée.
privateNetworkClientServer Un réseau domestique ou Professionnel.
L’application peut envoyer des
informations vers ou à partir de votre
appareil et d’autres périphériques sur le
même réseau.
documentsLibrary Votre bibliothèque de Documents, y
compris la possibilité d’ajouter, de
modifier ou supprimer des fichiers. Le
package peut accéder aux types de
fichiers qui sont déclarées dans le
manifeste.
picturesLibrary Votre bibliothèque d’images,
notamment la possibilité d’ajouter, de
modifier ou supprimer des fichiers.
videosLibrary Votre bibliothèque de vidéos,
notamment la possibilité d’ajouter, de
modifier ou supprimer des fichiers.
musicLibrary Votre bibliothèque de musique, y
compris la possibilité d’ajouter, de
modifier ou supprimer des fichiers.
defaultWindowsCredentials Vos informations d’identification
Windows pour accéder à un intranet
d’entreprise. Cette application peut
emprunter votre identité sur le réseau.
removableStorage Un périphérique de stockage amovible,
tel qu’un disque dur externe, un disque
mémoire flash USB ou un appareil
portable MTP, y compris la possibilité
d’ajouter, modifier ou de supprimer des
fichiers spécifiques. Ce package peut
accéder aux types de fichiers qui sont
déclarées dans le manifeste.
sharedUserCertificates Certificats logiciels et matériels ou une
carte à puce, l’application utilise pour
vous identifier. Cette fonctionnalité peut
être utilisée par un employeur, une
banque ou services publics pour vous
identifier.
emplacement Fournit l’accès à l’emplacement actuel de
l’utilisateur.
 FONCTIONNALITÉ NOM DESCRIPTION

Micro microphone Donne accès au flux audio du

microphone.

Proximité en champ proche proximity Requis pour la communication en

champ proche (NFC) entre les appareils
à proximité. NFC peut être utilisé pour
envoyer des fichiers ou communiquer
avec une application sur un appareil
située à proximité.

Messagerie texte sms Donne accès aux fonctionnalités de

messagerie texte.

Webcam webcam Fournit l’accès au flux vidéo de la

webcam.

Autres appareils (représentées par <GUID> Inclut des appareils spécialisés et les
un GUID) appareils mobiles Windows.

Vous pouvez créer une stratégie de pare-feu Windows Defender qui est étendue pour un ensemble d’applications
qui utilisent une fonctionnalité spécifiée ou à une application de Microsoft Store spécifique à prendre en compte.
Par exemple, vous pouvez créer une stratégie de pare-feu Windows Defender pour bloquer l’accès à Internet pour
toutes les applications sur votre réseau qui disposent de la fonctionnalité de bibliothèque de Documents.
Pour bloquer l’accès à Internet pour toutes les applications sur votre réseau qui disposent de la
fonctionnalité de bibliothèque de Documents
1. Ouvrez le composant logiciel enfichable Gestion des stratégies de groupe (gpmc.msc).
2. Dans le volet gauche, cliquez sur votre nom de domaine, cliquez sur créer un objet GPO dans ce
domaine et le lier ici.
3. Tapez un nom pour l’objet de stratégie de groupe dans la zone de texte nom , puis cliquez sur OK.
4. Cliquez sur le nouvel objet GPO, puis cliquez sur Modifier.
5. Dans l’éditeur de gestion de stratégie de groupe, développez la Configuration de l’ordinateur, développez
des stratégies, développez Paramètres Windows, développez les Paramètres de sécurité, développez Le
pare-feu Windows Defender avec sécurité avancée, puis cliquez sur Pare-feu Windows Defender –
LDAP: / / …
6. Cliquez avec le bouton droit sur Règles de trafic sortant, puis cliquez sur Nouvelle règle.
7. Cliquez sur personnalisé, puis cliquez sur suivant.
8. Cliquez sur suivant sur la page du programme , la page protocoles et Ports et la page de l’étendue .
9. Sur la page Action , assurez-vous que la connexion bloquée est sélectionné, puis cliquez sur suivant.
10. Sur la page de profil , cliquez sur suivant.
11. Sur la page nom , tapez un nom pour votre règle, puis cliquez sur Terminer.
12. Dans le volet droit, avec le bouton droit de la nouvelle règle, cliquez sur Propriétés.
13. Cliquez sur l’onglet Entités Local , activez la case à cocher Autoriser uniquement les connexions à
partir de ces utilisateurs , puis cliquez sur Ajouter.
14. Cliquez sur les Propriétés de Package d’Application, puis cliquez sur OK.
15. Dans la boîte de dialogue Fonctionnalités choisir , cliquez sur la bibliothèque de documents
AUTHORITY\Your de PACKAGE D’APPLICATION, puis cliquez sur OK.
16. Cliquez sur l’onglet étendue sous les adresses IP à distance, puis cliquez sur Ajouter.
17. Cliquez sur prédéfini ensemble d’ordinateurs, sélectionnez Internet, puis cliquez sur OK.
Cela limite la règle pour bloquer le trafic sur des appareils Internet.
18. Cliquez sur l’onglet programmes et les Services et dans la zone Des Packages d’Application , cliquez
sur les paramètres.
19. Cliquez sur appliquer aux packages d’application, puis cliquez sur OK.

Important: vous devez le faire pour vous assurer que la règle s’applique uniquement aux applications
Microsoft Store et pas à d’autres applications. Les applications de bureau déclarent toutes les
fonctionnalités par défaut, et cette règle appliqueraient leur si vous ne le configurez pas de cette façon.

20. Cliquez sur OK pour fermer la boîte de dialogue de Propriétés .

21. Fermez l’éditeur de gestion des stratégies de groupe.
22. Dans le composant logiciel enfichable Gestion des stratégies de groupe, vous assurer que votre nouvelle
stratégie de groupe est sélectionné, puis dans le volet droit, sous Filtrage de sécurité, sélectionnez
Utilisateurs authentifiés. Cliquez sur Supprimer, puis cliquez sur OK.
23. Sous le Filtrage de sécurité, cliquez sur Ajouter.
24. Tapez les ordinateurs du domaine dans la zone de texte, puis cliquez sur OK.
25. Fermez le composant logiciel enfichable Gestion des stratégies de groupe.
Utilisez la procédure suivante si vous souhaitez bloquer l’accès intranet pour un support spécifique, le partage
d’application sur votre réseau.
Pour bloquer l’accès à l’intranet pour un support spécifique, le partage d’application sur votre réseau
1. Ouvrez le composant logiciel enfichable Gestion des stratégies de groupe (gpmc.msc).
2. Dans le volet gauche, cliquez sur votre nom de domaine, puis cliquez sur créer un objet GPO dans ce
domaine et le lier ici.
3. Tapez un nom pour votre stratégie de groupe dans la zone de texte nom , puis cliquez sur OK.
4. Avec le bouton droit de votre nouvel objet GPO, puis cliquez sur Modifier.
5. À partir de l’éditeur de gestion de stratégie de groupe, développez la Configuration de l’ordinateur,
développez des stratégies, développez Paramètres Windows, développez les Paramètres de sécurité,
développez Pare-feu Windows Defender, puis cliquez sur Windows Pare-feu Defender – LDAP: / /…
6. Cliquez avec le bouton droit sur Règles de trafic sortant, puis cliquez sur Nouvelle règle.
7. Cliquez sur personnalisé, puis cliquez sur suivant.
8. Cliquez sur suivant sur la page du programme , la page protocoles et Ports et la page de l’étendue .
9. Sur la page Action , assurez-vous que bloquer la connexion est sélectionnée, puis cliquez sur suivant.
10. Sur la page de profil , cliquez sur suivant.
11. Sur la page nom , tapez un nom pour votre règle, puis cliquez sur Terminer.
12. Dans le volet droit, avec le bouton droit de la nouvelle règle, puis cliquez sur Propriétés.
13. Cliquez sur l’onglet Entités Local , activez la case à cocher Autoriser uniquement les connexions à
partir de ces utilisateurs , puis cliquez sur Ajouter.
14. Cliquez sur les Propriétés de Package d’Application, puis cliquez sur OK.
15. Dans la boîte de dialogue Fonctionnalités choisir , cliquez sur AUTHORITY\A de PACKAGE
D’APPLICATION domestique ou réseau de travail, puis cliquez sur OK.
16. Sur l’onglet programmes et les Services dans Des Packages d’Application, puis cliquez sur les
paramètres.
17. Cliquez sur appliquer ce package d’application, sélectionnez l’application dans la zone de texte, puis
cliquez sur OK.
18. Cliquez sur OK pour fermer la boîte de dialogue de Propriétés .
19. Fermez l’éditeur de gestion des stratégies de groupe.
20. Dans Gestion des stratégies de groupe, vérifiez que votre nouvelle stratégie de groupe est sélectionné et
dans le volet droit, sous Filtrage de sécurité, sélectionnez Utilisateurs authentifiés, cliquez sur
Supprimer, puis cliquez sur OK.
21. Sous le Filtrage de sécurité, cliquez sur Ajouter.
22. Tapez les ordinateurs du domaine dans la zone de texte et cliquez sur OK.
23. Gestion des stratégies de groupe Fermer.

Articles associés
Pare-feu Windows Defender avec une vue d’ensemble des fonctions avancées de sécurité
 Sécurisation des connexions IPsec de bout en bout à
l’aide de IKEv2
17/04/2019 • 6 minutes to read

S'applique à
Windows10
Windows Server2016
IKEv2 offre les éléments suivants:
Prend en charge les connexions en mode de transport de bout en bout pour IPsec
Fournit l’interopérabilité pour Windows avec d’autres systèmes d’exploitation qui utilisent IKEv2 pour la
sécurité de bout en bout
Prend en charge les exigences de Suite B (RFC 4869)
Coexiste avec les stratégies existantes qui déploient AuthIP/IKEv1
Utilise l’interface de Windows PowerShell exclusivement pour la configuration. Vous ne pouvez pas
configurer IKEv2 par le biais de l’interface utilisateur.
Utilise des certificats pour le mécanisme d’authentification
Vous pouvez utiliser IKEv2 comme un réseau privé virtuel (VPN ) qui prend en charge la reconnexion VPN
automatique protocole de tunneling. IKEv2 permet l’association de sécurité de rester intacte malgré les
modifications apportées à la connexion sous-jacente.
Dans ce document
Prérequis
Appareils joints à un domaine
Appareil ne pas joint à un domaine
Résolution des problèmes

Remarque: cette rubrique comprend des applets de commande Windows PowerShell exemple. Pour plus
d’informations, voir l’exécution d’une applet de commande Windows PowerShell.

Prérequis
Ces procédures supposent que vous disposez déjà d’une infrastructure à clé publique (PKI) en place pour
l’authentification de l’appareil.

Appareils joints à un domaine

Le script Windows PowerShell suivant établit une règle de sécurité de connexion qui utilise le protocole IKEv2 pour
la communication entre les deux ordinateurs (CLIENT1 et SERVER1) qui sont joints au domaine corp.contoso.com,
comme illustré dans la figure 1.
Figure 1 Le réseau d’entreprise de Contoso
Ce script effectue les opérations suivantes:
Crée un groupe de sécurité appelé serveurs et le client IPsec et ajoute des CLIENT1 et SERVER1 en tant
que membres.
Crée un objet de stratégie de groupe (GPO ) appelé IPsecRequireInRequestOut et lie au domaine
corp.contoso.com.
Définit les autorisations sur l’objet de stratégie de groupe afin qu’elles s’appliquent uniquement aux
ordinateurs de serveurs et le client IPsec et pas pour les Utilisateurs authentifiés.
Indique le certificat à utiliser pour l’authentification.

Important: les paramètres du certificat que vous spécifiez pour le certificat respectent la casse, par
conséquent, vérifiez que vous les tapez exactement comme spécifié dans le certificat et placez les
paramètres dans l’ordre exact que vous voyez dans l’exemple suivant. Cela entraîne des erreurs de
connexion.

Permet de créer la règle de sécurité de connexion IKEv2 appelée Mes IKEv2 règle.

commandes Windows PowerShell

Tapez chaque applet de commande sur une seule ligne, même si elles pourront apparaître à encapsuler sur
plusieurs lignes en raison des contraintes de mise en forme.
 # Create a Security Group for the computers that will get the policy
$pathname = (Get-ADDomain).distinguishedname
New-ADGroup -name "IPsec client and servers" -SamAccountName "IPsec client and servers" `
-GroupCategory security -GroupScope Global -path $pathname

# Add test computers to the Security Group

$computer = Get-ADComputer -LDAPFilter "(name=client1)"
Add-ADGroupMember -Identity "IPsec client and servers" -Members $computer
$computer = Get-ADComputer -LDAPFilter "(name=server1)"
Add-ADGroupMember -Identity "IPsec client and servers" -Members $computer

# Create and link the GPO to the domain

$gpo = New-gpo IPsecRequireInRequestOut
$gpo | new-gplink -target "dc=corp,dc=contoso,dc=com" -LinkEnabled Yes

# Set permissions to security group for the GPO

$gpo | Set-GPPermissions -TargetName "IPsec client and servers" -TargetType Group -PermissionLevel GpoApply -
Replace
$gpo | Set-GPPermissions -TargetName "Authenticated Users" -TargetType Group -PermissionLevel None -Replace

#Set up the certificate for authentication

$gponame = "corp.contoso.com\IPsecRequireInRequestOut"
$certprop = New-NetIPsecAuthProposal -machine -cert -Authority "DC=com, DC=contoso, DC=corp, CN=corp-APP1-CA"
$myauth = New-NetIPsecPhase1AuthSet -DisplayName "IKEv2TestPhase1AuthSet" -proposal $certprop –PolicyStore
GPO:$gponame

#Create the IKEv2 Connection Security rule

New-NetIPsecRule -DisplayName "My IKEv2 Rule" -RemoteAddress any -Phase1AuthSet $myauth.InstanceID `
-InboundSecurity Require -OutboundSecurity Request -KeyModule IKEv2 -PolicyStore GPO:$gponame

Appareils non joints à un domaine

Utilisez un script Windows PowerShell semblable aux éléments suivants pour créer une stratégie IPsec locale sur
les appareils que vous souhaitez inclure dans la connexion sécurisée.

Important: les paramètres du certificat que vous spécifiez pour le certificat respectent la casse, par
conséquent, vérifiez que vous les tapez exactement comme spécifié dans le certificat et placez les paramètres
dans l’ordre exact que vous voyez dans l’exemple suivant. Cela entraîne des erreurs de connexion.

commandes Windows PowerShell

Tapez chaque applet de commande sur une seule ligne, même si elles pourront apparaître à encapsuler sur
plusieurs lignes en raison des contraintes de mise en forme.

#Set up the certificate

$certprop = New-NetIPsecAuthProposal -machine -cert -Authority "DC=com, DC=contoso, DC=corp, CN=corp-APP1-CA"
$myauth = New-NetIPsecPhase1AuthSet -DisplayName "IKEv2TestPhase1AuthSet" -proposal $certprop

#Create the IKEv2 Connection Security rule

New-NetIPsecRule -DisplayName "My IKEv2 Rule" -RemoteAddress any -Phase1AuthSet $myauth.InstanceID `
-InboundSecurity Require -OutboundSecurity Request -KeyModule IKEv2

Assurez-vous que vous installez les certificats requis sur les ordinateurs participants.

Remarque:
Pour les appareils locales, vous pouvez importer les certificats manuellement si vous disposez d’un accès
administrateur à l’ordinateur. Pour plus d’informations, voir Importer ou exporter des certificats et clés
privées.
 Vous avez besoin d’un certificat racine et un certificat d’ordinateur sur tous les appareils qui participent à la
connexion sécurisée. Enregistrez le certificat d’ordinateur dans le dossier Personnel/certificats .
Pour les appareils à distance, vous pouvez créer un site Web sécurisé pour faciliter l’accès pour le script et
les certificats.

Résolution des problèmes

Suivez les procédures ci-dessous pour vérifier et résoudre les problèmes liés à vos connexions IPsec IKEv2:
Utiliser le pare-feu Windows Defender avec sécurité avancée un composant logiciel enfichable pour
vérifier qu’une règle de sécurité de connexion est activée.
1. Ouvrez le pare-feu Windows Defender avec la console de sécurité avancée.
2. Dans le volet gauche du pare-feu Windows Defender avec sécurité avancée un composant logiciel
enfichable, cliquez sur Règles de sécurité de connexionet, puis vérifiez qu’il existe une règle de sécurité
de connexion activée.
3. Développez analyse, puis cliquez sur Les règles de sécurité de connexion pour vérifier que votre règle
IKEv2 est actif pour votre profil actuellement actif.
Utilisez les applets de commande Windows PowerShell pour afficher les associations de sécurité.
1. Ouvrez une invite de commandes Windows PowerShell.
2. Tapez get-NetIPsecQuickModeSA pour afficher les associations de sécurité en Mode rapide.
3. Tapez get-NetIPsecMainModeSA pour afficher les associations de sécurité en Mode principal.
Utilisez netsh pour capturer les événements IPsec.
1. Ouvrez une invite de commandes avec élévation de privilèges.
2. À l’invite de commandes, tapez netsh protection capture d’écran de démarrage.
3. Reproduisez l’événement d’erreur afin que celle-ci peut être capturée.
4. À l’invite de commandes, tapez netsh Protection fin de capture.
Un fichier wfpdiag.cab est créé dans le dossier actuel.
5. Ouvrez le fichier cab et puis extrayez le fichier wfpdiag.xml.
6. Ouvrez le fichier wfpdiag.xml avec vous êtes une visionneuse XML ou le bloc-notes et ensuite examiner le
contenu. Il y aura un grand nombre de données de ce fichier. Une façon de déterminer où commencer vos
recherches consiste à rechercher le dernier «errorFrequencyTable» à la fin du fichier. Il peut y avoir plusieurs
instances de ce tableau, marque tel est le cas sûr que vous regardez dans la dernière table dans le fichier. Par
exemple, si vous avez un problème de certificat, vous pouvez voir l’entrée suivante dans le tableau dernière à
la fin du fichier:

<item>
<error>ERROR_IPSEC_IKE_NO_CERT</error>
<frequency>32</frequency>
</item>

Dans cet exemple, il existe des 32 instances de l’erreur ERROR_IPSEC_IKE_NO_CERT . Maintenant, vous
pouvez rechercher des ERROR_IPSEC_IKE_NO_CERT obtenir plus d’informations sur cette erreur.
Vous pouvez aussi pas la réponse exacte le problème, mais vous pouvez trouver des indications de bonne. Par
exemple, il est possible qu’il corresponde à un problème avec les certificats, vous pouvez donc consulter vos
certificats et les applets de commande associées pour les problèmes possibles.

Articles associés
Pare-feu Windows Defender avec sécurité avancée
 Pare-feu Windows Defender avec fonctions avancées
de sécurité Administration avec Windows PowerShell
17/04/2019 • 26 minutes to read

S'applique à
Windows10
Windows Server2016
Le pare-feu Windows Defender avec l’Administration de la sécurité avancée avec Windows PowerShell Guide
fournit son essentielles pour automatiser la gestion du pare-feu Windows Defender. Il est conçu pour les
professionnels de l’informatique, les administrateurs système, les responsables informatiques et d’autres
personnes à utiliser et ont besoin d’automatiser la gestion du pare-feu Windows Defender dans Windows.
Vous pouvez utiliser Windows PowerShell pour gérer les pare-feu et les déploiements d’IPsec. Cet environnement
de script orienté objet rendra plus facile à gérer des stratégies et de surveiller les conditions réseau que qui était
possible dans netsh. Windows PowerShell permet aux paramètres réseau automatique détectable par le biais de la
syntaxe et les paramètres de chacune des applets de commande. Ce guide décrit les tâches courantes ont été
effectuées dans netsh et comment vous pouvez utiliser Windows PowerShell pour les accomplir.
Dans les futures versions de Windows, Microsoft peut supprimer les les fonctionnalités de netsh pour le pare-feu
Windows Defender. Microsoft recommande cette transition vous à Windows PowerShell, si vous utilisez
actuellement netsh pour configurer et gérer le pare-feu Windows Defender.
Références de commande Windows PowerShell et netsh sont aux emplacements suivants.
Commandes Netsh pour le pare-feu Windows Defender

Étendue
Ce guide ne vous apprend les notions de base du pare-feu Windows Defender, qui se trouvent dans le Pare-feu
Windows Defender. Il ne pas apprend les notions de base de Windows PowerShell, et il part du principe que vous
êtes familiarisé avec le langage Windows PowerShell et les concepts de base de Windows PowerShell. Pour plus
d’informations sur les concepts de Windows PowerShell et l’utilisation, consultez les rubriques de référence dans
la section ressources supplémentaires de ce guide.

Configuration requise public et l’utilisateur

Ce guide est destiné aux professionnels de l’informatique, les administrateurs système et aux responsables
informatiques, et il part du principe que vous êtes familiarisé avec les concepts de base de Windows PowerShell, la
langue de Windows PowerShell et le pare-feu Windows Defender.

Dans cette rubrique

SECTION DESCRIPTION

Définir les valeurs par défaut globales de profil Activer et contrôle le comportement du pare-feu

Déployer les règles de pare-feu de base Comment créer, modifier et supprimer des règles de pare-feu
 SECTION DESCRIPTION

Gérer à distance Gestion à distance à l’aide de -CimSession

Déployer des paramètres de règle de base IPsec Règles IPsec et les paramètres associés

Déployer les règles de pare-feu sécurisé avec IPsec Isolation de domaine et de serveur

Ressources supplémentaires Plus d’informations sur Windows PowerShell

Définir les valeurs par défaut globales de profil

Valeurs par défaut globales définir le comportement de l’appareil dans une base de chaque profil. Pare-feu
Windows Defender prend en charge les profils de domaine, privé et Public.
Activer le pare -feu Windows Defender avec sécurité avancée
Pare-feu Windows Defender supprime le trafic qui ne correspond pas au trafic non sollicité autorisé, ou qui est
envoyé en réponse à une requête par l’appareil. Si vous trouvez que les règles que vous créez ne sont pas
appliquées, vous devrez peut-être activer le pare-feu Windows Defender. Voici comment procéder sur un appareil
de domaine local:
Netsh

netsh advfirewall set allprofiles state on

WindowsPowerShell

Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True

Contrôle le pare -feu Windows Defender avec le comportement de sécurité avancée

Les paramètres globaux par défaut peuvent être définis par le biais de l’interface de ligne de commande. Ces
modifications sont également disponibles via le pare-feu Windows Defender avec la console de sécurité avancée.
Le son suivant définie la valeur par défaut des actions entrantes et sortantes, spécifie les connexions réseau
protégées et permet de notifications qui seront visibles par l’utilisateur lorsqu’un programme est autorisé à
recevoir des connexions entrantes. Elle permet de réponses monodiffusion pour le trafic réseau multidiffusion ou
de diffusion et il définit les paramètres de la journalisation pour le dépannage.
Netsh

netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound

netsh advfirewall set allprofiles settings inboundusernotification enable
netsh advfirewall set allprofiles settings unicastresponsetomulticast enable
netsh advfirewall set allprofiles logging filename %SystemRoot%\System32\LogFiles\Firewall\pfirewall.log

WindowsPowerShell

Set-NetFirewallProfile -DefaultInboundAction Block -DefaultOutboundAction Allow –NotifyOnListen True -

AllowUnicastResponseToMulticast True –LogFileName %SystemRoot%\System32\LogFiles\Firewall\pfirewall.log

Désactiver le pare -feu Windows Defender avec sécurité avancée

Microsoft recommande que vous ne pas désactivez le pare-feu Windows Defender, car vous perdez des autres
avantages offerts par le service, telles que la possibilité d’utiliser les règles de sécurité de connexion Internet
Protocol security (IPsec), protection du réseau contre les attaques qui utilisent empreinte, Renforcement du Service
Windowset les filtres de temps de démarrageréseau.
La désactivation du pare-feu Windows Defender avec sécurité avancée peut également entraîner des problèmes,
notamment:
Menu Démarrer permettre cesser de fonctionner
Les applications modernes peuvent échouer à installer ou mettre à jour
Échec de l’activation de Windows par téléphone
Application ou du système d’exploitation incompatibilités qui dépendent du pare-feu Windows Defender
Microsoft recommande la désactivation de pare-feu Windows Defender uniquement lorsque vous installez un
pare-feu tiers et rétablir les pare-feu Windows Defender par défaut lorsque le logiciel tiers est désactivé ou
supprimé.
Si la désactivation du pare-feu Windows Defender est nécessaire, ne le désactivez pas en arrêtant le service pare-
feu Windows Defender (dans le composant logiciel enfichable Services , le nom d’affichage est pare-feu Windows
Defender et le nom du service est MpsSvc). L’arrêt du service pare-feu Windows Defender n’est pas pris en charge
par Microsoft.
Logiciel pare-feu non Microsoft peut désactiver par programmation uniquement les parties du pare-feu Windows
Defender qui doit être désactivé pour assurer la compatibilité. Ne pas désactiver le pare-feu vous-même à cet effet.
La méthode appropriée pour désactiver le pare-feu Windows Defender consiste à désactiver les profils de pare-feu
Windows Defender et laisser le service en cours d’exécution.
Utilisez la procédure suivante pour désactiver le pare-feu ou désactivez le paramètre de stratégie de groupe
Configuration ordinateur | Modèles d’administration | Réseau | Connexions réseau | Pare-feu Windows
Defender | Domaine Prolfile | Pare-feu Windows Defender: protéger toutes les connexions réseau. Pour
plus d’informations, voir Le pare-feu Windows Defender avec le guide de déploiement de sécurité avancée.
L’exemple suivant désactive le pare-feu Windows Defender pour tous les profils.

Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False

Déployer les règles de pare-feu de base

Cette section fournit des exemples de scriptlet pour la création, la modification et la suppression des règles de
pare-feu.
Créer des règles de pare -feu
Ajout d’une règle de pare-feu dans Windows PowerShell ressemble beaucoup que dans Netsh, mais les
paramètres et valeurs sont définies différemment.
Voici un exemple illustrant comment permettre à l’application Telnet à l’écoute sur le réseau. Cette règle de pare-
feu est étendue pour le sous-réseau local à l’aide d’un mot clé au lieu d’une adresse IP. Tout comme dans Netsh, la
règle est créée sur l’appareil local, et elle prend effet immédiatement.
Netsh

netsh advfirewall firewall add rule name="Allow Inbound Telnet" dir=in program=
%SystemRoot%\System32\tlntsvr.exe remoteip=localsubnet action=allow

WindowsPowerShell
 New-NetFirewallRule -DisplayName “Allow Inbound Telnet” -Direction Inbound -Program
%SystemRoot%\System32\tlntsvr.exe -RemoteAddress LocalSubnet -Action Allow

Le scriptlet suivant montre comment ajouter une règle de pare-feu de base qui bloque le trafic sortant à partir
d’une application spécifique et d’un port local à un objet de stratégie de groupe (GPO ) dans Active Directory. Dans
Windows PowerShell, le magasin de stratégies est spécifié en tant que paramètre au sein de l’applet de commande
New-NetFirewall . Dans Netsh, vous devez d’abord spécifier l’objet de stratégie de groupe que les commandes
dans une session Netsh doivent modifier. Les commandes que vous entrez sont exécutés sur le contenu de l’objet
de stratégie de groupe, et cela reste en vigueur jusqu'à ce que la session de Netsh est terminée ou un autre
ensemble store commande est exécutée.
Ici, domain.contoso.com est le nom de votre Active Directory Domain Services (ADDS ), et gpo_name est le
nom de l’objet de stratégie de groupe que vous souhaitez modifier. Entre guillemets sont nécessaires, s’il existe des
espaces dans le nom de la stratégie de groupe.
Netsh

netsh advfirewall set store gpo=domain.contoso.com\gpo_name

netsh advfirewall firewall add rule name="Block Outbound Telnet" dir=out
program=%SystemRoot%\System32\telnet.exe protocol=tcp localport=23 action=block

WindowsPowerShell

New-NetFirewallRule -DisplayName “Block Outbound Telnet” -Direction Outbound -Program

%SystemRoot%\System32\tlntsvr.exe –Protocol TCP –LocalPort 23 -Action Block –PolicyStore
domain.contoso.com\gpo_name

La mise en cache de stratégie de groupe

Pour réduire la charge sur les contrôleurs de domaine occupé, Windows PowerShell vous permet de charger un
objet de stratégie de groupe à votre session locale, rendre toutes vos modifications dans cette session et puis
enregistrez-le précédent du tout qu’une seule fois.
Les éléments suivants effectue les mêmes actions que l’exemple précédent (en ajoutant une règle Telnet à un objet
de stratégie de groupe), mais nous le faisons par conséquent, tirant parti de stratégie de groupe de mise en cache
dans PowerShell. Modification de l’objet de stratégie de groupe en charger dans votre session locale et en utilisant
le paramètre - GPOSession ne sont pas pris en charge Netsh
WindowsPowerShell

$gpo = Open-NetGPO –PolicyStore domain.contoso.com\gpo_name

New-NetFirewallRule -DisplayName “Block Outbound Telnet” -Direction Outbound -Program
%SystemRoot%\System32\telnet.exe –Protocol TCP –LocalPort 23 -Action Block –GPOSession $gpo
Save-NetGPO –GPOSession $gpo

Notez que cela ne pas batch vos modifications individuelles, il ne se charge et enregistre la totalité de la stratégie
de groupe à la fois. Par conséquent, si d’autres modifications sont apportées par d’autres administrateurs, ou dans
une fenêtre Windows PowerShell différents, l’enregistrement de l’objet de stratégie de groupe remplace ces
modifications.
Modifier une règle de pare -feu existante
Lorsqu’une règle est créée, Netsh et Windows PowerShell vous permettent de modifier les propriétés de la règle et
influence, mais la règle maintient son identificateur unique (dans Windows PowerShell, cela est spécifié par la -
Name paramètre).
Par exemple, vous pouvez avoir une règle Autoriser les 80 Web qui active le port TCP 80 pour le trafic entrant
non sollicité. Vous pouvez modifier la règle pour correspondre à une adresse IP à distance différente d’un serveur
Web dont le trafic soient autorisé par la spécification du nom lisible et localisé de la règle.
Netsh

netsh advfirewall firewall set rule name="Allow Web 80" new remoteip=192.168.0.2

WindowsPowerShell

Set-NetFirewallRule –DisplayName “Allow Web 80” -RemoteAddress 192.168.0.2

Netsh, vous devez fournir le nom de la règle pour celui-ci d’être modifiés, et nous n’avons pas un autre moyen
d’obtenir la règle de pare-feu. Dans Windows PowerShell, vous pouvez interroger pour la règle à l’aide de ses
propriétés connues.
Lorsque vous exécutez Get-NetFirewallRule , vous pouvez remarquer que les conditions courantes telles que les
adresses et les ports n’apparaissent pas. Ces conditions sont représentées dans des objets distincts appelés
«filtres». Comme avant, vous pouvez définir toutes les conditions de New -NetFirewallRule et Set-NetFirewallRule.
Si vous souhaitez rechercher les règles de pare-feu basés sur ces champs (ports, adresses, sécurité, des interfaces,
services), vous devrez obtenir les filtrer les objets eux-mêmes.
Vous pouvez modifier le point de terminaison distant de la règle Autoriser les 80 Web (comme fait
précédemment) à l’aide d’objets de filtrage. À l’aide de Windows PowerShell vous interrogez par voie en utilisant le
port filtrer, puis en supposant que les règles supplémentaires existent qui affectent le port local, vous générez avec
davantage de requêtes jusqu'à ce que votre règle souhaité est récupérée.
Dans l’exemple suivant, nous supposons que la requête renvoie une règle de pare-feu unique, qui est ensuite
transmise à la Set-NetFirewallRule applet de commande utilisant la possibilité de Windows PowerShell pour les
entrées de pipeline.
WindowsPowerShell

Get-NetFirewallPortFilter | ?{$_.LocalPort -eq 80} | Get-NetFirewallRule | ?{ $_.Direction –eq “Inbound” -and

$_.Action –eq “Allow”} | Set-NetFirewallRule -RemoteAddress 192.168.0.2

Vous pouvez également rechercher les règles à l’aide du caractère générique. L’exemple suivant renvoie un tableau
de règles de pare-feu associées à un programme particulier. Les éléments du tableau peuvent être modifiées dans
ultérieures Set-NetFirewallRule applets de commande.
WindowsPowerShell

Get-NetFirewallApplicationFilter -Program "*svchost*" | Get-NetFirewallRule

Plusieurs règles d’un groupe peuvent être modifiées simultanément lorsque le nom du groupe associé est spécifié
dans une commande de jeu. Vous pouvez ajouter des règles de pare-feu à des groupes d’administration spécifié
pour pouvoir gérer plusieurs règles qui partagent les mêmes influences.
Dans l’exemple suivant, nous ajoutons des règles de pare-feu Telnet entrants et sortants au groupe Gestion
Telnet. Dans Windows PowerShell, l’appartenance au groupe est spécifié quand les règles sont tout d’abord créés
et donc nous recréer les règles exemple précédent. Ajout de règles à un groupe de règles personnalisé n’est pas
possible de Netsh.
WindowsPowerShell
 New-NetFirewallRule -DisplayName “Allow Inbound Telnet” -Direction Inbound -Program
%SystemRoot%\System32\tlntsvr.exe -RemoteAddress LocalSubnet -Action Allow –Group “Telnet Management”
New-NetFirewallRule -DisplayName “Block Outbound Telnet” -Direction Outbound -Program
%SystemRoot%\System32\tlntsvr.exe -RemoteAddress LocalSubnet -Action Allow –Group “Telnet Management”

Si le groupe n’est pas spécifié au moment de la création de règle, la règle peut être ajoutée au groupe de règles à
l’aide de la notation par points dans Windows PowerShell. Vous ne pouvez pas spécifier le groupe à l’aide
Set-NetFirewallRule dans la mesure où la commande permet d’interroger par groupe de règles.

WindowsPowerShell

$rule = Get-NetFirewallRule -DisplayName “Allow Inbound Telnet”

$rule.Group = “Telnet Management”
$rule | Set-NetFirewallRule

À l’aide de la Set de commande, si le nom du groupe règle est spécifié, l’appartenance au groupe n’est pas
modifié, mais plutôt toutes les règles du groupe de recevoir les mêmes modifications indiquées par les paramètres
spécifiés.
Le scriptlet suivant active toutes les règles dans un groupe prédéfini contenant la gestion à distance qui influencent
les règles de pare-feu.
Netsh

netsh advfirewall firewall set rule group="Windows Defender Firewall remote management" new enable=yes

WindowsPowerShell

Set-NetFirewallRule -DisplayGroup “Windows Defender Firewall Remote Management” –Enabled True

Il existe également un distinct Enable-NetFirewallRule applet de commande pour l’activation de règles par groupe
ou par d’autres propriétés de la règle.
WindowsPowerShell

Enable-NetFirewallRule -DisplayGroup “Windows Defender Firewall Remote Management” -Verbose

Supprimer une règle de pare -feu

Les objets de règle peuvent être désactivées afin qu’ils soient n’est plus actifs. Dans Windows PowerShell, l’applet
de commande Disable-NetFirewallRule est laisser la règle sur le système, mais placez-la dans un état désactivé,
afin que la règle n’est plus est appliquée et a une incidence sur le trafic. Une règle de pare-feu désactivé peut être
réactivée par Enable-NetFirewallRule. Cela diffère de la Suppression-NetFirewallRule, ce qui supprime
définitivement la définition de la règle de l’appareil.
L’applet de commande suivant supprime la règle de pare-feu existante spécifiée dans le magasin de stratégie
locale.
Netsh

netsh advfirewall firewall delete rule name=“Allow Web 80”

WindowsPowerShell
 Remove-NetFirewallRule –DisplayName “Allow Web 80”

Comme avec d’autres applets de commande, vous pouvez également rechercher les règles de suppression. Ici,
toutes les règles de pare-feu de blocage sont supprimés de l’appareil.
WindowsPowerShell

Remove-NetFirewallRule –Action Block

Notez qu’il peut être plus sûre interroger les règles avec la commande Get et enregistrez-la dans une variable,
respecter les règles être affectés, puis diriger les à la commande Supprimer , comme nous l’avons fait pour les
commandes Set . L’exemple suivant montre comment vous pouvez afficher toutes les règles de pare-feu blocage
et supprimez les quatre premières règles.
WindowsPowerShell

$x = Get-NetFirewallRule –Action Block

$x
$x[0-3] | Remove-NetFirewallRule

Gérer à distance
Gestion à distance à l’aide de WinRM est activée par défaut. Les applets de commande qui prennent en charge le
paramètre CimSession utilisent WinRM et peuvent être gérés à distance par défaut.
L’exemple suivant renvoie tous les règles de pare-feu du Windows store persistant sur un appareil nommé
RemoteDevice.
WindowsPowerShell

Get-NetFirewallRule –CimSession RemoteDevice

Nous pouvons effectuer toute modification ou afficher des règles sur des appareils distants en utilisant simplement
le paramètre -CimSession . Ici, nous supprimer une règle de pare-feu propres à partir d’un appareil distant.
WindowsPowerShell

$RemoteSession = New-CimSession –ComputerName RemoteDevice

Remove-NetFirewallRule –DisplayName “AllowWeb80” –CimSession $RemoteSession -Confirm

Déployer des paramètres de règle de base IPsec

Une stratégie Internet Protocol security (IPsec) se compose de règles qui déterminent le comportement IPsec.
IPsec prend en charge réseau-authentification homologues, authentification de l’origine, l’intégrité des données,
confidentialité des données (chiffrement) et la relecture protection.
Windows PowerShell peut créer les stratégies IPsec puissantes et complexes, comme dans Netsh et le pare-feu
Windows Defender avec la console de sécurité avancée. Toutefois, étant donné que Windows PowerShell est basé
sur l’objet au lieu de la chaîne de jeton, configuration dans Windows PowerShell offre une flexibilité et un meilleur
contrôle.
Dans Netsh, l’authentification et les jeux de chiffrement a été spécifié sous forme de liste des jetons de séparées
par des virgules dans un format spécifique. Dans Windows PowerShell, plutôt qu’à l’aide des paramètres par
défaut, vous tout d’abord créez votre authentification souhaitée ou des objets de la proposition de chiffrement et
les regroupez dans les listes dans votre ordre de préférence. Ensuite, vous créez une ou plusieurs règles IPsec qui
font référence à ces jeux. L’avantage de ce modèle est qu’un accès par programmation aux informations dans les
règles est beaucoup plus facile. Consultez les sections suivantes pour clarifier les exemples.

Créer des règles IPsec

L’applet de commande suivant crée une règle de mode de transport IPsec base dans un objet de stratégie de
groupe. Une règle IPsec est facile de créer; tout ce qui est requis est le nom d’affichage, et les autres propriétés
utilisent des valeurs par défaut. Le trafic entrant est authentifié et intégrité vérifiée avec les paramètres de mode
principal et le mode rapide par défaut. Vous trouverez ces paramètres par défaut dans la console, sous
Personnaliser les valeurs par défaut IPsec.
Netsh

netsh advfirewall set store gpo=domain.contoso.com\gpo_name

netsh advfirewall consec add rule name="Require Inbound Authentication" endpoint1=any endpoint2=any
action=requireinrequestout

WindowsPowerShell

New-NetIPsecRule -DisplayName “Require Inbound Authentication” -PolicyStore domain.contoso.com\gpo_name

Ajouter des méthodes d’authentification personnalisé à une règle IPsec

Si vous souhaitez créer un ensemble personnalisé de propositions de mode rapide qui inclut à la fois AH et ESP
dans un objet de règle IPsec, vous créez les objets associés séparément et liez leurs associations. Pour plus
d’informations sur les méthodes d’authentification, voir le protocole IPsec de choix .
Vous pouvez ensuite utiliser les stratégies de mode rapide personnalisés qui vient d’être créés lorsque vous créez
des règles IPsec. L’objet de jeu de chiffrement est lié à un objet de règle IPsec.

Dans cet exemple, nous nous appuyons sur la règle IPsec créée précédemment en spécifiant un ensemble de
chiffrement mode rapide personnalisé. La règle IPsec finale nécessite le trafic sortant puisse être authentifié par la
méthode de chiffrement spécifié.
Netsh
 netsh advfirewall set store gpo=domain.contoso.com\gpo_name
netsh advfirewall consec add rule name="Require Outbound Authentication" endpoint1=any endpoint2=any
action=requireinrequestout qmsecmethods=ah:sha1+esp:sha1-3des

WindowsPowerShell

$AHandESPQM = New-NetIPsecQuickModeCryptoProposal -Encapsulation AH,ESP –AHHash SHA1 -ESPHash SHA1 -Encryption

DES3
$QMCryptoSet = New-NetIPsecQuickModeCryptoSet –DisplayName “ah:sha1+esp:sha1-des3” -Proposal $AHandESPQM –
PolicyStore domain.contoso.com\gpo_name
New-NetIPsecRule -DisplayName “Require Inbound Authentication” -InboundSecurity Require -OutboundSecurity
Request -QuickModeCryptoSet $QMCryptoSet.Name –PolicyStore domain.contoso.com\gpo_name

Règles de transport IPsec IKEv2

Vous devrez sécuriser les communications avec un autre organisme un réseau d’entreprise. Toutefois, vous
découvrez l’Agence s’exécute les systèmes d’exploitation autres que Windows et nécessite l’utilisation de la
Version2 échange de clé Internet (IKEv2) standard.
Vous pouvez exploiter des fonctionnalités IKEv2 dans Windows Server 2012 en spécifiant simplement IKEv2 en
tant que le module de clé dans une règle IPsec. Cela peut uniquement être effectuée à l’aide de l’authentification
par certificat ordinateur et ne peut pas être utilisée avec l’authentification de la phase 2.
WindowsPowerShell

New-NetIPsecRule -DisplayName “Require Inbound Authentication” -InboundSecurity Require -OutboundSecurity

Request –Phase1AuthSet MyCertAuthSet -KeyModule IKEv2 –RemoteAddress $nonWindowsGateway

Pour plus d’informations sur IKEv2, y compris les scénarios, consultez connexions d’IPsec de bout en bout à
sécurisation par IKEv2 à l’aide.
Copier une règle IPsec d’une stratégie à l’autre
Règles de pare-feu et IPsec avec les mêmes propriétés de règle peuvent être dupliquées pour simplifier la tâche de
recréer au sein des magasins de stratégies différentes.
Pour copier la règle créée précédemment à partir du store d’une stratégie à l’autre, les objets associés doit être
également être copié séparément. Notez qu’il est inutile de copier les filtres de pare-feu associées. Vous pouvez
interroger les règles doivent être copiées de la même manière que les autres applets de commande.
Copie des règles individuelles est une tâche qui n’est pas possible par le biais de l’interface Netsh. Voici comment
vous pouvez accomplir avec Windows PowerShell.
WindowsPowerShell

$Rule = Get-NetIPsecRule –DisplayName “Require Inbound Authentication”

$Rule | Copy-NetIPsecRule –NewPolicyStore domain.costoso.com\new_gpo_name
$Rule | Copy-NetPhase1AuthSet –NewPolicyStore domain.costoso.com\new_gpo_name

Gestion des erreurs de Windows PowerShell

Pour gérer les erreurs dans vos scripts Windows PowerShell, vous pouvez utiliser le paramètre – ErrorAction . Cela
est particulièrement utile avec les applets de commande pour la Supprimer . Si vous souhaitez supprimer une
règle particulière, vous remarquerez qu’elle échoue si la règle est introuvable. Lors de la suppression des règles, si
la règle n’est pas déjà présent, il est généralement acceptable d’ignorer cette erreur. Dans ce cas, vous pouvez faire
la commande suivante pour supprimer toutes les erreurs «règle introuvable» lors de l’opération de suppression.
WindowsPowerShell
 Remove-NetFirewallRule –DisplayName “Contoso Messenger 98” –ErrorAction SilentlyContinue

Notez que l’utilisation de caractères génériques permettre également supprimer des erreurs, mais ils peuvent
potentiellement correspondent aux règles que vous n’aviez pas l’intention de supprimer. Cela peut être un
raccourci utile, mais doit être utilisé uniquement si vous connaissez il ne sont pas des règles supplémentaires qui
sont accidentellement supprimés. Par conséquent, l’applet de commande suivante sera également supprimer la
règle, suppression de toutes les erreurs «introuvable».
WindowsPowerShell

Remove-NetFirewallRule –DisplayName “Contoso Messenger 98*”

Lorsque vous utilisez des caractères génériques, si vous souhaitez vérifier l’ensemble de règles qui est mise en
correspondance, vous pouvez utiliser le paramètre WhatIf .
WindowsPowerShell

Remove-NetFirewallRule –DisplayName “Contoso Messenger 98*” –WhatIf

Si vous voulez uniquement supprimer certaines règles mises en correspondance, vous pouvez utiliser la –
Confirmer paramètre pour obtenir une invite de confirmation de la règle par la règle.
WindowsPowerShell

Remove-NetFirewallRule –DisplayName “Contoso Messenger 98*” –Confirm

Vous pouvez également simplement effectuer l’ensemble de l’opération, affichant le nom de chaque règle que
l’opération est effectuée.
WindowsPowerShell

Remove-NetFirewallRule –DisplayName “Contoso Messenger 98*” –Verbose

Écran
Les commandes Windows PowerShell suivantes sont utiles dans le cycle de mise à jour d’une phase de
déploiement.
Pour vous permettre d’afficher toutes les règles IPsec dans un magasin particulier, vous pouvez utiliser les
commandes suivantes. Dans Netsh, cette commande n’affiche pas les règles du profil où = domaine, public ou le
profil = domaine, privé. Il affiche uniquement les règles qui ont le domaine d’entrée unique qui est inclus dans la
règle. Les exemples suivants de la commande seront affichent les règles IPsec dans tous les profils.
Netsh

netsh advfirewall consec show rule name=all

WindowsPowerShell

Show-NetIPsecRule –PolicyStore ActiveStore

Vous pouvez surveiller les associations de sécurité en mode principal pour plus d’informations telles que les
homologues sont actuellement connectés à l’appareil et quelle suite de protections est utilisé pour former les
associations de sécurité.
Utilisez l’applet de commande suivante pour afficher les règles de mode principal existantes et leurs associations
de sécurité:
Netsh

netsh advfirewall monitor show mmsa all

WindowsPowerShell

Get-NetIPsecMainModeSA

Trouver une règle de la source de stratégie de groupe

Pour afficher les propriétés d’une règle particulière ou un groupe de règles, vous interrogez pour la règle.
Lorsqu’une requête retourne des champs qui sont spécifiées en tant que NotConfigured, vous pouvez pour
déterminer quels une règle provient d’un magasin de stratégies.
Pour les objets qui proviennent d’une stratégie de groupe (le paramètre – PolicyStoreSourceType est spécifié
comme GroupPolicy dans la commande Show ), si – TracePolicyStore est passé, le nom de l’objet de stratégie de
groupe est trouvé et renvoyé dans le ** PolicyStoreSource** champ.
WindowsPowerShell

Get-NetIPsecRule –DisplayName “Require Inbound Authentication” –TracePolicyStore

Il est important de noter que les sources révélées ne contiennent pas un nom de domaine.
Déployer une stratégie d’isolation de domaine de base
IPsec peut être utilisé pour isoler les membres du domaine à partir des membres non au domaine. Isolation de
domaine utilise l’authentification IPsec pour exiger que les appareils joints au domaine établissent clairement les
identités des périphériques de communication pour améliorer la sécurité d’une organisation. Une ou plusieurs
fonctionnalités d’IPsec peuvent servir à sécuriser le trafic avec un objet de règle IPsec.
Pour implémenter l’isolation de domaine sur votre réseau, les appareils dans le domaine reçoivent des règles IPsec
qui bloquent le trafic réseau entrant non sollicité n’est pas protégé par IPsec. Ici, nous créons une règle IPsec qui
requiert une authentification par les membres du domaine. Grâce à cela, vous pouvez isoler les appareils joints au
domaine à partir d’appareils qui ne sont pas joints à un domaine. Dans les exemples suivants, l’authentification
Kerberos est requis pour le trafic entrant et requis pour le trafic sortant.
Netsh

netsh advfirewall set store gpo=domain.contoso.com\domain_isolation

netsh advfirewall consec add rule name=“Basic Domain Isolation Policy” profile=domain endpoint1=”any”
endpoint2=”any” action=requireinrequestout auth1=”computerkerb”

WindowsPowerShell
 $kerbprop = New-NetIPsecAuthProposal –Machine –Kerberos
$Phase1AuthSet = New-NetIPsecPhase1AuthSet -DisplayName "Kerberos Auth Phase1" -Proposal $kerbprop –
PolicyStore domain.contoso.com\domain_isolation
New-NetIPsecRule –DisplayName “Basic Domain Isolation Policy” –Profile Domain –Phase1AuthSet
$Phase1AuthSet.Name –InboundSecurity Require –OutboundSecurity Request –PolicyStore
domain.contoso.com\domain_isolation

Configurer le mode de tunnel IPsec

La commande suivante crée un tunnel IPsec qui achemine le trafic à partir d’un réseau privé (192.168.0.0/16) par
le biais d’une interface sur l’appareil local (1.1.1.1) relié à un réseau public sur un second appareil par le biais de
son interface publique (2.2.2.2) à l’autre privé réseau (192.157.0.0/16). Tout le trafic via le tunnel est vérifié pour
l’intégrité à l’aide du protocole ESP/SHA1, et qu’il soit chiffré à l’aide du protocole ESP/DES3.
Netsh

netsh advfirewall consec add rule name="Tunnel from 192.168.0.0/16 to 192.157.0.0/16" mode=tunnel
endpoint1=192.168.0.0/16 endpoint2=192.157.0.0/16 localtunnelendpoint=1.1.1.1 remotetunnelendpoint=2.2.2.2
action=requireinrequireout qmsecmethods=esp:sha1-3des

WindowsPowerShell

$QMProposal = New-NetIPsecQuickModeCryptoProposal -Encapsulation ESP -ESPHash SHA1 -Encryption DES3

$QMCryptoSet = New-NetIPsecQuickModeCryptoSet –DisplayName “esp:sha1-des3” -Proposal $QMProposal
New-NetIPSecRule -DisplayName “Tunnel from HQ to Dallas Branch” -Mode Tunnel -LocalAddress 192.168.0.0/16 -
RemoteAddress 192.157.0.0/16 -LocalTunnelEndpoint 1.1.1.1 -RemoteTunnelEndpoint 2.2.2.2 -InboundSecurity
Require -OutboundSecurity Require -QuickModeCryptoSet $QMCryptoSet.Name

Déployer les règles de pare-feu sécurisé avec IPsec

Dans les situations où seuls sécuriser le trafic peut être autorisé par le biais du pare-feu Windows Defender, une
combinaison de manuellement configuré règles de pare-feu et IPsec sont nécessaires. Les règles de pare-feu
déterminent le niveau de sécurité pour les paquets autorisés et les règles IPsec sous-jacent sécuriser le trafic. Les
scénarios peuvent être effectués dans Windows PowerShell et Netsh, nombreuses similitudes dans le déploiement.
Créer une règle de pare -feu sécurisé (Autoriser si elle est sécurisée )
Configuration de l’intégrité et règle de pare-feu pour autoriser les connexions si elles sont sécurisés nécessite le
trafic correspondant puisse être authentifié protégés et ensuite si vous le souhaitez chiffrée par IPsec.
L’exemple suivant crée une règle de pare-feu qui nécessite que le trafic puisse être authentifié. La commande
autorise le trafic réseau entrant Telnet uniquement si la connexion à partir de l’appareil distant est authentifiée à
l’aide d’une règle IPsec distincte.
Netsh

netsh advfirewall firewall add rule name="Allow Authenticated Telnet" dir=in

program=%SystemRoot%\System32\tlntsvr.exe security=authenticate action=allow

WindowsPowerShell

New-NetFirewallRule -DisplayName “Allow Authenticated Telnet” -Direction Inbound -Program

%SystemRoot%\System32\tlntsvr.exe -Authentication Required -Action Allow

La commande suivante crée une règle IPsec qui nécessite une première authentification (ordinateur) et tente
ensuite une seconde facultatif (utilisateur) l’authentification. Création de cette règle sécurise et autorise le trafic via
le pare-feu des exigences de règle pour le programme messenger.
Netsh

netsh advfirewall consec add rule name="Authenticate Both Computer and User" endpoint1=any endpoint2=any
action=requireinrequireout auth1=computerkerb,computerntlm auth2=userkerb,userntlm,anonymous

WindowsPowerShell

$mkerbauthprop = New-NetIPsecAuthProposal -Machine –Kerberos

$mntlmauthprop = New-NetIPsecAuthProposal -Machine -NTLM
$P1Auth = New-NetIPsecPhase1AuthSet -DisplayName “Machine Auth” –Proposal $mkerbauthprop,$mntlmauthprop
$ukerbauthprop = New-NetIPsecAuthProposal -User -Kerberos
$unentlmauthprop = New-NetIPsecAuthProposal -User -NTLM
$anonyauthprop = New-NetIPsecAuthProposal -Anonymous
$P2Auth = New-NetIPsecPhase2AuthSet -DisplayName “User Auth” -Proposal
$ukerbauthprop,$unentlmauthprop,$anonyauthprop
New-NetIPSecRule -DisplayName “Authenticate Both Computer and User” -InboundSecurity Require -OutboundSecurity
Require -Phase1AuthSet $P1Auth.Name –Phase2AuthSet $P2Auth.Name

Isoler un serveur en demandant l’appartenance au groupe et de chiffrement

Pour améliorer la sécurité des appareils dans une organisation, vous pouvez déployer l’isolation de domaine dans
lequel les membres du domaine sont limités. Elles nécessitent une authentification lors de la communication entre
eux et rejettent les connexions entrantes non authentifiée. Pour améliorer la sécurité des serveurs avec des
données sensibles, ces données doivent être protégées par permettant d’accéder uniquement à un sous-ensemble
de périphériques au sein du domaine d’entreprise.
IPsec peut fournir cette couche de protection supplémentaire en isolant le serveur. Dans l’isolation de serveur,
accès aux données sensibles est limité aux utilisateurs et des périphériques avec besoin légitime, et les données
sont chiffrées en outre pour éviter les écoutes clandestines.
Créer une règle de pare -feu qui nécessite le chiffrement et l’appartenance au groupe
Pour déployer l’isolation de serveurs, nous couche une règle de pare-feu qui limite le trafic pour les utilisateurs
autorisés ou des appareils de la règle IPsec qui applique l’authentification.
La règle de pare-feu suivante permet le trafic Telnet à partir des comptes d’utilisateur qui sont membres d’un
groupe personnalisé appelé «Authorized au serveur d’accès». Cet accès peut être plus restreint basé sur l’appareil,
l’utilisateur ou les deux en spécifiant les paramètres de restriction.
Une chaîne de descripteur définition du langage SDDL (Security) est créée par l’extension d’un utilisateur ou
identificateur de groupe sécurité (SID ). Pour plus d’informations sur la recherche SID d’un groupe, voir: recherche
le SID pour un compte de groupe.
Restriction de l’accès à un groupe permet administrations étendre la prise en charge de l’authentification forte par
le biais de stratégies de pare-feu Windows Defender et/ou IPsec.
L’exemple suivant vous montre comment créer une chaîne SDDL qui représente les groupes de sécurité.
WindowsPowerShell

$user = new-object System.Security.Principal.NTAccount (“corp.contoso.com\Administrators”)

$SIDofSecureUserGroup = $user.Translate([System.Security.Principal.SecurityIdentifier]).Value
$secureUserGroup = "D:(A;;CC;;;$SIDofSecureUserGroup)"

En utilisant le scriptlet précédent, vous pouvez également obtenir la chaîne SDDL pour un groupe d’ordinateurs
sécurisé comme illustré ici:
WindowsPowerShell

$secureMachineGroup = "D:(A;;CC;;;$SIDofSecureMachineGroup)"

Pour plus d’informations sur la création des groupes de sécurité ou de la détermination de la chaîne SDDL, voir
utilisation des identificateurs de sécurité.
Telnet est une application qui ne fournit pas de chiffrement. Cette application peut envoyer des données, telles que
les noms et mots de passe, via le réseau. Ces données peuvent être interceptées par des utilisateurs malveillants. Si
vous souhaitez autoriser l’utilisation de Telnet, mais protéger le trafic un administrateur, une règle de pare-feu qui
requiert le chiffrement IPsec peut être créée. Cela est nécessaire pour que l’administrateur peut être certain que
lorsque cette application est utilisée, tout le trafic envoyés ou reçus par ce port est chiffré. En cas d’échec de IPsec
autoriser la connexion, aucun trafic n’est autorisé à partir de cette application.
Dans cet exemple, nous autoriser uniquement authentifiées et chiffrées Telnet du trafic à partir d’un groupe
d’utilisateurs sécurisé spécifié par le biais de la création de la règle de pare-feu suivantes.
Netsh

netsh advfirewall set store gpo=domain.contoso.com\Server_Isolation

netsh advfirewall firewall add rule name=“Allow Encrypted Inbound Telnet to Group Members Only”
program=%SystemRoot%\System32\tlntsvr.exe protocol=TCP dir=in action=allow localport=23 security=authenc
rmtusrgrp ="D:(A;;CC;;; S-1-5-21-2329867823-2610410949-1491576313-1735)"

WindowsPowerShell

New-NetFirewallRule -DisplayName "Allow Encrypted Inbound Telnet to Group Members Only" -Program
%SystemRoot%\System32\tlntsvr.exe -Protocol TCP -Direction Inbound -Action Allow -LocalPort 23 -Authentication
Required -Encryption Required –RemoteUser $secureUserGroup –PolicyStore domain.contoso.com\Server_Isolation

Mise en œuvre de sécurité de point de terminaison

L’exemple précédent vous a montré la sécurité de bout en bout pour une application particulière. Dans les
situations où la sécurité de point de terminaison est nécessaire pour de nombreuses applications, avoir une règle
de pare-feu par l’application peut être lourde et difficile à gérer. Autorisation peut remplacer la fonction de la règle
et le faire à la couche IPsec.
Dans cet exemple, nous avons défini le paramètre IPsec global pour autoriser uniquement le trafic du mode de
transport proviennent d’un groupe d’utilisateurs autorisés avec l’applet de commande suivante. Pour travailler
avec des groupes de sécurité, consultez les exemples précédents.
WindowsPowerShell

Set-NetFirewallSetting -RemoteMachineTransportAuthorizationList $secureMachineGroup

Créer des règles de pare -feu qui permettent au trafic réseau protégé par IPsec (contournement authentifié )
Contournement authentifié autorise le trafic à partir d’un périphérique de confiance spécifiée ou un utilisateur
pour remplacer les règles de blocage du pare-feu. Ceci est utile lorsqu’un administrateur souhaite utiliser des
serveurs d’analyse sur les appareils de moniteur et mise à jour sans avoir besoin d’utiliser des exceptions au niveau
du port. Pour plus d’informations, voir comment activer le pare-feu authentifié contournement.
Dans cet exemple, nous partons du principe qu’il existe une règle de pare-feu blocage. Cet exemple permet à tout
le trafic réseau sur n’importe quel port à partir de n’importe quelle adresse IP pour remplacer la règle Bloquer, si
le trafic est authentifié comme provenant d’un compte d’appareil ou l’utilisateur qui est membre du groupe de
sécurité de périphérique ou utilisateur spécifié.
Netsh

netsh advfirewall set store gpo=domain.contoso.com\domain_isolation

netsh advfirewall firewall add rule name="Inbound Secure Bypass Rule" dir=in security=authenticate
action="bypass" rmtcomputergrp="D:(A;;CC;;;S-1-5-21-2329867823-2610410949-1491576313-1114)" rmtusrgrp="D:
(A;;CC;;; S-1-5-21-2329867823-2610410949-1491576313-1735)"

WindowsPowerShell

New-NetFirewallRule –DisplayName “Inbound Secure Bypass Rule" –Direction Inbound –Authentication Required –
OverrideBlockRules $true -RemoteMachine $secureMachineGroup –RemoteUser $secureUserGroup –PolicyStore
domain.contoso.com\domain_isolation

Ressources supplémentaires
Pour plus d’informations sur les concepts de Windows PowerShell, voir les rubriques suivantes.
Guide de mise en route de Windows PowerShell
Guide de l’utilisateur de PowerShell Windows
Windows PowerShell sur les rubriques d’aide
about_Functions
about_Functions_Advanced
about_Execution_Policies
about_Foreach
about_Objects
about_Properties
about_While
about_Scripts
about_Signing
about_Throw
about_PSSessions
about_Modules
about_Command_Precedence
 Pare-feu Windows Defender avec sécurité avancée
17/04/2019 • 10 minutes to read

Guide de conception
S'applique à
Windows10
Windows Server2016
Le pare-feu Windows Defender avec sécurité avancée est un pare-feu d’hôte qui permet de sécuriser l’appareil de
deux manières. Tout d’abord, il peut filtrer le trafic réseau autorisé à entrer l’appareil à partir du réseau et
également contrôler le trafic réseau l’appareil est autorisé à envoyer au réseau. Ensuite, le pare-feu Windows
Defender prend en charge IPsec, ce qui vous permet de demander une authentification à partir de n’importe quel
appareil qui tente de communiquer avec votre appareil. Lors de l’authentification est nécessaire, les appareils qui ne
peuvent pas s’authentifier ne peut pas communiquer avec votre appareil. À l’aide de IPsec, vous pouvez également
exiger que le trafic réseau spécifique chiffrées pour empêcher de lecture ou intercepté lors du transit entre les
appareils.
L’interface de pare-feu Windows Defender est beaucoup plus compatible et plus souple que l’interface conviviales
trouvé dans le panneau de contrôle du pare-feu Windows Defender. Ils à la fois interagissent avec les mêmes
services sous-jacent, mais fournissent différents niveaux d’un contrôle sur ces services. Tandis que le panneau de
configuration Windows Defender pare-feu adaptée aux besoins de protection d’un seul périphérique dans un
environnement domestique, il ne fournit pas des fonctionnalités de sécurité ou de gestion suffisamment
centralisées pour contribuer à la sécurisation du trafic réseau plus complexe trouvé dans une entreprise classique
environnement d’entreprise.
Pour plus d’informations générales, consultez Le pare-feu Windows Defender avec sécurité avancée.

À propos de ce guide
Ce guide fournit des recommandations pour vous aider à choisir ou de créer une conception pour le déploiement
du pare-feu Windows Defender dans votre environnement d’entreprise. Le guide décrit certaines des objectifs
courants pour l’utilisation de pare-feu Windows Defender et vous permet ensuite de mapper les objectifs qui
s’appliquent à votre scénario pour les conceptions qui sont présentés dans ce guide.
Ce guide est destiné aux informaticiens qui a été attribuée à la tâche de déploiement du pare-feu et des
technologies IPsec sur un réseau d’entreprise pour aider à répondre aux objectifs de sécurité de l’organisation.
Pare-feu Windows Defender doit faire partie d’une solution complète de sécurité qui implémente un éventail de
technologies de sécurité, par exemple, le pare-feu de périmètre, systèmes de détection d’intrusion, un réseau privé
virtuel (VPN ), l’authentification IEEE 802. 1 X pour les connexions filaires et sans fil et les règles de sécurité de
connexion IPsec.
Pour utiliser correctement ce guide, vous avez besoin d’une bonne compréhension des deux fonctionnalités
fournies par le pare-feu Windows Defender et comment distribuer des paramètres de configuration sur vos
appareils gérés à l’aide de la stratégie de groupe dans Active Directory.
Vous pouvez utiliser les objectifs de déploiement au formulaire une de ces pare-feu Windows Defender avec
sécurité avancée conceptions ou une conception personnalisée qui combine des éléments à partir de celles
présentées ici:
Conception de stratégie de pare-feu de base. Limite le trafic réseau entrant et sortant de vos appareils à
 celle qui est nécessaire et autorisé.
Conception de stratégie d’isolation de domaine. Empêche les appareils qui sont membres du domaine
de recevoir le trafic réseau non sollicité à partir d’appareils qui ne sont pas membres du domaine. Zones
«supplémentaires» peuvent être établies pour prendre en charge les exigences propres à certains
périphériques, telles que:
Une zone «limite» pour les appareils qui doit être en mesure de recevoir des demandes à partir
d’appareils non isolé.
Une zone de chiffrement «» pour les appareils qui stockent les données sensibles doivent être
protégées pendant la transmission de réseau.
Conception de stratégie d’isolation de serveur. Restreint l’accès à un serveur à un groupe limité
d’utilisateurs autorisés et de périphériques. Généralement configuré comme une zone dans une conception
d’isolation de domaine, mais peut également être configuré comme une conception autonome, en
fournissant de nombreux avantages d’isolation de domaine à un petit ensemble d’appareils.
Conception de stratégie d’isolation basée sur le certificat. Cette conception est un complément à un
des deux modèles précédentes et prend en charge une de ses fonctionnalités. Il utilise les certificats de
chiffrement qui sont déployées sur les clients et serveurs pour l’authentification, au lieu de l’authentification
KerberosV5 utilisée par défaut dans Active Directory. Cela permet aux appareils qui ne font pas partie d’un
domaine Active Directory, tels que les appareils exécutant des systèmes d’exploitation autres que Windows,
à participer à votre solution d’isolation.
En plus des descriptions et exemple pour chaque conception, vous trouverez des recommandations en matière de
collecte des données requises sur votre environnement. Vous pouvez ensuite utiliser ces recommandations pour
planifier et concevoir votre pare-feu Windows Defender avec le déploiement de fonctions avancées de sécurité.
Une fois que vous lisez ce guide et de fin de collecte, documentation et le mappage des exigences de votre
organisation, vous disposez des informations que vous devez commencer le déploiement du pare-feu Windows
Defender en suivant les instructions dans le pare-feu Windows Defender avec avancé Guide de déploiement de
sécurité.
Vous pouvez trouver le pare-feu Windows Defender avec le Guide de déploiement de sécurité avancée à ces
emplacements:
Pare-feu Windows Defender avec le Guide de déploiement de fonctions avancées de sécurité
(Document Word téléchargeable)

Dans cette section

RUBRIQUE DESCRIPTION

Présentation du pare-feu Windows Defender avec le processus Découvrez comment vous familiariser avec le pare-feu
de conception de fonctions avancées de sécurité Windows Defender avec le processus de conception de
fonctions avancées de sécurité.

Identification de votre pare-feu Windows Defender avec Découvrez comment identifier votre pare-feu Windows
fonctions avancées de sécurité les objectifs de déploiement Defender avec des objectifs de déploiement de sécurité
avancée.
 RUBRIQUE
Mappage de vos objectifs de déploiement à un pare-feu
Windows Defender avec la conception de fonctions avancées
de sécurité
Évaluation des pare-feu Windows Defender avec des exemples
de conception de fonctions avancées de sécurité
La conception d’un pare-feu Windows Defender avec la
stratégie de sécurité avancée
Planification de votre pare-feu Windows Defender avec la
conception de fonctions avancées de sécurité
Annexe A: exemples de fichiers modèles d'objets de stratégie
de groupe (GPO) pour les paramètres utilisés dans ce guide
Terminologie utilisée dans ce guide
Le tableau suivant identifie et définit les termes utilisés dans ce guide.
TERME
Domaine Active Directory
Authentification
Zone limite
DESCRIPTION
Une fois que vous avez terminé de consulter le pare-feu
Windows Defender existants avec les objectifs de déploiement
de sécurité avancée et que vous constatez les objectifs sont
importants pour votre déploiement spécifique, vous pouvez
mapper ces objectifs à un pare-feu Windows Defender
spécifiques avec avancé Conception de la sécurité.
Découvrez comment utiliser le pare-feu Windows Defender
pour améliorer la sécurité des ordinateurs connectés au
réseau.
Pour sélectionner la conception la plus efficace pour les
mesures de protection du réseau, vous devez passer les
informations de clé collecte temps sur votre environnement
informatique actuel.
Une fois que vous avez collecté les informations pertinentes
dans les sections précédentes et comprenez les principes
fondamentaux de la conception, comme décrit précédemment
dans ce guide, vous pouvez sélectionner la conception (ou la
combinaison des conceptions) qui répondent à vos besoins.
Vous pouvez importer un fichier XML contenant les
préférences de Registre personnalisée dans un objet de
stratégie de groupe (GPO) à l’aide de la fonctionnalité de
préférences de la Console de gestion des stratégies de groupe
(GPMC).
DÉFINITION
Un groupe de périphériques et des utilisateurs gérés par un
administrateur à l’aide des Services de domaine Active
Directory (ADDS). Appareils dans un domaine partagent un
stratégies de sécurité et de la base de données directory
courantes. Plusieurs domaines peuvent coexister dans un
"forêt," avec des relations de confiance qui permettent d’établir
la forêt en tant que la limite de sécurité.
Un processus qui permet à l’expéditeur d’un message pour
prouver son identité au destinataire. Pour la sécurité de
connexion dans Windows, l’authentification est implémentée
par la suite de protocoles IPsec.
Un sous-ensemble d’appareils dans un domaine isolé qui doit
être en mesure de recevoir le trafic réseau non sollicité et non
authentifié à partir d’appareils qui ne sont pas membres du
domaine isolé. Appareils dans la zone limite demandent, mais
ils ne nécessitent pas d’authentification. Ils utilisent IPsec pour
communiquer avec d’autres appareils dans le domaine isolé.
TERME DÉFINITION

Règle de sécurité de connexion
Une règle de pare-feu Windows Defender qui contient un
ensemble de conditions et d’une action à appliquer à des
paquets réseau qui correspondent aux conditions. L’action
peut autoriser les paquets, bloquer le paquet ou nécessitent le
paquet à être protégés par IPsec. Dans les versions
précédentes de Windows, cela s’appelle une règle IPsec.

Isolation basée sur un certificat
Un moyen d’ajouter des appareils qui ne peuvent pas utiliser
l’authentification KerberosV5 à un domaine isolé, à l’aide d’une
technique d’authentification supplémentaire. Tous les appareils
dans le domaine isolé et les appareils qui ne peuvent pas
utiliser KerberosV5 sont fournis avec un certificat de l’appareil
qui peut être utilisé pour authentifier mutuellement. Isolation
basée sur le certificat nécessite un moyen de créer et de
distribuer un certificat approprié (si vous choisissez de ne pas
acquérir un auprès d’un fournisseur de certification
commerciale).

Isolation de domaine Une technique permettant de protéger les appareils dans une
organisation en exigeant que les appareils s’authentifier de
mutuellement identité avant d’échanger des informations et
refus des demandes de connexion à partir d’appareils qui ne
peuvent pas s’authentifier. Isolation de domaine tire parti de
l’appartenance à un domaine Active Directory et du protocole
d’authentification KerberosV5 disponible à tous les membres
du domaine. Consultez également "domaine isolé" dans le
tableau suivant.

Zone de chiffrement Un sous-ensemble d’appareils dans un domaine isolé qui

traitent des données sensibles. Les appareils qui font partie de
la zone de chiffrement sont tout le trafic réseau chiffré pour
empêcher l’affichage par des utilisateurs non autorisés. Les
appareils qui font partie de la zone de chiffrement également
généralement sont soumis aux restrictions de contrôle d’accès
d’isolation de serveur.

Règle de pare-feu Une règle de pare-feu Windows Defender qui contient un

ensemble de conditions utilisé pour déterminer si un paquet
réseau est autorisé à passer par le pare-feu.
Par défaut, les règles de pare-feu dans Windows Server 2012,
Windows Server2008R2, Windows Server 2008, Windows 8,
Windows7 et Windows Vista bloquent le trafic réseau entrant
non sollicité. De même, par défaut, tout le trafic réseau sortant
est autorisé. Le pare-feu inclus dans les versions précédentes
de Windows filtré uniquement le trafic réseau entrant.

Sécurité du protocole Internet (IPsec) Un ensemble de protocoles et les services de protection

standard au secteur d’activité, basée sur le chiffrement. IPsec
protège tous les protocoles de la suite de protocole TCP/IP à
l’exception de protocole ARP (Address Resolution).

Stratégie IPsec Une collection de règles de sécurité de connexion qui

fournissent la protection requise pour le trafic réseau entrant
et sortant de l’appareil. La protection contient l’authentification
de l’envoi et réception de périphérique, la protection de
l’intégrité du trafic réseau échangées entre eux et peut inclure
le chiffrement.
 TERME DÉFINITION

Domaine isolé Un domaine Active Directory (ou une forêt Active Directory ou
ensemble de domaines avec des relations d’approbation
bidirectionnelles) qui possède des paramètres de stratégie de
groupe appliquées pour protéger ses dispositifs de membre à
l’aide de règles de sécurité de connexion IPsec. Membres du
domaine isolé exiger l’authentification de toutes les connexions
entrantes non sollicitées (avec les exceptions gérées par les
autres zones).
Dans ce guide, le terme domaine isolé fait référence au
concept d’un groupe d’appareils qui peuvent partager
l’authentification IPsec. Le terme de domaine Active Directory
fait référence au groupe d’appareils qui partagent une base de
données de sécurité à l’aide d’Active Directory.

Isolation de serveur Une technique pour limiter l’accès à un serveur qui est en
général déjà un membre d’un domaine isolé à l’aide de
l’appartenance au groupe. La protection supplémentaire
provenant d’utilisant les informations d’identification
d’authentification de l’appareil demandeur pour déterminer
son appartenance au groupe et autoriser uniquement l’accès si
le compte d’ordinateur (et éventuellement le compte
d’utilisateur) sont un membre d’un groupe autorisé.

Trafic réseau sollicité Trafic réseau qui est envoyé en réponse à une demande. Par
défaut, le pare-feu Windows Defender permet sollicitée tout le
trafic réseau par le biais de.

Trafic réseau non sollicité Trafic réseau qui n’est pas une réponse à une demande
antérieure, et que l’appareil récepteur ne peut pas
nécessairement anticiper. Par défaut, le pare-feu Windows
Defender bloque tout le trafic réseau non sollicité.

Zone Une zone est un regroupement logique des appareils qui

partagent des stratégies IPsec courants en raison de leurs
besoins de communications. Par exemple, la zone limite
autorise les connexions entrantes à partir d’appareils non
approuvés. La zone de chiffrement nécessite que toutes les
connexions soient chiffrées.
Cela n’est pas lié à la zone terme tel qu’utilisé en système DNS
(Domain Name).

Suivant: Présentation du pare-feu Windows Defender avec le processus de conception de fonctions avancées de
sécurité
 Présentation du pare-feu Windows Defender avec le
processus de conception de fonctions avancées de
sécurité
17/04/2019 • 2 minutes to read

La conception de n’importe quel démarrage du déploiement en effectuant plusieurs tâches importantes:

Identification de votre pare-feu Windows Defender avec les objectifs de conception de fonctions avancées
de sécurité
Mappage de vos objectifs de déploiement à un pare-feu Windows Defender avec la conception de fonctions
avancées de sécurité
Évaluation des pare-feu Windows Defender avec des exemples de conception de fonctions avancées de
sécurité
Une fois que vous identifiez vos objectifs de déploiement et les mappez à un pare-feu Windows Defender avec la
conception de fonctions avancées de sécurité, vous pouvez commencer la documentation de la conception basée
sur les processus qui sont décrites dans les rubriques suivantes:
La conception d’un pare-feu Windows Defender avec la stratégie de sécurité avancée
Planification de votre pare-feu Windows Defender avec la conception de fonctions avancées de sécurité
Suivant: Identification de votre pare-feu Windows Defender avec les objectifs de conception de fonctions
avancées de sécurité
 Identification de votre pare-feu Windows Defender
avec fonctions avancées de sécurité les objectifs de
déploiement
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Identification correctement votre pare-feu Windows Defender avec les objectifs de déploiement de sécurité
avancée est essentielle pour la réussite de votre projet de conception du pare-feu Windows Defender. Former une
équipe de projet qui permettre clairement les problèmes de déploiement dans un document de vision. Lorsque
vous écrivez votre document de vision, identifier, clarifier et affiner vos objectifs de déploiement. Donnez la priorité
aux et, si possible, combinez vos objectifs de déploiement que vous pouvez concevoir et déployer des pare-feu
Windows Defender à l’aide d’une approche itérative. Vous pouvez tirer parti des prédéfinis pare-feu Windows
Defender objectifs de déploiement présentées dans ce guide qui sont pertinentes pour vos scénarios.
Le tableau suivant répertorie les trois tâches principales pour articuler, vous ajustez et la documentation par la
suite de vos objectifs de déploiement du pare-feu Windows Defender:

TÂCHES DES OBJECTIFS DE DÉPLOIEMENT LIENS DE RÉFÉRENCE

Évaluer prédéfinis pare-feu Windows Defender avec les
objectifs de déploiement de fonctions avancées de sécurité qui
sont fournies dans cette section du guide et combinent un ou
plusieurs objectifs pour atteindre les objectifs de votre
organisation.
Objectifs de déploiement prédéfinis:
Protéger les appareils contre le trafic réseau indésirable
Autoriser l’accès aux appareils de confiance
uniquement
Exiger le chiffrement lors de l’accès aux ressources
réseau sensibles
Autoriser l’accès aux ressources sensibles aux
utilisateurs spécifiés ou appareils uniquement

Mappez un objectif ou une combinaison des objectifs de Mappage de vos objectifs de déploiement à un pare-
déploiement prédéfinis à un pare-feu Windows Defender feu Windows Defender avec la conception de fonctions
existant avec la conception de fonctions avancées de sécurité. avancées de sécurité

Document basé sur l’état de votre infrastructure actuelle, de
vos objectifs de déploiement pour votre pare-feu Windows
Defender avec la conception de fonctions avancées de sécurité
dans un plan de déploiement.
Conception d’une stratégie de pare-feu Windows
Defender
Planification de votre conception de pare-feu Windows
Defender avec sécurité avancée

Suivant: Protéger les appareils du trafic réseau indésirable

 Protéger les appareils contre le trafic réseau
indésirable
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Bien que le pare-feu de périmètre réseau fournissent une protection importante aux ressources réseau contre les
menaces externes, il existe des menaces réseau qui un pare-feu de périmètre ne peut pas protéger contre.
Certaines attaques peuvent pénétrer avec succès le pare-feu de périmètre et à ce stade que pouvez l’arrêter?
Autres attaques peuvent issues à l’intérieur du réseau, tels que des programmes malveillants qui s’affiche sur un
média portable et s’exécuter sur un périphérique de confiance. Appareil portable sont souvent prises en dehors du
réseau et connecté directement à Internet, sans protection adéquate entre les menaces de sécurité et de
périphérique.
Rapports des attaques ciblées contre les organisations, les gouvernements et les personnes sont devenus plus
généralisées ces dernières années. Pour une vue d’ensemble de ces menaces, également connue sous les menaces
avancées persistantes (concernant), voir le Rapport de sécurité de Microsoft.
Un pare-feu basé sur l’hôte en cours d’exécution sur chaque appareil qui gère de votre organisation est une
couche importante dans une stratégie de sécurité «défense en profondeur». Un pare-feu basé sur l’hôte peut vous
protéger contre les attaques qui proviennent à l’intérieur du réseau et également fournissent une protection
supplémentaire contre les attaques à partir de l’extérieur du réseau qui gèrent pénétration du pare-feu de
périmètre. Il se déplace également avec un appareil portable pour assurer une protection lorsqu’il se trouve en
dehors du réseau de l’organisation.
Un pare-feu basé sur l’hôte permet de sécuriser un appareil en supprimant tout le trafic réseau qui ne correspond
pas à la règle administrateur conçu définie pour le trafic réseau autorisé. Cette conception, ce qui correspond à la
Conception de stratégie de pare-feu de base, offre les avantages suivants:
Le trafic réseau qui est une réponse à une demande à partir de l’appareil local est autorisé sur l’appareil à
partir du réseau.
Le trafic qui n’est pas sollicitée, mais qui correspond à une règle pour le trafic réseau autorisé, est autorisé
sur l’appareil à partir du réseau de réseau.
Par exemple, bosquet souhaite un appareil qui exécute SQL Server pour être en mesure de recevoir les
requêtes SQL qui lui sont envoyées par les appareils clients. La stratégie de pare-feu déployée sur l’appareil
qui exécute SQL Server inclut des règles de pare-feu spécifiquement autorisent le trafic réseau entrant pour
le programme de SQL Server.
Le trafic réseau sortant qui n’est pas bloqué est autorisé sur le réseau.
Par exemple, la Woodgrove possède une stratégie d’entreprise qui interdit l’utilisation de certains
programmes de partage de fichiers de pair à pair. La stratégie de pare-feu déployée sur les ordinateurs sur
le réseau inclut des règles de pare-feu qui bloquent le trafic réseau entrant et sortant pour les programmes
interdites. Tout le trafic sortant est autorisé.
Le composant suivant est recommandé pour cet objectif de déploiement:
Active Directory: Active Directory prend en charge une gestion centralisée des règles de sécurité de
 connexion en configurant les règles dans un ou plusieurs objets stratégie de groupe (GPO ) qui peuvent être
automatiquement appliqués à tous les ordinateurs concernés dans le domaine.
Autres moyens de déployer une stratégie de pare-feu sont disponibles, par exemple, la création de scripts qui
utilisent l’outil de ligne de commande netsh, puis exécuter ces scripts sur chaque ordinateur de l’organisation. Ce
guide utilise Active Directory comme un moyen de déploiement recommandé en raison de sa capacité à s’adapter
à très grandes entreprises.
Suivant: Restreindre l’accès aux appareils de confiance uniquement
 Autoriser l'accès aux appareils de confiance
uniquement
17/04/2019 • 4 minutes to read

S'applique à
Windows10
Windows Server2016
Votre réseau d’organisation susceptible d’avoir une connexion à Internet. Vous avez également probablement des
partenaires, fournisseurs ou prestataires qui joindre les appareils qui ne sont pas appartenant à votre organisation
à votre réseau. Dans la mesure où vous ne gérez pas ces appareils, vous ne peut pas faire confiance afin de
pouvoir librement des logiciels malveillants, conservée avec les dernières mises à jour de sécurité, ou d’une
manière conforme aux stratégies de sécurité de votre organisation. Ces périphériques non fiables à la fois et en
dehors de votre réseau physique n’a pas doivent être autorisés à accéder aux appareils de votre organisation sauf
s’il est réellement nécessaire.
Pour limiter ce risque, vous devez être en mesure d’isoler les appareils que vous faites confiance et de limiter leur
capacité à recevoir le trafic réseau non sollicité à partir d’appareils non approuvées. À l’aide de la sécurité de
connexion et des règles de pare-feu disponibles dans le pare-feu Windows Defender avec sécurité avancée, vous
pouvez logiquement isoler les appareils que vous approuvez en exigeant que tout le trafic réseau entrant non
sollicité être authentifié. L’authentification permet de s’assurer que chaque périphérique ou utilisateur peut
identifier lui-même à l’aide des informations d’identification qui sont approuvées par l’autre périphérique. Règles
de sécurité de connexion peuvent être configurés pour utiliser IPsec avec le protocole KerberosV5 disponible dans
Active Directory, ou des certificats émis par une autorité de certification approuvée en tant que la méthode
d’authentification.

Remarque: dans la mesure où la méthode d’authentification principal recommandée pour les périphériques
qui exécutent Windows consiste à utiliser le protocole KerberosV5 avec l’appartenance à un domaine Active
Directory, ce guide fait référence à cette séparation logique d’ordinateurs en tant que * isolation de domaine*,
même lorsque les certificats sont utilisées pour étendre la protection sur des appareils qui ne font pas partie
d’un domaine Active Directory.

La protection fournie par l’isolation de domaine peut vous aider à se conformer aux exigences réglementaires et
législation, telles que celles qui figurent dans le fait de gestion de sécurité informations fédérales de 2002
(FISMA), le fait de SOA de 2002, la portabilité assurance la responsabilité du Act 1996 (HIPAA) et et autres
réglementations du secteur.
L’illustration suivante montre un domaine isolé, avec l’une des zones si vous le souhaitez faisant partie de la
conception. Les règles qui implémentent le domaine isolé et les différentes zones sont déployés à l’aide de la
stratégie de groupe et Active Directory.
Ces objectifs, qui correspondent à la Conception de stratégie d’Isolation de domaine et de la Conception de
stratégie d’Isolation basée sur le certificat, présentent les avantages suivants:
Appareils dans le domaine isolé acceptent le trafic réseau entrant non sollicité uniquement lorsqu’il peut
être authentifié comme provenant d’un autre appareil dans le domaine isolé. Règles d’exemption peuvent
être définis pour autoriser le trafic entrant à partir d’ordinateurs approuvés qui ne peuvent pas effectuer
une authentification IPsec pour une raison quelconque.
Par exemple, bosquet souhaite tous ses appareils pour bloquer tout trafic réseau entrant non sollicité à
partir de n’importe quel appareil qui ne parviennent pas. Les règles de sécurité de connexion déployées sur
les appareils de membre de domaine nécessitent une authentification en tant que membre d’un domaine
ou à l’aide d’un certificat avant un réseau entrantes non sollicité paquet est accepté.
Appareils dans le domaine isolé peuvent toujours envoyer le trafic réseau sortant sur des appareils non
approuvées et recevoir les réponses aux demandes sortantes.
Par exemple, bosquet souhaite ses utilisateurs à des appareils clients pour être en mesure d’accéder aux
sites Web sur Internet. Les paramètres de pare-feu Windows Defender par défaut pour le trafic réseau
sortant cela. Aucune règle supplémentaires n’est nécessaires.
Ces objectifs prennent également en charge les zones facultatifs qui peuvent être créés pour ajouter une
protection personnalisée pour répondre aux besoins des sous-ensembles d’appareils d’une organisation:
Dans la zone «limite», les appareils sont configurés pour utiliser les règles de sécurité de connexion qui
demandent mais qui ne nécessitent pas d’authentification. Cela leur permet de recevoir le trafic réseau
entrant non sollicité à partir d’appareils non approuvées et également de recevoir du trafic à partir d’autres
membres du domaine isolé.
Par exemple, la Woodgrove possède un serveur qui doit être accessible par les appareils de ses partenaires
via Internet. Les règles appliqués aux appareils dans la zone limite utilisent l’authentification lorsque
l’appareil du client peut prendre en charge, mais ne pas bloquer la connexion si l’appareil du client ne peut
pas s’authentifier.
Les périphériques dans la zone de chiffrement»» requièrent que tout le trafic réseau ou se déconnecter doit
être chiffré matériau potentiellement sensible sécurisé lorsqu’il est envoyé via le réseau.
Par exemple, bosquet souhaite les appareils exécutant SQL Server pour transmettre uniquement les
données qui sont chiffrées pour vous aider à protéger les données confidentielles stockées sur ces
appareils.
Les composants suivants sont requis pour cet objectif de déploiement:
 Active Directory: Active Directory prend en charge une gestion centralisée des règles de sécurité de
connexion en configurant les règles dans un ou plusieurs objets stratégie de groupe qui peuvent être
automatiquement appliqués à tous les appareils pertinents dans le domaine.
Suivant: Exiger le chiffrement lors de l’accès aux ressources réseau sensibles
 Exiger le chiffrement lors de l’accès aux ressources
réseau sensibles
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
L’utilisation de l’authentification dans l’objectif décrit précédemment (Restreindre l’accès aux appareils de confiance
uniquement) permet à un périphérique dans le domaine isolé pour bloquer le trafic à partir d’appareils non
approuvées. Toutefois, il n’empêche pas un périphérique non fiable à partir d’espionnant le trafic réseau partagé
entre deux appareils approuvés, dans la mesure où par défaut des paquets réseau ne sont pas chiffrés.
Pour les périphériques qui partagent des informations sensibles sur le réseau, le pare-feu Windows Defender avec
sécurité avancée vous permet d’exiger que cet trafic réseau être chiffrés. L’utilisation du chiffrement peut vous
aider à se conformer aux exigences réglementaires et législation telles que celles qui figurent dans le fait de gestion
de sécurité informations fédérales de 2002 (FISMA), le fait de SOA de 2002, l’assurance portabilité et la
responsabilité du fait de 1996 (HIPAA) et les autres réglementations gouvernementales et industrielles. En créant
des règles de sécurité qui s’appliquent aux appareils de cet hôte et échanger des données sensibles de connexion,
vous pouvez protéger la confidentialité des données en les chiffrant.
L’illustration suivante montre une zone de chiffrement dans un domaine isolé. Les règles qui implémentent le
domaine isolé et les différentes zones sont déployés à l’aide de la stratégie de groupe et Active Directory.

Cet objectif offre les avantages suivants:

Périphériques dans la zone de chiffrement nécessitent l’authentification pour communiquer avec d’autres
appareils. Cela fonctionne non différemment dans l’objectif de l’isolation de domaine et la conception. Pour
plus d’informations, voir Restreindre l’accès aux appareils de confiance uniquement.
Les périphériques dans la zone de chiffrement requièrent que tout le trafic réseau entrant et sortant être
chiffrés.
Par exemple, bosquet traite les données sensibles client sur un appareil qui doit être protégé contre les
écoutes clandestines par les périphériques sur le réseau. Les règles de sécurité de connexion spécifient que
tout le trafic doit être chiffré par un algorithme de chiffrement suffisamment complexe pour aider à protéger
les données.
 Périphériques dans la zone de chiffrement sont souvent bons candidats à l’isolation de serveur, où l’accès est
limité à uniquement les comptes d’ordinateur et les comptes d’utilisateurs qui sont membres du groupe
d’un accès autorisé. Dans de nombreuses organisations, la zone de chiffrement et de la zone d’isolation de
serveur sont les mêmes. Pour plus d’informations, voir Restreindre l’accès à seuls les utilisateurs spécifiés
ou des appareils.
Les composants suivants sont requis pour cet objectif de déploiement:
Active Directory: Active Directory prend en charge une gestion centralisée des règles de sécurité de
connexion en configurant les règles dans un ou plusieurs objets stratégie de groupe qui peuvent être
automatiquement appliqués à tous les appareils pertinents dans le domaine.
Suivant: Restreindre l’accès aux utilisateurs spécifiés ou appareils uniquement
 Autoriser l’accès aux utilisateurs ou ordinateurs
spécifiés uniquement
16/04/2019 • 3 minutes to read

S'applique à
Windows10
Windows Server2016
Isolation de domaine (comme décrit dans l’objectif précédente Restreindre l’accès aux appareils de confiance
uniquement) empêche les appareils qui sont membres du domaine isolé d’accepter le trafic réseau à partir
d’appareils non approuvées. Toutefois, certains périphériques sur le réseau peuvent héberger des données
sensibles qui doivent être plus limitées aux uniquement les utilisateurs et les ordinateurs qui ont une exigence
pour accéder aux données.
Le pare-feu Windows Defender avec sécurité avancée vous permet de limiter l’accès aux périphériques et les
utilisateurs qui sont membres de groupes de domaines autorisés à accéder à cet appareil. Ces groupes sont
appelés groupes d’accès réseau (groupes d’accès réseau). Lorsqu’un appareil s’authentifie auprès d’un serveur, le
serveur vérifie l’appartenance au groupe du compte d’ordinateur et le compte d’utilisateur et accorde l’accès
uniquement si l’appartenance au groupe d’accès réseau est confirmée. Ajouter cette vérification crée une virtuelle
«zone sécurisée» dans la zone d’isolation de domaine. Vous pouvez avoir plusieurs appareils dans une zone
sécurisée unique, et il est probable que vous allez créer une zone distincte pour chaque ensemble de serveurs qui
ont des besoins d’accès de sécurité spécifiques. Les appareils qui font partie de cette zone d’isolation de serveur
sont souvent également partie de la zone de chiffrement (voir Nécessitent le chiffrement lors de l’accès à réseau
ressources sensibles).
Restreindre l’accès aux seuls les utilisateurs et les appareils dotés d’une exigence peut vous aider à se conformer
aux exigences réglementaires et législation, telles que celles qui figurent dans le fait de gestion de sécurité
informations fédérales de 2002 (FISMA), le fait de SOA de 2002, l’assurance portabilité et la responsabilité du
consistant à 1996 (HIPAA) et les autres réglementations gouvernementales et industrielles.
Vous pouvez limiter l’accès en spécifiant les informations d’identification de l’ordinateur ou utilisateur.
L’illustration suivante montre un serveur isolé et des exemples de périphériques qui peuvent et ne peuvent pas
communiquer avec lui. Les appareils qui sont en dehors du réseau d’entreprise Woodgrove, ou les ordinateurs qui
se trouvent dans le domaine isolé mais ne sont pas membres du groupe d’accès réseau requis, ne peut pas
communiquer avec le serveur isolé.
Cet objectif, ce qui correspond à la Conception de stratégie d’Isolation de serveur, fournit les fonctionnalités
suivantes:
Serveurs isolés acceptent le trafic réseau non sollicité entrant uniquement à partir d’appareils ou les
utilisateurs qui sont membres du groupe d’accès réseau.
Serveurs isolés peuvent être implémentés dans le cadre d’un domaine isolé et traités comme une autre
zone. Les membres du groupe zone reçoivent un objet de stratégie de groupe avec des règles qui
requièrent une authentification, et qui spécifient que seul le trafic réseau authentifié comme provenant d’un
membre du groupe d’accès réseau est autorisé.
Isolation de serveur peut également être configurée indépendamment un domaine isolé. Pour ce faire,
configurez seulement les périphériques qui doivent communiquer avec le serveur isolé avec des règles de
sécurité de connexion pour implémenter l’authentification et vérifier l’appartenance au groupe d’accès
réseau.
Une zone d’isolation de serveur peut être configurée simultanément en tant qu’une zone de chiffrement.
Pour ce faire, configurez la stratégie de groupe avec des règles qui forcer le chiffrement en plus de
demande d’authentification et restreindre l’accès aux membres du groupe d’accès réseau. Pour plus
d’informations, voir Nécessitent le chiffrement lors de l’accès à réseau ressources sensibles.
Les composants suivants sont requis pour cet objectif de déploiement:
Active Directory: Active Directory prend en charge une gestion centralisée des règles de sécurité de
connexion en configurant les règles dans un ou plusieurs objets stratégie de groupe qui peuvent être
automatiquement appliqués à tous les appareils pertinents dans le domaine.
Suivant: Mappage de vos objectifs de déploiement pour un pare-feu Windows Defender avec la conception de
fonctions avancées de sécurité
 Mise en correspondance de vos objectifs de
déploiement et d’une conception du Pare-feu
Windows avec fonctions avancées de sécurité
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Une fois que vous avez terminé de consulter le pare-feu Windows existantes avec des objectifs de déploiement de
sécurité avancée et que vous constatez les objectifs sont importants pour votre déploiement spécifique, vous
pouvez mapper ces objectifs pour un pare-feu Windows spécifiques avec la conception de fonctions avancées de
sécurité.

Important: les trois premières conceptions présentées dans ce guide appuient sur eux progressé à partir de
plus simple au plus complexe. Par conséquent, au cours du déploiement, envisagez de les mettre en œuvre
dans l’ordre indiqué. Chaque conception déployée fournit également une position stable à partir duquel pour
évaluer votre progression et pour vous assurer que vos objectifs ont été atteints avant de passer à la
conception suivante.

Utilisez le tableau suivant pour déterminer le pare-feu Windows avec la conception de fonctions avancées de
sécurité correspond à la combinaison appropriée du pare-feu Windows avec les objectifs de déploiement de
sécurité avancée pour votre organisation. Le tableau suivant concerne uniquement le pare-feu Windows avec
fonctions avancées de sécurité conceptions comme décrit dans ce guide. Toutefois, vous pouvez créer un hybride
ou personnalisés du pare-feu Windows avec la conception de fonctions avancées de sécurité à l’aide de n’importe
quelle combinaison du pare-feu Windows avec les objectifs de déploiement de sécurité avancée pour répondre aux
besoins de votre organisation.

MODÈLE DE MODÈLE DE MODÈLE DE

MODÈLE DE CONCEPTION DE CONCEPTION DE CONCEPTION DE
CONCEPTION DE STRATÉGIE STRATÉGIE STRATÉGIE
OBJECTIFS DE STRATÉGIE DE PARE- D’ISOLATION DE D’ISOLATION DE D’ISOLATION BASÉE
DÉPLOIEMENT FEU DE BASE DOMAINE SERVEUR SUR LES CERTIFICATS

Protéger les appareils Oui Oui Oui Oui

contre le trafic réseau
indésirable

Autoriser l'accès aux - Oui Oui Oui

appareils de confiance
uniquement

Restreindre l’accès aux - - Oui Oui

utilisateurs spécifiés
ou appareils
uniquement
 MODÈLE DE MODÈLE DE MODÈLE DE
MODÈLE DE CONCEPTION DE CONCEPTION DE CONCEPTION DE
CONCEPTION DE STRATÉGIE STRATÉGIE STRATÉGIE
OBJECTIFS DE STRATÉGIE DE PARE- D’ISOLATION DE D’ISOLATION DE D’ISOLATION BASÉE
DÉPLOIEMENT FEU DE BASE DOMAINE SERVEUR SUR LES CERTIFICATS

Exiger le chiffrement - Facultatif Facultatif Facultatif

lors de l’accès aux
ressources réseau
sensibles

Pour examiner les détails d’une conception spécifique, cliquez sur le titre de conception en haut de la colonne dans
le tableau précédent.
Suivant: Conception de stratégie de pare-feu de base
 Modèle de conception de stratégie de pare-feu de
base
16/04/2019 • 4 minutes to read

S'applique à
Windows10
Windows Server2016
De nombreuses organisations ont un pare-feu de périmètre de réseau qui est conçu pour empêcher l’entrée du
trafic malveillant au réseau de l’organisation, mais ne dispose ne pas d’un pare-feu basé sur l’hôte est activé sur
chaque appareil de l’organisation.
La conception de stratégie de pare-feu de base vous aide à protéger les appareils de votre organisation contre le
trafic réseau indésirable qui obtient les défenses de périmètre ou qui provient de l’intérieur de votre réseau. Dans
cette conception, vous déployez des règles de pare-feu sur chaque appareil dans votre organisation pour autoriser
le trafic qui est requis par les programmes qui sont utilisés. Le trafic qui ne correspond pas les règles est ignoré.
Le trafic peut être bloqué ou autorisé en fonction des caractéristiques de chaque paquet réseau: son adresse IP
source ou de destination, ses numéros de port source ou de destination, le programme sur l’appareil qui reçoit les
paquets entrants et ainsi de suite. Cette conception peut également être déployée avec un ou plusieurs des autres
modèles qui ajoutent de protection IPsec pour le trafic réseau autorisé.
De nombreux administrateurs réseau ne veulent pas pour s’attaquer à la tâche difficile de déterminer toutes les
règles appropriées pour chaque programme qui est utilisée par l’organisation et de maintenance ensuite cette liste
au fil du temps. En fait, la plupart des programmes ne nécessitent pas les règles de pare-feu spécifiques. Le
comportement par défaut de Windows et des applications plus contemporaines facilite cette tâche:
Sur les appareils du client, le comportement par défaut du pare-feu prend déjà en charge les programmes
de client classique. Programmes de créent des règles requises pour vous dans le cadre du processus
d’installation. Vous devez uniquement créer une règle si le programme client doit être en mesure de
recevoir le trafic réseau entrant non sollicité à partir d’un autre appareil.
Lorsque vous installez un programme serveur qui doit accepter le trafic réseau non sollicité entrant, le
programme d’installation probablement crée ou Active les règles appropriées sur le serveur pour vous.
Par exemple, lorsque vous installez un rôle de serveur, les règles de pare-feu appropriées sont créés et
activés automatiquement.
Pour tout autre comportement réseau standard, les règles prédéfinies qui sont intégrés dans Windows
Server 2012, Windows Server2008R2, Windows Server 2008, Windows 8, Windows7 et Windows Vista
peuvent facilement être configurés dans un objet de stratégie de groupe et déployées sur les appareils de
votre organisation.
Par exemple, en utilisant les groupes prédéfinis Core mise en réseau et partage de fichiers et imprimante
vous pouvez configurer facilement des GPO avec des règles pour ceux qui sont fréquemment utilisés des
protocoles de réseau.
À quelques exceptions près, le pare-feu peut être activé sur toutes les configurations. Par conséquent, nous vous
recommandons d’activer le pare-feu sur chaque appareil de votre organisation. Cela inclut les serveurs de votre
réseau de périmètre, sur les clients mobiles et distants qui se connectent au réseau et sur tous les serveurs et les
clients de votre réseau interne.
 Attention: l’arrêt du service associé au pare-feu Windows Defender avec sécurité avancée n’est pas pris en
charge par Microsoft.

Par défaut, dans les nouvelles installations, le pare-feu Windows Defender avec sécurité avancée est activé dans
Windows Server 2012, Windows 8 et versions ultérieure.
Si vous désactivez le service pare-feu Windows Defender vous perdez des autres avantages offerts par le service,
telles que la possibilité d’utiliser les règles de sécurité de connexion IPsec, renforcement des services Windows et
protection du réseau à partir de formes d’attaques qui utilisent le réseau identification par empreinte.
Logiciels de pare-feu tiers compatibles peuvent désactiver par programmation uniquement les parties du pare-feu
Windows Defender qui devront être désactivée pour assurer la compatibilité. Il s’agit de l’approche recommandée
pour les pare-feu tiers coexister avec le pare-feu Windows Defender; pare-feu tiers conformes à cette
recommandation portent le logo Certifié auprès de Microsoft.
En règle générale, une organisation utilise cette conception dans un premier temps vers une conception de pare-
feu Windows Defender plus complète qui ajoute l’isolation de serveur et d’isolation de domaine.
Après l’implémentation de cette conception, vous obtiendrez une gestion centralisée des règles de pare-feu
appliquées à tous les appareils qui exécutent Windows dans votre organisation.

Important: si vous souhaitez également déployer la Conception de stratégie d’Isolation de domaineou la

Conception de stratégie d’Isolation de serveur, nous vous recommandons de faire le travail de conception
pour toutes les trois conceptions ensemble et puis les déployer en couches qui correspondent avec chaque
conception.

La conception du pare-feu de base peut être appliquée aux appareils qui font partie d’une forêt Active Directory.
Active Directory est nécessaire pour fournir la gestion centralisée et le déploiement d’objets de stratégie de
groupe qui contiennent les paramètres de pare-feu et les règles.
Pour plus d’informations sur cette conception:
Cette conception coïncide avec l’objectif de déploiement pour Protéger les appareils du trafic réseau
indésirable.
Pour en savoir plus sur cette conception, consultez l’Exemple de conception de stratégie de pare-feu.
Avant la fin de la conception, collecter les informations décrites dans la conception d’un pare-feu Windows
Defender avec la stratégie de sécurité avancée.
Pour vous aider à prendre les décisions nécessaires dans cette conception, voir les Paramètres de la
planification d’une stratégie de pare-feu de base.
Pour obtenir la liste des tâches détaillées que vous pouvez utiliser pour déployer votre conception de
stratégie de pare-feu de base, voir liste de vérification: implémentation d’une conception de stratégie de
pare-feu de base.
Suivant: Conception de stratégie d’Isolation de domaine
 Modèle de conception de stratégie d’isolation de
domaine
17/04/2019 • 4 minutes to read

S'applique à
Windows10
Windows Server2016
Dans la conception de stratégie d’isolation de domaine, vous configurez les appareils sur votre réseau pour
accepter uniquement les connexions en provenance des appareils qui sont authentifiés en tant que membres du
même domaine isolé.
Cette conception commence généralement par un réseau configuré comme décrit dans la section Conception de
stratégie de pare-feu de base . Pour ce modèle, vous ajoutez ensuite connexion règles de sécurité et IPsec pour
configurer les appareils dans le domaine isolé pour accepter uniquement le trafic réseau à partir d’autres appareils
qui peuvent s’authentifier en tant que membre du domaine isolé. Après la mise en œuvre les nouvelles règles, vos
appareils rejettent le trafic réseau non sollicité à partir d’appareils qui ne sont pas membres du domaine isolé.
Le domaine isolé n’est peut-être pas un domaine Active Directory unique. Il peut être composée de tous les
domaines d’une forêt, ou domaines dans des forêts séparées qui ont des relations d’approbation bidirectionnelle
configurées entre eux.
À l’aide de règles de sécurité basées sur IPsec de connexion, vous fournissez une barrière logique entre les
appareils même s’ils sont connectés au même segment réseau physique.
La conception est illustrée dans l’illustration suivante, avec les flèches décrivant les chemins de communication
autorisé.

Caractéristiques de cette conception, comme illustré dans le diagramme, sont les suivantes:
Domaine isolé (zone A) - appareils dans le domaine isolé reçoivent le trafic entrant non sollicité
uniquement à partir d’autres membres du domaine isolé ou d’appareils référencés dans des règles
d’exemption d’authentification. Appareils dans le domaine isolé peuvent envoyer le trafic à n’importe quel
appareil. Cela inclut le trafic non authentifié aux appareils qui ne sont pas dans le domaine isolé. Les
appareils qui ne peut pas joindre un domaine Active Directory, mais qui peuvent utiliser des certificats pour
 l’authentification peuvent faire partie du domaine isolé. Pour plus d’informations, voir la Conception de
stratégie d’Isolation basée sur le certificat.
Zone limite (zone B ) - appareils dans la zone limite font partie du domaine isolé mais sont autorisés à
accepter les connexions entrantes à partir d’appareils non approuvées, tels que les clients sur Internet.
Appareils dans la zone limite demandent, mais ils ne nécessitent pas l’authentification pour communiquer.
Lorsqu’un membre du domaine isolé communique avec un membre de zone limite le trafic est authentifié.
Lorsqu’un périphérique qui ne fait pas partie du domaine isolé communique avec un membre de zone
limite le trafic n’est pas authentifié.
Dans la mesure où les appareils de zone limite sont exposés au trafic réseau à partir d’appareils non
approuvées et potentiellement dangereux, ils doivent être soigneusement gérés et sécurisés. Placez
uniquement les périphériques qui doivent être accessible par les périphériques externes dans cette zone.
Utiliser les règles de pare-feu pour vous assurer que le trafic réseau est acceptée uniquement pour les
services que vous voulez exposés aux périphériques non au domaine.
Les membres non au domaine (zone C ) - appareils sur le réseau qui ne sont pas membres du domaine ou
qui ne peuvent pas utiliser IPsec authentification sont autorisés à communiquer en configurant les règles
d’exemption d’authentification de confiance. Ces règles permettent d’appareils dans le domaine isolé pour
accepter les connexions entrantes à partir de ces périphériques membre de domaine non approuvé.
Les membres non au domaine non approuvés (zone D ) - les appareils qui ne sont pas gérés par votre
organisation et disposent d’une configuration de sécurité inconnu doivent avoir accès uniquement à ces
appareils requis pour votre organisation de gérer correctement son entreprise. Isolation de domaine existe
pour placer une barrière logique entre ces périphériques non approuvées et les appareils de votre
organisation.
Après l’implémentation de cette conception, votre équipe d’administration est ont centralisé Gestion des règles de
sécurité du pare-feu et de connexion appliqués aux appareils de votre organisation.

Important: cette conception repose sur la Conception de stratégie de pare-feu de baseet à son tour sert de
base pour la Conception de stratégie d’Isolation de serveur. Si vous prévoyez de déployer les trois, nous vous
recommandons effectuez le travail de conception pour les trois ensemble et puis les déployer dans la
séquence présentée.

Cette conception peut être appliquée aux appareils qui font partie d’une forêt Active Directory. Active Directory
est nécessaire pour fournir la gestion centralisée et le déploiement d’objets de stratégie de groupe qui contiennent
les règles de sécurité de connexion.
Développez le domaine isolé pour inclure les appareils qui ne peuvent pas faire partie d’un domaine Active
Directory, afin de voir la Conception de stratégie d’Isolation basée sur le certificat.
Pour plus d’informations sur cette conception:
Cette conception coïncide avec les objectifs de déploiement pour Protéger les appareils du trafic réseau
indésirable, Restreindre l’accès aux appareils de confiance uniquementet si vous le souhaitez Nécessitent le
chiffrement lors de l’accès à réseau ressources sensibles.
Pour en savoir plus sur cette conception, consultez l' Exemple de conception de stratégie de Isolation de
domaine.
Avant la fin de la conception, rassembler les informations décrites dans la conception d’un pare-feu
Windows Defender avec la stratégie de sécurité avancée.
Pour vous aider à prendre les décisions nécessaires dans cette conception, voir les Zones d’Isolation de
domaine planification et Déploiement de stratégie de groupe de planification pour les Zones d’Isolation de
 votre.
Pour obtenir la liste des tâches que vous pouvez utiliser pour déployer votre stratégie d’isolation domaine,
voir liste de vérification: implémentation d’une conception de stratégie de domaine d’Isolation.
Suivant: Conception de stratégie d’Isolation de serveur
 Modèle de conception de stratégie d’isolation de
serveur
17/04/2019 • 3 minutes to read

S'applique à
Windows10
Windows Server2016
Dans la conception de stratégie d’isolation de serveur, vous affectez des serveurs à une zone qui permet d’accéder
uniquement aux utilisateurs et aux appareils s’authentifiant en tant que membres d’un groupe d’accès réseau
approuvé (groupes d’accès réseau).
Cette conception commence généralement par un réseau configuré comme décrit dans la section Conception de
stratégie d’Isolation de domaine . Pour ce modèle, vous créez ensuite des zones pour les serveurs qui ont des
exigences de sécurité supplémentaires. Les zones pouvant limiter l’accès au serveur pour seulement les membres
de groupes autorisés et peuvent la possibilité d’exiger le chiffrement de tout le trafic dans ou en dehors de ces
serveurs. Cela peut être effectuée sur chaque serveur ou pour un groupe de serveurs qui partagent des exigences
de sécurité communes.
Vous pouvez implémenter une conception d’isolation de serveur sans l’isolation de domaine. Pour ce faire, vous
utilisez les mêmes principes en tant que l’isolation de domaine, mais au lieu de les appliquer à un domaine Active
Directory, vous appliquez uniquement sur les périphériques qui doivent être en mesure d’accéder aux serveurs
isolés. L’objet de stratégie de groupe contient des règles de pare-feu et de sécurité de connexion qui nécessitent
une authentification lors de la communication avec les serveurs isolés. Dans ce cas, ces groupes qui déterminent
quels appareils et les utilisateurs peuvent accéder au serveur isolé sont également utilisées pour déterminer quels
appareils recevoir la stratégie de groupe.
La conception est illustrée dans l’illustration suivante, avec des flèches décrivant les chemins de communication
autorisé.

Caractéristiques de cette conception sont les suivantes:

Domaine isolé (zone A) - le même domaine isolé décrit dans la section Conception de stratégie d’Isolation
de domaine . Si le domaine isolé inclut une zone limite, appareils dans la zone limite se comportent comme
 les autres membres du domaine isolé dans la manière dont ils interagissent avec les périphériques dans les
zones d’isolation de serveur.
Serveurs isolés (zone B ) - appareils dans les zones d’isolation de serveur restreindre l’accès aux
périphériques et éventuellement des utilisateurs, qui s’authentifient en tant que membre d’un groupe
d’accès réseau (groupes d’accès réseau) autorisé à accéder.
Zone de chiffrement (zone de C -) si les données échangées est suffisamment sensibles, les règles de
sécurité de connexion pour la zone peuvent également nécessiter que le trafic réseau être chiffrés. Zones de
chiffrement sont plus souvent implémentés sous forme de règles qui font partie d’une zone d’isolation de
serveur, au lieu d’en tant qu’une zone distincte. Le diagramme illustre le concept en tant qu’un sous-
ensemble uniquement à des fins de conceptuelle.
Pour ajouter la prise en charge de l’isolation de serveur, vous devez vous assurer que les méthodes
d’authentification sont compatibles avec la configuration requise du serveur isolé. Par exemple, si vous souhaitez
autoriser les comptes d’utilisateur qui sont membres d’un groupe d’accès réseau en plus de l’autorisation des
comptes d’ordinateur, vous devez activer l’authentification utilisateur et ordinateur dans vos règles de sécurité de
connexion.

Important: cette conception repose sur la Conception de stratégie d’Isolation de domaine, qui à son tour
repose sur la Conception de stratégie de pare-feu de base. Si vous prévoyez de déployer toutes les trois
conceptions, effectuer le travail de conception pour tous les trois ensemble, puis déployez dans la séquence
présentée.

Cette conception peut être appliquée aux appareils qui font partie d’une forêt Active Directory. Active Directory est
nécessaire pour fournir la gestion centralisée et le déploiement d’objets de stratégie de groupe qui contiennent les
règles de sécurité de connexion.
Pour plus d’informations sur cette conception:
Cette conception coïncide avec les objectifs de déploiement pour Protéger les appareils du trafic réseau
indésirable, Restreindre l’accès aux appareils de confiance uniquement, Restreindre l’accès à spécifié
uniquement les utilisateurs ou les périphériqueset Exiger le chiffrement lorsque Accès aux ressources réseau
sensibles.
Pour en savoir plus sur cette conception, consultez l’Exemple de conception de stratégie de Isolation de
serveur.
Avant la fin de la conception, collecter les informations décrites dans la conception d’un pare-feu Windows
Defender avec la stratégie de sécurité avancée.
Pour vous aider à prendre les décisions nécessaires dans cette conception, voir les Zones d’Isolation de
serveur de planification et Déploiement de stratégie de groupe de planification pour les Zones d’Isolation de
votre.
Pour obtenir la liste des tâches que vous pouvez utiliser pour déployer votre stratégie d’isolation server, voir
liste de vérification: implémentation d’une conception de stratégie de l’Isolation de serveur autonome.
Suivant: Conception de stratégie d’Isolation basée sur un certificat
 Modèle de conception de stratégie d’isolation basée
sur les certificats
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Dans la conception de stratégie d’isolation basée sur le certificat, vous fournissez les mêmes types de protections
pour le trafic réseau comme décrit dans les sections de la Conception de stratégie d’Isolation de serveur et de
Conception de stratégie d’Isolation de domaine . La seule différence est la méthode utilisée pour partager des
informations d’identification lors de l’authentification de votre trafic réseau.
Isolation de domaine et d’isolation de serveur améliorer la sécurité pour les appareils sur le réseau qui exécutent
Windows et qui peut être joint à un domaine Active Directory. Toutefois, dans les environnements d’entreprise
plus il existe généralement certains périphériques qui doivent s’exécuter un autre système d’exploitation. Ces
périphériques ne peut pas joindre un domaine Active Directory, sans un package tiers en cours d’installation. En
outre, certains appareils qui exécutent Windows ne peut pas joindre un domaine pour diverses raisons. Pour
s’appuient sur Kerberos V5 en tant que le protocole d’authentification, l’appareil doit être joint à Active Directory
et (pour les appareils non Windows) prennent en charge Kerberos comme protocole d’authentification.
Pour s’authentifier avec des appareils non au domaine, IPsec prend en charge l’utilisation de certificats de
chiffrement basée sur des normes. Étant donné que cette méthode d’authentification est également pris en charge
par de nombreux systèmes d’exploitation de tiers, il peut être utilisé comme un moyen d’étendre votre domaine
isolé sur des appareils qui n’exécutent pas Windows.
Les mêmes principes des conceptions d’isolation de domaine et du serveur s’appliquent à cette conception. Seuls
les appareils qui peuvent s’authentifier (dans ce cas, en fournissant un certificat spécifié) peuvent communiquer
avec les périphériques de votre domaine isolé.
Pour les appareils Windows qui font partie d’un domaine Active Directory, vous pouvez utiliser la stratégie de
groupe pour déployer les certificats nécessaires pour communiquer avec les périphériques qui sont approuvées,
mais ne font pas partie du domaine Active Directory. Pour d’autres périphériques, vous devrez manuellement les
configurer avec les certificats requis, ou utiliser un programme tiers pour distribuer des certificats de manière
sécurisée.
Pour plus d’informations sur cette conception:
Cette conception coïncide avec les objectifs de déploiement pour Protéger les appareils du trafic réseau
indésirable, Restreindre l’accès aux appareils de confiance uniquementet si vous le souhaitez Nécessitent le
chiffrement lors de l’accès à réseau ressources sensibles.
Pour en savoir plus sur cette conception, consultez l’Exemple de conception d’une stratégie d’Isolation
basée sur le certificat.
Avant la fin de la conception, collecter les informations décrites dans la conception d’un pare-feu Windows
Defender avec la stratégie de sécurité avancée.
Pour vous aider à prendre les décisions nécessaires dans cette conception, voir l’authentification basée sur
la planification d’un certificat.
Pour obtenir la liste des tâches que vous pouvez utiliser pour déployer votre conception de stratégie basés
 sur le certificat, voir liste de vérification: implémentation d’une conception de stratégie d’Isolation basée sur
le certificat.
Suivant: Évaluation des pare-feu Windows Defender avec des exemples de conception de fonctions avancées de
sécurité
 Évaluation des pare-feu Windows Defender avec des
exemples de conception de fonctions avancées de
sécurité
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Le pare-feu Windows Defender suivante avec des exemples de conception de fonctions avancées de sécurité
illustrent comment vous pouvez utiliser le pare-feu Windows Defender pour améliorer la sécurité des appareils
connectés au réseau. Vous pouvez utiliser ces rubriques pour évaluer comment les règles de sécurité du pare-feu
et de connexion fonctionnent sur toutes les conceptions de pare-feu Windows Defender et pour déterminer quelles
conception ou la combinaison des conceptions mieux adapté aux objectifs de votre organisation.
Stratégie de pare-feu avec un exemple de conception de fonctions avancées de sécurité
Exemple de modèle de conception de stratégie d’isolation de domaine
Exemple de modèle de conception de stratégie d’isolation de serveur
Exemple de modèle de conception de stratégie d’isolation basée sur les certificats
 Exemple de modèle de conception de stratégie de
pare-feu
17/04/2019 • 9 minutes to read

S'applique à
Windows10
Windows Server2016
Dans cet exemple, la société fictive bosquet est un établissement de services financiers.
La Woodgrove possède un domaine Active Directory qui assure une gestion basée sur la stratégie de groupe pour
tous leurs appareils Windows. Les contrôleurs de domaine Active Directory également hébergent le système DNS
(Domain Name) pour la résolution de nom d’hôte. Périphériques distincts hébergent Internet Name Service WINS
(Windows) pour la résolution de nom réseau système entrée/sortie de base (NetBIOS ). Un ensemble d’appareils
qui exécutent UNIX fournissent les services de Configuration protocole DHCP (Dynamic Host) pour l’adressage IP
automatique.
Bosquet est en cours de la migration de leurs appareils à partir de Windows Vista et Windows Server 2008 vers
Windows 10 et Windows Server 2016. Un nombre important d’appareils à bosquet continue à s’exécuter Windows
Vista et Windows Server 2008. L’interopérabilité entre les systèmes d’exploitation précédents et versions
ultérieures doive être gérée. Dans la mesure du possible, les fonctionnalités de sécurité appliquées aux systèmes
d’exploitation plus récents doivent également être appliquées aux systèmes d’exploitation précédents.
Un programme de cœur de métier clé appelé WGBank se compose d’un programme de client en cours d’exécution
sur la plupart des appareils de bureau de l’organisation. Ce programme accède à plusieurs appareils de serveur
frontal qui exécutent la partie côté serveur du WGBank. Ces serveurs frontaux faire uniquement le traitement, ils
ne pas stockent les données. Les données sont stockées dans plusieurs appareils serveur principal de base de
données Microsoft SQL Server sont en cours d’exécution.

Exigences de conception
Les administrateurs réseau choisir d’implémenter le pare-feu Windows Defender avec sécurité avancée tout au
long de leur organisation pour fournir une couche de sécurité supplémentaire pour leur stratégie de sécurité
globale. Ils souhaitent créer des règles de pare-feu qui permettent à leurs programmes d’entreprise fonctionner,
tout en bloquant le trafic réseau qui n’est pas souhaité.
L’illustration suivante montre le trafic en matière de protection pour cet exemple de conception.
1. Les serveurs d’infrastructure réseau qui sont en cours d’exécution des services, comme Active Directory,
DNS, DHCP ou WINS, peuvent recevoir des demandes entrantes non sollicitées à partir de clients de
réseau. Les clients du réseau peuvent recevoir les réponses à partir des serveurs d’infrastructure.
2. Les serveurs frontaux WGBank peuvent recevoir le trafic entrant non sollicité à partir d’appareils clients et
les serveurs de l’espace WGBank. Les périphériques de client WGBank et les serveurs partenaires peuvent
recevoir la réponse.
3. Le WGBank serveurs frontaux peuvent envoyer les informations mises à jour pour les appareils du client
pour prendre en charge d’affichage en temps réel. Les clients ne pas interroger cette trafic non sollicité, mais
doivent être en mesure de recevoir.
4. Les serveurs de serveur principal WGBank peuvent recevoir des requêtes SQL à partir des serveurs
frontaux WGBank. Les serveurs frontaux WGBank peuvent recevoir les réponses correspondantes.
5. Il n’existe aucune communication entre les périphériques clients et les périphériques back-end WGBank
directe.
6. Il n’existe aucun trafic non sollicité à partir des périphériques back-end WGBank aux serveurs frontaux
WGBank.
7. Stratégie d’entreprise interdit l’utilisation du logiciel de transfert de fichier de pair à pair. Une révision
récente par le personnel informatique a trouvé que même si le pare-feu de périmètre n’empêche le travail
de la plupart des programmes de cette catégorie, deux programmes sont utilisés par les membres du
personnel qui ne nécessitent pas d’un serveur externe. Règles de pare-feu doivent bloquer le trafic réseau
créé par ces programmes.
8. Les serveurs de l’espace WGBank peuvent recevoir des demandes entrantes à partir d’appareils de l’espace
par le biais d’Internet.
Autres remarques concernant le trafic:
Les périphériques ne doivent ne pas recevoir de trafic non sollicité à partir de n’importe quel ordinateur
autre que spécifiquement autorisés ci-dessus.
Autres le trafic réseau sortant à partir d’appareils client ne sont pas spécifiquement identifié dans cet
exemple est autorisé.

Détails de la conception
Bosquet utilise des groupes Active Directory et les objets de stratégie de groupe pour déployer les paramètres de
pare-feu et les règles sur les appareils sur leurs réseaux. Ils savent doivent déployer des stratégies pour les
collections d’appareils suivantes:
Appareils clients qui exécutent Windows 10, Windows 8 ou Windows7
WGBank des serveurs frontaux qui exécutent Windows Server 2016, Windows Server 2012 R2, Windows
Server 2012 ou Windows Server2008R2 (aucun n’est en place encore, mais leur solution doit prendre en
charge les ajouter)
Serveurs de partenaires WGBank qui exécutent Windows Server 2008
WGBank serveur principal SQL Server appareils qui exécutent Windows Server 2008 (aucun n’est en place
encore, mais leur solution doit prendre en charge les ajouter)
Serveurs d’infrastructure qui exécutent Windows Server 2008
Contrôleurs de domaine Active Directory qui s’exécutent Server2008R2 Windows ou Windows Server
2012
Serveurs DHCP qui exécutent le système d’exploitation UNIX
Après avoir évaluer les ensembles d’appareils et les avoir comparées à la structure d’unité d’organisation (OU )
Active Directory, les administrateurs réseau bosquet déterminé qu’il a été pas une bonne correspondance un-à-
entre les unités d’organisation et les jeux. Par conséquent, le pare-feu GPO ne sera pas lié directement aux unités
d’organisation qui contiennent les périphériques pertinents. Au lieu de cela, les objets de stratégie de groupe sont
dirigés vers le conteneur de domaine dans Active Directory, puis WMI et des filtres de groupe sont attachés à
l’objet de stratégie de groupe pour vous assurer qu’elle est appliquée aux appareils corrects.
Configuration des groupes de comme décrit ici permet de s’assurer qu’il est inutile de savoir quel système
d’exploitation sur un ordinateur est en cours d’exécution avant de l’affecter à un groupe. Une combinaison des
filtres WMI et les filtres de groupe de sécurité sont utilisés pour garantir que les membres du groupe reçoivent la
stratégie de groupe approprié pour la version de Windows en cours d’exécution sur cet ordinateur. Pour certains
groupes, vous pouvez avoir quatre ou cinq même GPO.
Les groupes suivants ont été créés à l’aide du composant logiciel enfichable Active Directory aux utilisateurs et
ordinateurs Microsoft Management Console (MMC ), et tous les appareils exécutant Windows ont été ajoutées aux
groupes appropriés:
CG_FIREWALL_ALLCOMPUTERS. Ajouter prédéfinis et ordinateurs du domaine géré par le système
groupe en tant que membre de ce groupe. Tous les membres du groupe FIREWALL_ALLCOMPUTERS
reçoivent un objet de stratégie de groupe spécifiques au système d’exploitation avec les règles de pare-feu
courants appliqués à tous les appareils.
On distingués les types de deux périphériques (client et serveur) à l’aide de WMI filtres pour vous assurer
que seule la stratégie destinée aux appareils exécutant une version du client de Windows peuvent être
appliqués à cet ordinateur. Un filtre WMI similaire sur le serveur de stratégie de groupe garantit que seuls
les appareils qui exécutent des versions de Windows server peuvent s’appliquent à cet objet de stratégie de
groupe. Chacun de ces GPO ont également des filtres de groupe de sécurité pour empêcher les membres
du groupe FIREWALL_NO_DEFAULT de recevoir un de ces deux objets de stratégie de groupe.
Appareils clients reçoivent un objet de stratégie de groupe qui configure le pare-feu Windows
Defender pour mettre en œuvre le comportement du pare-feu Windows Defender par défaut
(autoriser le trafic sortant, bloc non sollicité entrant). L’objet de stratégie de groupe client par défaut
inclut également les groupes de règles de pare-feu intégré Core Networking et File and Printer
Sharing. Le groupe de mise en réseau de base est activé pour tous les profils, tandis que le groupe
File and Printer Sharing est activé pour seulement le domaine et les profils privés. L’objet de
stratégie de groupe inclut également des règles de pare-feu de trafic entrant pour autoriser le trafic
 de mise à jour WGBank serveur frontal du tableau de bord et les règles pour empêcher des
programmes de société non autorisé d’envoyer ou de recevoir le trafic réseau entrant et sortant.
Appareils de serveur reçoivent un objet de stratégie de groupe qui inclut la configuration du pare-feu
similaire à l’ordinateur client de stratégie de groupe. La principale différence est que les règles sont
activées pour tous les profils (pas seulement domaine et privé). En outre, les règles de mise à jour du
tableau de bord WGBank ne sont pas inclus, car il n’est pas nécessaire sur les appareils de serveur.
Toutes les règles sont à prendre en compte pour autoriser le trafic réseau uniquement à partir d’appareils
sur le réseau d’entreprise de bosquet.
CG_FIREWALL_NO_DEFAULT. Membres de ce groupe ne reçoivent pas le pare-feu par défaut de
stratégie de groupe. Les périphériques sont ajoutés à ce groupe s’il existe une exigence pour qu’il puisse
être exemptés le comportement de pare-feu par défaut. L’utilisation d’un groupe pour représenter les
exceptions au lieu des membres du groupe directement facilite prendre en charge la nature dynamique du
client de la population de l’ordinateur. Un nouvel ordinateur joint au domaine reçoit automatiquement le
pare-feu par défaut approprié de stratégie de groupe, sauf s’il est un membre de ce groupe.
CG_FIREWALL_WGB_FE. Ce groupe contient les comptes d’ordinateur pour tous les appareils de serveur
frontal WGBank. Les membres de ce groupe reçoivent un objet de stratégie de groupe qui configure le
pare-feu Windows Defender avec les règles de pare-feu de trafic entrant pour autoriser le trafic client
WGBank non sollicité. Les appareils de ce groupe reçoivent également la stratégie de groupe du pare-feu
par défaut.
CG_FIREWALL_WGB_SQL. Ce groupe contient les comptes d’ordinateur pour tous les périphériques back-
end WGBank qui s’exécutent SQL Server. Les membres de ce groupe reçoivent un objet de stratégie de
groupe qui configure le pare-feu Windows Defender avec les règles de pare-feu entrantes pour permettre
au programme de SQL Server à recevoir des requêtes non sollicités uniquement à partir des serveurs
frontaux WGBank. Les appareils de ce groupe reçoivent également la stratégie de groupe du pare-feu par
défaut.
CG_FIREWALL_BOUNDARY_WGBANKFE. Ce groupe contient les comptes d’ordinateur pour les
serveurs qui hébergent des services Web accessibles à partir d’Internet. Les membres de ce groupe
reçoivent un objet de stratégie de groupe qui ajoute une règle de pare-feu de trafic entrant pour autoriser le
trafic réseau entrant HTTP et HTTPS à partir de n’importe quelle adresse, y compris Internet. Les appareils
de ce groupe reçoivent également la stratégie de groupe du pare-feu par défaut.
CG_FIREWALL_WINS. Ce groupe contient les comptes d’ordinateur pour tous les appareils de serveur
WINS. Les membres de ce groupe reçoivent un objet de stratégie de groupe qui configure le pare-feu
Windows Defender avec une règle de pare-feu de trafic entrant pour autoriser les demandes entrantes non
sollicitées provenant des clients WINS. Les appareils de ce groupe reçoivent également la stratégie de
groupe du pare-feu par défaut.
CG_FIREWALL_ADDC. Ce groupe contient tous les comptes d’ordinateur pour les appareils de serveur de
contrôleur de domaine Active Directory. Les membres de ce groupe reçoivent un objet de stratégie de
groupe qui configure le pare-feu Windows Defender avec les règles de pare-feu de trafic entrant pour
autoriser le trafic de serveur à serveur et de non sollicité client Active Directory. Les appareils de ce groupe
reçoivent également la stratégie de groupe du pare-feu par défaut.
Dans la conception de votre propre, créer un groupe pour chaque rôle d’ordinateur de votre organisation qui
requiert des règles de pare-feu différentes ou supplémentaires. Par exemple, les serveurs de fichiers et les serveurs
d’impression nécessitent des règles supplémentaires pour autoriser le trafic réseau entrant pour ces fonctions. Si
une fonction est généralement effectuée sur la plupart des périphériques sur le réseau, vous pouvez envisager
l’ajout de périphériques ces rôles à l’ensemble de pare-feu de stratégie de groupe par défaut courantes, sauf s’il
existe une raison de sécurité ne pas pour l’inclure il.
Suivant: Exemple de conception de stratégie de Isolation de domaine
 Exemple de modèle de conception de stratégie
d’isolation de domaine
17/04/2019 • 5 minutes to read

S'applique à
Windows10
Windows Server2016
Cet exemple de conception continue d’utiliser la société fictive bosquet et s’appuie sur l’exemple décrit dans la
section Exemple de conception de stratégie de pare-feu . Consultez cet exemple pour obtenir une explication de
l’infrastructure réseau d’entreprise de base à bosquet avec diagrammes.

Exigences de conception
En plus de la protection de base fournie par les règles de pare-feu dans l’exemple précédent de la conception, vous
souhaiterez peut-être implémenter l’isolation de domaine pour fournir une autre couche de sécurité à leurs
appareils en réseau. Vous pouvez créer des pare-feu et connexion de règles de sécurité qui utilisent
l’authentification pour réduire le risque de communiquer avec des appareils non approuvées et potentiellement
dangereux.
L’illustration suivante montre la protection du trafic nécessaire dans cet exemple de conception.

1. Tous les appareils sur le réseau d’entreprise bosquet qui sont membres du domaine Active Directory
doivent s’authentifier le trafic réseau entrant comme provenant d’un autre ordinateur qui est membre du
domaine. Sauf indication contraire dans cette section, les appareils de bosquet rejettent tout trafic entrant
non sollicité réseau qui n’est pas authentifié. Si la conception du pare-feu de base est également
implémentée, même authentifié le trafic réseau entrant est annulé, sauf si elle correspond à une règle de
pare-feu entrantes.
2. Les serveurs qui hébergent les programmes WGPartner doivent être en mesure de recevoir le trafic entrant
non sollicité à partir d’appareils appartenant à ses partenaires, qui ne sont pas membres du domaine de
bosquet.
3. Appareils clients peuvent initier la communication sortante non authentifié avec des appareils qui ne sont
 pas membres du domaine, par exemple, la navigation sur des sites Web externes. Le trafic entrant non
sollicité à partir des membres non à un domaine est bloqué.
4. Les périphériques dans la zone de chiffrement requièrent que tout le trafic réseau entrant et sortant doit
être chiffré, en plus de l’authentification déjà requise par le domaine isolé.
Autres remarques concernant le trafic:
Toutes les exigences de conception décrits dans la section Exemple de conception de stratégie de pare-feu sont
toujours appliquées.

Détails de la conception
Bosquet utilise des groupes Active Directory et stratégie de groupe pour déployer les paramètres d’isolation de
domaine et les règles sur les appareils sur son réseau.
Configuration des groupes de comme décrit ici permet de s’assurer qu’il est inutile de savoir quel système
d’exploitation sur un ordinateur est en cours d’exécution avant de l’affecter à un groupe. Comme dans la
conception de stratégie de pare-feu, une combinaison des filtres WMI et les filtres de groupe de sécurité sont
utilisés pour garantir que les membres du groupe reçoivent la stratégie de groupe approprié pour la version de
Windows en cours d’exécution sur cet ordinateur. Pour certains groupes, vous pouvez avoir quatre ou cinq même
GPO.
Les groupes suivants ont été créés à l’aide du composant logiciel enfichable MMC Active Directory utilisateurs et
ordinateurs, tous les appareils exécutant Windows ont été ajoutées aux groupes appropriés, et l’objet de stratégie
de groupe appropriée sont appliquées au groupe. Pour inclure un appareil dans le domaine isolé ou l’un de ses
zones secondaires, ajoutez simplement le compte de l’appareil dans le groupe approprié.
CG_DOMISO_ISOLATEDDOMAIN. Les membres de ce groupe font partie du domaine isolé. Après une
période initiale de pilote, suivi par une augmentation lentement l’appartenance au groupe, les membres de
ce groupe a été finalement remplacés par l’entrée Ordinateurs du domaine pour vous assurer que tous les
appareils dans le domaine participent par défaut. Les filtres WMI vous assurer que l’objet de stratégie de
groupe ne s’applique pas aux contrôleurs de domaine. Stratégie de groupe avec des règles de sécurité de
connexion pour appliquer le comportement de l’isolation de domaine est liées au conteneur de domaine et
appliqués aux appareils dans ce groupe. Filtres de s’assurer que chaque ordinateur reçoit l’objet de stratégie
de groupe approprié pour son type de système d’exploitation. Les règles de la stratégie de groupe
d’isolation de domaine nécessitent l’authentification Kerberosv5 pour des connexions réseau entrantes et
demande pour toutes les connexions sortantes (mais ne nécessitent pas).
CG_DOMISO_NO_IPSEC. Ce groupe est refusé en lecture ou applique des autorisations sur une de
l’isolation de domaine GPO. N’importe quel ordinateur qui ne peuvent pas participer à l’isolation de
domaine, par exemple, un serveur DHCP exécutant UNIX, est ajouté à ce groupe.
CG_DOMISO_BOUNDARY. Ce groupe contient les comptes d’ordinateur pour tous les appareils qui font
partie du groupe de limites en mesure de recevoir du trafic entrant non sollicité à partir d’appareils non
approuvées. Les membres du groupe reçoivent un objet de stratégie de groupe qui configure les règles de
sécurité de connexion pour demander (mais pas nécessitent) entrante et sortante pour l’authentification.
CG_DOMISO_ENCRYPTION. Ce groupe contient les comptes d’ordinateur pour tous les appareils qui
nécessitent l’ensemble du trafic entrant et sortant à être authentifié et chiffré. Les membres du groupe
reçoivent un objet de stratégie de groupe qui configure la sécurité de la connexion et les règles de pare-feu
pour exiger l’authentification et le chiffrement sur l’ensemble du trafic entrant et sortant.

Remarque: si la conception de stratégie de groupe pour seulement Windows 8, Windows7, Windows Vista,
Windows Server 2012, Windows Server 2008 et Windows Server2008R2, vous pouvez concevoir vos objets
de stratégie de groupe dans les groupes imbriqués. Par exemple, vous permettre de la limite de groupe un
 membre du groupe de domaine isolé, afin qu’elle reçoive les pare-feu et les paramètres de domaine isolé base
par le biais de cette appartenance imbriquée, avec uniquement les modifications fournies par la zone limite de
stratégie de groupe. Toutefois, les appareils qui exécutent des versions antérieures de Windows peuvent
prennent uniquement en charge une seule stratégie IPsec sont actives à la fois. Les stratégies de chaque objet
de stratégie de groupe doivent être complète (et dans une large mesure redondante entre eux), car vous ne
pouvez pas les superposer comme vous pouvez le faire dans les versions plus récentes de Windows. Par souci
de simplicité, ce guide décrit les techniques utilisées pour créer les stratégies indépendants et non en couche.
Nous vous recommandons de créer et d’exécuter un script qui compare les appartenances à des groupes qui
doivent être qui s’excluent mutuellement et signale tous les appareils qui sont attribuées de façon incorrecte à
plusieurs groupes régulièrement.

Suivant: Exemple de conception de stratégie de Isolation de serveur

 Exemple de modèle de conception de stratégie
d’isolation de serveur
17/04/2019 • 7 minutes to read

S'applique à
Windows10
Windows Server2016
Cet exemple de conception continue d’utiliser la société fictive bosquet, comme décrit dans la section Exemple de
conception de stratégie de pare-feu et de la section Exemple de conception de stratégie de Isolation de domaine .
En plus de la protection fournie par l’isolation de domaine et de pare-feu, bosquet souhaite fournir une protection
supplémentaire pour les appareils qui exécutent Microsoft SQL Server pour le programme WGBank. Ils
contiennent des données personnelles, y compris l’historique financier de chaque client. Règles gouvernement des
États-Unis et au secteur d’activité et les réglementations de spécifient que l’accès à ces informations doit être limité
uniquement aux utilisateurs qui possèdent un légitimes professionnelle. Cela inclut une condition requise pour
empêcher l’interception des et l’accès aux informations lorsqu’elle est en transit sur le réseau.
Les informations présentées par les serveurs frontaux WGBank pour les appareils du client et les informations
fournies par les serveurs WGPartner sur les périphériques de l’espace à distance, ne sont pas considérées comme
sensibles dans le cadre de la réglementation du gouvernement des États-Unis, car ils sont traitement vise à
supprimer des éléments sensibles avant de transmettre les données sur les périphériques de client.
Dans ce guide, les exemples montrent l’isolation de serveurs empilent sur une conception d’isolation de domaine.
Si vous avez un domaine isolé, les périphériques clients sont déjà dotés d’objets de stratégie de groupe qui
nécessitent une authentification. Vous devez uniquement ajouter des paramètres aux serveurs isolés pour exiger
une authentification pour les connexions entrantes et vérifier l’appartenance au groupe d’accès réseau. La tentative
de connexion réussit uniquement si l’appartenance au groupe d’accès réseau est confirmée.

Isolation de serveur sans isolation de domaine

Isolation de serveur peut également être déployée par lui-même, aux périphériques qui doivent participer. L’objet
de stratégie de groupe sur le serveur n’est pas différent de celui indiqué dans le paragraphe précédent pour un
serveur dans un domaine isolé existant. La différence est que vous devez également déployer un objet de stratégie
de groupe avec prise en charge des règles de sécurité de connexion aux clients qui doivent être en mesure de
communiquer avec le serveur isolé. Dans la mesure où ces appareils doivent être membres du groupe d’accès
réseau, ce groupe peut également être utilisé dans un filtre de groupe de sécurité sur le client de stratégie de
groupe. Cet objet de stratégie de groupe doit contenir des règles qui prennent en charge les exigences
d’authentification du serveur isolé.
En résumé, au lieu de l’application du client de stratégie de groupe à tous les clients dans le domaine, vous
appliquez la stratégie de groupe pour que les membres du groupe d’accès réseau.
Si vous ne disposez pas d’un domaine Active Directory, vous pouvez manuellement appliquer les règles de
sécurité de la connexion, utiliser un script de ligne de commande netsh ou utiliser un script Windows PowerShell
pour aider à automatiser la configuration des règles de plus grand nombre d’appareils. Si vous ne disposez pas
d’un domaine Active Directory, vous ne pouvez pas utiliser le protocole KerberosV5, mais au lieu de cela devez
fournir les clients et les serveurs isolées avec des certificats qui sont référencées dans les règles de sécurité de
connexion.
Exigences de conception
En plus de la protection fournie par les règles de pare-feu et l’isolation de domaine décrit dans les exemples
précédents de la conception, les administrateurs réseau souhaitent implémenter l’isolation de serveur pour vous
aider à protéger les données confidentielles stockées sur les appareils qui exécutent SQL Server.
L’illustration suivante montre le trafic en matière de protection pour cet exemple de conception.

1. Accès aux périphériques SQL Server doit être limité à uniquement les comptes utilisateur ou ordinateur
ayant une exigence pour accéder aux données. Cela inclut les comptes de service qui sont utilisées par les
serveurs frontaux WGBank et les administrateurs des périphériques SQL Server. En outre, l’accès est
accordé uniquement lorsqu’il est envoyé à partir d’un ordinateur autorisé. Autorisation est déterminée par
l’appartenance à un groupe d’accès réseau (groupes d’accès réseau).
2. Tout le trafic réseau vers et depuis les appareils de SQL Server doit être chiffré.
3. Appareils clients ou les utilisateurs dont les comptes ne sont pas membres du groupe d’accès réseau ne
peut pas accéder aux serveurs isolés.
Autres remarques concernant le trafic:
Toutes les exigences de conception indiquées dans la section Exemple de conception de stratégie de pare-
feu sont toujours appliquées.
Toutes les exigences de conception indiquées dans la section Exemple de conception de stratégie de
Isolation de domaine sont toujours appliquées.

Détails de la conception
Bosquet utilise des groupes Active Directory et stratégie de groupe pour déployer les paramètres d’isolation de
serveur et les règles sur les appareils sur son réseau.
Comme dans les exemples de conception de stratégie décrites précédemment, stratégie de groupe pour
implémenter l’environnement d’isolation de domaine est dirigés vers le conteneur de domaine dans Active
Directory et ensuite des filtres WMI et les filtres de groupe de sécurité sont attachés à la stratégie de groupe pour
vous assurer que l’objet de stratégie de groupe approprié est appliqué à chaque ordinateur. Les groupes suivants
ont été créés en utilisant les utilisateurs Active Directory et le composant logiciel enfichable ordinateurs et tous les
appareils exécutant Windows ont été ajoutées aux groupes appropriés.
CG_SRVISO_WGBANK_SQL. Ce groupe contient les comptes d’ordinateur pour les appareils qui exécutent
SQL Server. Les membres de ce groupe reçoivent un objet de stratégie de groupe avec les règles de pare-feu
et les connexions de sécurité qui requièrent que seuls les utilisateurs qui sont membres du groupe
 CG_NAG_SQL_USERS peuvent accéder au serveur, et uniquement lorsqu’ils utilisent un ordinateur qui est
membre du groupe CG_NAG_SQL_ ORDINATEURS.

Remarque: vous pouvez concevoir vos objets de stratégie de groupe dans les groupes imbriqués. Par
exemple, vous permettre de la limite de groupe un membre du groupe de domaine isolé, afin qu’elle reçoive
les pare-feu et les paramètres de domaine isolé base par le biais de cette appartenance imbriquée, avec
uniquement les modifications fournies par la zone limite de stratégie de groupe. Toutefois, les appareils qui
exécutent des versions antérieures de Windows peuvent prennent uniquement en charge une seule stratégie
IPsec sont actives à la fois. Les stratégies de chaque objet de stratégie de groupe doivent être complète (et
dans une large mesure redondante entre eux), car vous ne pouvez pas les superposer comme vous pouvez le
faire dans les versions plus récentes de Windows. Par souci de simplicité, ce guide décrit les techniques
utilisées pour créer les stratégies indépendants et non en couche. Nous vous recommandons de créer et
d’exécuter un script qui compare les appartenances à des groupes qui doivent être qui s’excluent mutuellement
et signale tous les appareils qui sont attribuées de façon incorrecte à plusieurs groupes régulièrement.

Groupes d’accès réseau (groupes d’accès réseau) ne sont pas utilisés pour déterminer les objets de stratégie de
groupe sont appliquées à un ordinateur. Au lieu de cela, ces groupes déterminent quels appareils et les utilisateurs
peuvent accéder aux services sur le serveur isolé.
CG_NAG_SQL_COMPUTERS. Ce groupe d’accès réseau contient les comptes d’ordinateurs qui sont en
mesure d’accéder aux périphériques exécutant SQL Server qui héberge les données WGBank. Membres de
ce groupe incluent les serveurs frontaux WGBank et certains périphériques de client à partir duquel les
administrateurs SQL Server sont autorisés à fonctionner sur les serveurs.
CG_NAG_SQL_USERS. Ce groupe d’accès réseau contenant les comptes d’utilisateurs qui sont autorisés à
accéder aux périphériques SQL Server qui hébergent les données WGBank. Membres de ce groupe
incluent le compte de service que le programme de frontal WGBank utilise pour s’exécuter sur ses appareils
et les comptes d’utilisateurs pour les membres de l’équipe d’administration SQL Server.

Remarque: vous pouvez utiliser un seul groupe pour les comptes d’utilisateur et d’ordinateur. Bosquet a choisi
de les séparer par souci de clarté.

Si bosquet veut implémenter l’isolation de serveur sans isolation de domaine, le groupe

CG_NAG_SQL_COMPUTERS permettre également être attaché en tant qu’un filtre de groupe de sécurité sur les
objets de stratégie de groupe qui s’appliquent les règles de sécurité de connexion pour les appareils du client. Ce
faisant, tous les appareils qui sont autorisés à accéder au serveur isolé ont également les règles de sécurité de
connexion requise.
Il est inutile d’inclure les règles sur tous les appareils compatibles avec le chiffrement. Au lieu de cela, vous pouvez
créer des objets stratégie de groupe qui s’appliquent uniquement aux membres du groupe d’accès réseau, en plus
de l’isolation de domaine standard de stratégie de groupe, qui contiennent des règles de sécurité de connexion
pour prendre en charge le chiffrement.
Suivant: Exemple de conception d’Isolation basée sur le certificat de stratégie
 Exemple de modèle de conception de stratégie
d’isolation basée sur les certificats
17/04/2019 • 4 minutes to read

S'applique à
Windows10
Windows Server2016
Cet exemple de conception continue d’utiliser la société fictive bosquet, comme décrit dans les sections Exemple de
conception de stratégie de pare-feu, Exemple de conception de stratégie de Isolation de domaineet Exemple de
conception de stratégie de Isolation de serveur.
Un des serveurs qui doivent être inclus dans l’environnement d’isolation de domaine est un appareil exécutant
UNIX qui fournit les autres informations dans le programme de tableau de bord WGBank en cours d’exécution sur
les appareils du client. Cet appareil envoie des informations mises à jour aux serveurs frontaux WGBank dès que
possible, il est considérée comme étant le trafic entrant non sollicité pour les appareils qui recevront ces
informations.

Exigences de conception
Une des solutions possibles consiste à inclure une règle d’exemption d’authentification dans l’objet de stratégie de
groupe appliquée aux serveurs frontaux WGBank. Cette règle aurait indiquent les serveurs frontaux pour accepter
le trafic à partir de l’appareil autres que Windows, même si elle ne peut pas s’authentifier.
Une solution plus sécurisée et celui qui est sélectionné par bosquet, consiste à inclure l’appareil non-Windows dans
la conception d’isolation de domaine. Dans la mesure où il ne peut pas joindre un domaine Active Directory,
bosquet choisi d’utiliser l’authentification basée sur le certificat. Les certificats sont des documents protégés par
chiffrement, chiffrés de telle sorte que leur origine peut être confirmé soumis à un.
Dans ce cas, bosquet utilisé des Services de certificats Active Directory pour créer le certificat approprié. Ils
peuvent également ont acquis et installé un certificat auprès d’une autorité de certification commerciale tiers.
Ensuite, qu’ils utilisé la stratégie de groupe pour déployer le certificat sur les serveurs frontaux. Les objets de
stratégie de groupe appliquées aux serveurs frontaux incluent également les règles de sécurité de connexion mis à
jour qui permettent l’authentification par certificat en plus de l’authentification KerberosV5. Ensuite, ils installés
manuellement le certificat sur le serveur UNIX.
Le serveur UNIX est configuré avec les pare-feu et les règles de sécurité de connexion IPsec utilisant les outils qui
sont fournis par le fournisseur de système d’exploitation. Ces règles indiquent que l’authentification est effectuée à
l’aide du certificat.
La création des règles de sécurité IPsec connexion pour un appareil non Windows n’entre pas dans le cadre de ce
document, mais la prise en charge pour un certificat qui peut être utilisé pour authentifier un appareil de ce type
non Windows en utilisant les protocoles IPsec standard est l’objet de ce conception.
Membre de la zone limite ou la zone de chiffrement en fonction des règles IPsec appliqués à l’appareil peut être
établie efficacement l’appareil autres que Windows. La seule contrainte est que le mode principal et les algorithmes
de chiffrement mode rapide prises en charge par l’appareil UNIX doivent également être pris en charge par les
appareils Windows avec lequel il communique.
Autres remarques concernant le trafic:
 Aucune des fonctionnalités des autres conceptions décrites dans ce guide sont compromis par l’utilisation de
l’authentification par certificat par un appareil non Windows.

Détails de la conception
Bosquet utilise des groupes Active Directory et stratégie de groupe pour déployer les paramètres d’isolation de
domaine et les règles sur les appareils de leur organisation.
L’inclusion d’un ou plusieurs appareils au réseau nécessite uniquement un simple ajout à la stratégie de groupe
pour les appareils qui doivent communiquer avec l’appareil autres que Windows. L’ajout est autoriser
l’authentification par certificat en plus de l’authentification KerberosV5 – pris en charge Active Directory. Cela ne
nécessite pas, y compris les nouvelles règles, en ajoutant simplement l’authentification basée sur le certificat en
tant qu’option aux règles existantes.
Lorsque plusieurs méthodes d’authentification sont disponibles, les deux appareils négociations accordent sur le
premier dans leurs listes qui correspondent aux. Dans la mesure où la plupart des appareils de réseau de bosquet
exécuter Windows, KerberosV5 est répertorié comme la première méthode d’authentification dans les règles.
L’authentification basée sur le certificat est ajoutée en tant qu’un type d’authentification alternatif.
En utilisant les utilisateurs Active Directory et le composant logiciel enfichable ordinateurs, bosquet créé un groupe
nommé NAG_COMPUTER_WGBUNIX. Ensuite, ils ajouté les comptes d’appareil à ce groupe pour les appareils
Windows qui ont besoin de communiquer avec les périphériques autres que Windows. Si tous les appareils dans le
domaine isolé doivent être en mesure d’accéder aux périphériques autres que Windows, le groupe Ordinateurs
du domaine peut être ajouté au groupe en tant que membre.
Bosquet puis créé un objet de stratégie de groupe qui contient le certificat et ensuite attaché filtres de groupe de
sécurité à l’objet de stratégie de groupe qui permettent en lecture et appliquer des autorisations aux seuls les
membres du groupe NAG_COMPUTER_WGBUNIX. L’objet de stratégie de groupe place le certificat dans le
ordinateur Local / personnel / certificats magasin de certificats. Le certificat utilisé doit effectuer un chaînage à
un certificat qui se trouve dans le magasin d’Autorités de Certification racine de confiance sur l’appareil local.
Suivant: La conception d’un pare-feu Windows Defender avec la stratégie de sécurité avancée
 La conception d’un pare-feu Windows Defender
avec la stratégie de sécurité avancée
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Pour sélectionner la conception la plus efficace pour les mesures de protection du réseau, vous devez passer les
informations de clé collecte temps sur votre environnement informatique actuel. Vous devez disposer d’une
bonne compréhension des tâches qu’effectuent les appareils sur le réseau, et comment ils utilisent le réseau pour
accomplir ces tâches. Vous devez comprendre le trafic réseau généré par les programmes en cours d’exécution
sur les appareils.
Collecte des informations dont vous avez besoin
Détermination de la fiabilité de vos appareils
Les informations que vous collectez vous aidera à répondre aux questions suivantes. Les réponses vous aidera à
comprendre vos besoins de sécurité et sélectionnez le modèle qui correspond le mieux à ces exigences. Les
informations vous aidera également lorsqu’il s’agit des temps de déployer votre conception, en aidant à vous
permettent de créer une stratégie de déploiement qui est rentable et gourmandes en ressources. Il vous
permettra de projet et justifier les coûts prévus associés à l’implémentation de la conception.
Le trafic doit toujours être autorisé? Quelles sont les caractéristiques du trafic réseau généré et utilisé par
les programmes d’entreprise?
Le trafic doit toujours être bloqué? Votre organisation dispose-t-il de stratégies qui interdisent l’utilisation
de programmes spécifiques? Si tel est le cas, quelles sont les caractéristiques du trafic réseau généré et
utilisé par les programmes interdites?
Le trafic sur le réseau ne peuvent pas être protégé par IPsec dans la mesure où les appareils ou les
appareils envoyer ou de recevoir le trafic ne prennent pas en charge IPsec?
Pour chaque type de trafic réseau, effectue la configuration par défaut du pare-feu (bloquer tout le trafic
réseau entrant, autoriser tout le trafic sortant) autoriser ou bloquer le trafic en fonction des besoins?
Vous disposez d’un domaine Active Directory (ou une forêt de domaines approuvés) à laquelle tous vos
appareils sont joints? Si vous ne le faites pas, vous ne pouvez pas utiliser la stratégie de groupe pour
faciliter le déploiement de vos règles de sécurité du pare-feu et de connexion en série. Vous également ne
peut pas facilement profiter de l’authentification KerberosV5 que tous les clients de domaine peuvent
utiliser.
Les appareils doivent être en mesure d’accepter les connexions entrantes non sollicitées à partir
d’appareils qui ne font pas partie du domaine?
Les périphériques qui contiennent des données qui doivent être chiffrées lorsque échangées avec un autre
ordinateur?
Les périphériques qui contiennent des données sensibles auquel un accès doit être limité aux appareils et
les utilisateurs spécifiquement autorisés?
 Votre organisation dispose-t-il de résolution des problèmes de périphériques ou appareils (par exemple,
les analyseurs de protocole) qui doivent se voir attribuer un accès illimité aux appareils sur le réseau,
essentiellement en contournant le pare-feu de réseau spécifique?
Ce guide décrit comment planifier vos groupes et la stratégie de groupe pour un environnement avec un
mélange de systèmes d’exploitation. Vous trouverez plus d’informations dans la section Planification du
déploiement la stratégie de groupe pour les Zones d’Isolation de votre plus loin dans ce guide.
Suivant: Collecte les informations que nécessaires
 Collecte des informations dont vous avez besoin
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Avant de commencer le processus de planification pour un pare-feu Windows Defender avec le déploiement de
fonctions avancées de sécurité, vous devez collecter et analyser des informations à jour sur le réseau, les services
d’annuaire et les appareils qui sont déjà déployés dans l’organisation. Ces informations vous permettent de créer
une conception qui tient compte de tous les éléments possibles de l’infrastructure existante. Si les informations
collectées ne sont pas précises, des problèmes peuvent survenir lorsque des appareils, qui n’étaient pas pris en
compte pendant la phase de planification sont qui s’est produite lors de l’implémentation.
Passez en revue chacune des rubriques suivantes pour obtenir des conseils sur les types d’informations que vous
devez rassembler:
Collecte d’informations relatives à votre infrastructure réseau actuelle
Collecte d’informations relatives à votre déploiement ActiveDirectory
Collecte d’informations sur vos appareils
Collecte d’autres informations pertinentes
 Collecte d’informations relatives à votre infrastructure
réseau actuelle
17/04/2019 • 10 minutes to read

S'applique à
Windows10
Windows Server2016
Le plus important de la planification de pare-feu Windows Defender avec le déploiement de sécurité avancée est
peut-être l’architecture du réseau, étant donné que IPsec est superposée sur le protocole Internet lui-même. Une
présentation incomplète ou inexacte du réseau peut empêcher toute solution de pare-feu Windows Defender
réussie. Présentation de disposition de sous-réseau, schémas d’adresses IP et les modèles de trafic font partie de
cet effort, mais une documentation précise les composants suivants sont importantes pour la fin de la phase de
planification de ce projet:
Segmentation du réseau. Cela inclut adressage IP cartes, montrant comment vos routeurs séparent
chaque segment de réseau. Il inclut des informations sur comment les routeurs sont configurés et les filtres
de sécurité qu’ils imposent le trafic réseau en passant par les.
Traduction d’adresses réseau (NAT). NAT est un moyen de séparer les segments réseau à l’aide d’un appareil
qui mappe toutes les adresses IP sur un côté de l’appareil à une seule adresse IP accessible sur l’autre côté.
Périphériques d’infrastructure réseau. Cela inclut les routeurs, les commutateurs, concentrateurs et autres
équipements réseau qui permet la communication entre les appareils sur le réseau.
Modèle de trafic réseau actuel. Cela inclut la quantité et les caractéristiques du trafic réseau sont
transmises par le biais de votre réseau.
Périphériques de système de détection (IDS ) intrusion. Vous devez identifier si vous disposez de tous les
appareils ID sur votre réseau qui peut-être être réduite par n’importe quel chiffrement introduit dans une
Zone de chiffrement.
L’objectif est de disposer de suffisamment d’informations pour être en mesure d’identifier une ressource par son
emplacement réseau, en plus de son emplacement physique.
N’utilisez pas un réseau complexe et mal documenté comme point de départ pour la conception, car il peut laisser
trop de zones non identifiés qui sont susceptibles d’entraîner des problèmes lors de l’implémentation.
Ce guide permet d’obtenir les informations les plus pertinentes pour la planification de la mise en œuvre du pare-
feu Windows Defender, mais il n’essaie pas de résoudre les autres problèmes, tels que la prise en charge TCP/IP
ou de segmentation de réseau local virtuel (VLAN ).

Segmentation du réseau
Si votre organisation ne dispose pas de son architecture réseau actuelle documentée et disponible pour référence,
cette documentation doit être obtenue dès que possible avant de poursuivre la conception et le déploiement. Si les
informations documentées ne sont pas en cours ou n’a pas été validées récemment, vous avez deux options:
Acceptez que l’absence des informations précises peut entraîner des risques au projet.
Réalisez un projet de découverte, par le biais de processus manuels ou avec les outils d’analyse de réseau
qui peuvent fournir les informations que nécessaires pour documenter la topologie du réseau actuelle.
Bien que les informations requises peuvent être présentées de différentes façons, une série de schémas est souvent
plus efficace de la méthode illustrant et présentation de la configuration réseau actuelle. Lorsque vous créez des
schémas de réseau, n’incluez pas trop d’informations. Si nécessaire, utilisez plusieurs schémas décrivant les
différents niveaux de détail. Utilisez un diagramme de niveau supérieur qui illustre les sites importants qui
constituent le réseau de votre organisation et rompez chaque site dans un diagramme plus détaillé qui capture un
niveau de détail plus approfondi. Continuez jusqu'à ce que vous atteignez le niveau de sous-réseau IP individuel, et
n’ont donc la possibilité d’identifier l’emplacement réseau de tous les appareils de votre organisation.
Pendant ce processus, vous pouvez découvrir certaines applications de réseau et services qui ne sont pas
compatibles avec IPsec. Par exemple, IPsec annule la définition de priorités basée sur le réseau et de gestion du
trafic basée sur le protocole port. Si la gestion du trafic ou la définition de priorités doit être basée sur les ports ou
le protocole, l’hôte lui-même doit être en mesure d’effectuer la gestion du trafic ni définition de priorités.
Autres exemples d’incompatibilité:
Cisco NetFlow sur les routeurs ne peuvent pas analyser les paquets entre des membres IPsec basés sur un
protocole ou un port.
Basé sur routeur qualité de Service (QoS ) ne peuvent pas utiliser les ports ou les protocoles pour
hiérarchiser le trafic. Toutefois, à l’aide des règles de pare-feu qui spécifient l’adresse IP adresses pour
hiérarchiser le trafic ne sont pas affectés par cette limitation de qualité de service. Par exemple, une règle
indiquant «Quiconque à quiconque utilisant le port 80 hiérarchiser» ne fonctionne pas, mais une règle
indiquant «Quiconque à 10.0.1.10 hiérarchiser» fonctionne.
Queuing juste pondérée et autres méthodes de priorité du trafic routeur basé sur le flux risque d’échouer.
Appareils qui ne prennent pas ou autoriser le protocole IP 50, le port sur lequel est utilisé en charge utile de
sécurité encapsulation (ESP ).
Listes de contrôle d’accès (ACL ) routeur ne peut pas examiner les champs de protocole et de port dans les
paquets ESP chiffrés, et par conséquent, les paquets sont ignorées. ACL basées uniquement sur les adresses
IP est transmis comme d’habitude. Si l’appareil ne peut pas analyser le protocole ESP, les ACL qui spécifient
des règles de port ou de protocole ne seront pas traités dans les paquets ESP.. Si l’appareil dispose d’un
analyseur ESP et utilise le chiffrement, ACL qui spécifient des règles de port ou un protocole n’est pas traité
dans les paquets ESP..
Outils d’analyse de réseau est peut-être pas réussi à analyser ESP paquets sont pas chiffrés (ESP -Null).

Remarque: Analyseur de messages Microsoft peut vous aider à la résolution des problèmes des
paquets IPsec non chiffrés. La dernière version de l’Analyseur de Message est disponible dans le Centre
de téléchargement Microsoft.

Traduction d’adresses réseau (NAT)

Traversée IPsec NAT (NAT-T) permet d’homologues IPsec qui sont trouvent derrière NAT pour détecter la
présence de NAT, négocier des associations de sécurité IPsec (SAs) et d’envoyer des données protégées par ESP
même si la modification des adresses dans les paquets IPv4 protégés par IPsec. IPsec NAT-T ne gère pas
l’utilisation de AH sur tous les appareils NAT.

Périphériques d’infrastructure réseau

Les appareils qui constituent l’infrastructure réseau (routeurs, commutateurs, équilibrage de charge global et les
pare-feu) doivent être en mesure de communiquer à l’aide de IPsec une fois que la solution est implémentée. Pour
cette raison, vous devez examiner les caractéristiques de ces périphériques réseau pour vous assurer qu’ils peuvent
gérer les exigences techniques et physiques de la conception suivantes:
 Marque/modèle. Vous pouvez utiliser ces informations pour déterminer les fonctionnalités de l’appareil
prend en charge. En outre, vérifiez la version du BIOS ou le logiciel en cours d’exécution sur l’appareil pour
vous assurer que IPsec est pris en charge.
Quantité de mémoire RAM. Ces informations sont utiles lorsque vous analysez la capacité ou l’impact
d’IPsec sur l’appareil.
Analyse du trafic. Informations, par exemple, l’utilisation maximale et tendances d’orweekly quotidiens,
sont utiles de disposer. Les informations aident à un instantané de la base de référence de l’appareil et
comment elle est utilisée au fil du temps. Si des problèmes se produisent après que IPsec est implémentée,
les informations peuvent aider à déterminer si la cause est liée à une plus grande utilisation de l’appareil.
Les ACL de routeur qui affectent directement IPsec. ACL affecte directement la capacité de ces
protocoles spécifiques à fonctionner. Par exemple, protocole 50 ou 51 bloque le protocole KerberosV5 (port
UDP et TCP 88) ou l’adresse IP empêche IPsec de fonctionner. Appareils doivent également être configurés
pour autoriser le trafic IKE (port UDP 500) si vous utilisez NAT-T (port UDP 4500).
Réseaux/sous-réseaux connectés aux interfaces de périphérique. Ces informations fournissent la
meilleure image de quoi ressemble le réseau interne. Définition de la limite de sous-réseaux basé sur une
plage d’adresses est simple et permet d’identifier si d’autres adresses sont non gérées ou étrangère au
réseau interne (par exemple, les adresses IP sur Internet).
Segmentation de réseau local virtuel. Déterminer la façon dont les réseaux locaux virtuels sont
implémentés sur le réseau peut vous aider à comprendre les modèles de trafic et les exigences de sécurité et
aident à déterminer comment IPsec peut augmenter ou interférer avec ces exigences.
La taille d’unité (MTU ) de transmission maximale sur les interfaces de périphériques. La taille MTU
définit le plus grand datagramme qui peut être transmis sur une interface donnée sans scindée en plus
petites parties de transmission (également connue sous le nom de la fragmentation desprocessus). Dans les
communications IPsec, la MTU est nécessaire d’anticiper lorsque la fragmentation se produit. La
fragmentation des paquets doive être suivie pour Internet Security Association and Key Management
Protocol (ISAKMP ) par le routeur. IPsec configure la taille MTU sur la taille MTU minimal détecté sur le
chemin d’accès de communication en cours de la session utilisé et définissez le bit Fragment ne (bit DF ) sur
1.

Remarque: si la découverte PMTU (Path MTU ) est activée et fonctionne correctement, vous ne
disposez pas obtenir la taille MTU sur les interfaces de périphérique. Bien que les sources, telles que le
Guide la sécurisation renforcée de Windows Server 2003, vous recommandons de désactiver la
découverte PMTU, il doit être activé pour IPsec de fonctionner correctement.

Système de détection d’intrusion (ID ) en cours d’utilisation. Vos ID doit avoir un analyseur IPsec
compatibles pour détecter les paquets ESP. Si les ID ne dispose pas de cet un analyseur, il ne peut pas
déterminer si les données contenues dans ces paquets sont chiffrées.
Après avoir obtenu cette information, vous pouvez déterminer rapidement si vous devez mettre à niveau les
appareils afin de prendre en charge les exigences du projet, de modifier les ACL ou autres mesures pour garantir
que les appareils peuvent gérer les charges nécessités.

Modèle de trafic réseau actuel

Après avoir collecté les informations sur l’infrastructure réseau et de prise en charge, l’étape suivante consiste à
examiner le flux de communications. Par exemple, si un département telles que les ressources humaines (HR )
s’étend sur plusieurs bâtiments et que vous souhaitez utiliser l’isolation de serveurs avec le chiffrement pour
protéger les informations de ce service, vous devez connaître comment ces bâtiments sont connectés pour
déterminer le niveau de «confiance» Placez dans la connexion. Un bâtiment hautement sécurisé qui est connecté
via un câble non protégé à un autre bâtiment n’est pas sécurisé peut être compromis par une attaque par relecture
écoute clandestine ou d’informations. Si ce type d’attaque est considérée comme une menace, IPsec peut aider à
en fournissant une authentification mutuelle renforcée et le chiffrement du trafic des hôtes approuvés. IPsec
permet que plus communiquent en toute sécurité à travers des liens non approuvées comme Internet.
Lorsque vous examinez le flux de trafic, recherchez étroitement au niveau des appareils toutes les managées et
interagir. Cela inclut les appareils non-Windows Windows, Linux, UNIX et Macintosh en cours d’exécution. Vous
poser des questions telles que:
Communications spécifiques se produisent au port et au niveau protocole ou bien existe-t-il grand nombre
de sessions entre les mêmes hôtes sur de nombreux protocoles?
Comment les clients et les serveurs communiquent entre eux?
Existe-t-il des périphériques de sécurité ou des projets actuellement mis en œuvre ou planifiés susceptibles
d’affecter un déploiement d’isolation? Par exemple, si vous utilisez le pare-feu Windows Defender sur vos
appareils vers les ports spécifiques «verrouiller», par exemple, UDP 500, négociations IKE échouent.
Parmi les applications et les protocoles plus courants sont les suivants:
NetBIOS sur TCP/IP (NetBT) et le protocole SMB (SMB ). Sur un réseau local, il est courant d’avoir des
ports 137, 138 et 139 activés pour NetBT et le port 445 activé pour SMB. Ces ports offrent des services de
résolution de noms NetBIOS et d’autres fonctionnalités. Malheureusement, elles permettent également de
la création de sessions null. Une session null est une session qui est établie sur un hôte qui n’utilise pas le
contexte de sécurité d’un utilisateur connu ou d’entité. Souvent, ces sessions sont anonymes.
Appel de procédure distante (RPC ). RPC s’effectue à l’écoute sur un port désigné sous le Mappeur de
point de terminaison, le port TCP 135. La réponse à une requête sur ce port est une instruction de
commencer la communication sur un autre port de la plage éphémère (ports numérotés sur 1024). Dans un
réseau segmenté par des pare-feu, communication RPC présente un défi de configuration dans la mesure
où elle implique d’ouvrir le port d’écoute RPC et tous les ports supérieurs à 1024. L’ouverture de nombreux
ports augmente la surface d’attaque de l’ensemble du réseau et réduit l’efficacité des pare-feu. Étant donné
que de nombreuses applications dépendent de RPC pour les fonctionnalités de base, toute stratégie de
sécurité du pare-feu et de la connexion doit prendre en compte les besoins RPC.
Le reste du trafic. Pare-feu Windows Defender peut aider à sécuriser les transmissions entre les appareils
en fournissant l’authentification des paquets en plus de chiffrant les données qu’ils contiennent. L’élément
important à faire consiste à identifier ce qui doit être protégé et les menaces qui doivent être corrigées en
suivant. Examiner et tout autre trafic ou des types de trafic qui doivent être sécurisées du modèle.
Suivant: Collecte d’informations relatives à votre déploiement Active Directory
 Collecte d’informations relatives à votre déploiement
ActiveDirectory
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Active Directory est un autre élément important sur lequel vous devez collecter des informations. Vous devez
comprendre la structure de la forêt. Cela inclut la disposition de domaine, l’architecture de l’unité d’organisation
(OU ) et la topologie de site. Ces informations permettent de savoir où les appareils sont actuellement placés, leur
configuration et l’impact des modifications pour Active Directory qui résultent d’implémentation de pare-feu
Windows Defender avec sécurité avancée. Passez en revue la liste suivante pour plus d’informations nécessitées:
Les noms et le nombre de forêts. La forêt (et non au domaine) est la limite de sécurité dans une
implémentation Active Directory. Vous devez comprendre l’architecture d’Active Directory en cours pour
déterminer la stratégie la plus efficace pour le déploiement de vos règles de sécurité du pare-feu et de la
connexion à l’aide de la stratégie de groupe. Il vous permet également de comprendre quels appareils
peuvent être isolé et comment mieux accomplir le degré d’isolation requis.
Les noms et le nombre de domaines. L’authentification de serveur et d’isolation de domaine utilise le
processus de négociation IKE avec le protocole KerberosV5. Ce protocole suppose que les appareils sont
membres du domaine.
Nombre et les types d’approbations. Les approbations affectent les limites logiques d’isolation de
domaine et définissent si la négociation IKE peut se produire entre les appareils dans des domaines Active
Directory différents.
Les noms et le nombre de sites. Architecture du site est habituellement aligné avec la topologie du
réseau. Comprendre comment les sites sont définis dans Active Directory aidera à fournir des informations
sur la réplication et d’autres détails. Architecture du site peut fournir une meilleure compréhension du
déploiement Active Directory en cours.
Structure d’unité d’organisation. Unités d’organisation sont des constructions logiques et peuvent donc
être MOULAGE pour s’adapter aux nombreux des exigences différentes et objectifs. La structure d’unité
d’organisation est l’endroit idéal pour examiner la façon dont la stratégie de groupe est actuellement utilisée
et comment les unités d’organisation sont disposées. Vous ne disposez pas de recréer une structure d’unité
d’organisation déjà implémentée pour déployer efficacement les pare-feu et stratégie de sécurité de
connexion, mais la connaissance de l’aide de la structure que vous savez quelles WMI ou le filtrage des
groupes est nécessaire pour appliquer chaque objet de stratégie de groupe pour les appareils corrects .
La stratégie IPsec existante. Dans la mesure où ce projet se termine par l’implémentation de la stratégie
IPsec, vous devez comprendre comment le réseau utilise actuellement IPsec (le cas du tout). Règles de
sécurité de connexion de pare-feu Windows Defender pour les versions de Windows avant Windows Vista
et Windows Server 2008 ne sont pas compatibles avec les versions antérieures de Windows. Si vous avez
déjà les stratégies IPsec déployées sur des appareils exécutant Windows XP et Windows Server 2003 dans
votre organisation, vous devez vous assurer que les nouvelles stratégies IPsec que vous déployez activent
des appareils à l’aide des stratégies IPsec anciens ou le nouveau pour communiquer entre eux.
Suivant: Collecte d’informations sur vos appareils
 Collecte d’informations sur vos appareils
17/04/2019 • 3 minutes to read

S'applique à
Windows10
Windows Server2016
Un des avantages de la réalisation d’un projet de découverte de ressource la plus précieuses est la grande quantité
de données qui sont obtenues sur les périphériques client et serveur sur le réseau. Lorsque vous démarrez la
conception et les zones d’isolation de planification, vous devez prendre des décisions qui nécessitent des
informations précises sur l’état de tous les hôtes pour vous assurer qu’ils peuvent utiliser IPsec comme prévu.
Capturer les informations suivantes à partir de chaque appareil:
Nom de l’ordinateur. Ce nom est le nom NetBIOS ou DNS de l’appareil qui identifie l’appareil sur le
réseau. Dans la mesure où un appareil peut avoir plus d’un contrôle d’accès de média (MAC ) ou l’adresse IP,
nom de l’appareil est l’un des critères qui peuvent être utilisés pour déterminer l’unicité sur le réseau. Dans
la mesure où les noms d’appareils peuvent être dupliqués dans certaines circonstances, l’unicité ne doit pas
être considéré comme absolue.
Adresse IP pour chaque carte réseau. L’adresse IP est l’adresse qui est utilisé avec le masque de sous-
réseau pour identifier un hôte sur le réseau. Une adresse IP n’est pas un moyen efficace pour identifier une
ressource dans la mesure où il est souvent sujette à modification.
Système d’exploitation, les service pack et les versions de correctif logiciel. La version du système
d’exploitation est un facteur clé dans la détermination de la capacité d’un hôte de communiquer à l’aide de
IPsec. Il est également important effectuer le suivi de l’état actuel du service packs et les mises à jour qui
peuvent être installés, car elles sont souvent utilisés pour déterminer que les normes de sécurité minimales
ont été satisfaites.
L’appartenance au domaine. Ces informations sont utilisées pour déterminer si un appareil peut obtenir
stratégie IPsec à partir d’Active Directory ou s’il doit utiliser une stratégie IPsec locale.
Emplacement physique. Ces informations sont simplement l’emplacement de l’appareil dans votre
organisation. Il peut être utilisé pour déterminer si un appareil peut participer à un groupe d’isolation
spécifique en fonction de son emplacement ou l’emplacement des périphériques avec lesquels il
communique régulièrement.
Type de matériel ou de rôle. Certains outils qui effectuent la détection d’hôtes peuvent fournir ces
informations en interrogeant les informations du matériel et exécuter des applications pour déterminer son
type, par exemple, serveur, station de travail ou appareil portable. Vous pouvez utiliser ces informations pour
déterminer la stratégie IPsec appropriée pour affecter, si un appareil spécifique peut participer de manière
isolée et dans le groupe d’isolation à inclure l’appareil.
Après avoir collecté toutes ces informations et regroupées dans une base de données, effectuer des opérations de
détection régulière régulièrement pour conserver les informations actuelles. Vous devez l’image la plus complète et
à jour des hôtes gérés sur leurs réseaux pour créer une conception qui correspond aux exigences de votre
organisation.
Vous pouvez utiliser différentes méthodes pour collecter des données sur les hôtes sur le réseau. Ces méthodes
vont de haut de gamme, entièrement automatisé des systèmes de collecte de données entièrement manuelle. En
règle générale, l’utilisation de méthodes automatisées pour collecter des données est préférable méthodes
manuelles pour des raisons de vitesse et la précision.

Découverte automatique
À l’aide d’un système de gestion de réseau audit automatisé fournit des informations précieuses sur l’état actuel de
l’infrastructure informatique.

Découverte manuelle
La différence majeure entre les méthodes de découverte manuelle et les méthodes automatisées est le temps.
Vous pouvez utiliser Windows PowerShell pour créer un fichier de script qui peut collecter les informations de
configuration du système. Pour plus d’informations, voir l’Écriture de scripts Windows PowerShell.
Si vous utilisez une option de hybride, manuelle ou automatique pour collecter les informations, un des principaux
problèmes pouvant entraîner des problèmes à la conception est la capture les modifications entre l’analyse
d’inventaire d’origine et le point à laquelle l’implémentation est prête à démarrer. Une fois la première analyse
terminée, prendre en charge les personnel, n’oubliez pas que toutes les modifications supplémentaires doivent être
enregistrées et les mises à jour consignées dans l’inventaire.
Cet inventaire est indispensable pour planifier et implémenter votre conception du pare-feu Windows Defender.
Suivant: Collecte d’autres informations pertinentes
 Collecte d’autres informations pertinentes
17/04/2019 • 7 minutes to read

S'applique à
Windows10
Windows Server2016
Cette rubrique présente plusieurs autres choses que vous devez examiner pour voir si elles peut entraîner des
complications dans votre capacité à déployer le pare-feu Windows Defender avec des stratégies de sécurité
avancée de votre organisation.

Considérations relatives à la capacité

Dans la mesure où IPsec utilise des techniques de chiffrement mathématiquement en calcul, il peut consommer
une surcharge importante sur un appareil. Zones de regarder:
Chiffrement. Vous pouvez utiliser 256 bits Advanced Encryption Standard (AES -256) et 384 bits Secure
Hash Algorithm (SHA-384) pour vérifier l’intégrité dans des situations qui nécessitent le chiffrement
disponibles plus puissant et protection de l’échange de clé. Si vous disposez de cartes réseau qui prennent
en charge le déchargement de tâche IPsec, vous pouvez réduire l’effet que le chiffrement a sur le débit de
réseau. Pour plus d’informations, consultez Déchargement de tâche IPsec.
Négociation de sécurité l’association (SA ). Vous pouvez utiliser une durée de vie plus courte pour le
mode principal SA, par exemple, les trois heures, mais, vous pourriez avoir besoin de faire des compromis.
Dans la mesure où chaque mode principal SA occupe environ 5 Ko de RAM, situations dans lesquelles un
serveur fournit des dizaines de milliers de connexions simultanées peuvent entraîner une consommation
abusive.
Périphériques NAT. Comme indiqué précédemment, NAT n’autorise pas les conversations AH
(Authentication Header) entre les hôtes. Si les périphériques NAT existent sur le réseau interne, ESP doit
être activée au lieu de AH.
Les commutateurs et routeurs. Planification pour l’implémentation d’IPsec appropriée de la capacité est
plus sur les tests approfondis et charges du trafic attendu que de calculs précis. Vous devrez peut-être
mettre à niveau ou de reconfigurer les commutateurs ou routeurs qui actuelle dépassent 75 % d’utilisation
du permettant d’accroître le trafic sur l’appareil, mais fournissent un d’utilisation supplémentaire pour les
pics de trafic.
D’autres facteurs. Il s’agit d’utilisation du processeur sur les serveurs d’infrastructure réseau, augmenté de
la surcharge sur les serveurs et les stations de travail exécutant IPsec (notamment les serveurs, car ils
contiennent généralement plus SAs mode principal que les clients) et l’augmentation de la latence réseau en
raison d’IPsec négociation.

Remarque: lorsque Microsoft a déployé sa propre solution d’isolation de domaine, il trouvé une
augmentation d’un à trois pour cent dans l’utilisation sur le réseau comme un résultat direct de IPsec.

Groupes groupes de déploiement de stratégies et les filtres WMI

Vous n’êtes pas obligé de réorganiser la hiérarchie unité d’organisation de vos domaines Active Directory pour
déployer efficacement la stratégie de groupe du pare-feu Windows Defender. Au lieu de cela, vous pouvez lier vos
GPO au niveau du domaine (ou un autre conteneur de niveau élevé), puis utilisez le filtrage des groupes de
sécurité ou de filtrage WMI pour vous assurer que seuls les appareils appropriés ou les utilisateurs peuvent
appliquer les paramètres de stratégie de groupe. Nous vous recommandons d’utiliser WMI filtrage pour
dynamiquement vous assurer que les GPO s’appliquent uniquement aux appareils qui exécutent le système
d’exploitation approprié. Il n’est pas nécessaire d’utiliser cette technique si votre réseau se compose d’appareils.

Différents environnements de confiance Active Directory

Lorsque vous concevez une stratégie d’isolation de domaine, pensez à des limites logiques qui peuvent affecter les
communications sécurisées par IPsec. Par exemple, les relations d’approbation entre vos domaines et forêts sont
essentielles pour déterminer une méthode d’authentification IKE appropriée.
Authentification KerberosV5 est recommandée pour une utilisation dans un domaine (mutuelle) bidirectionnelle et
un environnement d’approbation de forêt. Vous pouvez utiliser KerberosV5 pour l’authentification IKE entre des
domaines qui ont des approbations bidirectionnelles établies, si les domaines se trouvent dans la même forêt ou
des forêts différentes. Si les deux domaines se trouvent dans des forêts différentes, vous devez configurer deux
approbations externes, une pour chaque direction, entre les domaines. Les approbations externes doivent utiliser le
nom de domaine complet (FQDN ) des domaines, et stratégie IPsec doit permettre à un initiateur IKE dans un
domaine pour communiquer avec n’importe quel contrôleur de domaine dans la hiérarchie de domaine forêt, afin
que l’initiateur peut obtenir un ticket de KerberosV5 à partir d’un contrôleur de domaine dans le domaine du
récepteur. Si le pare-feu séparent les domaines vous devez configurer le pare-feu pour autoriser le trafic
KerberosV5 via le port de destination UDP 88, port de destination TCP 88 et le port de destination UDP 389.
Si l’utilisation de l’authentification KerberosV5 n’est pas possible, car les approbations bidirectionnelles dans les
forêts ne peut pas être établies comme dans certains environnements de grandes entreprises, vous pouvez utiliser
une infrastructure à clé publique (PKI) et des certificats numériques pour établir approuvé IPsec communication.

Création de règles de pare-feu pour autoriser le trafic IKE, AH et ESP

Dans certains cas, le trafic sécurisé par IPsec souffrir de passer à travers un routeur, pare-feu de périmètre ou un
autre périphérique de filtrage. Dans le cas d’un routeur, sauf si le routeur filtres de trafic TCP et UDP ou autres en-
têtes de protocole de niveau supérieur, aucune configuration particulière n’est requise pour autoriser le trafic IPsec
à transmettre.
Dans le cas d’un routeur de filtrage ou un pare-feu, vous devez configurer ces périphériques pour autoriser le trafic
IPsec à transmettre. Configurer le pare-feu pour autoriser le trafic IPsec sur le port source et de destination UDP
500 (IKE ), UDP port source et de destination 4500 (IPsec NAT-T) et IP protocole 50 (ESP ). Vous devrez peut-être
également configurer le pare-feu pour autoriser le trafic IPsec sur le protocole IP 51 (AH) pour permettre la
résolution des problèmes par les administrateurs IPsec et pour autoriser le trafic IPsec à inspecter.
Pour plus d’informations, voir comment activer le trafic IPsec par le biais d’un pare-feu.

Équilibrage de charge réseau et les clusters de serveurs

Il existe des défis en matière de l’implémentation de la sécurité de connexion pour le trafic réseau va vers et depuis
le réseau équilibrage de charge clusters (d’équilibrage de charge réseau) et les clusters de serveurs. Équilibrage de
charge réseau permet à plusieurs serveurs en cluster ensemble pour fournir la haute disponibilité pour un service
en fournissant le basculement automatique vers d’autres nœuds du cluster. Dans la mesure où IPsec correspond à
une association de sécurité à un périphérique spécifique, il empêche différents appareils à partir de la gestion de la
même connexion client. Si un autre nœud du cluster répond à une connexion IPsec qui a été établie à l’origine par
un autre nœud, le trafic est supprimé par l’appareil du client comme non approuvées.
Cela signifie qu’équilibrage de charge réseau en mode «sans affinité» n'est pas pris en charge par IPsec du tout. Si
vous devez utiliser le mode «Aucune affinité» dans le cluster envisager d’inclure les serveurs qui composent le
cluster dans votre groupe d’exemption IPsec, et permet aux clients de communiquer avec les serveurs sans IPsec.
Lorsqu’une connexion TCP est supprimée en raison d’un nœud de cluster avec basculement, IPsec détecte l’échec
de connexion TCP et supprime les associations de sécurité IPsec pour cette connexion. Lors de la nouvelle
connexion TCP est établie vers un autre nœud, IPsec peut négocier SAs nouvelle immédiatement sans avoir à
attendre les SAs obsolètes délai d’attente.

Technologies de contrôle de réseau

Au sein d’un paquet TCP/IP, IPsec sans chiffrement modifie les décalages pour les protocoles et ports de
destination. Ces modifications peuvent affecter les applications qui s’exécutent sur les appareils de réseau comme
routeurs surveiller et gérer le trafic sur le réseau. Alors que certaines applications réseau ont été mis à jour pour
prendre en charge IPsec, certains ne sont pas encore compatibles. Contactez le fournisseur de votre appareil pour
voir si les modifications dans les champs de protocole et le port a provoqué par IPsec sont compatibles avec
l’appareil.
N’importe quel appareil conçu pour afficher le trafic réseau, par exemple, les analyseurs de protocole de matériel
ou de moniteur réseau Microsoft, Impossible d’analyser le trafic ESP chiffrés. Seul le périphérique de destination,
avec lequel l’appareil d’origine négociée la connexion, peut déchiffrer le trafic.
En règle générale, IPsec au détriment de gestion du trafic Hiérarchisation et en fonction de port ou de protocole
basée sur le réseau. Pour les paquets chiffrés, il n’existe aucune solution de contournement; l’hôte lui-même doit
gérer les fonctions de gestion du trafic. Pour les paquets non chiffrées, seule authentifiés, les appareils et les
applications doivent respecter comment les paquets de modifications IPsec puisse rien à faire avec les autres que
les acheminent vers l’hôte correct. Si vous ne peut pas mettre à niveau de suivi ou gestion des périphériques pour
prendre en charge IPsec, il est important que vous enregistrez ces informations et elle figure dans votre conception
d’isolation de domaine ou un serveur.
Le Moniteur réseau inclut des analyseurs pour les protocoles ISAKMP (IKE ), AH et ESP. Analyseurs du Moniteur
réseau pour ESP peuvent analyser à l’intérieur du paquet ESP uniquement si le chiffrement null ESP est utilisé. Le
Moniteur réseau ne peut pas analyser les parties chiffrés de trafic IPsec ESP lorsque le chiffrement est effectué
dans le logiciel. Toutefois, si le chiffrement est effectué par un matériel IPsec déchargement de carte réseau, les
paquets ESP peuvent être déchiffrées lorsque le Moniteur réseau les capture sur la source ou la destination et, par
conséquent, ils peuvent être analysées. Pour diagnostiquer communication chiffrés par des logiciels de protocole
ESP, vous devez désactiver le chiffrement ESP et utiliser le chiffrement null ESP en modifiant la règle IPsec
connexion ou de la stratégie de sécurité sur les deux appareils.
Analyseur de messages est disponible sur le Centre de téléchargement Microsoft.
Suivant: Détermination de la fiabilité de vos appareils
 Détermination de la fiabilité de vos appareils
17/04/2019 • 11 minutes to read

S'applique à
Windows10
Windows Server2016
Après l’obtention d’informations sur les appareils qui ne sont actuellement partie de l’infrastructure informatique,
vous devez déterminer à quel moment un appareil est considéré comme approuvé. Le terme approuvé peut
signifier différente en fonction des personnes. Par conséquent, vous devez communiquer une définition ferme pour
celui-ci à toutes les parties prenantes dans le projet. Échec pour effectuer cette opération peut entraîner des
problèmes avec la sécurité de l’environnement approuvé, dans la mesure où la sécurité globale ne doit pas
dépasser le niveau de sécurité défini par le client moins sécurisé qui permet d’atteindre un état trusted.

Remarque: dans ce contexte, le terme d' approbation n’a rien à avec un annuaire Active la relation
d’approbation entre les domaines. La fiabilité de vos appareils indique simplement le niveau de risque que
vous pensez que l’appareil apporte au réseau. Appareils de confiance activent peu de risque tandis que les
périphériques non approuvés peuvent introduire potentiellement risque important.

Les États de confiance

Pour comprendre ce concept, envisagez les quatre états de base qui s’appliquent aux appareils dans une
infrastructure informatique classique. Ces États sont (dans l’ordre de risque, risque le plus faible tout d’abord):
Approuvé
Dignes de confiance
Connu, non approuvé
Inconnu, non approuvé
Le reste de cette section définit ces États et comment déterminer quels appareils dans votre organisation doivent
figurer dans chaque état.
État approuvé
Classification un appareil comme approuvé signifie que les risques de sécurité de l’appareil sont gérés, mais elle
n’implique pas qu’il est parfaitement sécurisé ou invulnérable. La responsabilité de ce géré tombe d’état de
l’informatique et les administrateurs de sécurité, en plus des utilisateurs qui sont responsables de la configuration
de l’appareil. Un appareil approuvé mal géré sera probablement un point de faiblesse pour le réseau.
Lorsqu’un appareil est considéré comme approuvé, autres appareils de confiance peuvent raisonnablement
supposer que l’appareil ne lance pas un act malveillant. Par exemple, les appareils de confiance peuvent attendre
que les autres appareils de confiance seront exécutera pas un attaque, de virus, car tous les appareils de confiance
sont requises pour utiliser des mécanismes (tels que les logiciels antivirus) pour atténuer les menaces des virus.
Prenez le temps définissant les objectifs et les exigences de technologie que votre entreprise considère comme
approprié en tant que la configuration minimale pour un appareil pour obtenir l’état de confiance.
Une liste des exigences technologiques peut-être inclure les éléments suivants:
Système d'exploitation. Un appareil client approuvé doit exécuter au minimum Windows Vista. Un
 serveur approuvé doit exécuter au minimum Windows Server 2008.
Appartenance au domaine. Un périphérique de confiance sera appartiennent à un domaine Active
Directory géré, ce qui signifie que le service informatique dispose des droits de gestion de sécurité et
permettre configurer les appareils de membre à l’aide de la stratégie de groupe.
Client de gestion. Tous les appareils doivent exécuter un client de gestion de réseau spécifique pour
permettre une gestion centralisée et le contrôle des stratégies de sécurité, des configurations et des logiciels
de confiance. Configuration Manager est un système de gestion avec un client approprié.
Logiciels antivirus. Tous les appareils seront exécute un logiciel antivirus est configuré pour vérifier et
mettre à jour automatiquement les derniers fichiers de signature de virus tous les jours de confiance.
Système de fichiers. Tous les approuvés appareils seront configurés pour utiliser le système de fichiers
NTFS.
Paramètres du BIOS. Tous les approuvés appareils portables seront configurés pour utiliser un mot de
passe au niveau du BIOS qui se trouve sous la gestion de la prise en charge de l’informatique équipe.
Exigences de mot de passe. Clients approuvés doivent utiliser des mots de passe forts.
Il est important de comprendre que l’état de confiance n’est pas constante; Il est un état temporaire qui est soumis
à la modification des normes de sécurité et conformité avec ces normes. Nouvelles menaces et nouvelles défenses
émergent constamment. Pour cette raison, les systèmes de gestion de l’organisation doivent vérifier en
permanence les appareils de confiance pour garantir la conformité en cours. En outre, les systèmes de gestion
doivent être en mesure d’émettre des mises à jour ou des modifications de configuration s’ils sont requis pour
aider à maintenir l’état approuvé.
Un appareil qui continue de répondre à ces exigences de sécurité pouvant être considérées comme fiables.
Toutefois, il est possible que la plupart des appareils qui ont été identifiés dans le processus de découverte comme
décrit précédemment ne répondent pas à ces exigences. Par conséquent, vous devez identifier les appareils
peuvent être approuvés et ceux qui ne peuvent pas. Pour faciliter ce processus, vous utilisez l’état intermédiaire
dignes de confiance . Le reste de cette section décrit les différents États et leurs implications.
État digne de confiance
Il est utile pour identifier dès que possible ces appareils dans votre infrastructure actuelle qui peut atteindre l’état
approuvé. Un état digne de confiance peuvent être affectés pour indiquer que l’appareil actuel peut atteindre
physiquement l’état de confiance avec les modifications de configuration et les logiciels requises.
Pour chaque appareil qui est attribué à un état digne de confiance, prenez une note de configuration qui
accompagne indiquant ce qui est nécessaire pour permettre à l’appareil atteindre l’état approuvé. Ces informations
sont particulièrement importantes de l’équipe de conception de projet (afin d’estimer les coûts de l’ajout de
l’appareil à la solution) et le personnel du support (pour accroître leur appliquer la configuration requise).
En règle générale, les appareils dignes de confiance entrent dans l’un des deux groupes suivants:
Configuration requise. Le matériel actuel, système d’exploitation et des logiciels permettent à l’appareil
atteindre un état digne de confiance. Toutefois, les modifications de configuration supplémentaires sont
nécessaires. Par exemple, si l’organisation exige un système de fichiers sécurisé avant d’un appareil peut être
considéré comme approuvé, un appareil qui utilise un disque dur au format FAT32 ne répond pas à cette
exigence.
Mise à jour requise. Ces périphériques requièrent des mises à niveau avant qu’ils peuvent être considéré
comme approuvé. La liste suivante fournit quelques exemples du type de mise à niveau que ces appareils
peuvent nécessiter:
Mise à niveau du système d’exploitation requis. Si le système d’exploitation actuel de l’appareil
ne peut pas prendre en charge les besoins de sécurité de l’organisation, une mise à niveau sera requis
 avant que l’appareil peut atteindre l’état approuvé.
Logiciels requis. Un périphérique qui ne contient pas une application de sécurité requises, par
exemple, un antivirus ou un client de gestion ne peut pas être considéré comme approuvé jusqu'à ce
que ces applications sont installés et actifs.
Mise à niveau du matériel requis. Dans certains cas, un appareil peut nécessiter une mise à niveau
du matériel spécifique avant qu’il peut atteindre l’état approuvé. Ce type d’appareil doit généralement
un logiciel de mise à niveau ou supplémentaires de système d’exploitation qui force la mise à niveau
de la configuration matérielle requise. Par exemple, un logiciel de sécurité peut nécessiter un espace
disque supplémentaire sur l’appareil.
Remplacement de périphérique nécessaire. Cette catégorie est réservée pour les appareils qui ne
peut pas prendre en charge les exigences de sécurité de la solution, car leur matériel ne peut pas
prendre en charge la configuration minimale acceptable. Par exemple, un appareil qui ne peuvent pas
s’exécutent un système d’exploitation sécurisé, car il dispose d’un processeur ancien (par exemple, un
[MHz\ 100 mégahertz] appareil x86).

Utilisez ces groupes pour affecter des coûts pour l’implémentation de la solution sur les appareils qui nécessitent
des mises à niveau.
État connu, non approuvé
Pendant le processus de classement des appareils d’une organisation, vous allez identifier certains appareils qui ne
peuvent pas atteindre l’état approuvé pour des raisons bien connues et clairement définies spécifiques. Ces raisons
possibles les types suivants:
Financières. Le financement n’est pas disponible pour mettre à niveau de matériel ou logiciel de cet
appareil.
Politique. L’appareil doit rester dans un état non approuvé en raison d’une politique ou d’une situation
d’entreprises qui ne permet pas à respecter les exigences de sécurité minimales dictées de l’organisation. Il
est vivement recommandé de contacter le propriétaire de l’entreprise ou un éditeur de logiciels indépendant
(ISV ) pour l’appareil pour discuter de la valeur ajoutée de l’isolation de serveur et de domaine.
Fonctionnel. L’appareil doit exécuter un système d’exploitation non sécurisé ou doit fonctionner de
manière non sécurisée pour effectuer son rôle. Par exemple, l’appareil peut-être être nécessaires pour
exécuter un système d’exploitation plus ancien, car une ligne de l’application métier spécifique ne fonctionne
que sur ce système d’exploitation.
Il peut exister plusieurs raisons fonctionnelles pour un appareil pour rester dans l’état connu non approuvé. La liste
suivante inclut plusieurs exemples de motifs fonctionnels qui peuvent aboutir à une classification de cet état:
Appareils qui exécutent des versions de Windows non pris en charge. Cela inclut Windows XP,
Windows MillenniumEdition, Windows 98, Windows 95 ou Windows NT. Les appareils exécutant ces
versions du système d’exploitation Windows ne peut être classés comme digne de confiance, car ces
systèmes d’exploitation ne prennent pas en charge l’infrastructure de sécurité requis. Par exemple, bien que
Windows NT ne prend pas en charge une infrastructure de sécurité de base, il ne gère pas «refuser» ACL
sur les ressources locales, n’importe quel moyen de garantir la confidentialité et l’intégrité des
communications réseau, les cartes à puce pour l’authentification forte, ou gestion des configurations
d’appareil centralisée (bien qu’une gestion centralisée limitée des configurations d’utilisateurs est pris en
charge).
Appareils autonomes. Les appareils exécutant n’importe quelle version de Windows qui sont configurés
en tant que périphériques autonomes ou en tant que membres d’un groupe de travail généralement ne peut
pas gérer un état digne de confiance. Bien que ces appareils prend entièrement en charge l’infrastructure de
sécurité de base minimale requise, les fonctionnalités de gestion de sécurité requises sont peu susceptibles
 d’être disponibles lorsque l’appareil ne fait pas partie d’un domaine approuvé.
Appareils dans un domaine non approuvé. Un appareil qui est membre d’un domaine qui n’est pas
approuvé par l’organisation informatique ne peut pas être classé comme approuvé. Un domaine non
approuvé est un domaine qui ne peuvent pas offrir les fonctionnalités de sécurité requises à ses membres.
Bien que les systèmes d’exploitation d’appareils qui sont membres de ce domaine non approuvé peut prend
entièrement en charge l’infrastructure de sécurité de base minimale requise, les fonctionnalités de gestion
de sécurité requises ne sont pas garanties entièrement lorsque les appareils ne sont pas dans un approuvés
domaine.
État inconnu, non approuvée
L’état inconnu, non approuvé doit être considéré comme l’état par défaut pour tous les appareils. Dans la mesure
où les appareils dans cet état disposent d’une configuration qui est inconnue, vous ne pouvez attribuer aucune
relation d’approbation sur ces derniers. Toute la planification pour les appareils dans cet état doit supposer que
l’appareil est un risque inacceptable pour l’organisation. Les concepteurs de la solution doivent veiller à réduire
l’impact sur les appareils dans cet état peuvent figurer dans leurs organisations.

Les coûts de mise à niveau pour les appareils en cours de capture

La dernière étape de cette partie du processus consiste à enregistrer le coût approximatif de mise à niveau les
appareils à un point qu’ils peuvent participer à la conception d’isolation de serveur et de domaine. Vous devez
prendre plusieurs décisions clées pendant la phase de conception du projet qui nécessitent des réponses aux
questions suivantes:
L’appareil répond à la configuration matérielle requise pour l’isolation?
L’appareil répond à la configuration logicielle minimale requises pour l’isolation?
Quelle configuration change doit être effectuée à intégrer cet appareil dans la solution d’isolation?
Ce qui est le coût projeté ou l’impact des modifications proposées pour permettre à l’appareil atteindre un
état approuvé?
En répondant à ces questions, vous pouvez rapidement déterminer le niveau d’effort et le coût approximatif
consistant à un appareil particulier ou un groupe d’appareils dans l’étendue du projet. Il est important de se
souvenir que l’état d’un appareil est transitive et que vous en effectuant les actions correctives présentées, à que
vous pouvez modifier l’état d’un appareil à partir de non approuvé approuvé. Une fois que vous décidez si vous
souhaitez placer un périphérique dans un état approuvé, vous êtes prêt à commencer la planification et la
conception des groupes d’isolation, qui traite de la section suivante Zones d’Isolation de domaine de planification .
Le tableau suivant est un exemple d’une feuille de données que vous pouvez utiliser pour aider à l’état actuel d’un
appareil de capture et de ce que serait nécessaire pour l’appareil pour atteindre l’état approuvé.

DEMANDES DE
NOM DE MATÉRIEL DEMANDES DE CONFIGURATION
L’APPAREIL REMPLIES LOGICIEL REMPLIES REQUISE DÉTAILS COÛT PROJETÉ

CLIENT001 Non Non Mise à niveau Système $??

matérielle et d’exploitation
logicielle. actuel est
Windows XP.
Ancien matériel
n’est pas
compatible avec
les versions plus
récentes de
Windows.
 DEMANDES DE
NOM DE MATÉRIEL DEMANDES DE CONFIGURATION
L’APPAREIL REMPLIES LOGICIEL REMPLIES REQUISE DÉTAILS COÛT PROJETÉ

SERVER001 Oui Non Joindre le Aucun logiciel $??

domaine antivirus n’est
approuvé et présent.
mettre à niveau à
partir de
Windows Server
2003 vers
Windows Server
2012.

Dans le tableau précédent, l’appareil CLIENT001 est actuellement «connu, non approuvé», car son matériel doit
être mis à niveau. Toutefois, il peut être considérée comme digne de confiance si les mises à niveau requises sont
possibles. Toutefois, si plusieurs périphériques nécessitent les mêmes mises à niveau, le coût total de la solution
sera nettement plus élevé.
Le périphérique SERVER001 est «dignes de confiance» dans la mesure où il respecte la configuration matérielle
requise, mais son système d’exploitation doit être mis à niveau. Il nécessite également un logiciel antivirus. Le coût
projeté est le volume de travail qui est nécessaires pour mettre à niveau le système d’exploitation et installer un
logiciel antivirus, ainsi que leurs coûts d’achat.
Avec les autres informations que vous avez collectées dans cette section, ces informations seront la base des
efforts exécutée ultérieurement dans la section Planification Zones d’Isolation de domaine .
Les coûts identifiés dans cette section ne capturent les coûts estimés des mises à niveau de l’appareil. Nombreux
conception supplémentaires, prise en charge, de test et les coûts de formation doivent être pris en compte dans le
plan de projet global.
Suivant: Planification de votre pare-feu Windows Defender avec la conception de fonctions avancées de sécurité
 Planification de votre pare-feu Windows Defender
avec la conception de fonctions avancées de sécurité
16/04/2019 • 4 minutes to read

S'applique à
Windows10
Windows Server2016
Une fois que vous avez collecté les informations pertinentes dans les sections précédentes et comprenez les
principes fondamentaux de la conception, comme décrit précédemment dans ce guide, vous pouvez sélectionner
la conception (ou la combinaison des conceptions) qui répondent à vos besoins.

Conception du pare-feu de base

Nous vous recommandons déployer au moins la conception du pare-feu de base. Comme indiqué dans la section
de Protéger les appareils du trafic réseau indésirable , pare-feu basés sur l’hôte sont un élément important dans
une stratégie de défense en profondeur et complément la plupart des autres mesures de sécurité mis en place
dans votre organisation.
Lorsque vous êtes prêt à examiner les options de paramètres de stratégie de pare-feu, consultez la section
Planification des paramètres d’une stratégie de pare-feu de base .

Algorithme et prise en charge de la méthode et la sélection

Pour créer une conception d’isolation de serveur ou d’isolation domaine, vous devez comprendre les algorithmes
disponibles dans chaque version de Windows, ainsi que leurs points forts relatifs.

Considérations sur les performances IPsec

Bien que IPsec est extrêmement importante dans la sécurisation du trafic réseau va vers et à partir de vos
appareils, il existe des coûts liés à son utilisation. Les algorithmes de point de vue mathématique intensives
nécessitent une quantité importante de puissance de calcul, ce qui peut empêcher votre appareil de rendre
l’utilisation de l’ensemble de la bande passante disponible. Par exemple, un appareil prenant en IPsec utilisant les
protocoles de chiffrement AES sur un 10 Go par seconde liaison du réseau (Gbits/s) peut-être voir un débit 4.5
Gbits/s. Cela est dû les demandes placées sur le processeur pour exécuter les fonctions de chiffrement requises
par les algorithmes de chiffrement et d’intégrité IPsec.
Déchargement de tâche IPsec est une technologie de Windows qui prend en charge les cartes réseau équipés de
processeurs de chiffrement dédiés pour effectuer le travail gourmandes en calcul requis par IPsec. Cela libère de
l’UC d’un appareil et peut augmenter considérablement le débit réseau. Pour le même lien réseau comme ci-
dessus, le débit avec IPsec de déchargement de tâche activé améliore à environ 9.2 Gbits/s.

Conception d’isolation de domaine

Inclure cette conception dans vos plans:
Si vous disposez d’un domaine Active Directory dont la plupart des périphériques sont membres.
Si vous souhaitez empêcher les appareils de votre organisation d’accepter tout le trafic réseau non sollicité
à partir d’appareils qui ne font pas partie du domaine.
Si vous prévoyez d’inclure la conception du pare-feu de base dans le cadre de votre déploiement, nous
recommandons que vous déployez les stratégies de pare-feu tout d’abord pour vérifier qu’ils fonctionnent
correctement. Plan pour activer vos règles de sécurité de connexion en mode de requête dans un premier temps,
au lieu du plus restrictif requièrent également le mode, jusqu'à ce que vous êtes sûr que les appareils Protégez
tous correctement le trafic réseau avec IPsec. Si un problème est survenu, mode de demande autorise toujours les
communications poursuivre la résolution du problème.
Lorsque vous êtes prêt à examiner les options pour la création d’un domaine isolé, consultez la section
Planification Zones d’Isolation de domaine .

Conception d’isolation de serveur

Inclure cette conception dans vos plans:
Si vous disposez d’un domaine isolé et que vous souhaitez en outre limiter l’accès à des serveurs
spécifiques pour seulement les utilisateurs autorisés et les appareils.
Vous déployez pas un domaine isolé, mais souhaitez tirer parti des avantages similaires pour plusieurs
serveurs spécifiques. Vous pouvez limiter l’accès aux serveurs isolés et seuls les utilisateurs autorisés et
appareils.
Si vous prévoyez d’inclure l’isolation de domaine dans votre déploiement, nous recommandons que vous
effectuez cette couche et vérifiez son bon fonctionnement avant d’implémenter les éléments d’isolation de serveur
supplémentaire.
Lorsque vous êtes prêt à examiner les options pour isoler les serveurs, consultez la section Planification Zones
d’Isolation de serveur .

Conception de l’authentification par certificat

Inclure cette conception dans vos plans:
Si vous souhaitez implémenter parmi les éléments d’isolation de domaine ou un serveur sur les appareils
qui ne sont pas joints à un domaine Active Directory, ou ne souhaitent pas utiliser l’appartenance au
domaine comme un mécanisme d’authentification.
Vous disposez d’un domaine isolé et que vous souhaitez inclure un serveur qui n’est pas un membre du
domaine Active Directory, dans la mesure où l’appareil n’exécute pas Windows, ou pour toute autre raison.
Vous devez activer des appareils externes, qui ne sont pas gérés par votre organisation à accéder aux
informations sur l’un de vos serveurs que vous souhaitez procéder de manière sécurisée.
Si vous prévoyez d’inclure l’isolation de domaine ou un serveur dans votre déploiement, nous vous
recommandons compléter ces éléments et vérifiez son bon fonctionnement avant d’ajouter l’authentification
basée sur les certificats sur les périphériques qui en ont besoin.
Lorsque vous êtes prêt à examiner les options pour l’utilisation de l’authentification basée sur les certificats,
consultez la section de l’authentification basée sur la planification d’un certificat .

Documentation de votre conception

Une fois que vous avez sélectionné les conceptions que vous allez utiliser, vous devez affecter chacun de vos
appareils à la zone d’isolation approprié et documenter l’attribution d’adresses pour une utilisation par l’équipe de
déploiement.
Documentation des zones
La conception de stratégie de groupe et de groupes
Une fois que vous avez sélectionné une conception et affecté vos appareils aux zones, vous pouvez commencer à
disposition des groupes d’isolation pour chaque zone, les groupes d’accès réseau pour accéder au serveur isolé et
les objets de stratégie de groupe que vous allez utiliser pour appliquer les paramètres et les règles sur vos
appareils.
Lorsque vous êtes prêt à examiner les options pour les groupes, des filtres et des objets de stratégie de groupe,
voir la section Planification du déploiement la stratégie de groupe pour les Zones d’Isolation de votre .
Suivant: Planification des paramètres d’une stratégie de pare-feu de base
 Planification des paramètres d'une stratégie de pare-
feu de base
17/04/2019 • 4 minutes to read

S'applique à
Windows10
Windows Server2016
Une fois que vous avez identifié vos besoins et que vous disposez des informations sur la disposition du réseau et
les appareils disponibles, vous pouvez commencer à concevoir les paramètres de stratégie de groupe et les règles
qui vous permettra de mettre en œuvre vos besoins sur les appareils.
Voici une liste des paramètres de pare-feu que vous pouvez envisager pour être incluse dans une conception de
pare-feu de base, ainsi que des recommandations pour servir comme point de départ pour votre analyse:
Sélection du profil. Les règles de pare-feu peuvent être configurés pour un des profils d’emplacement
réseau que vous voyez dans le Centre réseau et partage: domaine, publicset privés. La plupart des
paramètres sont appliquées dans le profil de domaine, sans une option pour l’utilisateur de les modifier.
Toutefois, vous souhaiterez peut-être conserver les paramètres de profil configurable par l’utilisateur sur les
appareils qui peuvent être effectuées à partir du réseau physique de l’organisation et joint à un réseau public
ou à domicile. Si vous verrouillez les profils publiques et privées, vous pouvez empêcher un utilisateur
d’accéder à un réseau requis programme ou service. Dans la mesure où elles ne sont pas sur le réseau de
l’organisation, vous ne peut pas résoudre un problème de connectivité en déployant des modifications de
règle dans un objet de stratégie de groupe. Pour chaque section qui suit, envisagez de chaque profil et
appliquer les règles à ces profils qui sont avérer pertinent pour votre organisation.

Important: nous conseillons sur les appareils de serveur que vous définissez toutes les règles pour tous
les profils afin d’éviter tout profil inattendu de perturber de connectivité réseau. Vous pouvez envisager
une pratique similaire pour les appareils de votre bureau et prennent uniquement en charge différents
profils sur des appareils mobiles.

État du pare-feu: sur. Nous recommandons que vous empêcher l’utilisateur de le désactiver.
Comportement par défaut des connexions entrantes: bloc. Nous vous recommandons d’appliquer le
comportement par défaut de blocage des connexions entrantes non sollicitées. Pour autoriser le trafic
réseau pour un programme spécifique, créez une règle de trafic entrant qui sert à une exception à ce
comportement par défaut.
Comportement pour les connexions sortantes par défaut: autoriser. Nous vous recommandons
d’appliquer le comportement par défaut autorisant les connexions sortantes.
Autoriser la réponse monodiffusion: Oui. Nous vous recommandons d’utiliser le paramètre par défaut
Oui , sauf si vous avez des besoins spécifiques de faire autrement.
Appliquer les règles de pare-feu locales: Oui. Nous recommandons que vous permettez aux utilisateurs
de créer et utiliser les règles de pare-feu locales. Si vous le définissez sur non, lorsqu’un utilisateur clique
sur Autoriser sur le message de notification pour autoriser le trafic d’un nouveau programme, Windows ne
crée pas une nouvelle règle de pare-feu, et le trafic est bloqué.
Si vous et le personnel informatique peut créer et mettre à jour la liste autorisée d’applications et les
 déploiement à l’aide de stratégie de groupe du pare-feu pour l’ensemble des règles, puis vous pouvez définir
cette valeur sur non.
Appliquer les règles de sécurité de connexion local: N°. Nous recommandons que vous empêcher les
utilisateurs de la création et à l’aide de leurs propres règles de sécurité de connexion. Échecs de connexion a
provoqué par les règles conflictuelles peuvent être difficiles à résoudre les problèmes.
La connexion. Nous vous recommandons d’activer la journalisation dans un fichier sur le disque dur local.
Veillez à limiter la taille, par exemple, 4 096 Ko, pour éviter de provoquer des problèmes de performances en
remplissant le disque dur de l’utilisateur. Veillez à spécifier un dossier dans lequel le pare-feu Windows
Defender avec le compte de service de sécurité avancée dispose des autorisations d’écriture.
Règles de trafic entrant. Créer des règles de trafic entrant pour les programmes qui doivent être en
mesure de recevoir des paquets réseau entrantes non sollicitées à partir d’un autre appareil sur le réseau.
Rendre ces règles aussi spécifiques que possible afin de réduire le risque de programmes malveillants
exploitant les règles. Par exemple, spécifiez les numéros de programme et de port. En spécifiant un
programme permet de s’assurer que la règle n’est active lorsque le programme est en cours d’exécution, et
en spécifiant le numéro de port permet de s’assurer que le programme ne peut pas recevoir de trafic
inattendus sur un autre port.
Règles de trafic entrant sont courantes sur les serveurs, dans la mesure où qu’ils hébergent des services à
laquelle les périphériques clients se connectent. Lorsque vous installez des programmes et les services sur
un serveur, le programme d’installation en règle générale, crée et Active les règles pour vous. Examinez les
règles pour garantir que leur ouvrira pas plus de ports que sont requis.

Important: si vous créez le trafic entrant pour le trafic réseau de règles qui autorisent RPC à l’aide des
options de règle Mappeur de point de terminaison RPC et RPC dynamique , puis tout le trafic
réseau RPC entrant est autorisé, car le pare-feu ne peut pas filtre réseau trafic de la fonction de l’UUID
de l’application de destination.

Règles de trafic sortant. Uniquement créer des règles de trafic sortant pour bloquer le trafic réseau qui
doit être empêché dans tous les cas. Si votre organisation interdit l’utilisation de certains programmes de
réseau, vous pouvez prend en charge cette stratégie en bloquant le trafic réseau connue utilisé par le
programme. Veillez à tester les restrictions avant de déployer les pas interférer avec le trafic pour les
programmes nécessaires et autorisés.
Suivant: Planification des Zones d’Isolation de domaine
 Planification des zones d’isolation de domaine
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Une fois que vous avez les informations requises sur vos appareils réseau, Active Directory et client et serveur,
vous pouvez utiliser ces informations pour prendre des décisions concernant les zones d’isolation que vous
souhaitez utiliser dans votre environnement.
La majeure partie du travail de planification de serveur et isolation de domaine consiste à déterminer les
périphériques à attribuer à chaque zone d’isolation. Le choix de la zone pour chaque appareil est important de
fournir le niveau de sécurité sans compromis en termes de performances ou de la possibilité pour un appareil à
envoyer ou recevoir de trafic réseau requis correct.
Les zones décrites dans ce guide sont les suivants:
Liste des exemptions
Domaine isolé
Zone limite
Zone de chiffrement
 Liste des exemptions
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Lorsque vous implémentez un serveur et le modèle de sécurité de l’isolation de domaine dans votre organisation,
vous êtes susceptible de trouver des défis supplémentaires. En règle générale, serveurs d’infrastructure à clé tels
que les serveurs DNS et DHCP doivent être disponibles pour tous les difficulté sur le réseau interne, mais protégé
contre les attaques du réseau. Toutefois, si elles doivent rester disponibles pour tous les difficulté sur le réseau, pas
seulement aux membres du domaine isolé, puis ces serveurs ne peuvent pas exiger IPsec pour l’accès entrant, ni
peuvent-ils utiliser le mode de transport IPsec pour le trafic sortant.
Outre les serveurs d’infrastructure mentionnés précédemment, il peut également être autres serveurs sur le réseau
approuvés appareils ne peuvent pas utiliser IPsec pour accéder aux, qui doivent être ajouté à la liste d’exemptions.
En règle générale, les conditions suivantes sont à prendre en compte l’ajout d’un périphérique à la liste
d’exemptions des raisons de:
Si l’appareil doit être accessible par les appareils de confiance, mais il ne dispose pas d’une implémentation
IPsec compatible.
Si l’appareil doit fournir des services aux appareils approuvés et non approuvés, mais ne répond pas aux
critères de l’appartenance à la zone limite.
Si l’appareil doit être accessible par les appareils de confiance à partir de différents domaines isolés qui ne
disposent pas d’une relation d’approbation Active Directory établie entre eux.
Si l’appareil est un contrôleur de domaine exécutant la version de Windows antérieure à Windows Server
2008, ou si un de ses clients exécutent une version de Windows antérieure à Windows Vista.
Si l’appareil doit prendre en charge des appareils approuvés et, mais ne peuvent pas utiliser IPsec pour
aider à sécuriser les communications aux appareils de confiance.
Pour les grandes entreprises, la liste d’exemptions peut devenir très volumineux si toutes les exemptions sont
implémentées par une règle de sécurité pour l’ensemble du domaine ou pour toutes les forêts approuvées. Si vous
pouvez demander tous les appareils de votre domaine isolé à s’exécuter au moins Windows Vista ou Windows
Server 2008, vous pouvez considérablement réduire la taille de cette liste. Une liste d’exemptions volumineuses
comporte plusieurs effets indésirables sur chaque appareil qui reçoit l’objet de stratégie de groupe, y compris les
éléments suivants:
Permet de réduire l’efficacité globale de l’isolation.
Crée une plus grande charge de gestion (en raison de fréquentes mises à jour).
Augmente la taille de la stratégie IPsec, ce qui signifie qu’elle consomme davantage de mémoire et de
ressources processeur, ralentit le débit du réseau et augmente le temps nécessaire pour télécharger et
appliquer la stratégie de groupe contenant la stratégie IPsec.
Pour conserver le nombre de demandes d’exonération plus petit possible, vous disposez de plusieurs options:
Étudiez attentivement les exigences de communications de chaque zone d’isolation, en particulier les zones
server uniquement. Il ne peuvent pas être tenu pour communiquer avec chaque exemption de la stratégie
 au niveau du domaine pour les clients.
Consolider des fonctions serveur. Si plusieurs services exempts peuvent être hébergés sur une adresse IP, le
nombre de demandes d’exonération est réduit.
Consolidez des hôtes exemptés sur le même sous-réseau. Lorsque le volume de trafic réseau le permet,
vous pourrez peut-être localiser les serveurs sur un sous-réseau qui est exempt, au lieu d’utiliser des
exemptions pour chaque adresse IP.
Comme avec la définition de la zone limite, créez un processus formel pour approuver les hôtes ajoutés à la liste
d’exemptions. Pour un modèle de traitement des demandes d’exemptions, consultez le diagramme de flux de
décision dans la section Zone limite .
Suivant: Domaine isolé
 Zone limite
17/04/2019 • 4 minutes to read

S'applique à
Windows10
Windows Server2016
Dans la plupart des organisations, certains appareils doivent être en mesure de recevoir le trafic réseau à partir
d’appareils qui ne font pas partie du domaine isolé et par conséquent, ne peuvent pas s’authentifier. Pour accepter
les communications à partir d’appareils non approuvées, créez une zone limite au sein de votre domaine isolé.
Périphériques dans la zone limite sont approuvés qui peuvent accepter les demandes de communication à la fois à
partir d’autres appareils de membre de domaine isolé et à partir d’appareils non approuvées. Appareils de zone
limite tentent d’authentifier une demande entrante à l’aide de IPsec, en lançant une négociation IKE avec le
périphérique d’origine.
Les objets de stratégie de groupe que vous générez pour la zone limite incluent des règles de sécurité IPsec ou de
connexion qui demandent d’authentification pour les connexions réseau entrantes et sortantes, mais n’en avez pas
besoin.
Dans la mesure où ces appareils de zone limite peuvent recevoir les communications entrantes non sollicitées à
partir d’appareils non approuvées qui utilisent le texte brut, ils doivent être soigneusement gérés et sécurisées dans
d’autres cas possibles. Visant à atténuer ce risque supplémentaire est une partie importante de décider si vous
souhaitez ajouter un périphérique à la zone limite. Par exemple, la fin d’un processus formel justification avant
d’ajouter chaque appareil à la zone limite peut aider à garantir que les risques supplémentaires sont réduit.
L’illustration suivante montre un exemple de processus qui peut aider à prendre une telle décision.
L’objectif de ce processus consiste à déterminer si le risque d’ajout d’un appareil à une zone limite peut être
atténué à un niveau qui rend acceptable de l’organisation. Pour finir, si le risque ne peut pas être atténué, adhésion
doit être refusée.
Vous devez créer un groupe dans Active Directory pour contenir les membres des zones limite. Les paramètres et
les règles pour la zone limite sont généralement très similaires à celles pour le domaine isolé, et vous pouvez
gagner du temps en copiant les objets de stratégie de groupe pour servir comme point de départ. La principale
différence est que la règle de sécurité de connexion de l’authentification doit être définie pour demander une
authentification pour le trafic entrant et sortant, au lieu d’exigeant une authentification entrant et demande
d’authentification sortante que celle utilisée par l’isolé domaine.
Création du groupe et comment l’associer à la stratégie de groupe qui s’appliquent les règles aux membres du
groupe sont décrites dans la section Planification du déploiement la stratégie de groupe pour les Zones d’Isolation
de votre .

Paramètres de stratégie de groupe pour la limite de zone serveurs

exécutant au moins Windows Server 2008
La zone limite de stratégie de groupe pour les appareils exécutant au moins Windows Server 2008 doit inclure les
éléments suivants:
Paramètres par défaut IPsec qui spécifient les options suivantes:
 1. Exempter tout le trafic ICMP du IPsec.
2. Méthodes de sécurité d’échange de clé (mode principal) et l’algorithme. Nous vous recommandons
d’utiliser au moins DH4, AES et SHA2 dans vos paramètres. Utilisez les combinaisons d’algorithme
plus puissante qui sont communes à tous les systèmes d’exploitation pris en charge.
3. Combinaisons d’algorithmes de données protection (mode rapide). Nous recommandons que vous
n’incluez pas DES ou MD5 dans n’importe quel paramètre. Ils sont inclus uniquement pour la
compatibilité avec les versions précédentes de Windows. Utilisez les combinaisons d’algorithme plus
puissante qui sont communes à tous les systèmes d’exploitation pris en charge...
Si tous les périphériques NAT sont présentes sur vos réseaux, utilisez l’encapsulation ESP. Si les
membres du domaine isolé doivent communiquer avec des hôtes dans la zone de chiffrement, veillez
à inclure les algorithmes compatibles avec les exigences des politiques du mode de chiffrement.
4. Méthodes d’authentification. Inclure au moins basée sur un appareil de l’authentification KerberosV5.
Si vous souhaitez utiliser des accès basé sur l’utilisateur aux serveurs isolés vous devez également
inclure KerberosV5 l’authentification utilisateur en tant que méthode d’authentification facultatif. De
même, si un des membres de l’isolation de domaine ne peuvent pas utiliser KerberosV5, vous devez
inclure l’authentification basée sur le certificat en tant que méthode d’authentification facultatif.
Les règles de sécurité de connexion suivantes:
Une règle de sécurité de connexion qui exempte de tous les périphériques de la liste d’exemptions
d’authentification. Veillez à inclure tous vos contrôleurs de domaine Active Directory sur cette liste.
Entrez les adresses de sous-réseau, le cas échéant dans votre environnement.
Une règle de sécurité de connexion, à partir toute adresse IP à toute adresse IP, dont les
demandes d’authentification entrante et sortante.
Une stratégie de Registre qui inclut les valeurs suivantes:
Activer la découverte PMTU. L’activation de ce paramètre permet de TCP/IP afin de déterminer
dynamiquement la plus grande taille de paquet pris en charge via une connexion. La valeur se trouve à
HKLM\System\CurrentControlSet\Services\TCPIP\Parameters\EnablePMTUDiscovery (dword).
L’exemple de stratégie de groupe préférences de fichier XML dans les Fichiers de modèles annexe a:
exemple de stratégie de groupe pour les paramètres utilisés dans ce Guide définit la valeur sur 1.

Remarque: pour un exemple de modèle pour ces paramètres de Registre, voir les Fichiers de modèles
annexe r: exemple de stratégie de groupe pour les paramètres utilisés dans ce Guide

Suivant: Zone de chiffrement

 Zone de chiffrement
17/04/2019 • 3 minutes to read

S'applique à
Windows10
Windows Server2016
Certains serveurs dans l’organisation hébergent des données qui sont très sensibles, y compris les médicales,
financières ou d’autres données personnelles. Réglementations professionnelles ou gouvernementales peuvent
nécessiter que ces informations sensibles doivent être chiffrées lorsqu’il est transférée entre les appareils.
Pour prendre en charge les exigences de sécurité supplémentaires de ces serveurs, nous vous recommandons de
créer un chiffrement zone pour contenir les appareils et qui nécessite que le trafic réseau entrant et sortant
sensibles être chiffrés.
Vous devez créer un groupe dans Active Directory pour contenir les membres de la zone de chiffrement. Les
paramètres et les règles pour la zone de chiffrement sont généralement similaires à celles pour le domaine isolé, et
vous pouvez gagner du temps en copiant les objets de stratégie de groupe pour servir comme point de départ.
Vous modifiez la liste de méthodes de sécurité pour inclure uniquement les combinaisons d’algorithmes qui
incluent des protocoles de chiffrement.
Création du groupe et comment l’associer à la stratégie de groupe qui s’appliquent les règles aux membres du
groupe sont décrites dans la section Planification du déploiement la stratégie de groupe pour les Zones d’Isolation
de votre .

Paramètres de stratégie de groupe pour le chiffrement de la zone en

cours d’exécution au moins des serveurs Windows Server 2008
L’objet de stratégie de groupe pour les appareils qui sont en cours d’exécution au moins Windows Server 2008
doit inclure les éléments suivants:
Paramètres par défaut IPsec qui spécifient les options suivantes:
1. Exempter tout le trafic ICMP du IPsec.
2. Méthodes de sécurité d’échange de clé (mode principal) et l’algorithme. Nous vous recommandons
d’utiliser au moins DH4, AES et SHA2 dans vos paramètres. Utilisez les combinaisons d’algorithme
plus puissante qui sont communes à tous les systèmes d’exploitation pris en charge.
3. Combinaisons d’algorithmes de données protection (mode rapide). Vérifiez Exiger le chiffrement
pour toutes les règles de sécurité de connexion qui utilisent ces paramètreset spécifiez une
ou plusieurs combinaisons de chiffrement et d’intégrité. Nous recommandons que vous n’incluez
pas DES ou MD5 dans n’importe quel paramètre. Ils sont inclus uniquement pour la compatibilité
avec les versions précédentes de Windows. Utilisez les combinaisons d’algorithme plus puissante qui
sont communes à tous les systèmes d’exploitation pris en charge.
Si tous les périphériques NAT sont présentes sur vos réseaux, utilisez l’encapsulation ESP...
4. Méthodes d’authentification. Inclure au moins basée sur un appareil de l’authentification KerberosV5.
Si vous souhaitez utiliser des accès basé sur l’utilisateur aux serveurs isolés vous devez également
inclure KerberosV5 l’authentification utilisateur en tant que méthode d’authentification facultatif. De
même, si un des membres de l’isolation de domaine ne peut pas utiliser l’authentification
 KerberosV5, vous devez inclure l’authentification basée sur le certificat en tant que méthode
d’authentification facultatif.
Les règles de sécurité de connexion suivantes:
Une règle de sécurité de connexion qui exempte de tous les périphériques de la liste d’exemptions
d’authentification. Veillez à inclure tous vos contrôleurs de domaine Active Directory sur cette liste.
Entrez les adresses de sous-réseau, le cas échéant dans votre environnement.
Une règle de sécurité de connexion, à partir de n’importe quelle adresse IP à n’importe quel, qui
nécessite de trafic entrant et demande d’authentification sortante à l’aide de l’authentification par
défaut indiquée précédemment dans cette stratégie.
Important veillez à commencer des opérations à l’aide de demande dans et demandes sortantes en
comportement jusqu'à ce que vous êtes sûr que tous les appareils dans votre environnement IPsec
communiquent avec succès à l’aide de IPsec. Après avoir confirmé que IPsec fonctionne comme
prévu, vous pouvez modifier la stratégie de groupe exigent de, demander l’arrière.
Une stratégie de Registre qui inclut les valeurs suivantes:
Activer la découverte PMTU. L’activation de ce paramètre permet de TCP/IP afin de déterminer
dynamiquement la plus grande taille de paquet pris en charge via une connexion. La valeur se trouve à
HKLM\System\CurrentControlSet\Services\TCPIP\Parameters\EnablePMTUDiscovery (dword).
L’exemple de stratégie de groupe préférences de fichier XML dans les Fichiers de modèles annexe a:
exemple de stratégie de groupe pour les paramètres utilisés dans ce Guide définit la valeur sur 1.

Remarque: pour un exemple de modèle pour ces paramètres de Registre, voir les Fichiers de modèles
annexe r: exemple de stratégie de groupe pour les paramètres utilisés dans ce Guide.

Si les appareils de membre de domaine doivent communiquer avec des appareils dans la zone de
chiffrement, veillez à inclure dans la stratégie de groupe de domaine isolé combinaisons de mode rapide qui
sont compatibles avec les exigences de la zone de chiffrement GPO.
Suivant: Planification des Zones d’Isolation de serveur
 Planification des zones d’isolation de serveur
16/04/2019 • 6 minutes to read

S'applique à
Windows10
Windows Server2016
Parfois, un serveur héberge des données sensibles. Si vos serveurs hébergent des données qui ne doivent pas être
compromises, vous disposez de plusieurs options pour aider à protéger ces données. Une a déjà été traitée:
ajouter le serveur à la zone de chiffrement. Adhésion dans cette zone le serveur empêche l’accès par tous les
appareils qui sont en dehors du domaine isolé et chiffre toutes les connexions réseau au serveur.
La deuxième option consiste à autoriser en outre l’accès au serveur, pas seulement aux membres du domaine
isolé, mais uniquement aux utilisateurs ou les appareils qui ont des raisons professionnelles pour accéder aux
ressources sur le serveur. Vous pouvez spécifier que les utilisateurs approuvés, ou vous pouvez aussi spécifier que
les utilisateurs autorisés peuvent accéder uniquement au serveur à partir d’appareils approuvés.
Pour accorder l’accès, vous ajoutez les comptes d’utilisateurs et des appareils approuvés à des groupes d’accès
réseau (groupes d’accès réseau) qui sont référencées dans une règle de pare-feu sur ce serveur. Lorsque
l’utilisateur envoie une demande au serveur, les règles d’isolation de domaine standard sont appelés. Cela oblige
IKE à utiliser KerberosV5 pour échanger des informations d’identification avec le serveur. La règle de pare-feu
supplémentaires sur le serveur, les fenêtres de vérifier l’appareil fourni et les comptes d’utilisateur pour
l’appartenance au groupe dans les groupes d’accès réseau. Si l’utilisateur ou l’appareil n’est pas un membre d’un
groupe d’accès réseau requis la connexion réseau est refusée.

Domaines isolés et serveurs isolés

Si vous utilisez un domaine isolé, les périphériques clients ont déjà les règles IPsec pour accroître leur authentifier
le trafic lorsque le serveur l’exige. Si vous ajoutez un serveur isolé, il doit avoir un objet de stratégie de groupe
appliqué à son groupe avec la sécurité de la connexion appropriée et les règles de pare-feu. Les règles de mettre
en œuvre l’authentification et restreindre l’accès uniquement les connexions authentifiées comme provenant d’un
appareil autorisé ou l’utilisateur.
Si vous n’utilisez pas un domaine isolé, mais qui souhaitez isoler un serveur qui utilise IPsec, vous devez
configurer les appareils du client que vous souhaitez accéder au serveur pour utiliser les règles IPsec appropriés.
Si les périphériques clients sont membres d’un domaine Active Directory, vous pouvez toujours utiliser la
stratégie de groupe pour configurer les clients. Au lieu d’appliquer la stratégie de groupe à l’ensemble du domaine,
vous appliquez la stratégie de groupe aux seuls les membres du groupe d’accès réseau.

Création de plusieurs zones de serveur isolé

Chaque ensemble de serveurs qui doit être accessible par différents groupes d’utilisateurs doit être configurer
dans sa propre zone de serveurs isolés. Après un jeu de stratégie de groupe pour une zone de serveurs isolés a
été correctement créé et vérifié, vous pouvez copier les objets de stratégie de groupe pour un nouvel ensemble.
Vous devez modifier les noms de stratégie de groupe afin de refléter la nouvelle zone, le nom et l’appartenance au
groupe de zone de serveur isolé dans lequel les objets de stratégie de groupe sont appliquées et les noms et
l’appartenance aux groupes groupe d’accès réseau qui déterminent les clients qui peuvent accéder aux serveurs
dans la zone de serveurs isolés.
Création de stratégie de groupe
Création des groupes et comment les lier à la stratégie de groupe qui s’appliquent les règles aux membres des
groupes sont décrites dans la section Planification du déploiement la stratégie de groupe pour les Zones
d’Isolation de votre .
Un serveur isolé est souvent un membre de la zone de chiffrement. Par conséquent, la copie de ce jeu de stratégie
de groupe joue un bon point de départ. Vous modifiez ensuite les règles pour restreindre l’accès en outre que les
membres de groupes d’accès réseau.
Paramètres de stratégie de groupe pour les serveurs isolés exécuter au minimum Windows Server 2008
Stratégie de groupe pour les appareils exécutant au moins Windows Server 2008 doit inclure les éléments
suivants:

Remarque: les règles de sécurité de connexion décrites ici sont identiques à celles de la zone de chiffrement.
Si vous ne souhaitez pas chiffrer l’accès et également restreindre l’accès aux membres du groupe d’accès
réseau, vous pouvez utiliser les règles de sécurité de connexion identiques au domaine isolé principal. Vous
devez toujours ajouter la règle de pare-feu décrite à la fin de cette liste pour changer l’option dans une zone de
serveurs isolés.

Paramètres par défaut IPsec qui spécifient les options suivantes:

1. Exempter tout le trafic ICMP du IPsec.
2. Méthodes de sécurité d’échange de clé (mode principal) et l’algorithme. Nous recommandons que
vous n’incluez pas Diffie-Hellman groupe 1, DES ou MD5 dans n’importe quel paramètre. Ils sont
inclus uniquement pour la compatibilité avec les versions précédentes de Windows. Utilisez les
combinaisons d’algorithme plus puissante qui sont communes à tous les systèmes d’exploitation pris
en charge.
3. Combinaisons d’algorithmes de données protection (mode rapide). Vérifiez Exiger le chiffrement
pour toutes les règles de sécurité de connexion qui utilisent ces paramètreset spécifiez une
ou plusieurs combinaisons de chiffrement et d’intégrité. Nous recommandons que vous n’incluez
pas DES ou MD5 dans n’importe quel paramètre. Ils sont inclus uniquement pour la compatibilité
avec les versions précédentes de Windows. Utilisez les combinaisons d’algorithme plus puissante qui
sont communes à tous les systèmes d’exploitation pris en charge.
Si tous les périphériques NAT sont présentes sur vos réseaux, n’utilisez pas AH dans la mesure où il
ne peut pas traverser les périphériques NAT. Si les serveurs isolés doivent communiquer avec des
hôtes dans la zone de chiffrement, inclure un algorithme est compatible avec les exigences de la zone
de chiffrement GPO.
4. Méthodes d’authentification. Inclure au moins basée sur un appareil de l’authentification KerberosV5
pour assurer la compatibilité avec le reste du domaine isolé. Si vous souhaitez autoriser l’accès aux
comptes d’utilisateurs spécifiques, vous devez également inclure KerberosV5 l’authentification
utilisateur en tant que méthode d’authentification facultatif. Ne rendez pas obligatoire de la méthode
de l’authentification basée sur l’utilisateur, faute de périphériques qui ne peuvent pas utiliser AuthIP
au lieu de IKE, y compris Windows XP et Windows Server 2003, ne peut pas communiquer. De
même, si un des membres de l’isolation de domaine ne peuvent pas utiliser KerberosV5, incluent
l’authentification basée sur le certificat en tant que méthode d’authentification facultatif.
Les connexion pare-feu et sécurité règles suivantes:
Une règle de sécurité de connexion qui exempte de tous les périphériques de la liste d’exemptions
d’authentification. Veillez à inclure tous vos contrôleurs de domaine Active Directory sur cette liste.
Entrez les adresses de sous-réseau, le cas échéant dans votre environnement.
 Une règle de sécurité de connexion, à partir toute adresse IP à toute adresse IP, qui nécessite de
trafic entrant et demande l’authentification sortante à l’aide de l’authentification KerberosV5.

Important: veillez à commencer des opérations à l’aide de demande dans et demandes

sortantes en comportement jusqu'à ce que vous êtes sûr que tous les appareils dans votre
environnement IPsec communiquent avec succès à l’aide de IPsec. Après avoir confirmé que
IPsec fonctionne comme prévu, vous pouvez modifier la stratégie de groupe exigent de,
demander l’arrière.

Une règle de pare-feu qui spécifie Autoriser uniquement les connexions sécurisées, Exiger le
chiffrementet sur l’onglet utilisateurs et ordinateurs inclut des références à des groupes d’accès
réseau périphérique et utilisateur.
Une stratégie de Registre qui inclut les valeurs suivantes:
Activer la découverte PMTU. L’activation de ce paramètre permet de TCP/IP afin de déterminer
dynamiquement la plus grande taille de paquet pris en charge via une connexion. La valeur se trouve à
HKLM\System\CurrentControlSet\Services\TCPIP\Parameters\EnablePMTUDiscovery (dword).
L’exemple de stratégie de groupe préférences de fichier XML dans les Fichiers de modèles annexe a:
exemple de stratégie de groupe pour les paramètres utilisés dans ce Guide définit la valeur sur 1.

Remarque: pour un exemple de modèle pour ces paramètres de Registre, voir les Fichiers de modèles
annexe r: exemple de stratégie de groupe pour les paramètres utilisés dans ce Guide.

Suivant: Planification d’authentification par certificat

 Planification de l’authentification basée sur les
certificats
17/04/2019 • 3 minutes to read

S'applique à
Windows10
Windows Server2016
Parfois, un appareil ne peut pas joindre un domaine Active Directory et par conséquent, ne peuvent pas utiliser
l’authentification KerberosV5 avec les informations d’identification de domaine. Toutefois, l’appareil peut toujours
participer dans le domaine isolé à l’aide de l’authentification basée sur le certificat.
Le serveur membre non à un domaine et les clients qui doivent être en mesure de communiquer avec celle-ci,
doivent être configurés pour utiliser des certificats de chiffrement basés sur la norme X.509. Ces certificats peuvent
être utilisés en tant qu’un autre ensemble des informations d’identification. Durant la négociation IKE, chaque
périphérique envoie une copie de son certificat à l’autre périphérique. Chaque périphérique examine le certificat
reçu, puis valide son authenticité. Pour être considéré comme authentiques, le certificat reçu doit être validé par un
certificat d’autorité de certification dans le magasin d’autorités de Certification racine de confiance du destinataire
sur l’appareil local.
Certificats peuvent être obtenues à partir d’entreprises commerciales ou par un serveur de certificats interne
configuré dans le cadre de l’infrastructure à clé publique de l’entreprise (PKI). Microsoft fournit une infrastructure à
clé publique complète et la solution d’autorité de certification avec Windows Server 2012, Windows Server2008R2
et Windows 2008 Active Directory certificat Services (ADCS ).

Déploiement de certificats
Quel que soit la façon dont vous acquérez vos certificats, vous devez les déployer pour les clients et serveurs qui en
ont besoin pour communiquer.
À l’aide des Services de certificats Active Directory
Si vous utilisez ADCS pour créer votre propre utilisateur et des certificats d’appareil en interne, les serveurs
désignés comme autorités de certification (CA) créent les certificats basés sur les modèles créés par
l’administrateur. ADCS utilise ensuite la stratégie de groupe pour déployer les certificats sur les appareils de
membre de domaine. Certificats d’appareil sont déployés au démarrage d’un appareil de membre de domaine. Les
certificats d’utilisateur sont déployés lorsqu’un utilisateur se connecte.
Si vous souhaitez que les appareils non au domaine à faire partie d’une zone d’isolation de serveur qui requiert un
accès par seuls les utilisateurs autorisés, veillez à inclure le mappage des certificats pour associer les certificats avec
des comptes d’utilisateurs spécifiques. Lorsque le mappage de certificat est activé, le certificat émis pour chaque
périphérique ou utilisateur inclut suffisamment des informations d’identification pour activer IPsec faire
correspondre le certificat à l’utilisateur et de comptes d’appareil.
ADCS automatiquement permet de garantir que les certificats émis par les autorités de certification sont
approuvés par les périphériques clients en plaçant les certificats d’autorité de certification dans le magasin
approprié sur chaque appareil de membre de domaine.
À l’aide d’un certificat de vente acheté pour les appareils exécutant Windows
Vous pouvez importer les certificats manuellement sur chaque appareil si le nombre d’appareils est relativement
petit. Pour un déploiement plus qu’un petit nombre de périphériques, utilisez la stratégie de groupe.
Vous devez tout d’abord télécharger certificat d’autorité de certification racine du fournisseur et puis l’importer à
un objet de stratégie de groupe qui déploie dans le magasin d’autorités de Certification Computer\Trusted Local
sur chaque appareil qui s’applique à l’objet de stratégie de groupe.
Vous devez également importer ce certificat dans un objet de stratégie de groupe qui déploie dans le magasin
Local Computer\Personal sur chaque appareil qui s’applique à l’objet de stratégie de groupe.
À l’aide d’un certificat de vente acheté pour les appareils exécutant un système d’exploitation autres que
Windows
Si vous installez les certificats sur un système d’exploitation autres que Windows, voir la documentation de ce
système d’exploitation.

Configuration d’IPsec à utiliser les certificats

Lorsque des clients et serveurs détiennent les certificats disponibles, vous pouvez configurer les règles de sécurité
IPsec et de connexion afin d’inclure ces certificats comme méthode d’authentification valide. La méthode
d’authentification requiert le nom du sujet du certificat, par exemple: DC = com, DC = woodgrovebank, CN =
CorporateCertServer. Si vous le souhaitez, sélectionnez Activer le certificat vers le mappage compte pour
prendre en charge à l’aide de ces informations d’identification pour restreindre l’accès à des utilisateurs ou des
appareils qui sont membres de groupes autorisés dans une solution d’isolation de serveur.
À compter de Windows Server 2012, vous pouvez configurer des critères de sélection du certificat afin que le
certificat souhaité est sélectionné et/ou validé. Les critères de l’utilisation de la clé (EKU ) étendu peuvent être
configurés, ainsi que les restrictions de nom et les empreintes de certificat. Ce paramètre est configuré à l’aide du
bouton Avancé lors du choix des certificats pour la méthode d’authentification dans l’interface utilisateur ou par le
biais de Windows PowerShell.
Suivant: Documentation des Zones
 Documentation des zones
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
En règle générale, la tâche de déterminer l’appartenance à une zone n’est pas complexe, mais il peut s’avérer
fastidieux. Utilisez les informations obtenues au cours de la section de la conception d’un pare-feu Windows
Defender avec la stratégie de sécurité avancée de ce guide pour déterminer la zone dans laquelle placer chaque
hôte. Vous pouvez documenter ce positionnement de la zone en ajoutant une colonne de groupe pour la table des
stocks illustrée dans la conception un pare-feu Windows Defender avec la stratégie de sécurité avancée. Voici un
exemple:
| Nom de l'hôte | Demandes de matériel remplies | Demandes de logiciel remplies | Configuration requise | Détails
| Coût projeté | Groupe | | - | - | - | - | - | - | | CLIENT001 | Non| Non| Mise à niveau matérielle et logicielle.| Système
d’exploitation actuel est Windows XP. Ancien matériel non compatible avec les versions plus récentes de
Windows.| $??| Domaine isolé| | SERVER002 | Oui| Non| Joindre le domaine approuvé, mise à niveau à partir de
Windows Server 2008 au moins Windows Server 2012| Aucun logiciel antivirus n’est présent.| $??| Chiffrement| |
SENSITIVE001 | Oui| Oui| Non requis.| Exécutant Windows Server 2012. Prêt pour l’inscription.| 0 $| Serveur isolé
(dans la zone de manière autonome)| | PRINTSVR1 | Oui| Oui| Non requis.| Server2008R2 de Windows en cours
d’exécution. Prêt pour l’inscription.| 0 $| Limite|
Suivant: Planification du déploiement de stratégie de groupe pour les Zones d’Isolation
 Planification du déploiement de stratégie de groupe
pour les zones d’isolation
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Une fois que vous avez décidé de la meilleure conception logique de votre environnement d’isolation pour les
besoins de sécurité réseau et de périphériques, vous pouvez démarrer le plan d’implémentation.
Vous avez une liste des zones d’isolation avec les exigences de sécurité de chaque. Pour l’implémentation, vous
devez planifier les groupes qui contient les comptes d’appareil dans chaque zone, les groupes d’accès réseau qui
seront utilisés pour déterminer qui peut accéder à un serveur isolé et les objets de stratégie de groupe avec les
règles de pare-feu à appliquer à la sécurité de connexion groupes correspondants. Enfin, vous devez déterminer
comment vous permet de garantir que les stratégies seront applique uniquement aux appareils appropriés au sein
de chaque groupe.
Planification des groupes d’isolation pour les zones
Planification des groupes d’accès réseau
Planification des objets de stratégie de groupe (GPO )
Planification du déploiement des objets de stratégie de groupe (GPO )
 Planification des groupes d’isolation pour les zones
17/04/2019 • 3 minutes to read

S'applique à
Windows10
Windows Server2016
Les groupes d’isolation dans Active Directory sont comment implémenter les différentes zones d’isolation de
domaine et du serveur. Un appareil est attribué à une zone en ajoutant son compte d’appareil au groupe qui
représente cette zone.

Attention: n’ajoutez pas les appareils de vos groupes encore. Si un appareil est dans un groupe lorsque l’objet
de stratégie de groupe est activé cet objet de stratégie de groupe est appliqué à l’appareil. Si l’objet de stratégie
de groupe est une application qui requiert une authentification, et les autres appareils n’ont pas encore reçu
leurs objets de stratégie de groupe, l’appareil qui utilise le nouvel objet GPO ne peut pas être en mesure de
communiquer avec les autres.

Les groupes universels constituent la meilleure option à utiliser pour l’attribution de la stratégie de groupe dans la
mesure où ils s’appliquent à l’ensemble de la forêt et de réduisent le nombre de groupes qui doivent être gérés.
Toutefois, si les groupes universels ne sont pas disponibles, vous pouvez utiliser les groupes globaux du domaine à
la place.
Le tableau suivant répertorie les groupes standard qui peuvent être utilisés pour gérer les zones d’isolation de
domaine indiqués dans l’exemple bosquet dans ce guide:

NOM DU GROUPE DESCRIPTION

CG_DOMISO_No_IPsec Un groupe universel de comptes d’appareil qui ne participent

pas à l’environnement IPsec. En règle générale, se compose de
comptes d’appareil infrastructure seront également inclus dans
les listes d’exemptions.
Ce groupe est utilisé dans les filtres de groupe de sécurité
pour vous assurer que les GPO avec les règles IPsec n’est pas
appliquées aux membres du groupe.

CG_DOMISO_IsolatedDomain Un groupe universel de comptes d’appareil qui contient les

membres du domaine isolé.
Au cours des premiers jours de test, ce groupe peut contenir
uniquement un très petit nombre d’appareils. Lors de la
production, il peut contenir le groupe Ordinateurs du
domaine intégré pour vous assurer que tous les appareils
dans le domaine auquel participe.
Les membres de ce groupe reçoivent l’isolation de domaine de
stratégie de groupe qui requiert une authentification pour les
connexions entrantes.

CG_DOMISO_Boundary Un groupe universel de comptes d’appareil qui contient les

membres de la zone limite.
Les membres de ce groupe reçoivent un objet de stratégie
de groupe qui spécifie que l’authentification est
demandée, mais pas obligatoire.
 NOM DU GROUPE DESCRIPTION

CG_DOMISO_Encryption Un groupe universel de comptes d’appareil qui contient les

membres de la zone de chiffrement.
Les membres de ce groupe reçoivent un objet de stratégie de
groupe qui spécifie que l’authentification et le chiffrement sont
requises pour toutes les connexions entrantes.

CG_SRVISO_ServerRole Un groupe universel de comptes d’appareil qui contient les

membres du groupe d’isolation de serveur.
Les membres de ce groupe reçoivent l’isolation de serveur de
stratégie de groupe qui a besoin de l’appartenance à un
groupe d’accès réseau pour vous connecter.
Il y aura un groupe pour chaque ensemble de serveurs qui
ont des exigences de restriction de périphérique et utilisateur
différente.

Plusieurs objets de stratégie de groupe peuvent être fournis à chaque groupe. Celle qui devient effectivement
appliqué varie selon les filtres de groupe de sécurité affectés à la stratégie de groupe en plus des résultats de
filtrage WMI affecté à la stratégie de groupe. Détails de la disposition de l’objet stratégie de groupe sont décrites
dans la section planification de la stratégie de groupe.
Si plusieurs objets de stratégie de groupe sont attribuées à un groupe et des règles similaires sont appliquées, la
règle qui correspond plus spécifiquement le trafic réseau est celui qui est utilisé par l’appareil. Par exemple, si une
règle IPsec indiquant demander l’authentification pour tout le trafic IP et une deuxième règle à partir d’un autre
objet de stratégie de groupe indique d’exiger l’authentification pour le trafic IP vers et depuis une adresse IP
spécifique, la deuxième règle est prioritaire dans la mesure où il est plus spécifique.
Suivant: Planification des groupes d’accès réseau
 Planification des groupes d’accès réseau
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Un groupe d’accès réseau (groupes d’accès réseau) est utilisé pour identifier les utilisateurs et les périphériques qui
sont autorisé à accéder à un serveur isolé. Le serveur est configuré avec les règles de pare-feu qui autorisent
uniquement les connexions réseau qui sont authentifiées comme provenant d’un appareil et éventuellement un
utilisateur, dont les comptes sont membres du son groupe d’accès réseau. Un membre du domaine isolé peut
appartenir à autant de groupes en fonction des besoins.
Réduire le nombre de groupes d’accès réseau pour limiter la complexité de la solution. Vous avez besoin d’un
groupe d’accès réseau pour chaque groupe d’isolation de serveur limiter les appareils ou les utilisateurs sont
autorisés à accéder. Vous pouvez éventuellement fractionner le groupe d’accès réseau en deux groupes différents:
un pour les appareils autorisés et un pour les utilisateurs autorisés.
Ces groupes que vous créez et remplissez deviennent actifs par leur référencement dans l’onglet utilisateurs et
ordinateurs de règles de pare-feu dans l’objet de stratégie de groupe affectées aux serveurs isolés. L’objet de
stratégie de groupe doit également contenir des règles de sécurité de connexion qui nécessitent une
authentification à fournir les informations d’identification vérifiées d’appartenance au groupe d’accès réseau.
Pour le scénario bosquet, l’accès aux appareils qui prennent en charge de l’application WGBank SQL Server en
cours d’exécution sont limités aux serveurs frontaux WGBank et approuvé d’administration d’utilisateurs
connectés à des périphériques d’administration autorisés spécifiques. Ils sont également uniquement accessibles
par les utilisateurs approuvés administrateur et le compte de service qui est utilisé pour l’exécution du service de
front-end WGBank.

LES UTILISATEURS MEMBRES DE GROUPES

D’ACCÈS RÉSEAU, LES ORDINATEURS OU
NOM DU GROUPE D’ACCÈS RÉSEAU LES GROUPES DESCRIPTION

CG_NAG_ServerRole_Users Svr1AdminA Ce groupe est pour tous les utilisateurs

Svr1AdminB sont autorisés à établir des connexions
Group_AppUsers IPsec entrantes aux serveurs isolées
AppSvcAccount dans cette zone.

CG_NAG_ServerRole_Computers Desktop1 Ce groupe contient tous les appareils

Postes de travail2 qui sont autorisés à établir des
AdminDT1 connexions IPsec entrantes aux
AppAdminDT1 serveurs isolées dans cette zone.

Remarque: l’appartenance à un groupe d’accès réseau ne contrôle pas le niveau de protection du trafic IPsec.
La négociation IKE connaît uniquement si l’appareil ou l’utilisateur réussi ou échoué lors du processus
d’authentification KerberosV5. Les règles de sécurité de connexion dans l’objet de stratégie de groupe
appliquée contrôlent les méthodes de sécurité qui sont utilisées pour protéger le trafic et sont indépendants de
l’identité authentifiée par KerberosV5.

Suivant: Planification de la stratégie de groupe

 Planification des objets de stratégie de groupe (GPO)
17/04/2019 • 4 minutes to read

S'applique à
Windows10
Windows Server2016
Lorsque vous planifiez les objets de stratégie de groupe pour les zones d’isolation différents, vous devez effectuer
la disposition de leurs mappages aux groupes qui pointent les appareils pour les zones et les zones requises.

Considérations générales
Quelques éléments à prendre en compte lorsque vous planifiez les objets de stratégie de groupe:
Ne pas autoriser un appareil à être membre de plusieurs zones d’isolation. Un appareil en plusieurs zones
reçoit plusieurs et éventuellement contradictoire GPO. Cela peut entraîner inattendue et difficile à résoudre
le problème.
Les exemples de ce guide affichent les objets de stratégie de groupe qui sont conçues pour empêcher
l’obligation d’appartenir à plusieurs zones.
Assurez-vous que les algorithmes IPsec que vous spécifiez dans votre stratégie de groupe sont compatibles
entre toutes les versions de Windows. Le même principe s’applique aux algorithmes de chiffrement et
d’intégrité des données. Nous vous recommandons d’inclure les algorithmes plus avancées lorsque vous
avez la possibilité de sélectionner plusieurs dans une liste ordonnée. Les appareils négocie vers le bas à
partir de la partie supérieure de leurs listes, sélectionner une qui est configurée sur les deux appareils.
La principale différence dans votre stratégie de groupe d’isolation de domaine est que les règles de
demandent ou exigent une authentification.

Attention: est-il critiques qui vous commencez par tous vos GPO définie pour demander une
authentification plutôt que de demander à elle. Dans la mesure où les objets de stratégie de groupe sont
fournies aux appareils au fil du temps, appliquer une nécessitent une stratégie à un seul périphérique
rupture de leur capacité à communiquer avec un autre périphérique qui n’a pas encore reçu sa stratégie.
À l’aide de la demande en mode au début permet aux appareils de continuer à communiquer à l’aide de
connexions de texte brut si nécessaire. Après avoir vérifié que vos appareils sont à l’aide de IPsec
lorsque prévu, vous pouvez planifier une conversion des règles dans les objets de stratégie de groupe
de demander à exiger l’authentification, en fonction de chaque zone.

Windows Defender pare-feu * dans Windows Vista et Windows Server 2008 prennent uniquement en
charge un profil d’emplacement réseau à la fois. Si vous ajoutez une seconde carte réseau qui soit
connectée à un autre réseau, ou pas du tout, vous pouvez modifier accidentellement le profil qui est
actuellement actif sur l’appareil. Si votre objet de stratégie de groupe spécifie autre pare-feu et les règles de
sécurité de connexion en fonction du profil d’emplacement réseau actuelle, le comportement de la façon
dont l’appareil gère le trafic réseau change en conséquence. Nous vous recommandons pour des appareils
fixes, tels que les ordinateurs de bureau et les serveurs, que vous leur attribuer n’importe quelle règle pour
l’appareil à tous les profils. Appliquer des objets de stratégie de groupe qui modifient les règles par un
emplacement réseau sur des appareils qui doivent déplacer entre les réseaux, tels que vos appareils
mobiles. Pensez à créer une domaine distinct d’isolation de stratégie de groupe pour vos serveurs qui utilise
les mêmes paramètres en tant que l’objet de stratégie de groupe pour les clients, à ceci près que le serveur
 de stratégie de groupe spécifie les mêmes règles pour tous les profils d’emplacement réseau.
Pare-feu Windows Defender est désormais appelé pare-feu Windows Defender avec sécurité avancée dans
Windows 10.

NOTE
Les appareils exécutant Windows7, Windows Server2008R2 et ultérieure prend en charge différents types
d’emplacements réseau, et par conséquent, les profils, pour chaque carte réseau en même temps. Chaque carte
réseau est attribué à l’emplacement réseau appropriée pour le réseau auquel il est connecté. Pare-feu Windows
Defender applique alors uniquement ces règles qui s’appliquent au profil de ce type de réseau. Par conséquent,
certains types de trafic sont bloquées lorsqu’ils proviennent d’une carte réseau connectée à un réseau public, mais
ces mêmes types peuvent être autorisés lorsqu’ils proviennent d’un réseau privé ou un domaine.

Après avoir étudié ces problèmes, documenter chaque objet de stratégie de groupe dont vous avez besoin et les
détails sur les règles de pare-feu et de sécurité de connexion dont il a besoin.

Exemple de bosquet GPO

L’exemple de bosquet utilise l’ensemble des GPO suivantes pour prendre en charge ses besoins d’isolation de
domaine. Cette section traite uniquement les règles et les paramètres de serveur et d’isolation de domaine.
Paramètres de stratégie de groupe qui affectent les appareils reçoivent la stratégie de groupe, par exemple, le
filtrage des groupes de sécurité et le filtrage de WMI, sont décrits dans la section Planification du déploiement de
stratégie de groupe .
Dans cette section, vous trouverez des informations sur les éléments suivants:
Objets de stratégie de groupe (GPO ) de pare-feu
Objets de stratégie de groupe (GPO ) de domaine isolé
Objets de stratégie de groupe de zone limite
Objets de stratégie de groupe (GPO ) de zone de chiffrement
Objets de stratégie de groupe (GPO ) d’isolation de serveur
 Objets de stratégie de groupe (GPO) de pare-feu
16/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Tous les appareils sur le réseau de bosquet qui exécutent Windows font partie du domaine isolé, à l’exception des
contrôleurs de domaine. Pour configurer les règles de pare-feu, l’objet de stratégie de groupe décrit dans cette
section est lié au conteneur de domaine dans la hiérarchie Active Directory d’unité d’organisation et puis filtré à
l’aide des filtres de groupe de sécurité et les filtres WMI.
L’objet GPO créé pour l’exemple de scénario bosquet sont les suivants:
GPO_DOMISO_Firewall
 GPO_DOMISO_Firewall
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Cet objet de stratégie de groupe a été créée à l’aide du pare-feu Windows Defender avec l’interface de sécurité
avancée dans les outils d’édition de la stratégie de groupe. La section de Configuration de l’utilisateur de l’objet de
stratégie de groupe est désactivée. Il est destiné à s’appliquent uniquement aux appareils exécutant au moins
Windows7 ou Windows Server 2008.

Paramètres du pare-feu
Cet objet de stratégie de groupe fournit les paramètres suivants:
Sauf indication contraire, les règles de pare-feu et les paramètres décrits ici sont appliqués à tous les profils.
Le pare-feu est activé, avec des connexions entrantes, non sollicitées bloquées et sortant autorisé.
Sous le profil de domaine, les paramètres Afficher les notifications à l’utilisateur, appliquer les règles
de pare-feu localet appliquer les règles de sécurité de connexion locales sont définies sur non. Ces
paramètres sont appliqués uniquement pour le profil de domaine dans la mesure où les appareils peuvent
recevoir uniquement une règle d’exception pour un programme requis à partir d’un objet de stratégie de
groupe s’ils sont connectés au domaine. Sous les profils publics et privés, ces paramètres sont définies sur
Oui.

Remarque: en vigueur ces paramètres requiert que vous définissiez des exceptions de pare-feu pour les
programmes, dans la mesure où l’utilisateur ne peut pas autoriser manuellement un nouveau
programme. Vous devez déployer les règles d’exception en les ajoutant à cet objet GPO. Nous vous
recommandons de ne pas activer ces paramètres jusqu'à ce que vous avez testé toutes vos applications
et que vous avez testé les règles qui en résulte dans un laboratoire de test, puis sur les appareils de
pilotes.

Règles de pare-feu
Cet objet de stratégie de groupe fournit les règles suivantes:
Groupes de règles de pare-feu sont configurés pour prendre en charge d’opération réseau généralement
requis. Groupes de règles suivants sont définies pour Autoriser la connexion:
Réseau de base
File and Printer Sharing
Découverte de réseau
Administration à distance
Bureau à distance
Gestion du journal des événements à distance
 Gestion à distance des tâches planifiées
Gestion des services à distance
Gestion des volumes à distance
Gestion à distance du pare-feu Windows Defender
WindowsManagementInstrumentation (WMI)
Gestion à distance de Windows
Une règle d’exception de pare-feu pour autoriser le trafic réseau requis pour le programme de tableau de
bord WGBank. Cette règle de trafic entrant permet le trafic réseau pour le programme Dashboard.exe dans
le dossier %ProgramFiles%\WGBank. La règle est également filtrée pour autoriser uniquement le trafic sur
le port 1551. Cette règle est appliquée uniquement pour le profil de domaine.
Suivant: Stratégie de groupe de domaine isolé
 Objets de stratégie de groupe (GPO) de domaine
isolé
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Tous les périphériques dans le domaine isolé sont ajoutés au groupe CG_DOMISO_IsolatedDomain. Vous devez
créer plusieurs objets de stratégie de groupe visant à ce groupe, une pour chaque système d’exploitation Windows
qui doit avoir différentes règles ou des paramètres pour implémenter les fonctionnalités de base domaine isolé
dont vous disposez dans votre domaine isolé. Ce groupe est accordé les autorisations de lecture et d’appliquer la
stratégie de groupe sur tous les objets GPO décrites dans cette section.
Chaque objet de stratégie de groupe a un filtre de groupe de sécurité qui empêche l’objet de stratégie de groupe
s’appliquent aux membres du groupe GP_DOMISO_No_IPsec. Un filtre WMI est associé à chaque objet de
stratégie de groupe pour vous assurer que l’objet de stratégie de groupe est appliqué à uniquement la version
spécifiée de Windows. Pour plus d’informations, consultez la section Planification du déploiement de stratégie de
groupe .
Les objets de stratégie de groupe créés pour le domaine isolé bosquet sont les suivants:
GPO_DOMISO_IsolatedDomain_Clients
GPO_DOMISO_IsolatedDomain_Servers
 GPO_DOMISO_IsolatedDomain_Clients
16/04/2019 • 3 minutes to read

S'applique à
Windows10
Windows Server2016
Cet objet de stratégie de groupe a été créée à l’aide du pare-feu Windows Defender avec l’interface de sécurité
avancée dans les outils d’édition de la stratégie de groupe. La section de Configuration de l’utilisateur de l’objet de
stratégie de groupe est désactivée. Elle est destinée à s’appliquent uniquement aux périphériques clients qui
exécutent Windows 8, Windows7 ou Windows Vista.
Dans la mesure où les appareils clients peuvent parfois être portables, les paramètres et les règles pour cet objet de
stratégie de groupe sont appliquées au uniquement le profil de domaine.

Paramètres généraux
Cet objet de stratégie de groupe fournit les paramètres suivants:
Aucun paramètre de pare-feu n’est inclus dans cet objet de stratégie de groupe. Bosquet créé des objets
GPO distincts pour les paramètres de pare-feu (voir la section Stratégie de groupe du pare-feu ) afin de les
partager avec tous les clients dans toutes les zones d’isolation avec un minimum de redondance.
Le protocole ICMP est exempté des exigences d’authentification pour prendre en charge la résolution des
problèmes de réseau plus facilement.
Diffie Hellman groupe 2 est spécifié comme l’algorithme d’échange de clé. Il s’agit de l’algorithme plus fort
disponible est pris en charge par tous les systèmes d’exploitation qui sont utilisés à la banque Woodgrove.
Une fois bosquet a terminé la mise à niveau vers des versions de Windows qui prennent en charge des
algorithmes plus puissants, ils peuvent supprimer les algorithmes d’échange de clé plus faibles et utiliser
uniquement celles plus forts.
Les paramètres de Registre indiqués dans le tableau suivant. Pour plus d’informations, voir la description
des paramètres de Registre dans le Domaine isolé.

PARAMÈTRE VALEUR

Activer la découverte PMTU 1

Exemptions IPsec 3

Les combinaisons de méthode de sécurité de mode principal dans l’ordre indiqué dans le tableau suivant.

INTÉGRITÉ CHIFFREMENT

Algorithme de hachage sécurisé (SHA-1) Advanced Encryption Standard (AES-128)

SHA-1 3DES

Les mode rapide sécurité des données d’intégrité du algorithmes combinaisons suivantes dans l’ordre indiqué
dans le tableau suivant.
 PROTOCOLE INTÉGRITÉ DURÉE DE VIE DE CLÉ (MINUTES/KO)

PROTOCOLE ESP SHA-1 60/100 000

Les mode rapide sécurité données d’intégrité et le chiffrement combinaisons d’algorithmes dans l’ordre indiqué
dans le tableau suivant.

DURÉE DE VIE DE CLÉ

PROTOCOLE INTÉGRITÉ CHIFFREMENT (MINUTES/KO)

PROTOCOLE ESP SHA-1 AES-128 60/100 000

PROTOCOLE ESP SHA-1 3DES 60/100 000

Remarque: n’utilisez pas les algorithmes MD5 et dans vos objets de stratégie de groupe. Ils sont inclus
uniquement pour la compatibilité avec les versions précédentes de Windows.

Règles de sécurité de connexion

Cet objet de stratégie de groupe fournit les règles suivantes:
Une règle de sécurité de connexion nommée La règle domaine isolé avec les paramètres suivants:
À partir toute adresse IP à toute adresse IP.
Exiger entrant et demander sortant des exigences d’authentification.

Important: sur ce et tous les autres objets de stratégie de groupe qui nécessitent une
authentification, bosquet choisi tout d’abord ne demander que l’authentification. Après avoir
confirmé que les appareils ont été correctement communique à l’aide de IPsec, ils basculé les
objets de stratégie de groupe pour exiger l’authentification.

Pour les méthodes d’authentification premier, sélectionnez Kerberosv5 ordinateur comme la

principale méthode. Ajouter l’authentification par certificat à partir de DC = com, DC =
woodgrovebank, CN = CorporateCertServer pour les appareils qui ne peuvent pas exécuter
Windows ou ne peut pas joindre le domaine, mais doivent toujours font partie du domaine isolé.
Pour l' authentification de Second, sélectionnez Utilisateur Kerberosv5, puis sélectionnez la case
à cocher seconde authentification est facultative .
Une règle de sécurité de connexion aux appareils identifiant qui se trouvent dans la liste d’exemptions de
l’obligation de s’authentifier:
Les adresses IP de tous les appareils sur la liste d’exemptions doivent être ajoutés individuellement
sous le point de terminaison 2.
Mode d’authentification est défini sur ne pas authentifier.
Suivant: GPO_DOMISO_IsolatedDomain_Servers
 GPO_DOMISO_IsolatedDomain_Servers
16/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Cet objet de stratégie de groupe a été créée à l’aide de l’interface du pare-feu Windows Defender dans les outils
d’édition de la stratégie de groupe. La section de Configuration de l’utilisateur de l’objet de stratégie de groupe est
désactivée. Il est destiné à s’appliquent uniquement aux appareils de serveur qui sont en cours d’exécution au
moins Windows Server 2008.
Dans la mesure où les nombreux par conséquent, des paramètres et des règles pour cet objet de stratégie de
groupe est commun à celles de l’objet de stratégie de groupe au moins Windows Vista, vous pouvez gagner du
temps en exportant la partie pare-feu Windows Defender de la stratégie de groupe au moins Windows Vista et en
l’important pour l’objet de stratégie de groupe au moins Server20 Windows 08. Après l’importation, modifiez
uniquement les éléments spécifiés ici:
Cet objet de stratégie de groupe s’applique à tous ses paramètres à tous les profils: domaine, privé et Public.
Dans la mesure où un serveur n’est pas censé être mobiles et modifiez les réseaux, configuration de l’objet
de stratégie de groupe de cette façon empêche une panne réseau ou l’ajout d’une nouvelle carte réseau
involontairement passage du périphérique au profil Public avec un autre ensemble de règles (dans le cas
d’un serveur exécutant Windows Server 2008).

Important: Windows Vista et Windows Server 2008 prend en charge qu’un seul profil d’emplacement
réseau à la fois. Le profil pour le type de réseau moins sécurisé est appliqué à l’appareil. Si vous joignez
une carte réseau à un appareil qui n’est pas connecté à un réseau, le type d’emplacement réseau public
est associé à la carte réseau et appliqué à l’appareil.

Suivant: Stratégie de groupe Zone limite

 Objets de stratégie de groupe de zone limite
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Tous les périphériques dans la zone limite sont ajoutés au groupe CG_DOMISO_Boundary. Vous devez créer
plusieurs objets de stratégie de groupe visant à ce groupe, une pour chaque système d’exploitation dont vous
disposez dans votre zone limite. Ce groupe est accordé les autorisations de lecture et appliquer la stratégie de
groupe sur les objets de stratégie de groupe décrits dans cette section.

Remarque: si vous concevez des GPO au moins Windows Vista ou Windows Server 2008, vous pouvez
concevoir vos objets de stratégie de groupe dans les groupes imbriqués. Par exemple, vous permettre de la
limite de groupe un membre du groupe de domaine isolé, afin qu’elle reçoive les pare-feu et les paramètres de
domaine isolé base par le biais de cette appartenance imbriquée, avec uniquement les modifications fournies
par la zone limite de stratégie de groupe. Par souci de simplicité, ce guide décrit les techniques utilisées pour
créer les stratégies indépendants et non en couche. Nous vous recommandons de créer et d’exécuter un script
qui compare les appartenances à des groupes qui doivent être qui s’excluent mutuellement et signale tous les
appareils qui sont attribuées de façon incorrecte à plusieurs groupes régulièrement.

Cela signifie que vous créez un objet de stratégie de groupe pour un groupe de limites pour un système
d’exploitation spécifique par copie et collage de l’objet de stratégie de groupe correspondante pour le domaine isolé
puis en modifiant la nouvelle copie pour fournir le comportement requis dans la zone limite.
La zone limite GPO décrites dans ce guide sont uniquement pour les versions de Windows server dans la mesure
où les appareils clients ne soient pas susceptibles de participer à la zone limite. Si la nécessité d’un se produit, créez
un nouvel objet GPO pour cette version de Windows, ou développer le filtre WMI attaché à l’un de la zone limite
existante GPO afin de pouvoir s’appliquent à la version du client de Windows.
Dans l’exemple bosquet, seuls les paramètres de stratégie de groupe pour un site Web de service au moins
Windows Server 2008 sont décrites.
GPO_DOMISO_Boundary_WS2008
 GPO_DOMISO_Boundary
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Cet objet de stratégie de groupe a été créée à l’aide du pare-feu Windows Defender avec l’interface de sécurité
avancée dans les outils d’édition de la stratégie de groupe. Bosquet a commencé à copier et coller l’objet de
stratégie de groupe pour la version de Windows Server 2008 de la stratégie de groupe de domaine isolé et ensuite
renommé la copie pour prendre en compte son objectif de nouveau.
Cet objet de stratégie de groupe prend en charge la possibilité pour les appareils qui ne font pas partie du domaine
isolé d’accéder à des serveurs spécifiques qui doivent être disponibles pour ces appareils non approuvées. Il est
destiné à s’appliquent uniquement aux appareils de serveur qui sont en cours d’exécution au moins Windows
Server 2008.

Paramètres IPsec
L’objet de stratégie de groupe copié inclut et continue d’utiliser les paramètres IPsec que configurer l’échange de
clé, le mode principal et les algorithmes de mode rapide pour le domaine isolé lors de l’authentification peut être
utilisée.

Règles de sécurité de connexion

Renommez la règle de domaine isolé de règle de Zone limite. Modifier le mode d’authentification à la
demande entrant et demander sortant. Dans ce mode, l’appareil utilise l’authentification lorsqu’il le peut, par
exemple, comme lors de la communication avec un membre du domaine isolé. Il prend également en charge la
possibilité de «communiquer en texte pour clair» du mode de requête lorsqu’un appareil non approuvé qui ne fait
pas partie du domaine isolé se connecte.

Paramètres de Registre
La zone limite utilise les mêmes paramètres de Registre en tant que le domaine isolé pour optimiser le
fonctionnement de IPsec. Pour plus d’informations, voir la description des paramètres de Registre dans le Domaine
isolé.

Règles de pare-feu
Copiez les règles de pare-feu pour la zone limite à partir de l’objet de stratégie de groupe qui contient les règles de
pare-feu pour le domaine isolé. Personnaliser cette copie, en supprimant des règles pour les services non requis
sur les serveurs dans cette zone et en ajoutant des règles de trafic entrant pour autoriser le trafic réseau pour les
services qui doivent être accessibles par d’autres appareils. Par exemple, bosquet ajouté une règle de pare-feu pour
autoriser le trafic réseau entrant sur le port TCP 80 pour les demandes de client Web.
Assurez-vous que l’objet de stratégie de groupe qui contient les règles de pare-feu pour le domaine isolé
n’également s’applique pas à la zone limite pour empêcher des règles qui se chevauchent et éventuellement en
conflit.
Suivant: Zone de chiffrement de stratégie de groupe
 Objets de stratégie de groupe (GPO) de zone de
chiffrement
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Gérer les zones de chiffrement de manière similaire aux zones limite. Un appareil est ajouté à une zone de
chiffrement en ajoutant le compte d’appareil pour le groupe de zone de chiffrement. Bosquet disposant d’un
service unique qui doit être protégé et les appareils qui exécutent ce service sont ajoutées au groupe
CG_DOMISO_Encryption. Ce groupe est accordé les autorisations de lecture et d’appliquer la stratégie de groupe
dans l’objet de stratégie de groupe décrits dans cette section.
L’objet de stratégie de groupe est uniquement pour les versions de Windows server. Appareils clients ne soient pas
susceptibles de participer à la zone de chiffrement. Si la nécessité d’un se produit, créez un nouvel objet GPO pour
cette version de Windows, ou développer le filtre WMI attaché à l’un de la zone de chiffrement existante GPO afin
de pouvoir s’appliquent à la version du client de Windows.
GPO_DOMISO_Encryption
 GPO_DOMISO_Encryption_WS2008
16/04/2019 • 2 minutes to read

Cet objet de stratégie de groupe a été créée à l’aide du pare-feu Windows Defender avec l’interface de sécurité
avancée dans les outils d’édition de la stratégie de groupe. Bosquet a commencé à copier et coller l’objet de
stratégie de groupe pour la version de Windows Server 2008 de la stratégie de groupe de domaine isolé et ensuite
renommé la copie pour prendre en compte son objectif de nouveau.
Cet objet de stratégie de groupe prend en charge la possibilité pour les serveurs qui contiennent des données
sensibles afin d’exiger le chiffrement pour toutes les demandes de connexion. Elle est destinée à s’appliquent
uniquement aux ordinateurs serveurs qui exécutent Windows Server 2012, Windows Server2008R2 ou Windows
Server 2008.

Paramètres IPsec
L’objet de stratégie de groupe copié inclut et continue d’utiliser les paramètres IPsec que configurer l’échange de
clé, le mode principal et les algorithmes de mode rapide pour le domaine isolé que les modifications suivantes sont
apportées à la copie de zone de chiffrement de l’objet de stratégie de groupe:
Les serveurs de zone de chiffrement nécessitent toutes les connexions à chiffrer. Pour ce faire, modifiez les
paramètres par défaut de IPsec pour l’objet de stratégie de groupe activer le paramètre Exiger le chiffrement
pour toutes les règles de sécurité de connexion qui utilisent ces paramètres. Cette opération désactive
toutes les combinaisons de l’algorithme d’intégrité uniquement.

Règles de sécurité de connexion

Renommez la règle de domaine isolé de règle de Zone de chiffrement. Laissez le paramètre de mode
d’authentification sur Exiger entrant et demander sortant. Dans ce mode, l’ordinateur force l’authentification
pour tout le trafic réseau entrant et l’utilise si possible sur le trafic sortant.

Paramètres de Registre
La zone de chiffrement utilise les mêmes paramètres de Registre en tant que le domaine isolé pour optimiser le
fonctionnement de IPsec. Pour plus d’informations, voir la description des paramètres de Registre dans le Domaine
isolé.

Règles de pare-feu
Copiez les règles de pare-feu pour la zone de chiffrement à partir de l’objet de stratégie de groupe qui contient les
règles de pare-feu pour le domaine isolé. Personnaliser cette copie, en supprimant des règles pour les services non
requis sur les serveurs dans cette zone et en ajoutant des règles de trafic entrant pour autoriser le trafic réseau
pour les services qui doivent être accessibles par d’autres ordinateurs. Par exemple, bosquet ajouté une règle de
pare-feu pour autoriser le trafic réseau entrant sur le port TCP 1433 pour les demandes de client de SQL Server.
Modifier l’action pour chaque règle de pare-feu entrantes à partir d’Autoriser la connexion à Autoriser que les
connexions sécuriséeset sélectionnez nécessitent les connexions à chiffrer.
Assurez-vous que l’objet de stratégie de groupe qui contient les règles de pare-feu pour le domaine isolé
n’également s’applique pas à la zone limite pour empêcher des règles qui se chevauchent et éventuellement en
conflit.
Suivant: GPO d’Isolation de serveur
 Objets de stratégie de groupe (GPO) d’isolation de
serveur
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Chaque ensemble d’appareils qui ont différents utilisateurs ou à ceux répertoriés nécessitent une zone d’isolation
de serveur distinct. Chaque zone nécessite un objet de stratégie de groupe pour chaque version de Windows en
cours d’exécution sur les appareils de la zone. L’exemple de bosquet a une zone d’isolation pour leurs appareils qui
exécutent SQL Server. La zone d’isolation de serveur est logiquement considérée comme faisant partie de la zone
de chiffrement. Par conséquent, zone d’isolation de serveur GPO doit également inclure des règles pour chiffrer
tout le trafic serveur isolé. Bosquet copié de la zone de chiffrement GPO pour servir comme point de départ et
renommé les pour prendre en compte leur objectif de nouveau.
Tous les comptes d’appareil pour les appareils dans la zone d’isolation de serveur SQL Server sont ajoutés au
groupe CG_SRVISO_WGBANK_SQL. Ce groupe est accordé les autorisations en lecture et appliquer la stratégie
de groupe dans sur les objets de stratégie de groupe décrits dans cette section. Les objets de stratégie de groupe
sont uniquement pour les versions de Windows server. Appareils clients ne devront pas être membres de la zone
d’isolation de serveur, bien qu’ils peuvent accéder aux serveurs dans la zone en tant que membre d’un groupe
d’accès réseau (groupes d’accès réseau) pour la zone.

GPO_SRVISO
Cet objet de stratégie de groupe est identique à l’objet de stratégie de groupe GPO_DOMISO_Encryption avec les
modifications suivantes:
La règle de pare-feu qui applique le chiffrement est modifiée pour inclure les groupes d’accès réseau sous
l’onglet utilisateurs et ordinateurs de la règle. Ces groupes l’autorisation incluent CG_NAG_SQL_Users et
CG_NAG_SQL_Computers.

Important: des versions antérieures de Windows prend en charge uniquement l’authentification basée
sur l’appareil. Si vous spécifiez que l’authentification utilisateur est obligatoire, seuls les utilisateurs sur
des appareils exécutant au moins Windows Vista ou Windows Server 2008 peut se connecter.

Suivant: Planification du déploiement de stratégie de groupe

 Planification du déploiement des objets de stratégie
de groupe (GPO)
17/04/2019 • 9 minutes to read

S'applique à
Windows10
Windows Server2016
Vous pouvez contrôler les objets de stratégie de groupe sont appliquées aux périphériques dans Active Directory
dans une combinaison de trois manières différentes:
Hiérarchie d’unité d’organisation active Directory. Cela implique la liaison de l’objet de stratégie de
groupe à une unité d’organisation spécifique dans la hiérarchie Active Directory d’unité d’organisation. Tous
les appareils dans l’unité d’organisation et ses conteneurs subordonnés reçoivent et appliquent l’objet de
stratégie de groupe.
Application de stratégie de groupe par le biais de la liaison aux unités d’organisation de contrôle est
généralement utilisée lorsque vous pouvez organiser la hiérarchie d’unité d’organisation en fonction de vos
besoins de zone de l’isolation de domaine. Stratégie de groupe permettre appliquer des paramètres aux
appareils en fonction de leur emplacement dans Active Directory. Si un appareil est déplacé à partir d’une
unité d’organisation à l’autre, la stratégie liée à l’unité d’organisation deuxième finalement prendront effet
lorsque la stratégie de groupe détecte la modification lors de l’interrogation.
Le filtrage des groupes de sécurité. Cela implique la liaison les objets de stratégie de groupe au niveau
du domaine (ou un autre parent d’unité d’organisation) dans la hiérarchie d’unité d’organisation, puis
cliquez sur les appareils reçoivent l’objet de stratégie de groupe à l’aide des autorisations qui autorisent
uniquement les membres du groupe approprié appliquer la stratégie de groupe.
Les filtres de groupe de sécurité sont attachés à la stratégie de groupe eux-mêmes. Un groupe est ajouté au
filtre de groupe de sécurité de l’objet de stratégie de groupe dans Active Directory et attribuer des
autorisations en lecture et appliquer la stratégie de groupe. Autres groupes peuvent être explicitement
refusées des autorisations de lecture et d’appliquer la stratégie de groupe. Seuls ces dispositifs dont
l’appartenance au groupe sont les autorisations en lecture et appliquer la stratégie de groupe sans aucune
explicite refuser des autorisations peuvent appliquer la stratégie de groupe.
Le filtrage WMI. Un filtre WMI est une requête qui est exécutée dynamiquement lors de l’évaluation de
l’objet de stratégie de groupe. Si un appareil est un membre du jeu de résultats si la requête de filtre WMI
s’exécute, l’objet de stratégie de groupe est appliqué à l’appareil.
Un filtre WMI se compose d’une ou plusieurs conditions sont évaluées par rapport à l’appareil local. Vous
pouvez vérifier pratiquement n’importe quel caractéristique de l’appareil, son système d’exploitation et ses
programmes installés. Si toutes les conditions spécifiées sont remplies pour l’appareil, l’objet de stratégie de
groupe est appliqué; dans le cas contraire, l’objet de stratégie de groupe est ignoré.
Ce guide utilise une combinaison de filtrage des groupes de sécurité et de filtrage WMI pour fournir des options
les plus flexibles. Si vous suivez ces conseils, même s’il peut y avoir cinq différents objets GPO lié à un groupe
spécifique en raison des différences entre les versions de système d’exploitation, uniquement la stratégie de groupe
approprié est appliqué.

Considérations générales
 Déployer votre stratégie de groupe avant d’ajouter des comptes d’appareil dans les groupes qui reçoivent les
objets de stratégie de groupe. De cette façon, que vous pouvez ajouter vos appareils aux groupes contrôlée.
Veillez à ajouter uniquement quelques appareils de test dans un premier temps. Avant d’ajouter de nombreux
membres du groupe, examinez les résultats sur les appareils de test et vérifiez que l’effet que vous souhaitez les
règles de sécurité de pare-feu et de connexion configurées. Consultez les sections suivantes pour des
suggestions sur les éléments à tester avant de poursuivre.

Testez vos groupes déployés et stratégie de groupe

Après avoir déployé vos objets de stratégie de groupe et ajouté certains appareils de test aux groupes, vérifiez les
éléments suivants avant de poursuivre plus membres du groupe:
Examiner les objets de stratégie de groupe qui sont affectées à et filtrés à partir de l’appareil. Exécuter l’outil
gpresult à une invite de commandes.
Examinez les règles déployées sur l’appareil. Ouvrez le composant logiciel enfichable MMC de pare-feu
Windows Defender, développez le nœud de surveillance , puis développez les nœuds de pare-feu et de
Sécurité de connexion .
Vérifiez que les communications sont authentifiées. Ouvrez le composant logiciel enfichable MMC de pare-
feu Windows Defender, développez le nœud de surveillance , développez le nœud Associations de
sécurité , puis cliquez sur Le Mode principal.
Vérifiez que les communications sont chiffrées lorsque les appareils en ont besoin. Ouvrez le composant
logiciel enfichable MMC de pare-feu Windows Defender, développez le nœud de surveillance , développez
le nœud Associations de sécurité et sélectionnez Le Mode rapide. Connexions chiffrées affichent une
valeur autre que None dans la colonne de Confidentialité ESP .
Vérifiez que vos programmes ne soient pas affectés. Leur exécution et vérifiez qu’ils fonctionnent toujours
comme prévu.
Après avoir vérifié que les objets de stratégie de groupe ont été appliquées correctement, et que les appareils sont
désormais communiquer à l’aide du trafic réseau IPsec en mode de requête, vous pouvez commencer à ajouter des
appareils plus aux comptes de groupe, dans les nombres facile à gérer à la fois. Continuer à surveiller et vérifiez
que l’application correcte de stratégie de groupe pour les appareils.

N’activez pas requièrent le mode jusqu'à ce que le déploiement est

terminé
Si vous déployez une stratégie de groupe qui requiert une authentification à un appareil avant les autres appareils
disposent d’un objet de stratégie de groupe déployé, la communication entre les deux n’est peut-être pas possible.
Patientez jusqu'à ce que vous avez toutes les zones et leurs objets de stratégie de groupe déployées en mode de
demande et confirmer (comme décrit dans la section précédente) que les appareils sont correctement
communique à l’aide de IPsec.
S’il existe des problèmes avec le déploiement de stratégie de groupe ou des erreurs dans la configuration d’un ou
plusieurs des GPO IPsec, appareils peuvent continuer à fonctionner, étant donné que le mode demande permet à
n’importe quel appareil afin de revenir pour effacer les communications.
Une fois que vous avez ajouté tous les appareils à leurs zones, et que vous avez confirmé que communications
fonctionnent comme prévu, vous pouvez démarrer modifier les règles de mode de requête afin d’exiger des règles
en mode dans lequel il est nécessaire dans les zones. Nous vous recommandons d’activer requièrent le mode dans
la zone d’une des zones à la fois la suspension permettant de vérifier qu’ils fonctionnent correctement avant de
poursuivre. Activer le mode requis paramètre pour les zones d’isolation de serveur tout d’abord, puis la zone de
chiffrement et le domaine isolé.
Ne modifiez pas la stratégie de groupe zone limite, car il doit rester en mode de requête pour les connexions
entrantes et sortantes.
Si vous créez des autres zones qui nécessitent entrante ou sortante requièrent le mode, modifiez le paramètre
d’une manière qui s’applique le paramètre en plusieurs étapes dans les groupes d’appareils plus petits aux groupes
plus grandes.

Plans de déploiement exemple bosquet

Bosquet lie toutes ses GPO pour le conteneur au niveau du domaine dans la hiérarchie Active Directory d’unité
d’organisation. Il utilise ensuite les filtres WMI suivants et les filtres de groupe de sécurité pour contrôler
l’application de stratégie de groupe pour le sous-ensemble correcte des appareils. Tous les objets de stratégie de
groupe ont la section de Configuration de l’utilisateur désactivée pour améliorer les performances.
GPO_DOMISO_Firewall
Filtre WMI. Le filtre WMI permet de cet objet de stratégie de groupe appliquer uniquement aux appareils
qui correspondent à la requête WMI suivante:
select * from Win32_OperatingSystem where Version like "6.%" and ProductType <> "2"

Remarque: ce qui exclut les contrôleurs de domaine (qui indiquent la valeur ProductType 2). N’incluez
pas de contrôleurs de domaine dans le domaine isolé s’il existe des appareils exécutant des versions de
Windows antérieures à Windows Vista et Windows Server 2008.

Filtre de sécurité. Cet objet de stratégie de groupe accorde des autorisations en lecture et appliquer la
stratégie de groupe uniquement sur des appareils qui sont membres du groupe
CG_DOMISO_IsolatedDomain. L’objet de stratégie de groupe refuse également explicitement des
autorisations en lecture et appliquer la stratégie de groupe aux membres de le CG_DOMISO_NO_IPSEC.
GPO_DOMISO_IsolatedDomain_Clients
Filtre WMI. Le filtre WMI permet de cet objet de stratégie de groupe appliquer uniquement aux appareils
qui correspondent à la requête WMI suivante:
select * from Win32_OperatingSystem where Version like "6.%" and ProductType = "1"

Filtre de sécurité. Cet objet de stratégie de groupe accorde des autorisations en lecture et appliquer la
stratégie de groupe uniquement sur des appareils qui sont membres du groupe
CG_DOMISO_IsolatedDomain. L’objet de stratégie de groupe refuse également explicitement des
autorisations en lecture et appliquer la stratégie de groupe aux membres du groupe
CG_DOMISO_NO_IPSEC.
GPO_DOMISO_IsolatedDomain_Servers
Filtre WMI. Le filtre WMI permet de cet objet de stratégie de groupe appliquer uniquement aux appareils
qui correspondent à la requête WMI suivante:
select * from Win32_OperatingSystem where Version like "6.%" and ProductType = "3"

Remarque: ce qui exclut les contrôleurs de domaine (qui indiquent la valeur ProductType 2). N’incluez
pas de contrôleurs de domaine dans le domaine isolé s’il existe des appareils qui exécutent des versions
de Windows antérieures à Windows Vista et Windows Server 2008.

Filtre de sécurité. Cet objet de stratégie de groupe accorde des autorisations en lecture et appliquer la
stratégie de groupe uniquement sur des appareils qui sont membres du groupe
CG_DOMISO_IsolatedDomain. L’objet de stratégie de groupe refuse également explicitement des
autorisations en lecture et appliquer la stratégie de groupe aux membres du groupe
 CG_DOMISO_NO_IPSEC.
GPO_DOMISO_Boundary
Filtre WMI. Le filtre WMI permet de cet objet de stratégie de groupe appliquer uniquement aux appareils
qui correspondent à la requête WMI suivante:
select * from Win32_OperatingSystem where Version like "6.%" and ProductType = "3"

Remarque: ce qui exclut les contrôleurs de domaine (qui indiquent la valeur ProductType 2). N’incluez
pas de contrôleurs de domaine dans le domaine isolé s’il existe des appareils qui exécutent des versions
de Windows antérieures à Windows Vista et Windows Server 2008.

Filtre de sécurité. Cet objet de stratégie de groupe accorde des autorisations en lecture et appliquer la
stratégie de groupe uniquement sur des appareils qui sont membres du groupe CG_DOMISO_Boundary.
L’objet de stratégie de groupe refuse également explicitement des autorisations en lecture et appliquer la
stratégie de groupe aux membres du groupe CG_DOMISO_NO_IPSEC.
GPO_DOMISO_Encryption
Filtre WMI. Le filtre WMI permet de cet objet de stratégie de groupe appliquer uniquement aux appareils
qui correspondent à la requête WMI suivante:
select * from Win32_OperatingSystem where Version like "6.%" and ProductType = "3"

Remarque: ce qui exclut les contrôleurs de domaine (qui indiquent la valeur ProductType 2). N’incluez
pas de contrôleurs de domaine dans le domaine isolé s’il existe des appareils qui exécutent des versions
de Windows antérieures à Windows Vista et Windows Server 2008.

Filtre de sécurité. Cet objet de stratégie de groupe accorde des autorisations de lecture et appliquer la
stratégie de groupe uniquement sur des appareils qui sont membres du groupe CG_DOMISO_Encryption.
L’objet de stratégie de groupe refuse également explicitement des autorisations de lecture et appliquer la
stratégie de groupe aux membres du groupe CG_DOMISO_NO_IPSEC.
 Annexe A: exemples de fichiers modèles d'objets de
stratégie de groupe (GPO) pour les paramètres
utilisés dans ce guide
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Vous pouvez importer un fichier XML contenant les préférences de Registre personnalisée dans un objet de
stratégie de groupe (GPO ) à l’aide de la fonctionnalité de préférences de la Console de gestion des stratégies de
groupe (GPMC ).
Pour créer manuellement le fichier, générez les paramètres sous Configuration de l’ordinateur, Préférences,
Paramètres Windows, le Registre. Une fois que vous avez créé les paramètres, faites glisser le conteneur sur le
bureau. Un fichier .xml est créé.
Pour importer un fichier .xml dans la console GPMC, faites-le glisser et déposez-le dans le nœud de Registre sous
Configuration de l’ordinateur, les Préférences, Paramètres de Windows. Si vous copiez l’exemple de code
XML suivant dans un fichier, puis faites glisser et déposez dans le nœud de Registre , il crée une collection
d’Isolation de domaine et de serveur avec les clés de six Registre décrites dans ce guide.
L’exemple de fichier suivant utilise le ciblage au niveau de l’élément pour vous assurer que les clés de Registre
sont appliquées uniquement sur les versions de Windows à laquelle elles s’appliquent.

Remarque: le fichier fourni ici concerne exemple d’utilisation uniquement. Il doit être personnalisé pour
répondre aux exigences du déploiement de votre organisation. Pour personnaliser ce fichier, l’importer dans un
objet de stratégie de groupe test, modifier les paramètres, puis faites glisser le nœud de serveur et des
paramètres d’Isolation de domaine sur votre bureau. Le nouveau fichier contient toutes les votre
personnalisation.
<?xml version="1.0" encoding="utf-8"?>

<Collection clsid="{53B533F5-224C-47e3-B01B-CA3B3F3FF4BF}" name="Server and Domain Isolation Settings">

<Registry
clsid="{9CD4B2F4-923D-47f5-A062-E897DD1DAD50}"
name="Enable PMTU Discovery"
status="EnablePMTUDiscovery"
image="12"
changed="2008-05-30 20:37:37"
uid="{52C38FD7-A081-404C-A8EA-B24A9614D0B5}"
desc="&lt;b&gt;Enable PMTU Discovery&lt;/b&gt;&lt;p&gt;
This setting configures whether computers can use PMTU
discovery on the network.&lt;p&gt;
&lt;b&gt;1&lt;/b&gt; -- Enable&lt;br&gt;
&lt;b&gt;0&lt;/b&gt; -- Disable"
bypassErrors="1">
<Properties
action="U"
displayDecimal="1"
default="0"
hive="HKEY_LOCAL_MACHINE"
key="System\CurrentControlSet\Services\TCPIP\Parameters"
name="EnablePMTUDiscovery" type="REG_DWORD" value="00000001"/>
</Registry>

<Registry
clsid="{9CD4B2F4-923D-47f5-A062-E897DD1DAD50}"
name="IPsec Default Exemptions (Vista and W2K8)"
status="NoDefaultExempt"
image="12"
changed="2008-05-30 20:33:32"
uid="{AE5C505D-283E-4060-9A55-70659DFD56B6}"
desc="&lt;b&gt;IPsec Default Exemptions for Windows Server 2008
and later&lt;/b&gt;&lt;p&gt;
This setting determines which network traffic type is exempt
from any IPsec authentication requirements.&lt;p&gt;
&lt;b&gt;0&lt;/b&gt;: Exempts multicast, broadcast, RSVP, Kerberos, ISAKMP&lt;br&gt;
&lt;b&gt;1&lt;/b&gt;: Exempts multicast, broadcast, ISAKMP&lt;br&gt;
&lt;b&gt;2&lt;/b&gt;: Exempts RSVP, Kerberos, ISAKMP&lt;br&gt;
&lt;b&gt;3&lt;/b&gt;: Exempts ISAKMP only"
bypassErrors="1">
<Properties
action="U"
displayDecimal="1"
default="0"
hive="HKEY_LOCAL_MACHINE"
key="SYSTEM\CurrentControlSet\Services\PolicyAgent"
name="NoDefaultExempt"
type="REG_DWORD"
value="00000003"/>
<Filters>
<FilterOs
bool="AND" not="0"
class="NT" version="VISTA"
type="NE" edition="NE" sp="NE"/>
<FilterOs
bool="OR" not="0"
class="NT" version="2K8"
type="NE" edition="NE" sp="NE"/>
</Filters>
</Registry>

</Collection>
 Pare-feu Windows Defender avec le Guide de
déploiement de fonctions avancées de sécurité
17/04/2019 • 4 minutes to read

S'applique à
Windows10
Windows Server2016
Vous pouvez utiliser le pare-feu Windows Defender avec le composant logiciel enfichable MMC de sécurité
avancée avec les appareils exécutant au moins Windows Vista ou Windows Server 2008 pour aider à protéger les
appareils et les données qu’ils partagent un réseau.
Vous pouvez utiliser le pare-feu Windows Defender pour contrôler l’accès à l’appareil à partir du réseau. Vous
pouvez créer des règles qui autorisent ou bloquent le trafic réseau dans chaque direction selon les besoins de
votre entreprise. Vous pouvez également créer connexion IPsec pour aider à protéger vos données lors de son
transit sur le réseau à partir d’un périphérique à des règles de sécurité.

À propos de ce guide
Ce guide est destiné aux administrateurs système et les ingénieurs système. Il fournit des instructions détaillées
pour le déploiement d’un pare-feu Windows Defender avec la conception de fonctions avancées de sécurité que
vous ou architecte système ou spécialiste de l’infrastructure de votre organisation a sélectionné.
Commencez en passant en revue les informations contenues dans la planification du déploiement du pare-feu
Windows Defender avec sécurité avancée.
Si vous n’avez pas encore sélectionné une conception, nous vous conseillons d’attendre de suivre les instructions
dans ce guide jusqu'à une fois que vous avez passé en revue les options de conception dans le Pare-feu Windows
Defender avec le Guide de conception de sécurité avancée et sélectionné les un plus approprié pour votre
organisation.
Une fois que vous sélectionnez votre conception et collectez les informations requises concernant les zones des
systèmes d’exploitation (isolation, limite et chiffrement), à la prise en charge et d’autres détails, vous pouvez
ensuite utiliser ce guide pour déployer votre pare-feu Windows Defender avec sécurité avancée concevez dans
votre environnement de production. Ce guide fournit des étapes pour le déploiement d’une des conceptions
principales suivantes qui sont décrits dans le Guide de conception:
Modèle de conception de stratégie de pare-feu de base
Modèle de conception de stratégie d’isolation de domaine
Modèle de conception de stratégie d’isolation de serveur
Modèle de conception de stratégie d’isolation basée sur les certificats
Utilisez les listes de contrôle dans l’Implémentation de votre pare-feu Windows Defender avec le Plan de
conception de sécurité avancée pour déterminer la meilleure façon d’utiliser les instructions fournies dans ce
guide pour déployer votre conception particulière.

Attention: nous vous recommandons d’utiliser les techniques documentées dans ce guide uniquement pour
les objets de stratégie de groupe qui doivent être déployés dans la plupart des appareils de votre organisation
et uniquement lorsque la hiérarchie d’unité d’organisation dans votre domaine Active Directory ne correspond
 pas à la besoins de déploiement de ces objets de stratégie de groupe. Ces caractéristiques sont courante de
stratégie de groupe pour les scénarios d’isolation de domaine et de serveur, mais ne sont pas typiques de la
plupart des autres objets GPO. Lorsque la hiérarchie d’unité d’organisation prend en charge, déployez un
objet de stratégie de groupe en l’associant à niveau le plus bas d’unité d’organisation qui contient tous les
comptes auquel s’applique la stratégie de groupe.

Dans un environnement d’entreprise de grande taille avec des centaines voire des milliers de stratégie de groupe,
l’utilisation de cette technique avec un trop grand nombre de stratégie de groupe peut entraîner dans les comptes
d’utilisateur ou périphérique qui appartiennent à un trop grand nombre de groupes; Cela peut entraîner des
problèmes de connectivité réseau si les limites de protocole réseau sont dépassées.

Ce que ce guide ne fournit pas

Ce guide ne fournit pas:
Conseils pour créer des règles de pare-feu pour les applications réseau spécifique. Pour ces informations,
voir Les paramètres de planification d’une stratégie de pare-feu de base dans le pare-feu Windows
Defender avec le Guide de conception de sécurité avancée.
Conseils sur la configuration des Services de domaine Active Directory (ADDS ) prendre en charge de la
stratégie de groupe.
Conseils sur la configuration d’autorités de certification (CA) pour créer des certificats pour
l’authentification basée sur le certificat.

Vue d’ensemble du pare-feu Windows Defender avec sécurité avancée

Le pare-feu Windows Defender dans Windows 8, Windows7, Windows Vista, Windows Server 2012, Windows
Server 2008 et Windows Server2008R2 est un pare-feu d’hôte avec état et qui permet de sécuriser l’appareil en
ce qui vous permet de créer des règles qui déterminent le trafic réseau qui est autorisé à entrer l’appareil à partir
du réseau et le réseau sur lequel le trafic de l’appareil est autorisé à envoyer au réseau. Pare-feu Windows
Defender prend également en charge la sécurité du protocole Internet (IPsec), que vous pouvez utiliser pour
demander une authentification à partir de n’importe quel appareil qui tente de communiquer avec votre appareil.
Lorsque l’authentification est requise, les appareils qui ne peut pas être authentifiés en tant qu’un périphérique de
confiance ne peut pas communiquer avec votre appareil. Vous pouvez également utiliser IPsec pour exiger que
certains types de trafic réseau est chiffré pour l’empêcher d’en cours de lecture par des analyseurs de paquet
réseau qui peuvent être connectés au réseau par un utilisateur malveillant.
Le pare-feu Windows Defender avec le composant logiciel enfichable MMC de sécurité avancée est plus souple et
fournit beaucoup plus de fonctionnalités que l’interface du pare-feu Windows Defender conviviales trouvé dans le
panneau de configuration. Les deux interfaces interagissent avec les mêmes services sous-jacent, mais fournissent
différents niveaux d’un contrôle sur ces services. Pendant que le programme de panneau de configuration du
pare-feu Windows Defender peut protéger un seul appareil dans un environnement domestique, il ne fournit pas
des fonctionnalités de sécurité ou de gestion suffisamment centralisées pour contribuer à la sécurisation du trafic
réseau plus complexe trouvé dans une entreprise classique environnement.
Pour plus d’informations sur le pare-feu Windows Defender avec sécurité avancée, voir Le pare-feu Windows
Defender avec la présentation de la sécurité avancée.
 Planification du déploiement du pare-feu Windows
Defender avec sécurité avancée
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Une fois que vous collecter des informations sur votre environnement et décidez sur une conception en suivant les
instructions dans le Pare-feu Windows Defender avec le Guide de conception de sécurité avancée, vous pouvez
commencer à planifier le déploiement de votre conception. Avec le programme de conception et les informations
contenues dans cette rubrique, vous pouvez déterminer les tâches à effectuer pour déployer le pare-feu Windows
Defender avec sécurité avancée de votre organisation.

Examen de votre pare-feu Windows Defender avec la conception de

fonctions avancées de sécurité
Si l’équipe de conception qui créé la conception du pare-feu Windows Defender pour votre organisation est
différente de l’équipe de déploiement qui il implémente, assurez-vous que l’équipe de déploiement passe en revue
la conception finale avec l’équipe de conception. Passez en revue les points suivants:
Stratégie de l’équipe de conception pour déterminer comment WMI et la sécurité des filtres de groupe
attachés à la stratégie de groupe détermine quels appareils s’appliquent à quel objet de stratégie de groupe.
L’équipe de déploiement peut faire référence aux rubriques suivantes dans le pare-feu Windows Defender
avec le Guide de conception de sécurité avancée:
Planification des groupes d’isolation pour les zones
Planification des objets de stratégie de groupe (GPO )
Planification du déploiement des objets de stratégie de groupe (GPO )
La communication à être autorisées entre les membres de chacune des zones dans le domaine isolé et les
appareils qui ne font pas partie du domaine isolé ou les membres de la liste d’exemptions du domaine isolé.
La recommandation que les contrôleurs de domaine sont exemptées des exigences d’authentification IPsec.
Si elles ne sont pas exonérés et l’authentification échoue, les clients du domaine ne peuvent pas être en
mesure de recevoir des mises à jour de la stratégie de groupe pour les règles de sécurité de connexion IPsec
à partir de contrôleurs de domaine.
La logique pour la configuration de toutes les règles d’authentification IPsec de demander, pas besoin,
l’authentification jusqu'à ce que la négociation d’IPsec a été confirmée. Si les règles sont configurées pour
exiger l’authentification avant de confirmer que l’authentification fonctionne correctement, puis les
communications entre les appareils risque d’échouer. Si les règles sont définis pour demander une
authentification uniquement, puis un échec de l’authentification IPsec entraîne un comportement fall-back-
à-clear afin que les communications puisse continuer tandis que les échecs d’authentification sont
examinées.
L’exigence que tous les périphériques qui doivent communiquer entre elles partagent un ensemble commun
de:
 Méthodes d’authentification
Algorithmes d’échange de clé en mode principal
Algorithmes d’intégrité des données en mode rapide
Si au moins un jeu de chaque ne correspond pas entre deux appareils, les appareils ne peuvent pas
communiquer correctement.
Une fois que les équipes de conception et de déploiement acceptez sur ces problèmes, ils peuvent poursuivre le
déploiement de la conception du pare-feu Windows Defender. Pour plus d’informations, voir l’Implémentation de
votre pare-feu Windows Defender avec le Plan de conception de sécurité avancée.
 Implémentation de votre pare-feu Windows Defender
avec le Plan de conception de fonctions avancées de
sécurité
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Les éléments suivants sont des facteurs importants dans l’implémentation de votre plan de conception du pare-feu
Windows Defender:
Stratégie de groupe. Le pare-feu Windows Defender avec sécurité avancée conceptions utilisent beaucoup
de la stratégie de groupe déployé par Active Directory Domain Services (ADDS ). Une sonore infrastructure
de stratégie de groupe est requise pour déployer correctement les règles de pare-feu et les paramètres IPsec
et aux périphériques de votre réseau.
Pare-feu de périmètre. La plupart des organisations utilisent un pare-feu de périmètre pour aider à
protéger les appareils sur le réseau à partir de potentiellement malveillants le trafic réseau entre en dehors
des limites du réseau de l’organisation. Si vous envisagez un déploiement qui inclut une zone limite pour
activer les périphériques externes pour se connecter à des appareils dans cette zone, vous devez autoriser
que le trafic via le pare-feu de périmètre sur les périphériques dans la zone limite.
Les appareils exécutant les systèmes d’exploitation autres que Windows. Si votre réseau comprend
des appareils qui n’exécutent pas le système d’exploitation Windows, puis vous devez vous assurer que
communication requis avec ces périphériques n’est pas bloquée par les restrictions mises en place par votre
conception. Vous devez effectuer l’une des opérations suivantes:
Incluez ces appareils dans le domaine isolé ou la zone en ajoutant l’authentification basée sur le
certificat à votre conception. Beaucoup d’autres systèmes d’exploitation peut participer à un domaine
isolé ou un scénario de serveur isolé, tant que l’authentification basée sur le certificat est utilisée.
Incluez l’appareil dans la liste d’exemptions d’authentification incluse dans votre conception. Vous
pouvez choisir cette option si pour une raison quelconque, l’appareil ne peut pas participer à la
conception de domaine isolé.

L’implémentation de votre pare-feu Windows Defender avec la

conception de fonctions avancées de sécurité à l’aide de ce guide
L’étape suivante dans l’implémentation de votre conception consiste à déterminer l’ordre dans lequel chacune des
étapes de déploiement doit être effectuée. Ce guide utilise des listes de contrôle pour vous aider à accomplir
différentes tâches de déploiement qui sont nécessaires pour implémenter votre plan de conception. Comme le
diagramme suivant illustre, listes de contrôle et subchecklists sont utilisés en fonction des besoins fournir la
procédure de bout en bout pour le déploiement d’une conception.
Utilisez les listes de contrôle parent suivant dans cette section du guide pour vous familiariser avec les tâches de
déploiement pour l’implémentation Windows Defender conception du pare-feu de votre organisation avec sécurité
avancée.
Liste de contrôle: implémentation d’une conception de stratégie de pare-feu de base
Liste de contrôle: implémentation d’un modèle de stratégie d’isolation de domaine
Liste de contrôle: implémentation d’un modèle de stratégie d’isolation de domaine
Liste de contrôle: implémentation d’une conception de stratégie d’isolation basée sur les certificats
Les procédures décrites dans ces listes de contrôle pour utilisent les interfaces du composant logiciel enfichable
MMC Stratégie de groupe pour configurer les règles du pare-feu et de connexion de sécurité dans Stratégie de
groupe, mais vous pouvez également utiliser Windows PowerShell. Pour plus d’informations, voir Le pare-feu
Windows Defender avec l’Administration de la sécurité avancée avec Windows PowerShell. Ce guide recommande
l’utilisation de la stratégie de groupe de manière spécifique pour déployer les règles et les paramètres pour votre
conception. Pour plus d’informations sur le déploiement de vos objets de stratégie de groupe, voir la liste de
vérification et de Déploiement de stratégie de groupe de planification pour les Zones d’Isolation de votre liste de
vérification: création des objets de stratégie de groupe.
 Liste de contrôle: création d'objets de stratégie de
groupe
17/04/2019 • 4 minutes to read

S'applique à
Windows10
Windows Server2016
Pour déployer les règles de sécurité de connexion ou de pare-feu ou des paramètres IPsec ou pare-feu, nous vous
recommandons d’utiliser la stratégie de groupe dans ajoute. Cette section décrit une méthode testée et efficace qui
nécessite un travail initial, mais Office un administrateur du bien à long terme en rendant les affectations de
stratégie de groupe aussi simple que la suppression d’un périphérique dans un groupe d’appartenance.
Les listes de contrôle pour le pare-feu, l’isolation de domaine et l’isolation de serveurs incluent un lien vers cette
liste de vérification.

À propos des groupes d’adhésion

Pour la plupart des tâches de déploiement de stratégie de groupe, vous devez déterminer quels appareils doivent
recevoir et appliquer les objets de stratégie de groupe. Dans la mesure où les différentes versions de Windows
peuvent prendre en charge différents paramètres et des règles pour obtenir un comportement similaire, vous
pouvez avoir besoin de plusieurs objets de stratégie de groupe: une pour chaque système d’exploitation qui
comporte des paramètres différents des autres pour obtenir le même résultat. Par exemple, Windows 10,
Windows 8, Windows7, Windows Vista, Windows Server 2012, Windows Server 2008 et Windows Server2008R2
utilisent les règles et les paramètres qui ne sont pas compatibles avec Windows 2000, Windows XP et Windows
Server 2003. Par conséquent, si votre réseau inclus ces systèmes d’exploitation plus anciens, vous devrez créer un
objet de stratégie de groupe pour chaque ensemble de systèmes d’exploitation qui peuvent partager les
paramètres courants. Pour déployer des règles et des paramètres d’isolation de domaine par défaut, vous pouvez
avoir cinq GPO différentes pour les versions de Windows décrits dans ce guide. En suivant les procédures décrites
dans ce guide, vous devez uniquement un seul groupe d’appartenance pour gérer tous les objets de stratégie de
cinq groupe. Le groupe d’appartenance est identifié dans le filtre de groupe de sécurité pour tous les objets de
stratégie de cinq groupe. Pour appliquer les paramètres à un appareil, vous faites de ce périphérique en compte un
membre du groupe d’appartenance. Les filtres WMI sont utilisés pour vous assurer que l’objet de stratégie de
groupe approprié est appliqué.

À propos des groupes d’exclusion

Un pare-feu Windows Defender avec la conception de fonctions avancées de sécurité doivent prendre souvent
dans des appareils joints au domaine compte sur le réseau qui ne peuvent pas ou ne devez pas appliquer les
règles et les paramètres de stratégie de groupe. Dans la mesure où ces appareils sont généralement moins
exprimée en que les appareils qui doivent s’appliquer la stratégie de groupe, il est plus facile à utiliser le groupe de
membres du domaine dans le groupe d’appartenance de stratégie de groupe, puis placer ces périphériques
d’exception dans un groupe d’exclusions est refusé à appliquer la stratégie de groupe autorisations sur l’objet de
stratégie de groupe. Dans la mesure où refuser des autorisations Autoriser sont prioritaires sur les autorisations,
un appareil qui est un membre d’au groupe d’appartenance et le groupe d’exception ne peut pas appliquer la
stratégie de groupe. Les appareils que se trouvés généralement dans un groupe d’exclusions de stratégie de
groupe pour l’isolation de domaine incluent les contrôleurs de domaine, les serveurs DHCP et les serveurs DNS.
Vous pouvez également utiliser un groupe d’appartenance d’une zone en tant qu’un groupe d’exclusions pour une
autre zone. Par exemple, appareils dans les zones limite et le chiffrement sont techniquement dans la zone
d’isolation de domaine principal, mais il doivent s’appliquer uniquement la stratégie de groupe pour leur rôle. Pour
ce faire, les objets de stratégie de groupe pour la zone d’isolation principale refusent des autorisations d’appliquer
la stratégie de groupe aux membres des zones limite et le chiffrement.
Liste de vérification: Création d’objets de stratégie de groupe

TÂCHE RÉFÉRENCE

Passez en revue les concepts importants et des exemples Identification de votre pare-feu Windows Defender avec
pour le déploiement de GPO de manière que répond le mieux fonctions avancées de sécurité les objectifs de déploiement
aux besoins de votre organisation. Planification du déploiement de stratégie de groupe pour les
zones d’isolation

Créer le groupe d’appartenance dans ajoute qui sera utilisé Créer un compte de groupe dans ActiveDirectory
pour contenir les comptes d’appareil doivent recevoir la
stratégie de groupe.
Si certains périphériques dans le groupe d’appartenance
exécutent un système d’exploitation qui ne prend pas en
charge les filtres WMI, par exemple, Windows2000, créez un
groupe d’exclusions pour contenir les comptes d’appareil pour
les appareils qui ne peuvent pas être bloqués à l’aide d’un
filtre WMI.

Créez un objet de stratégie de groupe pour chaque version de Créer un objet de stratégie de groupe
Windows qui a des besoins d’implémentation différente.

Permet de créer des filtres de groupe pour limiter l’objet de Attribuer des filtres de groupe de sécurité à l’objet de stratégie
stratégie de groupe pour que les périphériques qui sont de groupe
membres du groupe d’appartenance et à exclure les appareils
qui sont membres du groupe d’exclusion de sécurité.

Créer des filtres WMI pour limiter chaque objet de stratégie Créer des filtres WMI pour l’objet de stratégie de groupe
de groupe pour que les périphériques qui correspondent aux (GPO)
critères de filtre.

Si vous travaillez sur un objet de stratégie de groupe qui a été Modifier des filtres d’objet de stratégie de groupe pour les
copié à partir d’un autre, modifier l’appartenance aux groupes appliquer à une autre zone ou version de Windows
et des filtres WMI afin qu’ils soient corrects pour la nouvelle
zone ou version de Windows pour laquelle cet objet de
stratégie de groupe est prévu.

Liez l’objet GPO au niveau du domaine de la hiérarchie d’unité Lier l'objet de stratégie de groupe au domaine
d’organisation Active Directory.

Avant d’ajouter des règles ou configuration de l’objet de Ajouter des appareils de test au groupe d’appartenance d’une
stratégie de groupe, ajoutez quelques appareils de test au zone
groupe d’appartenance et vous assurer que l’objet de
stratégie de groupe approprié est reçu et appliquée à chaque
membre du groupe.
 Liste de contrôle: implémentation d’une conception
de stratégie de pare-feu de base
17/04/2019 • 3 minutes to read

S'applique à
Windows10
Windows Server2016
Cette liste de contrôle parent inclut le renvoi des liens vers des concepts importants concernant la conception de
stratégie de pare-feu de base. Il contient également des liens pour secondaire des listes de contrôle qui vous
aideront à effectuer les tâches qui sont nécessaires pour implémenter cette conception.

Remarque: effectuer les tâches de cette liste dans l’ordre. Lorsqu’un lien de référence vous accédez à une
procédure, revenez à cette rubrique après avoir effectué les étapes décrites dans cette procédure, afin que vous
pouvez poursuivre les reste des tâches de cette liste de vérification.

Les procédures décrites dans cette section utilisent les interfaces du composant logiciel enfichable MMC Stratégie
de groupe pour configurer les objets de stratégie de groupe, mais vous pouvez également utiliser Windows
PowerShell. Pour plus d’informations, voir Le pare-feu Windows Defender avec l’Administration de la sécurité
avancée avec Windows PowerShell.
Liste de vérification: Implémentation d’une conception de stratégie de pare-feu de base

TÂCHE RÉFÉRENCE

Passez en revue les concepts importants et des exemples de la
conception de stratégie de pare-feu de base déterminer si
cette conception répond aux besoins de votre organisation.
Identification de votre pare-feu Windows Defender avec
fonctions avancées de sécurité les objectifs de déploiement
Modèle de conception de stratégie de pare-feu de base
Exemple de modèle de conception de stratégie de pare-feu
Planification des paramètres d'une stratégie de pare-feu de
base

Créer le groupe d’appartenance et un objet de stratégie de Liste de contrôle: création d'objets de stratégie de groupe
groupe pour chaque ensemble de périphériques nécessitant Copier un objet de stratégie de groupe (GPO) pour en créer
des règles de pare-feu différents. WHERE GPO sera similaire, un autre
telles que pour Windows 10 et Windows Server 2016, créer
une stratégie de groupe, configurez-le en utilisant les tâches
dans cette liste de vérification et ensuite effectuer une copie de
l’objet de stratégie de groupe pour l’autre version de Windows.
Par exemple, créer et configurer la stratégie de groupe pour
Windows 10, effectuez une copie de celui-ci pour Windows
Server 2016 et suivez les étapes décrites dans cette liste de
vérification pour apporter les modifications requises quelques
à la copie.

Si vous travaillez sur un objet de stratégie de groupe qui a été Modifier des filtres d’objet de stratégie de groupe pour les
copié à partir d’un autre, modifier l’appartenance au groupe et appliquer à une autre zone ou version de Windows
les filtres WMI afin qu’ils soient appropriés pour les appareils à
laquelle cet objet de stratégie de groupe est destiné.
TÂCHE RÉFÉRENCE

Configurer l’objet de stratégie de groupe avec les paramètres Liste de contrôle: configuration des paramètres de pare-feu de
du pare-feu par défaut appropriées pour votre conception. base

Créer un ou plusieurs des règles de pare-feu entrantes pour Liste de contrôle: création de règles de pare-feu pour le trafic
autoriser le trafic réseau entrant non sollicité. entrant

Créer une ou plusieurs des règles de pare-feu de trafic sortant Liste de contrôle: création des règles de pare-feu pour le trafic
pour bloquer le trafic réseau sortant indésirables. sortant

Liez l’objet GPO au niveau du domaine de la hiérarchie d’unité Lier l'objet de stratégie de groupe au domaine
d’organisation Active Directory.

Ajouter des appareils de test au groupe d’appartenance et Ajouter des appareils de test au groupe d’appartenance d’une
confirmez que les appareils reçoivent les règles de pare-feu à zone
partir de la stratégie de groupe comme prévu.

En fonction de la planification de déploiement et de test dans Ajouter des appareils de production au groupe d’appartenance
votre plan de conception, ajouter des comptes d’appareil au d’une zone
groupe d’appartenance pour déployer les paramètres de
stratégie de pare-feu terminée sur vos appareils.
 Liste de contrôle: configuration des paramètres de
pare-feu de base
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Cette liste de vérification inclut les tâches de configuration d’un objet de stratégie de groupe avec les valeurs par
défaut de pare-feu et les paramètres qui sont distincts à partir des règles.
Liste de vérification: Configuration des paramètres et des valeurs par défaut du pare-feu

TÂCHE RÉFÉRENCE

Activer le pare-feu et définir la valeur par défaut Activer le pare-feu Windows Defender avec fonctions avancées
comportement entrant et sortant. de sécurité et de configurer le comportement par défaut

Configurer le pare-feu pour ne pas afficher les notifications à Configurer le pare-feu Windows Defender avec sécurité
l’utilisateur lorsqu’un programme est bloqué, et pour ignorer avancée pour supprimer les Notifications qu’il a bloqué un
localement défini des règles de sécurité du pare-feu et de programme
connexion.

Configurer le pare-feu pour enregistrer un fichier journal. Configurer le pare-feu Windows Defender avec fonctions
avancées de sécurité journal
 Liste de contrôle: création de règles de pare-feu pour
le trafic entrant
16/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Cette liste de vérification inclut les tâches pour la création de règles de pare-feu dans vos objets de stratégie de
groupe.
Liste de vérification: Création de règles de pare-feu entrantes

TÂCHE RÉFÉRENCE

Créer une règle qui permet à écouter et acceptez le trafic Créer une règle de trafic entrant pour un service ou un
réseau entrant sur tous les ports qu'il requiert un programme. programme

Créer une règle qui autorise le trafic réseau entrant sur un Créer une règle de trafic entrant pour un port
numéro de port spécifié.

Créer une règle qui autorise le trafic réseau ICMP entrant. Créer une règle pour le trafic ICMP entrant

Créer des règles qui autorisent le trafic réseau entrant RPC. Créer des règles de trafic entrant pour la prise en charge des
appels de procédure distante (RPC)

Activer une règle prédéfinie ou un groupe de règles Activer les règles de trafic entrant prédéfinies
prédéfinies. Certaines règles prédéfinies pour les services
réseau de base sont inclus dans le cadre de l’installation de
Windows; d’autres peuvent être créés lorsque vous installez un
nouvelle application ou service réseau.
 Liste de contrôle: création des règles de pare-feu
pour le trafic sortant
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Cette liste de vérification inclut les tâches pour créer des règles de pare-feu de trafic sortant dans votre stratégie de
groupe.

Important: par défaut, le filtrage sortant est désactivé. Étant donné que tout le trafic réseau sortant est
autorisé, règles de trafic sortant sont généralement utilisés pour bloquer le trafic qui n’est pas souhaité sur le
réseau. Toutefois, il s’agit d’une meilleure pratique pour un administrateur peut créer de trafic sortant pour
autoriser les règles pour les applications qui sont approuvées pour une utilisation sur le réseau de
l’organisation. Si vous le faites, puis vous avez la possibilité de définir le comportement de trafic sortant par
défaut pour bloquer, empêchant tout le trafic réseau qui n’est pas spécifiquement autorisé par les règles que
vous créez.

Liste de vérification: Création de règles de pare-feu de trafic sortant pour Windows 8, Windows 7,
Windows Vista, Windows Server 2012, WindowsServer2008 ou Windows Server 2008 R2

TÂCHE RÉFÉRENCE

Créer une règle qui permet à un programme d’envoyer tout le Créer une règle de trafic sortant pour un service ou un
trafic réseau sortant sur n’importe quel port qu'il requiert. programme

Créer une règle qui autorise le trafic réseau sortant sur un Créer une règle de trafic sortant pour un port
numéro de port spécifié.

Activer une règle prédéfinie ou un groupe de règles Activer les règles de trafic sortant prédéfinies
prédéfinies. Certaines règles prédéfinies pour les services
réseau de base sont inclus dans le cadre de l’installation de
Windows; d’autres peuvent être créés lorsque vous installez un
nouvelle application ou service réseau.
 Liste de contrôle: implémentation d’un modèle de
stratégie d’isolation de domaine
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Cette liste de contrôle parent inclut le renvoi des liens vers des concepts importants concernant la conception de
stratégie de l’isolation de domaine. Il contient également des liens pour secondaire des listes de contrôle qui vous
aideront à effectuer les tâches qui sont nécessaires pour implémenter cette conception.

Remarque: effectuer les tâches de cette liste dans l’ordre. Lorsqu’un lien de référence vous accédez à une
procédure, revenez à cette rubrique après avoir effectué les étapes décrites dans cette procédure, afin que vous
pouvez poursuivre les reste des tâches de cette liste de vérification.

Les procédures décrites dans cette section utilisent les composants logiciels enfichables MMC Stratégie de groupe
pour configurer les objets de stratégie de groupe, mais vous pouvez également utiliser Windows PowerShell pour
configurer la stratégie de groupe. Pour plus d’informations, voir Le pare-feu Windows Defender avec
l’Administration de la sécurité avancée avec Windows PowerShell.
Liste de vérification: Implémentation d’une conception de stratégie de l’isolation de domaine

TÂCHE RÉFÉRENCE

Passez en revue important concepts et des exemples de la
conception de stratégie d’isolation de domaine, déterminer
votre pare-feu Windows Defender avec les objectifs de
déploiement de fonctions avancées de sécurité et de
personnaliser cette conception pour répondre aux besoins de
votre organisation.
Identification de votre pare-feu Windows Defender avec
fonctions avancées de sécurité les objectifs de déploiement
Modèle de conception de stratégie d’isolation de domaine
Exemple de modèle de conception de stratégie d’isolation de
domaine
Planification des zones d’isolation de domaine

Créer la stratégie de groupe et de la connexion des règles de Liste de contrôle: configuration des règles pour le domaine
sécurité pour le domaine isolé. isolé

Créer des règles de sécurité pour la zone limite la stratégie de Liste de contrôle: configuration des règles pour la zone limite
groupe et de la connexion.

Créer des règles de sécurité pour la zone de chiffrement de la Liste de contrôle: configuration des règles pour la zone de
stratégie de groupe et de la connexion. chiffrement

Créez la stratégie de groupe et de la connexion des règles de Liste de contrôle: configuration des règles pour une zone de
sécurité pour la zone de serveurs isolés. serveurs isolée

En fonction de la planification de déploiement et de test dans Ajouter des appareils de production au groupe d’appartenance
votre plan de conception, ajouter des comptes d’ordinateur au d’une zone
groupe d’appartenance pour déployer des paramètres et des
règles sur vos ordinateurs.
TÂCHE RÉFÉRENCE

Après avoir vérifié que le trafic réseau est authentifié par IPsec, Modifier des règles pour passer du mode Demander à Exiger
vous pouvez modifier les règles d’authentification pour la zone
de domaine et le chiffrement isolée à partir du mode
demander à exiger.
 Liste de contrôle: configuration des règles pour le
domaine isolé
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Les listes de contrôle suivants incluent des tâches de configuration règles de sécurité de connexion et de
paramètres IPsec dans vos objets de stratégie de groupe pour implémenter une zone principale dans le domaine
isolé.
Liste de vérification: Configuration isolé des règles de domaine

TÂCHE RÉFÉRENCE

Créer un objet de stratégie de groupe pour les ordinateurs Liste de contrôle: création d'objets de stratégie de groupe
dans le domaine isolé un des systèmes d’exploitation en cours Copier un objet de stratégie de groupe (GPO) pour en créer
d’exécution. Une fois que vous avez terminé les tâches dans un autre
cette liste de vérification et configuré la stratégie de groupe
pour cette version de Windows, vous pouvez créer une copie
de ce dernier.

Si vous travaillez sur un objet de stratégie de groupe qui a été Modifier des filtres d’objet de stratégie de groupe pour les
copié à partir d’un autre objet de stratégie de groupe, appliquer à une autre zone ou version de Windows
modifiez l’appartenance aux groupes et des filtres WMI afin
qu’ils soient appropriés à la zone de domaine isolé et la
version de Windows pour laquelle cet objet de stratégie de
groupe est prévu.

Configurer IPsec pour exempter le trafic réseau ICMP tous les Créer une exemption d’authentification pour le trafic ICMP
de la protection IPsec.

Créer une règle qui exempte de tout le trafic réseau vers et à Créer une règle de liste d’exemptions d’authentification
partir d’ordinateurs sur la liste d’exemptions d’IPsec.

Configurer les méthodes de sécurité d’échange de clé (mode Configurer les paramètres d’échange de clé (Mode principal)
principal) et les algorithmes à utiliser.

Configurer les combinaisons d’algorithme de protection (mode Configurer les paramètres de protection des données (Mode
rapide) de données à utiliser. rapide)

Configurer les méthodes d’authentification à utiliser. Configurer les méthodes d’authentification

Créez la règle demandant l’authentification pour tout le trafic Créer une règle de demande d’authentification
réseau entrant.

Liez l’objet GPO au niveau du domaine de la hiérarchie d’unité Lier l'objet de stratégie de groupe au domaine
d’organisation ajoute.
 TÂCHE RÉFÉRENCE

Ajoutez vos ordinateurs de test au groupe d’appartenance Ajouter des appareils de test au groupe d’appartenance d’une
pour le domaine isolé. Veillez à ajouter au moins une pour zone
chaque système d’exploitation pris en charge par un autre
objet GPO dans le groupe.

Vérifiez que les règles de sécurité de connexion Protégez le Vérifier que le trafic réseau est authentifié
trafic réseau vers et depuis les ordinateurs de test.

Ne modifiez pas les règles pour un de vos zones pour exiger une authentification jusqu'à ce que toutes les zones
ont été configurés et fonctionnent correctement.
 Liste de contrôle: configuration des règles pour la
zone limite
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Les listes de contrôle suivants incluent des tâches de configuration règles de sécurité de connexion et de
paramètres IPsec dans vos objets de stratégie de groupe pour implémenter la zone limite dans un domaine isolé.
Les règles pour la zone limite sont généralement les mêmes que celles pour le domaine isolé, à l’exception de la
règle finale reste pour uniquement demander, pas besoin, l’authentification.
Liste de vérification: Configuration des règles de zone limite
Cette liste de vérification part du principe que vous avez déjà créé l’objet de stratégie de groupe pour le domaine
isolé, comme décrit dans liste de vérification: implémentation d’une conception de stratégie de domaine
d’Isolation. Une fois que vous créez une copie de la zone limite, assurez-vous que vous ne modifiez pas la règle de
demander une authentification pour exiger une authentification lorsque vous créez les autres objets GPO.

TÂCHE RÉFÉRENCE

Effectuez une copie de l’isolation de domaine de stratégie de Copier un objet de stratégie de groupe (GPO) pour en créer
groupe pour cette version de Windows pour servir comme un autre
point de départ pour l’objet de stratégie de groupe pour la
zone limite. Contrairement à la stratégie de groupe pour la
zone principale de domaine isolé, cette copie n’est pas
modifiée après le déploiement pour exiger une
authentification.

Si vous travaillez sur une copie d’un objet de stratégie de Modifier des filtres d’objet de stratégie de groupe pour les
groupe, modifiez l’appartenance aux groupes et des filtres appliquer à une autre zone ou version de Windows
WMI afin qu’ils soient appropriés à la zone limite et la version
de Windows pour laquelle cet objet de stratégie de groupe est
prévu.

Liez l’objet GPO au niveau du domaine de la hiérarchie d’unité Lier l'objet de stratégie de groupe au domaine
d’organisation Active Directory.

Ajoutez vos ordinateurs de test au groupe d’appartenance Ajouter des ordinateurs de Test au groupe d’appartenance
pour la zone limite. Veillez à ajouter au moins une pour d’une Zone
chaque système d’exploitation pris en charge par un autre
objet GPO dans le groupe.

Vérifiez que la configuration de sécurité de connexion protège Vérifier que le trafic réseau est authentifié
le trafic réseau avec une authentification quand elle peut et
que le trafic non authentifié est accepté.
 Liste de contrôle: configuration des règles pour la
zone de chiffrement
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Cette liste de vérification inclut les tâches de configuration règles de sécurité de connexion et de paramètres IPsec
dans vos objets de stratégie de groupe pour implémenter une zone de chiffrement dans un domaine isolé.
Règles de la zone de chiffrement sont généralement les mêmes que celles pour le domaine isolé, à l’exception que
la règle principale requiert le chiffrement en plus de l’authentification.
Liste de vérification: Configuration des règles de zone de chiffrement
Cette liste de vérification part du principe que vous avez déjà créé l’objet de stratégie de groupe pour le domaine
isolé, comme décrit dans liste de vérification: implémentation d’une conception de stratégie de domaine
d’Isolation. Vous pouvez ensuite copier ces objets de stratégie de groupe pour une utilisation avec la zone de
chiffrement. Après avoir créé les copies, modifiez la règle principale pour exiger le chiffrement en plus de
l’authentification requise par le reste du domaine isolé.

TÂCHE RÉFÉRENCE

Effectuez une copie du domaine d’isolation de stratégie de Copier un objet de stratégie de groupe (GPO) pour en créer
groupe pour servir comme point de départ pour les objets de un autre
stratégie de groupe pour la zone de chiffrement.

Modifier l’appartenance aux groupes et des filtres WMI afin Modifier des filtres d’objet de stratégie de groupe pour les
qu’ils soient corrects pour la zone de chiffrement et la version appliquer à une autre zone ou version de Windows
de Windows pour laquelle cet objet de stratégie de groupe est
prévu.

Ajoutez les conditions de chiffrement pour la zone. Configurer les règles pour que le chiffrement soit obligatoire

Liez l’objet GPO au niveau du domaine de la hiérarchie d’unité Lier l'objet de stratégie de groupe au domaine
d’organisation Active Directory.

Ajoutez vos ordinateurs de test au groupe d’appartenance Ajouter des ordinateurs de Test au groupe d’appartenance
pour la zone de chiffrement. Veillez à ajouter au moins une d’une Zone
pour chaque système d’exploitation pris en charge par un
autre objet GPO dans le groupe.

Vérifiez que les règles de sécurité de connexion Protégez le Vérifier que le trafic réseau est authentifié
trafic réseau.
 Liste de contrôle: configuration des règles pour une
zone de serveurs isolée
17/04/2019 • 4 minutes to read

S'applique à
Windows10
Windows Server2016
Les listes de contrôle suivantes incluent les tâches de configuration règles de sécurité de connexion et de
paramètres IPsec dans vos objets de stratégie de groupe pour les serveurs dans une zone de serveurs isolés qui
font partie d’un domaine isolé. Pour plus d’informations sur la création d’une zone de serveurs isolés autonomes
qui ne fait pas partie d’un domaine isolé, consultez liste de vérification: implémentation d’une conception de
stratégie de l’Isolation de serveur autonome.
En plus de demander à l’authentification et le chiffrement si vous le souhaitez, serveurs dans une zone de serveurs
isolés sont accessibles uniquement par les utilisateurs ou les appareils qui sont authentifiés membres d’un groupe
d’accès réseau (groupes d’accès réseau). Si vous incluez des comptes d’utilisateurs dans le groupe d’accès réseau,
les restrictions peuvent s’appliquent toujours; ils sont simplement appliquées à la couche d’application, plutôt que
de la couche IP.
Les appareils qui sont en cours d’exécution au moins Windows Vista et Windows Server 2008 peuvent identifier
les appareils et les utilisateurs dans le groupe d’accès réseau dans la mesure où IPsec dans ces versions de
Windows prend en charge AuthIP outre IKE. AuthIP ajoute la prise en charge pour l’authentification basée sur
l’utilisateur.
Les objets de stratégie de groupe pour un serveur isolé ou un groupe de serveurs sont similaires à celles pour le
domaine isolé lui-même ou la zone de chiffrement, si vous avez besoin de chiffrement à vos serveurs isolés. Cette
liste de vérification vous fait référence à des procédures pour la création de règles ainsi que les restrictions qui
autorisent uniquement les membres du groupe d’accès réseau pour se connecter au serveur.
Liste de vérification: Configuration des règles pour les serveurs isolés

TÂCHE RÉFÉRENCE

Créez un objet de stratégie de groupe pour les appareils qui Copier un objet de stratégie de groupe (GPO) pour en créer
doivent avoir accès limité pour le même ensemble de un autre
périphériques clients. S’il existe plusieurs serveurs, et elles
s’exécutent différentes versions du système d’exploitation
Windows, puis démarrez en créant l’objet de stratégie de
groupe pour une version de Windows. Une fois que vous avez
terminé les tâches dans cette liste de vérification et configuré
la stratégie de groupe pour cette version de Windows, vous
pouvez créer une copie de ce dernier.
Copiez l’objet de stratégie de groupe à partir du domaine isolé
ou à partir de la zone de chiffrement pour servir comme point
de départ. Lorsque votre copie contient déjà des éléments
répertoriés dans la liste de vérification suivante, passez en
revue les procédures pertinents et les comparer aux éléments
de votre stratégie de groupe copié pour vous assurer qu’il est
construit d’une manière qui répond aux besoins de la zone
d’isolation de serveur.
 TÂCHE RÉFÉRENCE

Configurer les filtres de groupe de sécurité et les filtres WMI Modifier des filtres d’objet de stratégie de groupe pour les
sur l’objet de stratégie de groupe, afin que seuls les membres appliquer à une autre zone ou version de Windows
du groupe d’appartenance de la zone de serveurs isolés qui
exécutent la version spécifiée de Windows peuvent lire et
l’appliquer.

Configurer IPsec pour exempter le trafic réseau ICMP tous les Créer une exemption d’authentification pour le trafic ICMP
de la protection IPsec.

Configurer les méthodes de sécurité d’échange de clé (mode Configurer les paramètres d’échange de clé (Mode principal)
principal) et les algorithmes à utiliser.

Configurer les combinaisons d’algorithme de protection (mode Configurer les paramètres de protection des données (Mode
rapide) de données à utiliser. Si vous avez besoin de rapide)
chiffrement pour la zone de serveurs isolés, veillez à choisir
uniquement les combinaisons d’algorithmes qui incluent le
chiffrement.

Configurer les méthodes d’authentification à utiliser. Configurer les méthodes d’authentification

Créer une règle qui exempte de tout le trafic réseau vers et Créer une règle de liste d’exemptions d’authentification
depuis les appareils sous la liste d’exemptions d’IPsec.

Créer une règle demandant l’authentification pour tout le Créer une règle de demande d’authentification
trafic réseau.
Important: Comme dans un domaine isolé, ne définissez pas
les règles pour exiger une authentification pour le trafic
entrant jusqu'à ce que vous avez terminé le test. Ainsi, si les
règles ne fonctionnent pas comme prévu, les communications
ne sont pas affectées par un échec d’authentification.

Créer le groupe d’accès réseau pour contenir les comptes Créer un compte de groupe dans ActiveDirectory
d’appareil ou l’utilisateur qui sont autorisées à accéder aux
serveurs dans la zone de serveurs isolés.

Créer une règle de pare-feu qui autorise le trafic réseau Autoriser l’accès serveur aux membres d’un groupe
entrant uniquement si authentifié en tant que membre du uniquement
groupe d’accès réseau.

Liez l’objet GPO au niveau du domaine de la hiérarchie d’unité Lier l'objet de stratégie de groupe au domaine
d’organisation Active Directory.

Ajoutez votre serveur de test au groupe d’appartenance pour Ajouter des appareils de test au groupe d’appartenance d’une
la zone de serveurs isolés. Veillez à ajouter au moins un zone
serveur pour chaque système d’exploitation pris en charge par
un objet de stratégie de groupe dans le groupe.

Ne modifiez pas les règles pour un de vos zones pour exiger une authentification jusqu'à ce que toutes les zones
ont été configurés et fonctionnent correctement.
 Liste de contrôle: implémentation d’une conception
de stratégie d’isolation de serveurs autonomes
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Cette liste de vérification contient des procédures pour la création d’une conception de stratégie de l’isolation de
serveur qui ne fait pas partie d’un domaine isolé. Pour les étapes nécessaires pour créer une zone de serveurs
isolés au sein d’un domaine isolé, consultez liste de vérification: configuration des règles pour une Zone de
serveurs isolée.
Cette liste de contrôle parent inclut le renvoi des liens vers des concepts importants concernant la conception de
stratégie de l’isolation de domaine. Il contient également des liens pour secondaire des listes de contrôle qui vous
aideront à effectuer les tâches qui sont nécessaires pour implémenter cette conception.

Remarque: effectuer les tâches de cette liste dans l’ordre. Lorsqu’un lien de référence vous accédez à une
procédure, revenez à cette rubrique après avoir effectué les étapes décrites dans cette procédure, afin que vous
pouvez poursuivre les reste des tâches de cette liste de vérification.

Liste de vérification: Implémentation d’une conception de stratégie de l’isolation de serveur autonome

TÂCHE RÉFÉRENCE

Passez en revue les concepts importants et des exemples de la
conception de stratégie de l’isolation de serveur déterminer si
cette conception répond à vos objectifs de déploiement et les
besoins de votre organisation.
Identification de votre pare-feu Windows Defender avec
fonctions avancées de sécurité les objectifs de déploiement
Modèle de conception de stratégie d’isolation de serveur
Exemple de modèle de conception de stratégie d’isolation de
serveur
Planification des zones d’isolation de serveur

Créer une stratégie de groupe et des règles de sécurité de Liste de contrôle: configuration des règles pour les serveurs
connexion pour les serveurs isolés. d’une zone de serveurs isolés autonomes

Créer une stratégie de groupe et des règles de sécurité de Liste de contrôle: création des règles pour les clients d’une
connexion pour les appareils du client qui doivent se connecter zone de serveurs isolés autonomes
aux serveurs isolés.

Vérifiez que les règles de sécurité de connexion Protégez le Vérifier que le trafic réseau est authentifié
trafic réseau sur vos appareils de test.

Après avoir vérifié que le trafic réseau est authentifié par IPsec Modifier des règles pour passer du mode Demander à Exiger
comme prévu, vous pouvez modifier les règles
d’authentification pour la zone de serveurs isolé exiger une
authentification au lieu de la demande.

En fonction de la planification de déploiement et de test dans Ajouter des appareils de production au groupe d’appartenance
votre plan de conception, ajouter des comptes d’appareil pour d’une zone
les appareils du client au groupe d’appartenance afin que vous
pouvez déployer ces paramètres.
TÂCHE RÉFÉRENCE
 Liste de contrôle: configuration des règles pour les
serveurs d’une zone de serveurs isolés autonomes
17/04/2019 • 3 minutes to read

S'applique à
Windows10
Windows Server2016
Cette liste de vérification inclut les tâches de configuration règles de sécurité de connexion et de paramètres IPsec
dans vos objets de stratégie de groupe pour les serveurs d’une zone de serveurs isolés autonomes qui ne fait pas
partie d’un domaine isolé. En plus de demander à l’authentification et le chiffrement si vous le souhaitez, serveurs
dans une zone d’isolation de serveur sont accessibles uniquement par les utilisateurs ou les périphériques qui sont
authentifiés en tant que membres d’un groupe d’accès réseau (groupes d’accès réseau). Les objets de stratégie de
groupe décrits ici s’appliquent uniquement aux serveurs isolés, pas sur les périphériques de client qui s’y connecter.
Pour les objets GPO pour les appareils du client, voir liste de vérification: création de règles pour les Clients d’une
Zone de serveurs autonomes isolé.
Les objets de stratégie de groupe pour les serveurs isolés sont semblables à celles d’un domaine isolé. Cette liste
de vérification vous fait référence à ces procédures pour la création de certaines règles. Les autres procédures
décrites dans cette liste de contrôle sont pour la création de restrictions qui autorisent uniquement les membres du
groupe d’accès du serveur pour se connecter au serveur.
Liste de vérification: Configuration des règles pour les serveurs isolés

TÂCHE RÉFÉRENCE

Créez un objet de stratégie de groupe pour les appareils qui Liste de contrôle: création d'objets de stratégie de groupe
doivent avoir accès limité pour le même ensemble de Copier un objet de stratégie de groupe (GPO) pour en créer
périphériques clients. S’il existe plusieurs serveurs exécutant un autre
différentes versions du système d’exploitation Windows,
commencez par créer l’objet de stratégie de groupe pour une
version de Windows. Une fois que vous avez terminé les
tâches dans cette liste de vérification et configuré la stratégie
de groupe pour cette version de Windows, vous pouvez créer
une copie de ce dernier.

Si vous travaillez sur une copie d’un objet de stratégie de Modifier des filtres d’objet de stratégie de groupe pour les
groupe, modifiez l’appartenance aux groupes et des filtres appliquer à une autre zone ou version de Windows
WMI afin qu’ils soient appropriés pour les appareils pour
laquelle cet objet de stratégie de groupe est prévu.

Configurer IPsec pour exempter le trafic réseau ICMP tous les Créer une exemption d’authentification pour le trafic ICMP
de la protection IPsec.

Créer une règle qui exempte de tout le trafic réseau vers et Créer une règle de liste d’exemptions d’authentification
depuis les appareils sous la liste d’exemptions d’IPsec.

Configurer les méthodes de sécurité d’échange de clé (mode Configurer les paramètres d’échange de clé (Mode principal)
principal) et les algorithmes à utiliser.
 TÂCHE RÉFÉRENCE

Configurer les combinaisons d’algorithme de protection (mode Configurer les paramètres de protection des données (Mode
rapide) de données à utiliser. rapide)

Configurer les méthodes d’authentification à utiliser. Cette Configurer les méthodes d’authentification
procédure définit les paramètres par défaut pour l’appareil. Si
vous souhaitez définir l’authentification sur une fonction de la
règle, cette procédure est facultative.

Créer une règle demandant l’authentification pour tout le Créer une règle de demande d’authentification
trafic réseau entrant.

Important: Comme dans un domaine isolé, ne définissez pas

les règles pour exiger une authentification jusqu'à ce que votre
test est terminé. Ainsi, si les règles ne fonctionnent pas
comme prévu, les communications ne sont pas affectées par
un échec d’authentification.

Si votre conception requiert le chiffrement en plus de Configurer les règles pour que le chiffrement soit obligatoire
l’authentification pour l’accès aux serveurs isolés, puis modifiez
la règle pour l’exige.

Créer le groupe d’accès réseau pour contenir les comptes Créer un compte de groupe dans ActiveDirectory
d’appareil ou l’utilisateur qui sont autorisées à accéder aux
serveurs isolés. Si vous avez plusieurs groupes de serveurs
isolés qui ne sont accessibles par plusieurs périphériques
client, puis créez un groupe d’accès réseau pour chaque
ensemble de serveurs.

Créer une règle de pare-feu qui autorise le trafic réseau Autoriser l’accès serveur aux membres d’un groupe
entrant uniquement si elle est authentifié à partir d’un uniquement
utilisateur ou un périphérique qui est membre du groupe
d’accès réseau de la zone.

Liez l’objet GPO au niveau du domaine de la hiérarchie d’unité Lier l'objet de stratégie de groupe au domaine
d’organisation Active Directory.

Ajoutez votre serveur de test au groupe d’appartenance pour Ajouter des appareils de test au groupe d’appartenance d’une
la zone de serveurs isolés. Veillez à ajouter au moins une pour zone
chaque système d’exploitation pris en charge par un autre
objet GPO dans le groupe.

Ne modifiez pas les règles pour un de vos zones pour exiger une authentification jusqu'à ce que toutes les zones
ont été configurés et testés de manière approfondie.
 Liste de contrôle: création des règles pour les clients
d’une zone de serveurs isolés autonomes
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Cette liste de vérification inclut les tâches de configuration règles de sécurité de connexion et de paramètres IPsec
dans les objets de stratégie de groupe pour les périphériques clients qui doivent se connecter à des serveurs dans
une zone de serveurs isolés.
Liste de vérification: Configuration isolé serveur horaire règles du client

TÂCHE RÉFÉRENCE

Créer un objet de stratégie de groupe pour le client de
périphériques qui doit se connecter à des serveurs dans la
zone de serveurs isolés, et qui exécutent une des versions de
Windows. Une fois que vous avez terminé les tâches de cette
liste, vous pouvez effectuer une copie de celui-ci.
Liste de contrôle: création d'objets de stratégie de groupe
Copier un objet de stratégie de groupe (GPO) pour en créer
un autre

Pour déterminer quels appareils reçoivent la stratégie de Modifier des filtres d’objet de stratégie de groupe pour les
groupe, attribuez le groupe d’accès réseau pour les serveurs appliquer à une autre zone ou version de Windows
isolés pour le filtre de groupe de sécurité pour l’objet de
stratégie de groupe. Assurez-vous que chaque objet de
stratégie de groupe a le filtre WMI pour la version appropriée
de Windows.

Configurer IPsec pour exempter le trafic réseau ICMP tous les Créer une exemption d’authentification pour le trafic ICMP
de la protection IPsec.

Créer une règle qui exempte de tout le trafic réseau vers et Créer une règle de liste d’exemptions d’authentification
depuis les appareils sous la liste d’exemptions d’IPsec.

Configurer les méthodes de sécurité d’échange de clé (mode Configurer les paramètres d’échange de clé (Mode principal)
principal) et les algorithmes à utiliser.

Configurer les combinaisons d’algorithme de protection (mode Configurer les paramètres de protection des données (Mode
rapide) de données à utiliser. rapide)

Configurer les méthodes d’authentification à utiliser. Configurer les méthodes d’authentification

Créer une règle demandant l’authentification pour le trafic Créer une règle de demande d’authentification
réseau. Étant donné que le comportement de secours-à-clear
dans Windows Vista et Windows Server 2008 sans délai lors
de la communication avec les appareils qui ne peuvent pas
utiliser IPsec, vous pouvez utiliser la même règle à tout utilisée
dans un domaine isolé.
TÂCHE RÉFÉRENCE

Liez l’objet GPO au niveau du domaine de la hiérarchie d’unité Lier l'objet de stratégie de groupe au domaine
d’organisation Active Directory.

Ajoutez vos appareils de test au groupe d’accès réseau pour la Ajouter des appareils de test au groupe d’appartenance d’une
zone de serveurs isolés. Veillez à ajouter au moins une pour zone
chaque système d’exploitation pris en charge par un autre
objet GPO dans le groupe.
 Liste de contrôle: implémentation d’une conception
de stratégie d’isolation basée sur les certificats
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Cette liste de contrôle parent inclut renvoi des liens vers des concepts importants concernant l’utilisation de
certificats comme une option d’authentification dans soit une isolation serveur ou d’isolation de domaine.

Remarque: effectuer les tâches de cette liste dans l’ordre. Lorsqu’un lien de référence vous amène à une
procédure, revenez à cette rubrique après avoir effectué les étapes décrites dans cette procédure, afin que vous
pouvez poursuivre les reste des tâches de cette liste de contrôle

Liste de vérification: Implémentation d’authentification par certificat

TÂCHE RÉFÉRENCE

Passez en revue les concepts importants et des exemples pour
l’authentification basée sur les certificats déterminer si cette
conception répond à vos objectifs de déploiement et les
besoins de votre organisation.
Identification de votre pare-feu Windows Defender avec
fonctions avancées de sécurité les objectifs de déploiement
Modèle de conception de stratégie d’isolation basée sur les
certificats
Exemple de modèle de conception de stratégie d’isolation
basée sur les certificats
Planification de l’authentification basée sur les certificats

Installez le rôle Services de certificats Active Directory (ADCS)

en tant que racine une entreprise en émettant une autorité de
certification (CA). Cette étape est nécessaire uniquement si
vous n’avez pas encore déployé une autorité de certification
sur votre réseau.

Configurer le modèle de certificat pour les certificats Configurer le modèle de certificat d’authentification de station
d’authentification de station de travail. de travail

Stratégie de groupe de configurer pour déployer Configurer la stratégie de groupe pour l’inscription
automatiquement des certificats basés sur votre modèle sur automatique et le déploiement des certificats
des appareils de la station de travail.

Sur un appareil de test, actualiser la stratégie de groupe et S’assurer que les certificats sont déployés correctement
vérifiez que le certificat est installé.
 Procédures utilisées dans ce guide
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Les procédures décrites dans cette section s’affichent dans les listes de contrôle trouvés précédemment dans ce
document. Ils doivent être utilisés uniquement dans le contexte des listes de contrôle dans lequel elles apparaissent.
Elles sont présentées ici dans l’ordre alphabétique.
Ajouter des appareils de production au groupe d’appartenance d’une zone
Ajouter des appareils de test au groupe d’appartenance d’une zone
Attribuer des filtres de groupe de sécurité à l’objet de stratégie de groupe
Modifier des règles pour passer du mode Demander à Exiger
Configurer les méthodes d’authentification
Configurer les paramètres de protection des données (Mode rapide)
Configurer la stratégie de groupe pour l’inscription automatique et le déploiement des certificats
Configurer les paramètres d’échange de clé (Mode principal)
Configurer les règles pour que le chiffrement soit obligatoire
Configurer le pare-feu Windows Defender avec fonctions avancées de sécurité journal
Configurer le modèle de certificat d’authentification de station de travail
Configurer le pare-feu Windows Defender avec sécurité avancée pour supprimer les Notifications qu’il a
bloqué un programme
S’assurer que les certificats sont déployés correctement
Copier un objet de stratégie de groupe (GPO ) pour en créer un autre
Créer un compte de groupe dans ActiveDirectory
Créer un objet de stratégie de groupe
Créer une règle de liste d’exemptions d’authentification
Créer une règle de demande d’authentification
Créer une règle pour le trafic ICMP entrant
Créer une règle de trafic entrant pour un port
Créer une règle de trafic entrant pour un service ou un programme
Créer une règle de trafic sortant pour un port
Créer une règle de trafic sortant pour un service ou un programme
Créer des règles de trafic entrant pour la prise en charge des appels de procédure distante (RPC )
Créer des filtres WMI pour l’objet de stratégie de groupe (GPO )
Activer les règles de trafic entrant prédéfinies
Activer les règles de trafic sortant prédéfinies
Créer une exemption d’authentification pour le trafic ICMP
Lier l’objet de stratégie de groupe au domaine
Modifier des filtres d’objet de stratégie de groupe pour les appliquer à une autre zone ou version de
Windows
Ouvrir la Console de gestion des stratégies de groupe pour accéder aux stratégies de sécuritéIP
Ouvrez la Console de gestion de stratégie de groupe du pare-feu Windows Defender avec sécurité avancée
Ouvrez le pare-feu Windows Defender avec sécurité avancée
Autoriser l’accès serveur aux membres d’un groupe uniquement
Activer le pare-feu Windows Defender avec fonctions avancées de sécurité et de configurer le
comportement par défaut
Vérifier que le trafic réseau est authentifié
 Ajouter des appareils de test au groupe
d’appartenance d’une zone
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Avant de déployer vos règles sur un grand nombre d’appareils, vous devez tester soigneusement les règles pour
vous assurer que les communications fonctionnent comme prévu. Un filtre WMI mal placé ou une adresse IP
incorrect dans une liste de filtres peut facilement bloquer les communications entre les appareils. Bien que nous
recommandons que vous définissez vos règles pour demander le mode jusqu'à ce que le test et le déploiement est
terminé, nous vous recommandons également de déployer initialement les règles pour un petit nombre d’appareils
uniquement pour vous assurer que les objets de stratégie de groupe appropriés sont traitées par chaque appareil.
Ajoutez au moins un périphérique de chaque type de système d’exploitation pris en charge pour chaque groupe
d’appartenance. Vérifiez que chaque objet de stratégie de groupe pour une version spécifique de Windows et le
groupe d’abonnement est un appareil entre le groupe de test. Une fois que la stratégie de groupe a été actualisée
sur chaque appareil de test, vérifiez la sortie de la commande gpresult pour confirmer que chaque appareil reçoit
uniquement les objets GPO qu'elle est censée pour recevoir.
Informations d’identification d’administration
Pour effectuer ces procédures, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour modifier l’appartenance au groupe pour l’objet de stratégie de groupe.
Dans cette rubrique:
Ajouter les appareils de test pour les groupes d’appartenance de stratégie de groupe
Actualiser la stratégie de groupe sur les appareils dans chaque groupe d’appartenance
Vérifiez les objets GPO s’appliquant à un appareil

Pour ajouter des appareils de test pour les groupes d’appartenance de

stratégie de groupe
1. Ouvrez Utilisateurs et ordinateurs Active Directory.
2. Dans le volet de navigation, développez utilisateurs Active Directory et des ordinateurs, développez
votre_domaineet puis développez le conteneur qui contient votre compte de groupe d’appartenance.
3. Dans le volet d’informations, double-cliquez sur le groupe d’appartenance de stratégie de groupe auquel
vous souhaitez ajouter des appareils.
4. Sélectionnez l’onglet membres , puis cliquez sur Ajouter.
5. Tapez le nom de l’appareil dans la zone de texte, puis cliquez sur OK.
6. Répétez les étapes 5 et 6 pour chaque compte d’appareil supplémentaires ou le groupe que vous souhaitez
ajouter.
7. Cliquez sur OK pour fermer la boîte de dialogue des propriétés de groupe.
Une fois un périphérique est un membre du groupe, vous pouvez forcer une actualisation de la stratégie de groupe
sur l’appareil.

Pour actualiser la stratégie de groupe sur un appareil

À partir d’une invite de commandes avec élévation de privilèges, exécutez la commande suivante:

gpupdate /target:device /force

Après l’actualisation de la stratégie de groupe, vous pouvez voir les objets de stratégie de groupe sont
actuellement appliquées à l’appareil.

Pour voir les objets de stratégie de groupe sont appliquées à un

appareil
À partir d’une invite de commandes avec élévation de privilèges, exécutez la commande suivante:

gpresult /r /scope:computer
 Attribuer des filtres de groupe de sécurité à l’objet de
stratégie de groupe
17/04/2019 • 3 minutes to read

S'applique à
Windows10
Windows Server2016
Pour vous assurer que votre objet de stratégie de groupe est appliquée aux ordinateurs appropriés, utilisez le
composant logiciel enfichable MMC de gestion de stratégie de groupe pour affecter des filtres de groupe de
sécurité à l’objet de stratégie de groupe.

IMPORTANT
Ce guide de déploiement utilise la méthode de l’ajout du groupe ordinateurs du domaine au groupe d’appartenance pour le
domaine isolé principal une fois que le test est terminé et vous êtes prêt à passer en production. Pour que cette méthode
fonctionne, vous devez empêcher n’importe quel ordinateur membre de zone de la limite ou le chiffrement de l’application de
l’objet de stratégie de groupe pour le domaine isolé principal. Par exemple, sur la stratégie de groupe pour le domaine isolé
principal, refuser des autorisations en lecture et appliquer la stratégie de groupe pour les groupes d’appartenance pour les
zones limite et le chiffrement.

Informations d’identification d’administration

Pour effectuer ces procédures, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour modifier les objets GPO concernés.
Dans cette rubrique:
Autoriser les membres d’un groupe appliquer une stratégie de groupe
Empêcher les membres d’un groupe d’appliquer une stratégie de groupe

Pour permettre aux membres d’un groupe appliquer une stratégie de

groupe
Utilisez la procédure suivante pour ajouter un groupe au filtrage de sécurité sur l’objet de stratégie de groupe qui
permet aux membres du groupe appliquer la stratégie de groupe.
1. Ouvrez la console de gestion des stratégies de groupe.
2. Dans le volet de navigation, recherchez et puis cliquez sur l’objet de stratégie de groupe que vous souhaitez
modifier.
3. Dans le volet d’informations, sous le Filtrage de sécurité, cliquez sur Utilisateurs authentifiés, puis
cliquez sur Supprimer.
 NOTE
Vous devez supprimer l’autorisation par défaut accordée à tous les utilisateurs authentifiés et les ordinateurs pour
restreindre l’objet GPO uniquement aux groupes que vous spécifiez. Si l’objet de stratégie de groupe contient les
paramètres de l’utilisateur, le groupe Utilisateurs authentifiés est supprimé et le filtrage de sécurité nouvelle est
ajouté à l’aide d’un groupe de sécurité qui contient uniquement les comptes d’utilisateur, l’objet de stratégie de
groupe peut échouer à appliquer. Détails et les différentes solutions de contournement sont mentionnées dans ce
blog Microsoft.

4. Cliquez sur Ajouter.

5. Dans la boîte de dialogue Sélectionner un utilisateur, les ordinateurs ou les groupes , tapez le nom du
groupe dont les membres sont à appliquer la stratégie de groupe, puis cliquez sur OK. Si vous ne
connaissez pas le nom, vous pouvez cliquer sur Avancé pour parcourir la liste des groupes disponibles
dans le domaine.

Pour empêcher les membres d’un groupe d’appliquer une stratégie de

groupe
Utilisez la procédure suivante pour ajouter un groupe au filtrage de sécurité sur l’objet de stratégie de groupe qui
empêche des membres du groupe d’appliquer la stratégie de groupe. Cela est généralement utilisée pour
empêcher les membres des zones limite et le chiffrement de l’application de la stratégie de groupe pour le
domaine isolé.
1. Ouvrez la console de gestion des stratégies de groupe.
2. Dans le volet de navigation, recherchez et puis cliquez sur l’objet de stratégie de groupe que vous souhaitez
modifier.
3. Dans le volet d’informations, cliquez sur l’onglet délégation .
4. Cliquez sur Avancé.
5. Sous la liste des noms d’utilisateur ou de groupe , cliquez sur Ajouter.
6. Dans la boîte de dialogue Sélectionner un utilisateur, les ordinateurs ou les groupes , tapez le nom du
groupe dont les membres doivent être empêché d’appliquer la stratégie de groupe, puis cliquez sur OK. Si
vous ne connaissez pas le nom, vous pouvez cliquer sur Avancé pour parcourir la liste des groupes
disponibles dans le domaine.
7. Sélectionnez le groupe dans la liste des noms d’utilisateur ou de groupe et puis activez la case dans la
colonne Refuser pour la lecture et Appliquer la stratégie de groupe.
8. Cliquez sur OK, puis cliquez sur Ouidans la boîte de dialogue Sécurité de Windows .
9. Le groupe apparaît dans la liste avec des autorisations personnalisées .
 Modifier des règles pour passer du mode Demander
à Exiger
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Après avoir vérifié que le trafic réseau est correctement protégé à l’aide de IPsec, vous pouvez modifier les règles
pour les zones d’isolation et le chiffrement de domaine exige, au lieu de la demande, l’authentification. Ne modifiez
pas les règles pour la zone limite; ils doivent rester en mode de requête afin que les périphériques dans la zone
limite peuvent continuer à accepter les connexions à partir d’appareils qui ne font pas partie du domaine isolé.
Informations d’identification d’administration
Pour effectuer ces procédures, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour modifier les objets de stratégie de groupe.
Dans cette rubrique:
Convertir une règle à partir du mode demander à exiger
Appliquer des GPO modifiés pour les appareils du client

Pour convertir une règle à partir du mode demander à exiger

1. Ouvrez la Console de gestion de stratégie de groupe pour le pare-feu Windows Defender avec sécurité
avancée.
2. Dans le volet de navigation de droite, cliquez sur Les règles de sécurité de connexion.
3. Dans le volet d’informations, double-cliquez sur la règle de sécurité de connexion que vous souhaitez
modifier.
4. Cliquez sur l’onglet de l’authentification .
5. Dans la section Configuration requise , changer le mode d’authentification pour Exiger entrant et
demander sortant, puis cliquez sur OK.

Pour appliquer des GPO modifiés pour les appareils du client

1. La prochaine fois que chaque appareil actualise sa stratégie de groupe, il recevra la mise à jour de la
stratégie de groupe et appliquer la règle modifiée. Pour forcer une actualisation immédiate, exécutez la
commande suivante à partir d’une invite de commandes avec élévation de privilèges:

gpupdate /force

2. Pour vérifier que l’objet de stratégie de groupe modifié est appliquée correctement sur les périphériques de
client, vous pouvez exécuter la commande suivante:
 gpresult /r /scope computer

3. Examinez la sortie de commande pour obtenir la liste des objets de stratégie de groupe qui s’appliquent à
l’appareil et vous assurer que la liste contient les objets de stratégie de groupe vous pouvez voir sur cet
appareil.
 Configurer les méthodes d’authentification
17/04/2019 • 4 minutes to read

S'applique à
Windows10
Windows Server2016
Cette procédure vous montre comment configurer les méthodes d’authentification qui peuvent être utilisées par
les ordinateurs dans un domaine isolé ou la zone de serveurs isolés autonomes.

Remarque: si vous suivez les étapes décrites dans la procédure décrite dans cette rubrique, vous modifiez les
paramètres par défaut à l’échelle du système. N’importe quelle règle de sécurité de connexion peut utiliser ces
paramètres en spécifiant la valeur par défaut sur l’onglet de l’authentification .

Informations d’identification d’administration

Pour effectuer ces procédures, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour modifier les objets de stratégie de groupe.
Pour configurer les méthodes d’authentification
1. Ouvrez la Console GPMC pare-feu Windows Defender avec sécurité avancée.
2. Dans le volet d’informations sur le pare-feu Windows Defender principale avec la page de sécurité
avancée, cliquez sur Propriétés du pare-feu Windows Defender.
3. Dans l’onglet Paramètres IPsec , cliquez sur Personnaliser.
4. Dans la section de la Méthode d’authentification , sélectionnez le type d’authentification que vous
souhaitez utiliser parmi les éléments suivants:
a. Par défaut: Cette option indique à l’ordinateur à utiliser la méthode d’authentification actuellement
définie par l’administrateur local dans le pare-feu Windows Defender ou par la stratégie de groupe
en tant que la valeur par défaut.
b. Ordinateur et utilisateur (à l’aide de KerberosV5). Cette option indique à l’ordinateur à utiliser
et nécessitent une authentification de l’ordinateur et l’utilisateur actuellement connecté à l’aide de
leurs informations d’identification de domaine.
c. Ordinateur (en utilisant KerberosV5). Cette option indique à l’ordinateur à utiliser et nécessitent
une authentification de l’ordinateur à l’aide de ses informations d’identification de domaine. Cette
option fonctionne avec d’autres ordinateurs qui peuvent utiliser IKEv1, y compris les versions
antérieures de Windows.
d. Utilisateur (en utilisant KerberosV5). Cette option indique à l’ordinateur à utiliser et nécessitent
une authentification de l’utilisateur actuellement connecté à l’aide de ses propres informations
d’identification de domaine.
e. Certificat d’ordinateur à partir de cette autorité de certification. Cette option et entrez
l’identification d’une autorité de certification (CA) indique à l’ordinateur à utiliser et exiger une
authentification à l’aide d’un certificat émis par l’autorité de certification sélectionnée. Si vous
activez également accepter uniquement des certificats d’intégrité, alors que les certificats qui
incluent l’authentification d’intégrité système amélioré l’utilisation de la clé (EKU ) généralement
 fournie dans une infrastructure de Protection d’accès réseau (NAP ) peut être utilisé pour cette règle.
f. Avancées. Cliquez sur Personnaliser pour spécifier une combinaison de méthodes
d’authentification requis pour votre scénario. Vous pouvez spécifier une première méthode
d’authentification et une deuxième méthode d’authentification.
La première méthode d’authentification peut être l’une des opérations suivantes:
Ordinateur (KerberosV5). Cette option indique à l’ordinateur à utiliser et nécessitent une
authentification de l’ordinateur à l’aide de ses informations d’identification de domaine. Cette
option fonctionne avec d’autres ordinateurs qui peuvent utiliser IKEv1, y compris les versions
antérieures de Windows.
Ordinateur (NTLMv2). Cette option indique à l’ordinateur à utiliser et nécessitent une
authentification de l’ordinateur à l’aide de ses informations d’identification de domaine. Cette
option fonctionne uniquement avec d’autres ordinateurs qui peuvent utiliser AuthIP.
Authentification basée sur l’utilisateur à l’aide de KerberosV5 n’est pas pris en charge par
IKEv1.
Certificat d’ordinateur à partir de cette autorité de certification (CA ). Cette option et
entrez l’identification d’une autorité de certification indique à l’ordinateur à utiliser et exiger
une authentification à l’aide d’un certificat émis par cette autorité de certification. Si vous
activez également accepter uniquement des certificats d’intégrité, puis uniquement les
certificats émis par un serveur NAP peuvent être utilisés.
Clé prépartagée (non recommandé). Cette méthode et en entrant une clé prépartagée
indique à l’ordinateur pour s’authentifier en échangeant les clés pré-partagées. Si elles
correspondent, l’authentification réussit. Cette méthode n’est pas recommandée et est incluse
pour la compatibilité descendante et à des fins de tests uniquement.
Si vous sélectionnez la première authentification est facultative, la connexion peut réussir
même en cas d’échec de la tentative d’authentification spécifiée dans cette colonne.
La deuxième méthode d’authentification peut être l’une des opérations suivantes:
Utilisateur (KerberosV5). Cette option indique à l’ordinateur à utiliser et nécessitent une
authentification de l’utilisateur actuellement connecté à l’aide de ses propres informations
d’identification de domaine. Cette méthode d’authentification fonctionne uniquement avec
d’autres ordinateurs qui peuvent utiliser AuthIP. Authentification basée sur l’utilisateur à
l’aide de KerberosV5 n’est pas pris en charge par IKEv1.
Utilisateur (NTLMv2). Cette option, l’ordinateur à utiliser et nécessitent une authentification
de l’utilisateur actuellement connecté à l’aide de ses propres informations d’identification de
domaine et utilise le protocole NTLMv2 au lieu de KerberosV5. Cette méthode
d’authentification fonctionne uniquement avec d’autres ordinateurs qui peuvent utiliser
AuthIP. Authentification basée sur l’utilisateur à l’aide de KerberosV5 n’est pas pris en charge
par IKEv1.
Certificat d’intégrité de l’utilisateur à partir de cette autorité de certification (CA ).
Cette option et entrez l’identification d’une autorité de certification indique à l’ordinateur à
utiliser et nécessite l’authentification basée sur l’utilisateur à l’aide d’un certificat émis par
l’autorité de certification spécifiée. Si vous sélectionnez également Activer le certificat vers
le mappage de compte, le certificat peut être associé à un utilisateur dans Active Directory
à des fins d’accorder ou refuser l’accès aux utilisateurs et groupes d’utilisateurs spécifiés.
Certificat d’intégrité de l’ordinateur à partir de cette autorité de certification (CA ).
Cette option et entrez l’identification d’une autorité de certification indique à l’ordinateur à
 utiliser et exiger une authentification à l’aide d’un certificat émis par l’autorité de certification
spécifiée. Si vous activez également accepter uniquement des certificats d’intégrité,
alors que les certificats qui incluent l’authentification d’intégrité système QU'EKU
généralement fourni dans une infrastructure NAP peuvent servir de cette règle.
Si vous sélectionnez la seconde authentification est facultative, la connexion peut réussir même
en cas d’échec de la tentative d’authentification spécifiée dans cette colonne.

Important: vous assurer que vous ne sélectionnez pas les cases à cocher pour rendre les
première et deuxième authentifications facultative. Ainsi, les connexions de texte brut chaque
fois que l’authentification échoue.

5. Cliquez sur OK dans chaque boîte de dialogue pour enregistrer vos modifications et revenir à l’éditeur de
gestion de stratégie de groupe.
 Configurer les paramètres de protection des données
(Mode rapide)
17/04/2019 • 4 minutes to read

S'applique à
Windows10
Windows Server2016
Cette procédure vous montre comment configurer les paramètres de protection (mode rapide) de données pour
les règles de sécurité de connexion dans un domaine isolé ou une zone de serveurs isolés autonomes.
Informations d’identification d’administration
Pour effectuer ces procédures, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour modifier les objets de stratégie de groupe.
Pour configurer les paramètres de mode rapide
1. Ouvrez la Console de gestion de stratégie de groupe pour le pare-feu Windows Defender avec sécurité
avancée.
2. Dans le volet d’informations sur le pare-feu Windows Defender principale avec la page de sécurité avancée,
cliquez sur Propriétés du pare-feu Windows Defender.
3. Dans l’onglet Paramètres IPsec , cliquez sur Personnaliser.
4. Dans la section de la protection des données (Mode rapide) , cliquez sur Avancé, puis cliquez sur
Personnaliser.
5. Si vous avez besoin de chiffrement pour tout le trafic réseau dans la zone spécifiée, puis vérifiez Exiger le
chiffrement pour toutes les règles de sécurité de connexion qui utilisent ces paramètres. Cette
option désactive la section de l’intégrité des données et vous oblige à sélectionner uniquement les
algorithmes d’intégrité qui sont associées à un algorithme de chiffrement. Si vous ne sélectionnez pas cette
option, vous pouvez utiliser uniquement les algorithmes de l’intégrité des données. Avant de sélectionner
cette option, envisagez de l’impact sur les performances et l’augmentation du trafic réseau qui se traduit.
Nous vous recommandons d’utiliser ce paramètre uniquement sur le trafic réseau nécessitant
véritablement, telles que vers et à partir d’ordinateurs dans la zone de chiffrement.
6. Si vous ne sélectionnez pas Exiger le chiffrement, puis sélectionnez les algorithmes de l’intégrité des
données que vous voulez utiliser pour aider à protéger les sessions de données entre les deux ordinateurs.
Si les algorithmes de l’intégrité des données affichées dans la liste ne sont pas ce que vous souhaitez, puis
effectuer les opérations suivantes:
a. À partir de la colonne de gauche, supprimer les algorithmes de l’intégrité des données que vous ne
souhaitez pas en sélectionnant l’algorithme, puis cliquez sur Supprimer.
b. Ajoutez tous les algorithmes de l’intégrité des données requises en cliquant sur Ajouter, sélectionner
le protocole approprié (ESP ou AH) et l’algorithme (SHA1 ou MD5), la sélection de la durée de vie de
clé dans les minutes ou les sessions, puis cliquez sur OK. Nous recommandons que vous n’incluez
pas MD5 dans n’importe quelle combinaison. Il est inclus pour la compatibilité ascendante. Nous
vous recommandons également que vous utilisez ESP au lieu de AH si vous disposez de tous les
appareils sur votre réseau qui utilisent la traduction d’adresses réseau (NAT).
 c. Dans la durée de vie de clé (en sessions), tapez le nombre de fois que la session de mode rapide
permettre être régénérée. Une fois que ce nombre est atteint, l’association du mode rapide doit être
renégociée. Veillez à équilibrer performances aux exigences de sécurité. Bien qu’une durée de vie de
clé plus courte entraîne une meilleure sécurité, il réduit également les performances en raison de la
renégocient plus fréquentes de la SA de mode rapide. Nous vous recommandons d’utiliser la valeur
par défaut, sauf si votre analyse des risques indique la nécessité d’une valeur différente.
d. Cliquez sur OK pour enregistrer votre algorithme de paramètres de la combinaison.
e. Une fois que la liste contient uniquement les combinaisons de que votre choix, utilisez les flèches vers
la droite de la liste pour les réorganiser dans l’ordre correct pour votre conception. La combinaison
d’algorithmes qui apparaît en premier dans la liste est testée tout d’abord, et ainsi de suite.
7. Sélectionnez les algorithmes de chiffrement et intégrité des données que vous voulez utiliser pour aider à
protéger les sessions de données entre les deux ordinateurs. Si les combinaisons d’algorithmes affichés
dans la liste ne sont pas ce que vous souhaitez, puis effectuer les opérations suivantes:
a. À partir de la deuxième colonne, supprimez les algorithmes de chiffrement et intégrité des données
que vous ne souhaitez pas en sélectionnant la combinaison d’algorithmes, puis cliquez sur
Supprimer.
b. Ajoutez n’importe quel combinaisons d’algorithmes de chiffrement et d’intégrité requis en cliquant
sur Ajouter, puis procédez comme suit:
c. Sélectionnez le protocole approprié (ESP ou AH). Nous vous recommandons d’utiliser ESP au lieu de
AH si vous disposez de tous les appareils sur votre réseau qui utilisent NAT.
d. Sélectionnez l’algorithme de chiffrement approprié. Incluent les choix, par ordre décroissant de
sécurité: AES -256, AES -192, AES -128, 3DES et DES. Nous recommandons que vous n’incluez pas
dans n’importe quelle combinaison. Il est inclus pour la compatibilité ascendante.
e. Sélectionnez l’algorithme d’intégrité approprié (SHA1 ou MD5). Nous recommandons que vous
n’incluez pas MD5 dans n’importe quelle combinaison. Il est inclus pour la compatibilité ascendante.
f. Dans la durée de vie de clé (en minutes), tapez le nombre de minutes. Lorsque le nombre de
minutes spécifié est écoulé, toutes les opérations IPsec entre les deux ordinateurs qui négociée cette
clé nécessite une nouvelle clé. Veillez à équilibrer performances aux exigences de sécurité. Bien
qu’une durée de vie de clé plus courte entraîne une meilleure sécurité, il réduit également les
performances en raison de la régénération plus fréquentes. Nous vous recommandons d’utiliser la
valeur par défaut, sauf si votre analyse des risques indique la nécessité d’une valeur différente.
8. Cliquez sur OK trois fois pour enregistrer vos paramètres.
 Configurer la stratégie de groupe pour l’inscription
automatique et le déploiement des certificats
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Vous pouvez utiliser cette procédure pour configurer la stratégie de groupe pour inscrire des certificats
d’ordinateur client automatiquement et les déployer sur les stations de travail sur votre réseau. Suivez cette
procédure pour chaque objet de stratégie de groupe qui contient les règles de sécurité de connexion IPsec qui
nécessitent ce certificat.
Informations d’identification d’administration
Pour effectuer ces procédures, vous devez être membre à la fois du groupe Admins du domaine dans le domaine
racine de votre forêt et un membre du groupe Administrateurs de l’entreprise.
Pour configurer la stratégie de groupe pour l’inscription automatique des certificats
1. Ouvrez la console de gestion des stratégies de groupe.
2. Dans le volet de navigation, développez forêt: YourForestName, développez domaines, développez
votre_domaine, développez Les objets de stratégie de groupe, avec le bouton droit de la stratégie de
groupe à modifier, puis cliquez sur Modifier.
3. Dans le volet de navigation, développez le chemin d’accès suivant: Configuration de l’ordinateur, les
stratégies, Les paramètres Windows, Paramètres de sécurité, Stratégies de clé publique.
4. Double-cliquez sur le Client des Services de certificats - inscription automatique.
5. Dans la boîte de dialogue Propriétés , modifier le Modèle de Configuration sur activé.
6. Sélectionnez renouveler les certificats expirés, mettre à jour les certificats en attente et supprimer
les certificats révoqués et mettre à jour les certificats qui utilisent les modèles de certificats.
7. Cliquez sur OK pour enregistrer vos modifications. Les ordinateurs appliquent la stratégie de groupe et
téléchargement le certificat à la prochaine qu'actualisation de la stratégie de groupe.
 Configurer les paramètres d’échange de clé (Mode
principal)
17/04/2019 • 3 minutes to read

S'applique à
Windows10
Windows Server2016
Cette procédure vous montre comment configurer les paramètres d’échange de clé en mode principal utilisés
pour sécuriser le trafic d’authentification IPsec.
Informations d’identification d’administration
Pour effectuer ces procédures, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour modifier les objets de stratégie de groupe.
Pour configurer les paramètres d’échange de clé
1. Ouvrez la Console de gestion de stratégie de groupe pour le pare-feu Windows Defender avec sécurité
avancée.
2. Dans le volet d’informations sur le pare-feu Windows Defender principale avec la page de sécurité avancée,
cliquez sur Propriétés du pare-feu Windows Defender.
3. Dans l’onglet Paramètres IPsec , cliquez sur Personnaliser.
4. Dans la section de l’échange de clé (Mode principal) , cliquez sur Avancé, puis cliquez sur
Personnaliser.
5. Sélectionnez les méthodes de sécurité pour être utilisé pour aider à protéger les négociations en mode
principal entre les deux appareils. Si les méthodes de sécurité affichés dans la liste ne sont pas ce que vous
souhaitez, puis effectuer les opérations suivantes:
Important dans Windows Vista, Windows Server 2008, ou une version ultérieure, vous pouvez spécifier
qu’un seul algorithme d’échange de clé. Cela signifie que si vous souhaitez communiquer à l’aide d’IPsec
avec un autre appareil exécutant Windows 8 ou Windows Server 2012, vous devez sélectionner le même
algorithme d’échange de clés sur les deux appareils.
En outre, si vous créez une règle de sécurité de connexion qui spécifie une option qui requiert AuthIP au
lieu de IKE, uniquement l’une combinaison de la méthode de sécurité supérieure de l’intégrité et le
chiffrement sont utilisés dans la négociation. Assurez-vous que tous vos appareils qui sont en cours
d’exécution au moins Windows Vista et Windows Server 2008 ont les mêmes méthodes en haut de la liste
et le même algorithme d’échange de clé sélectionné.
Remarque Lorsque AuthIP est utilisé, aucun protocole d’échange de clé Diffie-Hellman n’est utilisé. Au lieu
de cela, lorsque l’authentification KerberosV5 est demandée, le secret de ticket de service KerberosV5 est
utilisé à la place d’une valeur de-Diffie Hellman. Lorsque l’authentification par certificat ou l’authentification
NTLM est demandée, une session de sécurité au niveau (TLS ) transport est établie et son secret est utilisé à
la place de la valeur de-Diffie Hellman. Cela produit pas seulement le protocole d’échange de clé Diffie-
Hellman que vous sélectionnez.
a. Supprimer les méthodes de sécurité que vous ne souhaitez pas en sélectionnant la méthode, puis
cliquez sur Supprimer.
 b. Ajouter n’importe quelle combinaison de méthode de sécurité requises en cliquant sur Ajouter, en
sélectionnant l’algorithme de chiffrement approprié et l’algorithme d’intégrité dans les listes et puis
en cliquant sur OK.

Attention: nous recommandons que vous n’incluez pas MD5 ou dans n’importe quelle
combinaison. Ils sont inclus pour la compatibilité ascendante.

c. Une fois que la liste contient uniquement les combinaisons de que votre choix, utilisez les flèches
vers la droite de la liste pour les organiser dans l’ordre de préférence. La combinaison qui s’affiche
en premier dans la liste est testée tout d’abord, et ainsi de suite.
6. Dans la liste sur la droite, sélectionnez l’algorithme d’échange de clé que vous souhaitez utiliser.

Attention: nous recommandons que vous n’utilisez pas Diffie-Hellman groupe 1. Il est inclus pour la
compatibilité ascendante.

7. Dans la durée de vie de clé (en minutes), tapez le nombre de minutes. Lorsque le nombre de minutes
spécifié est écoulé, toute opération IPsec entre les deux appareils nécessite une nouvelle clé.

Remarque: vous devez trouver un équilibre entre performances aux exigences de sécurité. Bien qu’une
durée de vie de clé plus courte entraîne une meilleure sécurité, il réduit également les performances.

8. Dans la durée de vie de clé (en sessions), tapez le nombre de sessions. Une fois que le nombre de
sessions de mode rapide spécifié ont été créé au sein de l’association de sécurité protégée par cette clé,
IPsec nécessite une nouvelle clé.
9. Cliquez sur OK trois fois pour enregistrer vos paramètres.
 Configurer les règles pour que le chiffrement soit
obligatoire
16/04/2019 • 2 minutes to read

Si vous créez une zone qui requiert le chiffrement, vous devez configurer les règles pour ajouter les algorithmes
de chiffrement et de supprimer les combinaisons d’algorithmes qui n’utilisent pas de chiffrement.
Informations d’identification d’administration
Pour effectuer cette procédure, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour modifier les objets de stratégie de groupe.
Pour modifier une règle de demande d’authentification pour également exiger le chiffrement
1. Ouvrez la Console de gestion de stratégie de groupe pour le pare-feu Windows Defender avec sécurité
avancée.
2. Dans le volet de navigation, cliquez sur Les règles de sécurité de connexion.
3. Dans le volet d’informations, double-cliquez sur la règle de sécurité de connexion à modifier.
4. Sur la page nom , renommer la règle de sécurité de connexion, modifiez la description afin de refléter
l’utilisation de la règle, puis cliquez sur OK.
5. Dans le volet de navigation, cliquez sur Le pare-feu Windows Defender – LDAP://CN= {guid}, puis
cliquez sur Propriétés.
6. Cliquez sur l’onglet Paramètres IPsec .
7. Sous les valeurs par défaut IPsec, cliquez sur Personnaliser.
8. Sous la protection des données (Mode rapide), cliquez sur Avancé, puis cliquez sur Personnaliser.
9. Cliquez sur Exiger le chiffrement pour toutes les règles de sécurité de connexion qui utilisent ces
paramètres.
Cette opération désactive la section de règles de l’intégrité des données. Assurez-vous que la liste de
chiffrement et l’intégrité des données contient toutes les combinaisons de vos appareils clients
utiliseront pour se connecter aux membres de la zone de chiffrement. Les périphériques clients reçoivent
leurs règles par le biais de l’objet de stratégie de groupe pour la zone à laquelle ils se trouvent. Vous devez
vous assurer que ces règles contiennent au moins un des algorithmes de chiffrement et intégrité des
données qui sont configurés dans cette règle, ou le client de périphériques dans cette zone ne seront pas en
mesure de se connecter aux appareils de cette zone.
10. Si vous avez besoin d’ajouter une combinaison d’algorithmes, cliquez sur Ajouteret sélectionnez la
combinaison d’algorithmes de chiffrement et d’intégrité. Les options sont décrites dans les paramètres de
configurer la Protection des données (Mode rapide).
Remarque pas tous les algorithmes disponibles dans Windows 8 ou Windows Server 2012 ou version
ultérieures peuvent être sélectionnés dans le pare-feu Windows Defender avec l’interface utilisateur de
sécurité avancée. Pour sélectionner les, vous pouvez utiliser Windows PowerShell.
Paramètres de mode rapide peuvent également être configurés sur une fonction de la règle, mais ne pas à
l’aide de l’interface utilisateur de pare-feu Windows Defender. Au lieu de cela, vous pouvez créer ou
modifier les règles à l’aide de Windows PowerShell.
 Pour plus d’informations, voir Le pare-feu Windows Defender avec l’Administration de la sécurité avancée
avec Windows PowerShell
11. Durant la négociation, les combinaisons d’algorithmes sont proposées dans l’ordre indiqué dans la liste.
Assurez-vous que les combinaisons de plus sécurisées sont en haut de la liste afin que les appareils de
négociations sélectionner la combinaison de la plus sécurisée dont ils peuvent conjointement prennent en
charge.
12. Cliquez sur OK trois fois pour enregistrer vos modifications.
 Configurer le pare-feu Windows Defender avec
fonctions avancées de sécurité journal
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Pour configurer le pare-feu Windows Defender avec sécurité avancée pour enregistrer supprimé les paquets ou
les connexions réussies, utilisez le pare-feu Windows Defender avec nœud sécurité avancée dans le composant
logiciel enfichable MMC de gestion de stratégie de groupe.
Informations d’identification d’administration
Pour effectuer ces procédures, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour modifier les objets de stratégie de groupe.
Dans cette rubrique:
Pour configurer le pare-feu Windows Defender avec le journal de sécurité avancée

Pour configurer le pare-feu Windows Defender avec le journal de

sécurité avancée
1. Ouvrez la Console de gestion de stratégie de groupe pour le pare-feu Windows Defender avec sécurité
avancée.
2. Dans le volet d’informations, dans la section de la vue d’ensemble , cliquez sur Propriétés du pare-feu
Windows Defender.
3. Pour chaque type d’emplacement réseau (domaine, privé, Public), procédez comme suit.
a. Cliquez sur l’onglet qui correspond au type d’emplacement réseau.
b. Sous la connexion, cliquez sur Personnaliser.
c. Le chemin d’accès par défaut pour le journal est
%windir%\system32\logfiles\firewall\pfirewall.log. Si vous souhaitez modifier ce nombre,
désactivez la case à cocher non configuré et tapez le chemin d’accès vers le nouvel emplacement ou
cliquez sur Parcourir pour sélectionner un emplacement de fichier.

Important: l’emplacement que vous spécifiez doivent avoir des autorisations attribuées qui
autorise le service pare-feu Windows Defender pour écrire dans le fichier journal.

d. La taille de fichier maximale par défaut pour le journal est 4 096 kilo-octets (Ko). Si vous souhaitez
modifier ce nombre, désactivez la case à cocher non configuré et tapez la nouvelle taille en Ko, ou
utilisez le haut et bas flèches pour sélectionner une taille. Le fichier ne va pas croître au-delà de cette
taille; Lorsque la limite est atteinte, les anciennes entrées de journal sont supprimées pour libérer de
l’espace pour ceux qui vient d’être créé.
e. Aucun enregistrement ne survient jusqu'à ce que vous définissez l’une des deux options suivantes:
 Pour créer une entrée de journal lorsque le pare-feu Windows Defender descend les paquets
réseau entrants, remplacez Enregistrer les paquets ignorés Oui.
Pour créer une entrée de journal lorsque le pare-feu Windows Defender permet une
connexion entrante, remplacez Enregistrer les connexions réussies Oui.
f. Cliquez deux fois sur OK .
 Configurer le modèle de certificat d’authentification
de station de travail
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Cette procédure décrit comment configurer un modèle de certificat qui utilise des Services de Certification Active
Directory (ADCS ) comme point de départ pour les certificats d’appareil qui sont automatiquement inscrits et
déployées sur des stations de travail dans le domaine. Il montre comment créer une copie d’un modèle et ensuite
configurer le modèle en fonction des exigences de votre conception.
Informations d’identification d’administration

Pour configurer le modèle de certificat authentification de station de

travail et l’inscription automatique
Pour effectuer ces procédures, vous devez être membre de ces deux groupe Admins du domaine dans le domaine
racine de votre forêt et un membre du groupe Administrateurs de l’entreprise.
1. Sur l’appareil où ADCS est installé, ouvrez la console Autorité de Certification.
2. Dans le volet de navigation, cliquez sur les Modèles de certificats, puis cliquez sur Gérer.
3. Dans le volet d’informations, cliquez sur le modèle d’Authentification de station de travail .
4. Dans le menu Action , cliquez sur Dupliquer le modèle. Dans la boîte de dialogue Dupliquer le modèle ,
sélectionnez la version du modèle appropriée pour votre déploiement, puis cliquez sur OK. Pour les
certificats qui en résulte possède maximale de compatibilité avec les versions de Windows disponibles, nous
vous recommandons de sélectionner WindowsServer2003.
5. Sous l’onglet Général , dans la zone nom complet du modèle, tapez un nouveau nom pour le modèle de
certificat, par exemple, Le modèle d’authentification de domaine d’Isolation station de travail.
6. Cliquez sur l’onglet de Nom du sujet . Assurez-vous que le Générer à partir de ces informations Active
Directory est activée. Format du nom du sujet, sélectionnez nom entièrement unique.
7. Cliquez sur l’onglet de chiffrement . Vous devez déterminer la taille de clé minimale optimale pour votre
environnement. Clés de grandes taille fournissent une meilleure sécurité, mais elles affectent les
performances du serveur. Nous vous recommandons d’utiliser le paramètre par défaut de 2048.
8. Cliquez sur l’onglet sécurité . Dans les noms d’utilisateur ou de groupe, cliquez sur les Ordinateurs du
domaine, sous Autoriser, sélectionnez l’inscription et l’inscription automatique, puis cliquez sur OK.

Remarque: si vous souhaitez déployer le certificat sur chaque appareil dans le domaine, puis spécifiez
un groupe différent ou les groupes qui contiennent les comptes d’appareil que vous souhaitez recevoir
le certificat ne veulent pas.

9. Fermez la Console Modèles de certificat.

10. Dans le composant logiciel enfichable MMC Autorité de Certification, dans le volet gauche, cliquez sur les
 Modèles de certificats, cliquez sur Nouveau, puis cliquez sur Modèle de certificat à délivrer.
11. Dans la boîte de dialogue Activer les modèles de certificat , cliquez sur le nom du modèle de certificat
que vous venez de configurer, puis cliquez sur OK.
 Configurer le pare-feu Windows Defender avec
sécurité avancée pour supprimer les Notifications
qu’il a bloqué un programme
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Pour configurer le pare-feu Windows Defender avec sécurité avancée pour supprimer l’affichage d’une notification
lorsqu’il bloque un programme qui essaie d’écouter pour le trafic réseau et pour empêcher les règles définies
localement, utilisez le pare-feu Windows Defender avec sécurité avancée nœud dans la console de gestion des
stratégies de groupe.

Attention: si vous choisissez de désactiver les alertes et interdire les règles définies localement, vous devez
créer des règles de pare-feu qui permettent aux programmes de vos utilisateurs envoyer et recevoir le trafic
réseau requis. Si une règle de pare-feu est manquante, puis l’utilisateur ne reçoit pas un type d’avertissement,
le trafic réseau est bloqué en mode silencieux, et le programme peut échouer.

Nous vous recommandons de ne pas activer ces paramètres jusqu'à ce que vous avez créé et testé les règles
requises.
Informations d’identification d’administration
Pour effectuer ces procédures, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour modifier les objets de stratégie de groupe.

Pour configurer le pare-feu Windows Defender pour supprimer

l’affichage d’une notification pour un programme bloqué et ignorer
localement défini des règles
1. Ouvrez la Console de gestion de stratégie de groupe pour le pare-feu Windows Defender avec sécurité
avancée.
2. Dans le volet d’informations, dans la section de la vue d’ensemble , cliquez sur Propriétés du pare-feu
Windows Defender.
3. Pour chaque type d’emplacement réseau (domaine, privé, Public), procédez comme suit.
a. Cliquez sur l’onglet qui correspond au type d’emplacement réseau.
b. Sous paramètres, cliquez sur Personnaliser.
c. Sous paramètres du pare-feu, modifiez Afficher une notification sur non.
d. Sous la fusion de règle, modifiez appliquer les règles de pare-feu locales sur non.
e. Mais une règle de sécurité de connexion n’est pas un paramètre du pare-feu, vous pouvez également
utiliser cet onglet d’interdire les règles de sécurité de connexion défini localement si vous prévoyez
de déployer des règles IPsec dans le cadre d’un serveur ou un environnement d’isolation de
 domaine. Sous la fusion de règle, modifiez appliquer les règles de sécurité de connexion
locales sur non.
f. Cliquez deux fois sur OK .
 S’assurer que les certificats sont déployés
correctement
16/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Après avoir configuré vos certificats et l’inscription automatique dans la stratégie de groupe, vous pouvez
confirmer que la stratégie est appliquée comme prévu, et que les certificats sont correctement installés sur les
appareils de station de travail.
Dans ces procédures, vous actualisez la stratégie de groupe sur un périphérique client et puis confirmez que le
certificat est déployé correctement.
Informations d’identification d’administration
Pour effectuer ces procédures, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour modifier les objets de stratégie de groupe.
Dans cette rubrique:
Actualiser la stratégie de groupe sur un appareil
Vérifiez qu’un certificat est installé.

Pour actualiser la stratégie de groupe sur un appareil

À partir d’une invite de commandes avec élévation de privilèges, exécutez la commande suivante:

gpupdate /target:computer /force

Après l’actualisation de la stratégie de groupe, vous pouvez voir les objets de stratégie de groupe sont
actuellement appliquées à l’appareil.

Pour vérifier qu’un certificat est installé.

1. Ouvrez la console Cerificates.
2. Dans le volet de navigation, développez Autorités de Certification racine de confiance, puis cliquez sur
les certificats.
L’autorité de certification que vous avez créé s’affiche dans la liste.
 Copier un objet de stratégie de groupe (GPO) pour
en créer un autre
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Pour créer l’objet de stratégie de groupe pour la limite des appareils de zone, effectuez une copie de l’isolation de
domaine principal de stratégie de groupe et modifiez les paramètres pour demander, au lieu d’exiger,
l’authentification. Pour effectuer une copie d’un objet de stratégie de groupe, utilisez les utilisateurs Active
Directory et les périphériques le composant logiciel enfichable MMC.
Informations d’identification d’administration
Pour effectuer cette procédure, vous devez être membre du groupe Admins du domaine, ou dans le cas contraire
être autorisations déléguées pour créer les objets GPO.
Pour effectuer une copie d’un objet de stratégie de groupe
1. Ouvrez la console de gestion des stratégies de groupe.
2. Dans le volet de navigation, développez forêt: *** YourForestName*, développez **domaines,
développez votre_domaine, puis cliquez sur Les objets de stratégie de groupe.
3. Dans le volet d’informations, avec le bouton droit de la stratégie de groupe que vous souhaitez copier, puis
cliquez sur copie.
4. Dans le volet de navigation, Les objets de stratégie de groupe avec le bouton droit à nouveau, puis
cliquez sur Coller.
5. Dans la boîte de dialogue Copie de stratégie de groupe , cliquez sur conserver les autorisations
existantes, puis cliquez sur OK. Cette option permet de conserver des groupes d’exception auquel vous
refuser des autorisations de lecture et d’appliquer la stratégie de groupe, simplifie la modification.
6. Une fois la copie terminée, cliquez sur OK. Le nouvel objet GPO est nommé copie de nom de stratégie
de groupe d’origine.
7. Pour cela, avec le bouton droit de la stratégie de groupe, puis cliquez sur Renommer.
8. Tapez le nouveau nom et appuyez sur ENTRÉE.
9. Vous devez modifier les filtres de sécurité pour appliquer la stratégie au groupe approprié d’appareils.
Pour ce faire, cliquez sur l’onglet étendue et dans la section Filtrage de sécurité , sélectionnez le groupe
qui sont accordées à tous les membres du domaine isolé, par exemple CG_DOMISO_IsolatedDomain,
puis cliquez sur Supprimer.
10. Dans la boîte de dialogue de confirmation, cliquez sur OK.
11. Cliquez sur Ajouter.
12. Tapez le nom du groupe qui contient les membres de la zone limite, par exemple,
CG_DOMISO_Boundary, puis cliquez sur OK.
13. Si nécessaire, remplacez le filtre WMI par celle appropriée pour le nouvel objet GPO. Par exemple, si
l’objet de stratégie de groupe d’origine est pour les périphériques client exécutant Windows 10 et la
nouvelle zone limite qu'est de stratégie de groupe pour les appareils exécutant Windows Server 2016,
puis sélectionnez un filtre WMI qui autorise uniquement les périphériques de lire et appliquer la stratégie
de groupe.
 Créer un compte de groupe dans ActiveDirectory
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Pour créer un groupe de sécurité pour contenir les comptes d’ordinateur pour les ordinateurs qui doivent recevoir
un ensemble de paramètres de stratégie de groupe, utilisez la Active Directory console Utilisateurs et ordinateurs.
Informations d’identification d’administration
Pour effectuer cette procédure, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour créer des comptes de groupe.
Pour ajouter un nouveau groupe d’appartenance dans Active Directory
1. Ouvrez la console utilisateurs Active Directory et les ordinateurs.
2. Dans le volet de navigation, sélectionnez le conteneur dans lequel vous voulez stocker votre groupe. Il s’agit
généralement du conteneur utilisateurs sous le domaine.
3. Cliquez sur une Action, cliquez sur Nouveau, puis cliquez sur groupe.
4. Dans la zone de texte nom du groupe , tapez le nom de votre nouveau groupe.

Remarque: veillez à utiliser un nom qui indique clairement son objectif. Vérifiez si votre organisation
dispose d’une convention d’affectation de noms pour les groupes.

5. Dans la zone de texte Description , entrez une description de l’objectif de ce groupe.

6. Dans la section étendue du groupe , sélectionnez Global ou universel, en fonction de votre structure de
la forêt Active Directory. Si votre groupe doit inclure des ordinateurs à partir de plusieurs domaines, puis
sélectionnez universelle. Si tous les membres sont du même domaine, puis sélectionnez Global.
7. Dans la section type de groupe , cliquez sur la sécurité.
8. Cliquez sur OK pour enregistrer votre groupe.
 Créer un objet de stratégie de groupe
16/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Pour créer un nouvel objet GPO, utilisez le composant logiciel enfichable MMC Active Directory utilisateurs et
ordinateurs.
Informations d’identification d’administration
Pour effectuer cette procédure, vous devez être membre du groupe Admins du domaine, ou dans le cas contraire
être autorisations déléguées pour créer les objets GPO.
Pour créer un nouvel objet GPO
1. Ouvrez la console de gestion des stratégies de groupe.
2. Dans le volet de navigation, développez forêt: *** YourForestName*, développez **domaines,
développez votre_domaine, puis cliquez sur Les objets de stratégie de groupe.
3. Cliquez sur une Action, puis cliquez sur Nouveau.
4. Dans la zone de texte nom , tapez le nom de votre nouvel objet GPO.

Remarque: veillez à utiliser un nom qui indique clairement la finalité de l’objet de stratégie de groupe.
Vérifiez si votre organisation dispose d’une convention d’affectation de noms pour les objets GPO.

5. Conserver la valeur de L’objet GPO Starter Source ( None), puis cliquez sur OK.
6. Si votre objet de stratégie de groupe ne contient des paramètres utilisateur, vous pouvez améliorer les
performances en désactivant la section de Configuration de l’utilisateur de l’objet de stratégie de groupe.
Pour ce faire, procédez comme suit:
a. Dans le volet de navigation, cliquez sur le nouvel objet GPO.
b. Dans le volet d’informations, cliquez sur l’onglet Détails .
c. Modifier l' État de la stratégie de groupe pour les paramètres de configuration utilisateur
désactivés.
 Créer une règle de liste d’exemptions
d’authentification
17/04/2019 • 3 minutes to read

S'applique à
Windows10
Windows Server2016
Dans presque n’importe quel serveur isolé ou un scénario de domaine isolé, il existe quelques appareils ou ceux
qui ne peuvent pas communiquer à l’aide de IPsec. Cette procédure vous montre comment créer des règles qui
exempter ces appareils à partir de la configuration requise de l’authentification de vos stratégies d’isolation.
Important Ajout de périphériques à la liste d’exemptions pour une zone réduit la sécurité car elle permet
d’appareils dans la zone d’envoyer le trafic réseau qui est non protégé par IPsec aux périphériques de la liste.
Comme indiqué dans le pare-feu Windows Defender avec le Guide de conception de sécurité avancée, vous devez
ajouter uniquement les périphériques gérés et fiables à la liste d’exemptions.
Informations d’identification d’administration
Pour effectuer ces procédures, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour modifier les objets de stratégie de groupe.
Pour créer une règle qui exempte hôtes spécifiés à partir de l’authentification
1. Ouvrez la Console de gestion de stratégie de groupe pour le pare-feu Windows Defender avec sécurité
avancée.
2. Dans le volet de navigation, cliquez sur Les règles de sécurité de connexion.
3. Cliquez sur une Action, puis cliquez sur Nouvelle règle.
4. Sur la page Type de règle de l’Assistant Nouvelle règle de sécurité de connexion, cliquez sur exemption
d’authentification, puis cliquez sur suivant.
5. Sur la page Exempter des ordinateurs , pour créer une exemption de nouveau, cliquez sur Ajouter. Pour
modifier une exemption existante, cliquez dessus, puis cliquez sur Modifier.
6. Dans la boîte de dialogue Adresse IP , effectuez l’une des opérations suivantes:
Pour ajouter une seule adresse IP, cliquez sur cette adresse IP ou le sous-réseau, tapez l’adresse IP
de l’hôte dans la zone de texte, puis cliquez sur OK.
Pour ajouter un sous-réseau entier par adresse, cliquez sur cette adresse IP ou sous-réseauet puis
tapez l’adresse IP du sous-réseau, suivi d’une barre oblique (/) et le nombre de bits dans le masque
de sous-réseau correspondant. Par exemple, 10.50.0.0/16 représente le sous-réseau de classe B qui
commence par adresse 10.50.0.1 et se termine par l' adresse 10.50.255.254. Lorsque vous avez
terminé, cliquez sur OK .
Pour ajouter le sous-réseau de l’appareil local, cliquez sur prédéfini ensemble d’ordinateurs,
sélectionnez sous-réseau Local dans la liste, puis cliquez sur OK.

Remarque: si vous sélectionnez du sous-réseau local dans la liste au lieu de taper le sous-réseau
d’adresse dans manuellement, l’appareil ajuste automatiquement le sous-réseau local actif pour
 correspondre à adresse IP actuelle de l’appareil.

Pour ajouter une plage discrète d’adresses qui ne correspondent pas à un sous-réseau, cliquez sur la
plage d’adresses IP ce, tapez le début et fin des adresses IP dans les zones de texte depuis et vers ,
puis cliquez sur OK.
Pour exclure tous les hôtes à distance par l’appareil local pour un service réseau spécifié, cliquez sur
prédéfini ensemble d’ordinateurs, sélectionnez le service réseau dans la liste, puis cliquez sur OK.
7. Répétez les étapes 5 et 6 pour chaque exemption, vous devez créer.
8. Lorsque vous avez créé l’ensemble des exemptions, cliquez sur suivant .
9. Sur la page de profil , vérifiez le profil pour chaque type d’emplacement réseau auquel cet ensemble de
demandes d’exonération s’applique, puis cliquez sur suivant.

Attention: si toutes les demandes d’exonération sont sur le réseau de l’organisation et que ce réseau est
géré par un domaine Active Directory, puis pensez à limiter la règle pour le profil de domaine
uniquement. Sélectionner le profil incorrect peut réduire la protection de votre ordinateur dans la
mesure où n’importe quel ordinateur avec l’adresse IP qui correspond à une règle d’exemption ne sera
pas obligé de s’authentifier.

10. Sur la page nom , tapez le nom de la règle d’exemption, tapez une description, puis cliquez sur Terminer.
 Créer une règle de demande d’authentification
17/04/2019 • 5 minutes to read

S'applique à
Windows10
Windows Server2016
Une fois que vous avez configuré des algorithmes IPsec et des méthodes d’authentification, vous pouvez créer la
règle qui nécessite les périphériques sur le réseau à utiliser les protocoles et les méthodes avant qu’ils puissent
communiquer.
Informations d’identification d’administration
Pour effectuer cette procédure, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour modifier les objets de stratégie de groupe.
Pour créer la règle de demande d’authentification
1. Ouvrez la Console de gestion de stratégie de groupe pour le pare-feu Windows Defender avec sécurité
avancée.
2. Dans le volet de navigation, cliquez sur Les règles de sécurité de connexion, puis cliquez sur Nouvelle
règle.
3. Sur la page Type de règle , sélectionnez l’Isolation, puis cliquez sur suivant.
4. Sur la page Configuration requise , sélectionnez la demande d’authentification pour les connexions
entrantes et sortantes.

Attention: ne configurez pas la règle pour exiger une authentification entrante jusqu'à ce que vous
avez confirmé que tous vos appareils reçoivent les GPO appropriés et sont correctement négociation
IPsec et authentifier mutuellement. Afin de leur permettre de communiquer même en cas d’échec
d’authentification empêche des erreurs dans les objets de stratégie de groupe ou de leur distribution
d’interrompre les communications sur votre réseau.

5. Sur la page Méthode d’authentification , sélectionnez l’option d’authentification que vous souhaitez
utiliser sur votre réseau. Pour sélectionner plusieurs méthodes qui sont traités dans l’ordre jusqu'à ce qu’un
d'entre eux fonctionne, cliquez sur Avancé, cliquez sur Personnaliser, puis cliquez sur Ajouter pour
ajouter des méthodes à la liste. Les méthodes d’authentification deuxième nécessitent authentifiés IP
(AuthIP ).
a. Par défaut: Cette option indique à l’appareil pour demander une authentification à l’aide de la
méthode actuellement définie en tant que la valeur par défaut sur l’appareil. Cette valeur par défaut
peut avoir été configuré lorsque le système d’exploitation a été installé ou il a peut-être été
configurée par la stratégie de groupe. Cette option est appropriée lorsque vous avez configuré les
paramètres à l’échelle du système à l’aide de la procédure de Configurer des méthodes
d’authentification .
b. Ordinateur et utilisateur (KerberosV5). Cette option indique à l’appareil pour demander une
authentification de l’appareil et de l’utilisateur actuellement connecté à l’aide de leurs informations
d’identification de domaine. Cette méthode d’authentification fonctionne uniquement avec d’autres
appareils qui peuvent utiliser AuthIP. Authentification basée sur l’utilisateur à l’aide de KerberosV5
 n’est pas pris en charge par IKEv1.
c. Ordinateur (KerberosV5). Cette option indique à l’appareil pour demander une authentification de
l’appareil à l’aide de ses informations d’identification de domaine. Cette option fonctionne avec
d’autres appareils que vous pouvez utiliser IKEv1, y compris les versions antérieures de Windows.
d. Avancées. Cliquez sur Personnaliser pour spécifier une combinaison de méthodes
d’authentification requis pour votre scénario. Vous pouvez spécifier une première méthode
d’authentification et une deuxième méthode d’authentification.
La première méthode d’authentification peut être l’une des opérations suivantes:
Ordinateur (KerberosV5). Cette option indique à l’appareil pour demander une
authentification de l’appareil à l’aide de ses informations d’identification de domaine. Cette
option fonctionne avec d’autres appareils que vous pouvez utiliser IKEv1, y compris les
versions antérieures de Windows.
Ordinateur (NTLMv2). Cette option indique à l’appareil à utiliser et exiger une
authentification de l’appareil à l’aide de ses informations d’identification de domaine. Cette
option fonctionne uniquement avec d’autres appareils qui peuvent utiliser AuthIP.
Authentification basée sur l’utilisateur à l’aide de KerberosV5 n’est pas pris en charge par
IKEv1.
Certificat d’ordinateur à partir de cette autorité de certification (CA ). Cette option et
entrez l’identification d’une autorité de certification indiquent à l’appareil pour demander une
authentification à l’aide d’un certificat émis par l’autorité de certification spécifiée. Si vous
activez également accepter uniquement des certificats d’intégrité, alors que les
certificats émis par un serveur NAP peuvent servir de cette règle.
Clé prépartagée (non recommandé). Cette méthode et en entrant une clé prépartagée
indiquent à l’appareil pour s’authentifier en échangeant les clés pré-partagées. Si les clés
correspondent, l’authentification réussit. Cette méthode n’est pas recommandée et est incluse
pour la compatibilité descendante et à des fins de tests uniquement.
Si vous sélectionnez la première authentification est facultative, la connexion peut réussir
même en cas d’échec de la tentative d’authentification spécifiée dans cette colonne.
La deuxième méthode d’authentification peut être l’une des opérations suivantes:
Utilisateur (KerberosV5). Cette option indique à l’appareil à utiliser et exiger une
authentification de l’utilisateur actuellement connecté à l’aide de ses propres informations
d’identification de domaine. Cette méthode d’authentification fonctionne uniquement avec
d’autres appareils qui peuvent utiliser AuthIP. Authentification basée sur l’utilisateur à l’aide
de KerberosV5 n’est pas pris en charge par IKEv1.
Utilisateur (NTLMv2). Cette option, l’appareil à utiliser et exiger une authentification de
l’utilisateur actuellement connecté à l’aide de ses propres informations d’identification de
domaine et utilise le protocole NTLMv2 au lieu de KerberosV5. Cette méthode
d’authentification fonctionne uniquement avec d’autres appareils qui peuvent utiliser AuthIP.
Authentification basée sur l’utilisateur à l’aide de NTLMv2 n’est pas pris en charge par IKEv1.
Certificat d’intégrité de l’utilisateur à partir de cette autorité de certification (CA ).
Cette option et entrez l’identification d’une autorité de certification indiquent à l’appareil pour
demander une authentification basée sur l’utilisateur à l’aide d’un certificat émis par l’autorité
de certification spécifiée. Si vous sélectionnez également Activer le certificat vers le
mappage de compte, le certificat peut être associé à un utilisateur dans Active Directory à
des fins accorder ou refuser l’accès à certains utilisateurs ou groupes d’utilisateurs.
 Certificat d’intégrité de l’ordinateur à partir de cette autorité de certification (CA ).
Cette option et entrez l’identification d’une autorité de certification indiquent à l’appareil à
utiliser et exiger une authentification à l’aide d’un certificat émis par l’autorité de certification
spécifiée. Si vous activez également accepter uniquement des certificats d’intégrité, alors
que les certificats émis par un serveur NAP peuvent servir de cette règle.
Si vous cochez la seconde authentification est facultative, la connexion peut réussir, même en
cas d’échec de la tentative d’authentification spécifiée dans cette colonne.

Important: vous assurer que vous ne sélectionnez pas les cases à cocher pour rendre les
première et deuxième authentifications facultative. Ainsi, les connexions de texte brut chaque fois
que l’authentification échoue.

6. Une fois que vous avez configuré les méthodes d’authentification, cliquez sur OK dans chaque boîte de
dialogue pour enregistrer vos modifications et fermez-le, jusqu'à ce que vous revenez à la page de
Méthode d’authentification dans l’Assistant. Cliquez sur Suivant.
7. Sur la page de profil , activez les cases à cocher pour les profils de type d’emplacement réseau auquel cette
règle s’applique.
Sur les appareils mobiles, envisagez désactivant les cases publiques et privées pour permettre à
l’appareil communiquer sans authentification lorsqu’il se trouve en dehors du réseau de domaine.
Sur les appareils qui ne sont pas déplacent à partir d’un réseau à un réseau, envisagez de
sélectionner tous les profils. Cela évite un commutateur inattendu dans le type d’emplacement
réseau à partir de la désactivation de la règle.
Cliquez sur Suivant.
8. Sur la page nom , tapez un nom pour la règle de sécurité de connexion et une description, puis cliquez sur
Terminer.
La nouvelle règle s’affiche dans la liste des règles de sécurité de connexion.
 Créer une règle pour le trafic ICMP entrant
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Pour autoriser le trafic réseau du contrôle Message ICMP (Internet Protocol) entrant, utilisez le pare-feu Windows
Defender avec nœud sécurité avancée dans le composant logiciel enfichable MMC de gestion de stratégie de
groupe pour créer des règles de pare-feu. Ce type de règle permet aux ICMP demandes et des réponses à être
envoyées et reçues par les ordinateurs sur le réseau.
Informations d’identification d’administration
Pour effectuer ces procédures, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour modifier les objets de stratégie de groupe.
Cette rubrique décrit comment créer une règle de port qui autorise le trafic réseau ICMP entrant. Pour les autres
types de règle de port d’entrée, voir:
Créer une règle de trafic entrant pour un port
Créer des règles de trafic entrant pour la prise en charge des appels de procédure distante (RPC )
Pour créer une règle ICMP entrante
1. Ouvrez la Console de gestion de stratégie de groupe pour le pare-feu Windows Defender avec sécurité
avancée.
2. Dans le volet de navigation, cliquez sur Règles de trafic entrant.
3. Cliquez sur une Action, puis cliquez sur nouvelle règle.
4. Sur la page Type de règle de l’Assistant Nouvelle règle de trafic entrant, cliquez sur personnalisé, puis
cliquez sur suivant.
5. Sur la page du programme , cliquez sur tous les programmes, puis cliquez sur suivant.
6. Sur la page de protocole et les Ports , sélectionnez ICMPv4 ou ICMPv6 dans la liste de type de
protocole . Si vous utilisez IPv4 et IPv6 sur votre réseau, vous devez créer une règle ICMP distincte pour
chacune.
7. Cliquez sur Personnaliser.
8. Dans la boîte de dialogue Personnaliser les paramètres ICMP , effectuez l’une des opérations suivantes:
Pour autoriser le trafic réseau ICMP, cliquez sur les types de tout ICMP, puis cliquez sur OK.
Pour sélectionner un des types ICMP prédéfinis, cliquez sur certains types ICMPet sélectionnez
chaque type dans la liste que vous souhaitez autoriser. Cliquez sur OK.
Pour sélectionner un type ICMP qui ne figure pas dans la liste, cliquez sur certains types ICMP,
sélectionnez le numéro du Type dans la liste, sélectionnez le numéro de Code dans la liste, cliquez
sur Ajouteret sélectionnez l’entrée nouvellement créée à partir de la liste. Cliquez sur OK
9. Cliquez sur Suivant.
10. Sur la page de l’étendue , vous pouvez spécifier que la règle s’applique uniquement au trafic réseau vers ou
depuis les adresses IP entrées sur cette page. Configurer en fonction de votre conception, puis cliquez sur
suivant.
11. Sur la page Action , sélectionnez Autoriser la connexion, puis cliquez sur suivant.
12. Sur la page de profil , sélectionnez les types d’emplacements réseau auquel cette règle s’applique, puis
cliquez sur suivant.
13. Sur la page nom , tapez un nom et une description de votre règle, puis cliquez sur Terminer.
 Créer une règle de trafic entrant pour un port
17/04/2019 • 3 minutes to read

S'applique à
Windows10
Windows Server2016
Pour autoriser le trafic réseau entrant sur uniquement un spécifié TCP ou UDP numéro de port, utilisez le pare-feu
Windows Defender avec nœud sécurité avancée dans le composant logiciel enfichable MMC de gestion de
stratégie de groupe pour créer des règles de pare-feu. Ce type de règle permet à n’importe quel programme à
l’écoute sur un port TCP ou UDP spécifié pour recevoir le trafic réseau envoyé à ce port.
Informations d’identification d’administration
Pour effectuer ces procédures, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour modifier les objets de stratégie de groupe.
Cette rubrique décrit comment créer une règle de port standard pour un protocole spécifié ou le numéro de port
TCP ou UDP. Pour les autres types de règle de port d’entrée, voir:
Créer une règle pour le trafic ICMP entrant
Créer des règles de trafic entrant pour la prise en charge des appels de procédure distante (RPC )
Pour créer une règle de port d’entrée
1. Ouvrez la Console GPMC pare-feu Windows Defender avec sécurité avancée.
2. Dans le volet de navigation, cliquez sur Règles de trafic entrant.
3. Cliquez sur une Action, puis cliquez sur nouvelle règle.
4. Sur la page Type de règle de l’Assistant Nouvelle règle de trafic entrant, cliquez sur personnalisé, puis
cliquez sur suivant.

Remarque: bien que vous pouvez créer des règles en sélectionnant le programme ou un Port, ces
choix de limite le nombre de pages présenté par l’Assistant. Si vous sélectionnez personnalisé, vous
voir toutes les pages et disposez de davantage de flexibilité lors de la création de vos règles.

5. Sur la page du programme , cliquez sur tous les programmes, puis cliquez sur suivant.

Remarque: ce type de règle est souvent associé à une règle de programme ou service. Si vous
combinez les types de règles, vous obtenez une règle de pare-feu qui limite le trafic vers un port
spécifié et autorise le trafic uniquement lorsque le programme spécifié est en cours d’exécution. Le
programme spécifié ne reçoivent pas le trafic réseau sur d’autres ports, et les autres programmes ne
peuvent pas recevoir le trafic réseau sur le port spécifié. Si vous choisissez d’effectuer cette opération,
suivez les étapes décrites dans la procédure de créer une règle de Service ou un programme de trafic
entrant outre les étapes décrites dans cette procédure pour créer une règle unique qui filtres réseau du
trafic à l’aide des critères de programme et de port.

6. Sur la page de protocole et les Ports , sélectionnez le type de protocole que vous souhaitez autoriser. Pour
limiter la règle à un numéro de port spécifié, vous devez sélectionner TCP ou UDP. Dans la mesure où il
 s’agit d’une règle entrante, vous configurez généralement uniquement le numéro de port local.
Si vous sélectionnez un autre protocole, seuls les paquets dont le champ de protocole dans l’en-tête IP
correspondent à cette règle sont autorisés à travers le pare-feu.
Pour sélectionner un protocole par son numéro, sélectionnez personnalisé dans la liste et puis tapez le
numéro dans la zone de numéro de protocole .
Lorsque vous avez configuré les protocoles et ports, cliquez sur suivant.
7. Sur la page de l’étendue , vous pouvez spécifier que la règle s’applique uniquement au trafic réseau vers
ou depuis les adresses IP entrées sur cette page. Configurer en fonction de votre conception, puis cliquez
sur suivant.
8. Sur la page Action , sélectionnez Autoriser la connexion, puis cliquez sur suivant.
9. Sur la page de profil , sélectionnez les types d’emplacements réseau auquel cette règle s’applique, puis
cliquez sur suivant.

Remarque: si cet objet de stratégie de groupe est destiné aux serveurs exécutant Windows Server
2008 qui passent jamais, envisagez de modifier les règles à appliquer à tous les profils de type
d’emplacement réseau. Cela empêche une modification inattendue dans les règles appliqués si le type
d’emplacement réseau change en raison de l’installation d’une nouvelle carte réseau ou la déconnexion
du câble d’une carte réseau existante. Une carte réseau déconnectée est automatiquement affectée pour
le type d’emplacement réseau Public.

10. Sur la page nom , tapez un nom et une description de votre règle, puis cliquez sur Terminer.
 Créer une règle de trafic sortant pour un port
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Par défaut, le pare-feu Windows Defender autorise tout le trafic réseau sortant, sauf si elle correspond à une règle
qui empêche le trafic. Pour bloquer le trafic réseau sortant sur un numéro de port TCP ou UDP spécifié, utilisez le
pare-feu Windows Defender avec nœud sécurité avancée dans la console de gestion des stratégies de groupe pour
créer des règles de pare-feu. Ce type de règle bloque tout le trafic réseau sortant qui met en correspondance les
numéros de port TCP ou UDP spécifiés.
Informations d’identification d’administration
Pour effectuer ces procédures, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour modifier les objets de stratégie de groupe.
Pour créer une règle de port de sortie
1. Ouvrez la Console de gestion de stratégie de groupe pour le pare-feu Windows Defender avec sécurité
avancée.
2. Dans le volet de navigation, cliquez sur Règles de trafic sortant.
3. Cliquez sur une Action, puis cliquez sur nouvelle règle.
4. Sur la page Type de règle de l’Assistant Nouvelle règle de trafic sortant, cliquez sur personnalisé, puis
cliquez sur suivant.

Remarque: bien que vous pouvez créer des règles en sélectionnant le programme ou un Port, ces
choix de limite le nombre de pages présenté par l’Assistant. Si vous sélectionnez personnalisé, vous
voir toutes les pages et disposez de davantage de flexibilité lors de la création de vos règles.

5. Sur la page du programme , cliquez sur tous les programmes, puis cliquez sur suivant.
6. Sur la page de protocole et les Ports , sélectionnez le type de protocole que vous souhaitez bloquer. Pour
limiter la règle à un numéro de port spécifié, vous devez sélectionner TCP ou UDP. Dans la mesure où il
s’agit d’une règle de trafic sortant, vous configurez généralement uniquement le nombre de ports distants.
Si vous sélectionnez un autre protocole, seuls les paquets dont le champ de protocole dans l’en-tête IP
correspondent à cette règle sont bloqués par le pare-feu Windows Defender. Le trafic réseau pour les
protocoles est autorisé dans la mesure autres règles qui correspondent à ne pas bloquent il.
Pour sélectionner un protocole par son numéro, sélectionnez personnalisé dans la liste et puis tapez le
numéro dans la zone de numéro de protocole .
Lorsque vous avez configuré les protocoles et ports, cliquez sur suivant.
7. Sur la page de l’étendue , vous pouvez spécifier que la règle s’applique uniquement au trafic réseau vers
ou depuis les adresses IP entrées sur cette page. Configurer en fonction de votre conception, puis cliquez
sur suivant.
8. Sur la page Action , sélectionnez bloquer la connexion, puis cliquez sur suivant.
 9. Sur la page de profil , sélectionnez les types d’emplacements réseau auquel cette règle s’applique, puis
cliquez sur suivant.
10. Sur la page nom , tapez un nom et une description de votre règle, puis cliquez sur Terminer.
 Créer une règle de trafic sortant pour un service ou
un programme
16/04/2019 • 3 minutes to read

S'applique à
Windows10
Windows Server2016
Par défaut, le pare-feu Windows Defender autorise tout le trafic réseau sortant, sauf si elle correspond à une règle
qui empêche le trafic. Pour bloquer le trafic réseau sortant pour un programme spécifié ou un service, utilisez le
pare-feu Windows Defender avec nœud sécurité avancée dans la console de gestion des stratégies de groupe
pour créer des règles de pare-feu. Ce type de règle empêche le programme d’envoyer tout le trafic réseau sortant
sur n’importe quel port.
Informations d’identification d’administration
Pour effectuer ces procédures, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour modifier les objets de stratégie de groupe.
Pour créer une règle de pare-feu de trafic sortant pour un programme ou service
1. Ouvrez la Console de gestion de stratégie de groupe pour le pare-feu Windows Defender avec sécurité
avancée.
2. Dans le volet de navigation, cliquez sur Règles de trafic sortant.
3. Cliquez sur une Action, puis cliquez sur nouvelle règle.
4. Sur la page Type de règle de l’Assistant Nouvelle règle de trafic sortant, cliquez sur personnalisé, puis
cliquez sur suivant.

Remarque: bien que vous pouvez créer des règles de nombreux en sélectionnant le programme ou un
Port, ces choix de limite le nombre de pages présenté par l’Assistant. Si vous sélectionnez
personnalisé, vous voir toutes les pages et disposez de davantage de flexibilité lors de la création de
vos règles.

5. Dans la page du programme , cliquez sur ce chemin d’accès du programme.

6. Tapez le chemin d’accès au programme dans la zone de texte. Utiliser des variables d’environnement
comme approprié pour vous assurer que les programmes installés dans différents emplacements sur des
ordinateurs différents travail correctement.
7. Effectuez l’une des opérations suivantes:
Si le fichier exécutable contient un seul programme, cliquez sur suivant.
Si le fichier exécutable est un conteneur pour plusieurs services qui devraient être bloqués d’envoyer
le trafic réseau sortant, cliquez sur Personnaliser, sélectionnez appliquer uniquement aux
services, cliquez sur OK, puis cliquez sur suivant.
Si le fichier exécutable est un conteneur pour un seul service ou contient plusieurs services, mais que
la règle s’applique uniquement à l’un d’eux, cliquez sur Personnaliser, sélectionnez appliquer à ce
serviceet sélectionnez le service à partir de la liste. Si le service n’apparaît pas dans la liste, cliquez
 sur appliquer au service avec ce nom court, puis tapez le nom court pour le service dans la zone
de texte. Cliquez sur OK, puis cliquez sur suivant.
8. Si vous souhaitez que le programme pour pouvoir envoyer sur des ports, mais bloqué d’envoyer sur
d’autres, vous pouvez restreindre la règle de pare-feu pour bloquer les protocoles ou aux ports spécifiés.
Sur la page protocoles et Ports , vous pouvez spécifier les numéros de port ou protocole pour le trafic
bloqué. Si le programme essaie d’envoyer vers ou à partir d’un numéro de port différent de celui spécifié ici,
ou à l’aide d’un protocole nombre différent de celui indiqué ici, puis la valeur par défaut sortant le
comportement du pare-feu autorise le trafic. Pour plus d’informations sur les options de protocole et de
port, consultez l’article créer une règle de Port sortant. Lorsque vous avez configuré les options de
protocole et de port, cliquez sur suivant.
9. Sur la page de l’étendue , vous pouvez spécifier que la règle s’applique uniquement au trafic réseau vers
ou depuis les adresses IP entrées sur cette page. Configurer en fonction de votre conception, puis cliquez
sur suivant.
10. Sur la page Action , sélectionnez bloquer la connexion, puis cliquez sur suivant.
11. Sur la page de profil , sélectionnez les types d’emplacements réseau auquel cette règle s’applique, puis
cliquez sur suivant.
12. Sur la page nom , tapez un nom et une description de votre règle, puis cliquez sur Terminer.
 Créer des règles de trafic entrant pour la prise en
charge des appels de procédure distante (RPC)
17/04/2019 • 3 minutes to read

S'applique à
Windows10
Windows Server2016
Pour autoriser le trafic réseau de procédure distante entrant appel (RPC ), utilisez le pare-feu Windows Defender
avec nœud sécurité avancée dans la console de gestion des stratégies de groupe pour créer deux règles de pare-
feu. La première règle autorise les paquets réseau entrants sur le port TCP 135 au service mappeur de point de
terminaison RPC. Le trafic entrant se compose de demandes de communiquer avec un service réseau spécifié. Les
réponses mappeur de point de terminaison RPC avec un numéro de port affectées de manière dynamique que le
client doit utiliser pour communiquer avec le service. La deuxième règle autorise le trafic réseau qui est envoyé au
numéro de port affectées de manière dynamique. En utilisant les règles de deux configurés comme décrit dans
cette rubrique permet de protéger votre appareil en autorisant le trafic réseau uniquement à partir d’appareils qui
ont reçu la redirection de ports dynamiques RPC et seuls les numéros de port TCP attribuées par le mappeur de
point de terminaison RPC.
Informations d’identification d’administration
Pour effectuer ces procédures, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour modifier les objets de stratégie de groupe.
Cette rubrique décrit comment créer des règles qui autorisent le trafic réseau entrant RPC. Pour les autres types
de règle de port d’entrée, voir:
Créer une règle de trafic entrant pour un port
Créer une règle pour le trafic ICMP entrant
Dans cette rubrique:
Pour créer une règle pour autoriser le trafic réseau entrant au service mappeur de point de terminaison
RPC
Pour créer une règle pour autoriser le trafic réseau entrant aux services réseau prenant RPC

Pour créer une règle pour autoriser le trafic réseau entrant au service
mappeur de point de terminaison RPC
1. Ouvrez la Console de gestion de stratégie de groupe pour le pare-feu Windows Defender avec sécurité
avancée.
2. Dans le volet de navigation, cliquez sur Règles de trafic entrant.
3. Cliquez sur une Action, puis cliquez sur nouvelle règle.
4. Sur la page Type de règle de l’Assistant Nouvelle règle de trafic entrant, cliquez sur personnalisé, puis
cliquez sur suivant.
5. Sur la page du programme , cliquez sur Le chemin d’accès de ce programmeet tapez
 %systemroot%\system32\svchost.exe.
6. Cliquez sur Personnaliser.
7. Dans la boîte de dialogue Personnaliser les paramètres du Service , cliquez sur appliquer à ce service,
sélectionnez L’appel de procédure distante (RPC ) avec un nom court de RpcSs, cliquez sur OK, puis
cliquez sur suivant.
8. Sur l’avertissement sur les règles de renforcement des services Windows, cliquez sur Oui.
9. Dans la boîte de dialogue protocole et les Ports , pour le type de protocole, sélectionnez TCP.
10. Pour le port Local, sélectionnez Le mappeur de point de terminaison RPC, puis cliquez sur suivant.
11. Sur la page de l’étendue , vous pouvez spécifier que la règle s’applique uniquement au trafic réseau vers
ou depuis les adresses IP entrées sur cette page. Configurer en fonction de votre conception, puis cliquez
sur suivant.
12. Sur la page Action , sélectionnez Autoriser la connexion, puis cliquez sur suivant.
13. Sur la page de profil , sélectionnez les types d’emplacements réseau auquel cette règle s’applique, puis
cliquez sur suivant.
14. Sur la page nom , tapez un nom et une description de votre règle, puis cliquez sur Terminer.

Pour créer une règle pour autoriser le trafic réseau entrant aux services
réseau prenant RPC
1. Sur le même GPO que vous avez modifié dans la procédure précédente, cliquez sur une Action, puis
cliquez sur nouvelle règle.
2. Sur la page Type de règle de l’Assistant Nouvelle règle de trafic entrant, cliquez sur personnalisé, puis
cliquez sur suivant.
3. Sur la page du programme , cliquez sur Le chemin d’accès de ce programmeet tapez le chemin d’accès
au fichier exécutable qui héberge le service de réseau. Cliquez sur Personnaliser.
4. Dans la boîte de dialogue Personnaliser les paramètres du Service , cliquez sur appliquer à ce
serviceet sélectionnez le service que vous souhaitez autoriser. Si le service n’apparaît pas dans la liste, puis
cliquez sur appliquer au service avec ce nom courtet puis tapez le nom court du service dans la zone de
texte.
5. Cliquez sur OK, puis cliquez sur suivant.
6. Dans la boîte de dialogue protocole et les Ports , pour le type de protocole, sélectionnez TCP.
7. Pour le port Local, sélectionnez les Ports dynamiques RPC, puis cliquez sur suivant.
8. Sur la page de l’étendue , vous pouvez spécifier que la règle s’applique uniquement au trafic réseau vers
ou depuis les adresses IP entrées sur cette page. Configurer en fonction de votre conception, puis cliquez
sur suivant.
9. Sur la page Action , sélectionnez Autoriser la connexion, puis cliquez sur suivant.
10. Sur la page de profil , sélectionnez les types d’emplacements réseau auquel cette règle s’applique, puis
cliquez sur suivant.
11. Sur la page nom , tapez un nom et une description de votre règle, puis cliquez sur Terminer.
 Créer des filtres WMI pour l’objet de stratégie de
groupe (GPO)
17/04/2019 • 3 minutes to read

S'applique à
Windows10
Windows Server2016
Pour vous assurer que chaque objet de stratégie de groupe associé à un groupe peut uniquement être appliqué
aux appareils exécutant la version appropriée de Windows, utilisez le composant logiciel enfichable MMC de
gestion de stratégie de groupe pour créer et affecter des filtres WMI à l’objet de stratégie de groupe. Bien que vous
pouvez créer un groupe d’appartenance distinct pour chaque objet de stratégie de groupe, vous devez ensuite
gérer les appartenances à des groupes différents. Au lieu de cela, utilisez un groupe d’appartenance unique et
permettre aux filtres WMI automatiquement Vérifiez que l’objet de stratégie de groupe approprié est appliquée à
chaque appareil.
Pour créer un filtre WMI qui interroge pour une version spécifiée de Windows
Pour lier un filtre WMI à un objet de stratégie de groupe
Informations d’identification d’administration
Pour effectuer ces procédures, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour modifier les objets de stratégie de groupe.
Tout d’abord, créez le filtre WMI et le configurer pour rechercher une version spécifiée (ou versions) du système
d’exploitation Windows.

Pour créer un filtre WMI qui interroge pour une version spécifiée de
Windows
1. Ouvrez la console de gestion des stratégies de groupe.
2. Dans le volet de navigation, développez forêt: YourForestName, développez domaines, développez
votre_domaine, puis cliquez sur Les filtres WMI.
3. Cliquez sur une Action, puis cliquez sur Nouveau.
4. Dans la zone de texte nom , tapez le nom du filtre WMI.

Remarque: veillez à utiliser un nom qui indique clairement la finalité du filtre. Vérifiez si votre
organisation dispose d’une convention d’affectation de noms.

5. Dans la zone de texte Description , tapez une description pour le filtre WMI. Par exemple, si le filtre exclut
les contrôleurs de domaine, vous pouvez envisager indiquant que dans la description.
6. Cliquez sur Ajouter.
7. Laissez la valeur de Namespace définie sur root\CIMv2.
8. Dans la zone de texte requête , tapez:
 select * from Win32_OperatingSystem where Version like "6.%"

Cette requête retourne true pour les appareils exécutant au moins Windows Vista et Windows Server
2008. Pour définir un filtre uniquement pour Windows 8 et Windows Server 2012, utilisez «6.2 %». Pour
Windows 10 et Windows Server 2016, utilisez «10.%». Pour spécifier plusieurs versions, les combiner avec
ou, comme illustré dans le code suivant:

... where Version like "6.1%" or Version like "6.2%"

Pour limiter la requête à uniquement des clients ou des serveurs uniquement, ajoutez une clause qui inclut
le paramètre ProductType. Pour filtrer des systèmes d’exploitation clients uniquement, par exemple,
Windows 8 ou Windows7, utilisez uniquement ProductType = «1». Pour les systèmes d’exploitation serveur
qui ne sont pas des contrôleurs de domaine, utilisez ProductType = «3». Pour les contrôleurs de domaine
uniquement, utilisent ProductType = «2». Il s’agit d’une distinction utile, étant donné que vous souhaitez
souvent empêcher vos objets de stratégie de groupe d’être appliquée aux contrôleurs de domaine sur votre
réseau.
La clause suivante retourne true pour tous les appareils qui ne sont pas des contrôleurs de domaine:

... where ProductType="1" or ProductType="3"

La requête complète suivante retourne true pour tous les appareils exécutant Windows 10 et renvoie false
pour n’importe quel système d’exploitation de serveur ou un autre système d’exploitation de client.

select * from Win32_OperatingSystem where Version like "10.%" and ProductType="1"

La requête suivante retourne true pour n’importe quel appareil exécutant Windows Server 2016, à
l’exception des contrôleurs de domaine:

select * from Win32_OperatingSystem where Version like "10.%" and ProductType="3"

9. Cliquez sur OK pour enregistrer la requête au filtre.

10. Cliquez sur Enregistrer pour enregistrer votre filtre terminée.

Pour lier un filtre WMI à un objet de stratégie de groupe

Une fois que vous avez créé un filtre avec la requête appropriée, lier le filtre à l’objet de stratégie de groupe. Filtres
peuvent être réutilisés avec plusieurs objets de stratégie de groupe simultanément; vous n’êtes pas obligé de créer
un nouveau pour chaque objet de stratégie de groupe si un existant répond à vos besoins.
1. Ouvrez la console de gestion des stratégies de groupe.
2. Dans le volet de navigation, recherchez et puis cliquez sur l’objet de stratégie de groupe que vous souhaitez
modifier.
3. Sous Le filtrage WMI, sélectionnez le filtre WMI correct dans la liste.
4. Cliquez sur Oui pour accepter le filtre.
 Créer des règles de pare-feu Windows dans Intune
17/04/2019 • 6 minutes to read

S'applique à
Windows10

IMPORTANT
Ces informations concernent la version version préliminaire de produits susceptibles d’être considérablement modifié avant la
publication commerciale. Microsoft ne donne aucune garantie, expresse ou implicite, concernant les informations fournies ici.

Pour commencer, ouvrez la Configuration des appareils dans Intune, puis créez un nouveau profil. Comme la
plateforme et Endpoint Protection en tant que le type de profil, choisissez Windows 10. Sélectionnez le pare-feu
Windows Defender. Ajouter une règle de pare-feu à ce nouveau profil Endpoint Protection à l’aide du bouton
Ajouter au bas du panneau.
 IMPORTANT
Un seul profil Endpoint Protection peut contenir jusqu'à un maximum de 150 règles de pare-feu. Si un périphérique client
nécessite plus de 150 règles, plusieurs profils doivent être attribuées à celui-ci.

Composants de règle de pare-feu

Le tableau suivant a description pour chaque champ.

PROPRIÉTÉ TYPE DESCRIPTION

DisplayName Chaîne Nom d’affichage de la règle. N’a pas

besoin d’être unique.

Description Chaîne La description de la règle.

PackageFamilyName Chaîne Le nom de famille de package d’une

application de Microsoft Store qui est
affecté par la règle de pare-feu.

FilePath Chaîne Le chemin d’accès complet du fichier

d’application est concernée par la règle
de pare-feu.

FullyQualifiedBinaryName Chaîne Le nom complet du fichier binaire.

ServiceName Chaîne Le nom utilisé dans les cas où un

service, n’est pas une application, qui
envoie ou reçoit le trafic.

Protocole Entier Nullable - valeur par défaut est 0-255 nombre représentant le
null qui correspond à l’ensemble protocole IP (TCP = 6 UDP = 17). Si
vous n’est spécifié, la valeur par défaut
est tout.

LocalPortRanges Tableau de chaînes Liste de plages de ports locaux. Par

exemple, «100-120», «200», «300-320".
Si vous n’est spécifié, la valeur par
défaut est tout.

RemotePortRanges Tableau de chaînes Liste de plages de ports distants. Par

exemple, «100-120», «200», «300-320".
Si vous n’est spécifié, la valeur par
défaut est tout.
PROPRIÉTÉ TYPE DESCRIPTION

LocalAddressRanges Tableau de chaînes Liste des adresses locales couverte par

la règle. Jetons valides sont les
suivantes:
-«\ *» indique les adresses locales. Le
cas échéant, vous devez spécifier le seul
jeton inclus.
-Un sous-réseau peut être spécifié à
l’aide de soit le sous-réseau réseau ou
masque la notation préfixée. Si ni un
masque de sous-réseau pas un préfixe
réseau est spécifié, le masque de sous-
réseau par défaut 255.255.255.255.
-Une adresse IPv6 valide.
-IPv4 adresse plage sous la forme «start
- adresse fin» avec aucun espace inclus.
-Un IPv6 adresse plage sous la forme
«start - adresse fin» avec aucun espace
inclus.
Valeur par défaut est n’importe quelle
adresse.

RemoteAddressRanges Tableau de chaînes Liste des jetons spécifiant les adresses

distantes couvertes par la règle. Les
jetons respectent la casse. Jetons valides
sont les suivantes:
-«\ *» indique les adresses distantes. Le
cas échéant, vous devez spécifier le seul
jeton inclus.
-«Defaultgateway»
-«DHCP»
-«DNS»
-«WINS»
-«Intranet»
-«RmtIntranet»
-«Internet»
-«Ply2Renders»
-«LocalSubnet» indique les adresses
locales sur le sous-réseau local. Ce jeton
d’accès n’est pas la casse.
-Un sous-réseau peut être spécifié à
l’aide de soit le sous-réseau réseau ou
masque la notation préfixée. Si ni un
masque de sous-réseau pas un préfixe
réseau est spécifié, le masque de sous-
réseau par défaut 255.255.255.255.
-Une adresse IPv6 valide.
-IPv4 adresse plage sous la forme «start
- adresse fin» avec aucun espace inclus.
-Un IPv6 adresse plage sous la forme
«start - adresse fin» avec aucun espace
inclus.
Valeur par défaut est n’importe quelle
adresse.

ProfileTypes WindowsFirewallNetworkProfileTypes Spécifie les profils auquel appartient la

règle. Si vous n’est spécifié, la valeur par
défaut est tout.
 PROPRIÉTÉ TYPE DESCRIPTION

Action StateManagementSetting L’action de la règle s’applique. Si vous

n’est spécifié, la valeur par défaut est
autorisée.

TrafficDirection WindowsFirewallRuleTrafficDirectionType La direction du trafic que la règle est

activée pour. Si vous n’est spécifié, la
valeur par défaut est arrière.

InterfaceTypes WindowsFirewallRuleInterfaceTypes Les types d’interfaces de la règle.

EdgeTraversal StateManagementSetting Indique si la traversée latérale est

activée ou désactivée pour cette règle.
Le paramètre EdgeTraversal indique que
le trafic entrant spécifique est autorisé à
tunnel par le biais de NAT et autres
appareils de bord à l’aide de la
technologie de tunnel de Teredo. Dans
l’ordre pour que ce paramètre
fonctionne correctement, l’application
ou le service à l’aide de la règle de pare-
feu entrantes doit prendre en charge
d’IPv6. L’application principale de ce
paramètre permet d’écouteurs sur
l’hôte pour être globalement adressable
par le biais d’une adresse IPv6 de
Teredo.
Nouvelles règles ont la propriété
EdgeTraversal désactivée par défaut.

LocalUserAuthorizations Chaîne Spécifie la liste des utilisateurs locaux

autorisés pour le conteneur
d’application. Il s’agit d’une chaîne au
format du langage SDDL (sécurité
Descriptor Definition Language).

Application
Connexions de contrôle pour une application ou un programme. Les applications et les programmes peuvent être
spécifiés chemin d’accès du fichier, nom de famille de package ou nom court du service Windows.
Le chemin d’accès d’une application est son emplacement sur l’appareil client. Par exemple,
C:\Windows\System\Notepad.exe. En savoir plus
Noms de famille de package peuvent être récupérés en exécutant la commande Get-AppxPackage à partir de
PowerShell. En savoir plus
Service Windows noms courts sont utilisés dans les cas où un service, n’est pas une application, qui envoie ou
reçoit le trafic. Par défaut ia tous les.
En savoir plus

Protocole
Sélectionnez le protocole pour cette règle de port. Protocoles de la couche de transport: TCP et UDP — vous
permettent de spécifier des ports ou des plages de ports. Pour les protocoles personnalisés, entrez un nombre
compris entre 0 et 255 représentant le protocole IP.
Par défaut est Any.
En savoir plus

Ports locaux
Liste séparée par des virgules des plages. Par exemple, 100 -120,200,300 -320. Valeur par défaut est tous.
En savoir plus

Ports distants
Liste séparée par des virgules des plages. Par exemple, 100 -120,200,300 -320. Valeur par défaut est tous.
En savoir plus

Adresses locales
Liste des adresses locales couverte par la règle séparées par des virgules. Jetons valides sont les suivantes:
\ * indique les adresses locales. Le cas échéant, vous devez spécifier le seul jeton inclus.
Un sous-réseau peut être spécifié à l’aide de soit le sous-réseau réseau ou masque la notation préfixée. Si un
préfixe réseau ni un masque de sous-réseau est spécifié, la valeur par défaut du masque de sous-réseau est
255.255.255.255.
Une adresse IPv6 valide.
IPv4 adresse plage sous la forme «start - adresse fin» avec aucun espace inclus.
Un IPv6 adresse plage sous la forme «start - adresse fin» avec aucun espace inclus. Valeur par défaut est
n’importe quelle adresse.
En savoir plus

Adresses distantes
Liste de la virgule séparés par des jetons spécifiant les adresses distantes couvertes par la règle. Les jetons
respectent la casse. Jetons valides sont les suivantes:
\ * indique n’importe quelle adresse à distance. Le cas échéant, vous devez spécifier le seul jeton inclus.
DefaultGateway
DHCP
DNS
WINS
Intranet (pris en charge sur Windows versions 1809 +)
RmtIntranet (pris en charge sur Windows versions 1809 +)
Internet (pris en charge sur Windows versions 1809 +)
Ply2Renders (pris en charge sur Windows versions 1809 +)
LocalSubnet indique les adresses locales sur le sous-réseau local.
Un sous-réseau peut être spécifié à l’aide de soit le sous-réseau réseau ou masque la notation préfixée. Si ni un
masque de sous-réseau pas un préfixe réseau est spécifié, le masque de sous-réseau par défaut
255.255.255.255.
Une adresse IPv6 valide.
IPv4 adresse plage sous la forme «start - adresse fin» avec aucun espace inclus.
Un IPv6 adresse plage sous la forme «start - adresse fin» avec aucun espace inclus.
Valeur par défaut est n’importe quelle adresse.
En savoir plus

Traversée latérale (bientôt disponible)

Indique si la traversée latérale est activée ou désactivée pour cette règle. Le paramètre EdgeTraversal indique que le
trafic entrant spécifique est autorisé à tunnel par le biais de NAT et autres appareils de bord à l’aide de la
technologie de tunnel de Teredo. Dans l’ordre pour que ce paramètre fonctionne correctement, l’application ou le
service à l’aide de la règle de pare-feu entrantes doit prendre en charge d’IPv6. L’application principale de ce
paramètre permet d’écouteurs sur l’hôte pour être globalement adressable par le biais d’une adresse IPv6 de
Teredo. Nouvelles règles ont la propriété EdgeTraversal désactivée par défaut.
En savoir plus

Utilisateurs autorisés
Spécifie la liste des utilisateurs locaux autorisés de cette règle. Une liste d’utilisateurs autorisés ne peut pas être
spécifiée si la règle créé cible un service Windows. Valeur par défaut est tous les utilisateurs.
En savoir plus

Configuration des règles de pare-feu par programme

Bientôt disponible.
 Activer les règles de trafic entrant prédéfinies
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Le pare-feu Windows Defender avec sécurité avancée comprend de nombreuses règles prédéfinies pour les rôles
communs de mise en réseau et les fonctions. Lorsque vous installez un nouveau rôle de serveur sur un appareil ou
activez une fonctionnalité de réseau sur un appareil client, le programme d’installation active en règle générale, les
règles nécessaires pour ce rôle au lieu de créer de nouveaux. Lorsque vous déployez des règles de pare-feu pour
les appareils sur le réseau, vous pouvez tirer parti de ces règles prédéfinies au lieu de créer de nouveaux. Cette
configuration permet de garantir la cohérence et précision, étant donné que les règles ont été intégralement testées
et sont prêts à être utilisés en train de faire.
Informations d’identification d’administration
Pour effectuer ces procédures, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour modifier les objets de stratégie de groupe.
Pour déployer des règles de pare-feu qui autorisent le trafic réseau entrant pour les fonctions réseau courantes
prédéfinies
1. Ouvrez la Console de gestion de stratégie de groupe pour le pare-feu Windows Defender avec sécurité
avancée.
2. Dans le volet de navigation, cliquez sur Règles de trafic entrant.
3. Cliquez sur une Action, puis cliquez sur nouvelle règle.
4. Sur la page Type de règle de l’Assistant Nouvelle règle de trafic entrant, cliquez sur prédéfini, sélectionnez
la catégorie de règle dans la liste, puis cliquez sur suivant.
5. Sur la page de Règles prédéfinies , la liste des règles définies dans le groupe s’affiche. Par défaut, elles sont
toutes sélectionnées. Pour les règles que vous ne souhaitez pas déployer, désactivez les cases à cocher en
regard de règles, puis cliquez sur suivant.
6. Sur la page Action , sélectionnez Autoriser la connexion, puis cliquez sur Terminer.
 Activer les règles de trafic sortant prédéfinies
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Par défaut, le pare-feu Windows Defender avec sécurité avancée autorise tout le trafic réseau sortant, sauf si elle
correspond à une règle qui empêche le trafic. Pare-feu Windows Defender inclut de nombreuses règles de trafic
sortant prédéfinies qui peuvent être utilisés pour bloquer le trafic réseau pour les rôles communs de mise en
réseau et les fonctions. Lorsque vous installez un nouveau rôle de serveur sur un ordinateur ou activez une
fonctionnalité de réseau sur un ordinateur client, le programme d’installation peut installer, mais en règle générale,
n’active pas, règles de blocage de trafic sortant pour ce rôle. Lorsque vous déployez des règles de pare-feu sur les
ordinateurs sur le réseau, vous pouvez tirer parti de ces règles prédéfinies au lieu de créer de nouveaux. Cette
configuration permet de garantir la cohérence et précision, étant donné que les règles ont été intégralement
testées et sont prêts à être utilisés en train de faire.
Informations d’identification d’administration
Pour effectuer ces procédures, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour modifier les objets de stratégie de groupe.
Pour déployer des règles de pare-feu qui bloquent le trafic réseau sortant pour les fonctions réseau courantes
prédéfinies
1. Ouvrez la Console de gestion de stratégie de groupe pour le pare-feu Windows Defender avec sécurité
avancée.
2. Dans le volet de navigation, cliquez sur Règles de trafic sortant.
3. Cliquez sur une Action, puis cliquez sur nouvelle règle.
4. Sur la page Type de règle de l’Assistant Nouvelle règle de trafic entrant, cliquez sur prédéfini,
sélectionnez la catégorie de règle dans la liste, puis cliquez sur suivant.
5. Sur la page de Règles prédéfinies , la liste des règles définies dans le groupe s’affiche. Ils sont tous
sélectionnés par défaut. Pour les règles que vous ne souhaitez pas déployer, désactivez les cases à cocher en
regard de règles, puis cliquez sur suivant.
6. Sur la page Action , sélectionnez bloquer la connexion, puis cliquez sur Terminer.
Les règles sélectionnés sont ajoutés à l’objet de stratégie de groupe.
 Créer une exemption d’authentification pour le trafic
ICMP
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Cette procédure vous montre comment ajouter des exclusions pour tout le trafic réseau qui utilise le protocole
ICMP.
Informations d’identification d’administration
Pour effectuer cette procédure, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour modifier les objets de stratégie de groupe.
Pour le trafic réseau ICMP identifiant de l’authentification
1. Ouvrez la Console de gestion de stratégie de groupe pour le pare-feu Windows Defender avec sécurité
avancée.
2. Dans le principal pare-feu Windows Defender avec la page de sécurité avancée, cliquez sur Propriétés du
pare-feu Windows Defender.
3. Sous l’onglet Paramètres IPsec , définissez ICMP identifiant du IPsec sur Oui, puis cliquez sur OK.
 Lier l'objet de stratégie de groupe au domaine
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Une fois que vous créez l’objet de stratégie de groupe et configurez avec des filtres de groupe de sécurité et les
filtres WMI, vous devez lier l’objet de stratégie de groupe pour le conteneur dans Active Directory qui contient
tous les appareils cibles.
Si les filtres de façon plus globale contrôlent l’application de l’objet de stratégie de groupe pour que les
périphériques corrects, vous pouvez lier l’objet de stratégie de groupe pour le conteneur de domaine. Par ailleurs,
vous pouvez lier l’objet GPO à un conteneur de site ou l’unité d’organisation si vous souhaitez limiter l’application
de l’objet de stratégie de groupe pour ce sous-ensemble d’appareils.
Informations d’identification d’administration
Pour effectuer cette procédure, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour modifier les objets de stratégie de groupe.
Pour lier l’objet de stratégie de groupe pour le conteneur de domaine dans Active Directory
1. Ouvrez la console de gestion des stratégies de groupe.
2. Dans le volet de navigation, développez forêt: YourForestName, développez domaines, puis développez
votre_domaine.
3. Avec le bouton droit votre_domaine, puis cliquez sur lier un objet de stratégie de groupe existant.
4. Dans la boîte de dialogue Sélectionner un objet GPO , sélectionnez l’objet de stratégie de groupe que
vous souhaitez déployer, puis cliquez sur OK.
5. L’objet de stratégie de groupe s’affiche dans l’onglet d’Objets de stratégie de groupe lié dans le volet
d’informations et comme un élément lié sous le conteneur de domaine dans le volet de navigation.
6. Vous pouvez modifier l’ordre de stratégie de groupe lié pour vous assurer que la priorité de stratégie de
groupe sont traités en dernier. Sélectionnez un objet de stratégie de groupe et cliquez sur l’ou les flèches
pour déplacer. Les objets de stratégie de groupe sont traités par l’appareil du client à partir du numéro de
commande lien plus élevé à la plus basse.
 Modifier des filtres d’objet de stratégie de groupe
pour les appliquer à une autre zone ou version de
Windows
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Vous devez reconfigurer votre copiée de la stratégie de groupe pour qu’il contienne le groupe de sécurité
approprié et les filtres WMI pour son nouveau rôle. Si vous créez l’objet de stratégie de groupe pour le domaine
isolé, utilisez la procédure de bloquer les membres d’un groupe d’appliquer une stratégie de groupe pour
empêcher les membres des zones limite et le chiffrement d’appliquer correctement les objets de stratégie de
groupe pour le domaine isolé principal.
Informations d’identification d’administration
Pour effectuer ces procédures, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour modifier les objets de stratégie de groupe.
Dans cette rubrique:
Modifier le filtre de groupe de sécurité pour un objet de stratégie de groupe
Bloquer les membres d’un groupe d’appliquer une stratégie de groupe
Supprimer un bloc pour les membres d’un groupe d’appliquer une stratégie de groupe

Pour modifier le filtre de groupe de sécurité d’un objet de stratégie de

groupe
1. Ouvrez la console de gestion des stratégies de groupe.
2. Dans le volet de navigation, recherchez et puis cliquez sur l’objet de stratégie de groupe que vous souhaitez
modifier.
3. Dans le volet d’informations, sous le Filtrage de sécurité, cliquez sur le groupe de sécurité actuellement
affectée, puis cliquez sur Supprimer.
4. Maintenant, vous pouvez ajouter le groupe de sécurité approprié à cet objet de stratégie de groupe. Sous le
Filtrage de sécurité, cliquez sur Ajouter.
5. Dans la boîte de dialogue Sélectionner un utilisateur, les ordinateurs ou les groupes , tapez le nom du
groupe dont les membres sont à appliquer la stratégie de groupe, puis cliquez sur OK. Si vous ne
connaissez pas le nom, vous pouvez cliquer sur Avancé pour parcourir la liste des groupes disponibles
dans le domaine.

Pour bloquer les membres d’un groupe d’appliquer une stratégie de

groupe
1. Ouvrez la console de gestion des stratégies de groupe.
2. Dans le volet de navigation, recherchez et puis cliquez sur l’objet de stratégie de groupe que vous souhaitez
modifier.
3. Dans le volet d’informations, cliquez sur l’onglet délégation .
4. Cliquez sur Avancé.
5. Sous la liste des noms d’utilisateur ou de groupe , cliquez sur Ajouter.
6. Dans la boîte de dialogue Sélectionner un utilisateur, les ordinateurs ou les groupes , tapez le nom du
groupe dont les membres doivent être empêché d’appliquer la stratégie de groupe, puis cliquez sur OK. Si
vous ne connaissez pas le nom, vous pouvez cliquer sur Avancé pour parcourir la liste des groupes
disponibles dans le domaine.
7. Sélectionnez le groupe dans la liste des noms d’utilisateur ou de groupe et sélectionnez les cases dans la
colonne Refuser pour la lecture et Appliquer la stratégie de groupe.
8. Cliquez sur OK, puis cliquez sur Ouidans la boîte de dialogue Sécurité de Windows .
9. Le groupe apparaît dans la liste avec des autorisations personnalisées.

Pour supprimer un bloc pour les membres du groupe d’appliquer une

stratégie de groupe
1. Ouvrez la console de gestion des stratégies de groupe.
2. Dans le volet de navigation, recherchez et puis cliquez sur l’objet de stratégie de groupe que vous souhaitez
modifier.
3. Dans le volet d’informations, cliquez sur l’onglet délégation .
4. Dans la liste des utilisateurs et groupes , sélectionnez le groupe qui n’est plus doit être bloqué, puis
cliquez sur Supprimer.
5. Dans la boîte de message, cliquez sur OK.
 Ouvrir la Console de gestion des stratégies de
groupe pour accéder aux stratégies de sécuritéIP
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Les procédures décrites dans ce guide qui font référence à la stratégie de groupe pour les versions antérieures du
système d’exploitation Windows indiquent à travailler avec la section stratégie de sécurité IP dans la Console de
gestion des stratégies de groupe (GPMC ).
Pour ouvrir un objet de stratégie de groupe à la section des stratégies de sécurité IP
1. Ouvrez la console de gestion des stratégies de groupe.
2. Dans le volet de navigation, développez forêt: YourForestName, développez domaines, développez
votre_domaine, développez Les objets de stratégie de groupe, avec le bouton droit de la stratégie de
groupe à modifier, puis cliquez sur Modifier.
3. Dans le volet de navigation de l’éditeur de gestion de la stratégie de groupe, développez la Configuration
de l’ordinateur, développez des stratégies, développez Paramètres Windows, développez les
Paramètres de sécurité, puis cliquez sur des stratégies de sécurité IP sur actif Répertoire
(votre_domaine).
 Ouvrez la Console de gestion de stratégie de groupe
du pare-feu Windows Defender
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Pour ouvrir un objet de stratégie de groupe du pare-feu Windows Defender:
1. Ouvrez la console de gestion des stratégies de groupe.
2. Dans le volet de navigation, développez forêt: YourForestName, développez domaines, développez
votre_domaine, développez Les objets de stratégie de groupe, avec le bouton droit de la stratégie de
groupe à modifier, puis cliquez sur Modifier.
3. Dans le volet de navigation de l’éditeur d’objets de stratégie de groupe, accédez à Configuration
ordinateur > Modèles d’administration > réseau > Connexions réseau > Windows Defender Pare-
feu.
 Ouvrir la Console de gestion des stratégies de
groupe pour accéder au nœud Pare-feu Windows
avec fonctions avancées de sécurité
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
La plupart des procédures décrites dans ce guide vous demande d’utiliser les paramètres de stratégie de groupe
pour le pare-feu Windows avec fonctions avancées de sécurité.
Pour ouvrir un objet de stratégie de groupe du pare-feu Windows avec fonctions avancées de sécurité
1. Ouvrez la console de gestion des stratégies de groupe.
2. Dans le volet de navigation, développez forêt: YourForestName, développez domaines, développez
votre_domaine, développez Les objets de stratégie de groupe, avec le bouton droit de la stratégie de
groupe à modifier, puis cliquez sur Modifier.
3. Dans le volet de navigation de l’éditeur de gestion de la stratégie de groupe, accédez à Configuration
ordinateur > stratégies > Paramètres Windows > Paramètres de sécurité > du pare-feu Windows
avec avancé Sécurité > du pare-feu Windows avec fonctions avancées de sécurité - LDAP://cn=
{GUID}, cn = ….
 Ouvrez le pare-feu Windows Defender avec sécurité
avancée
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Cette procédure vous montre comment ouvrir le pare-feu Windows Defender avec la console de sécurité avancée.
Informations d’identification d’administration
Pour effectuer cette procédure, vous devez être membre du groupe Administrateurs. Pour plus d’informations, voir
Considérations supplémentaires.

Pare-feu ouverture Windows Defender

Utilisation de l’interface Windows
Utilisation d’une ligne de commande

Pour ouvrir le pare-feu Windows Defender à l’aide de l’interface

utilisateur
Cliquez sur Démarrer, tapez le Pare-feu Windows Defender, puis appuyez sur ENTRÉE.

Pour ouvrir le pare-feu Windows Defender à partir d’une invite de

commandes
1. Ouvrez une fenêtre d’invite de commandes.
2. À l’invite de commandes, tapez:

wf.msc

Autres éléments à prendre en considération

Bien que les utilisateurs standard peuvent démarrer le composant logiciel enfichable MMC de pare-feu Windows
Defender, pour modifier la plupart des paramètres de l’utilisateur doit être membre d’un groupe avec les
autorisations pour modifier ces paramètres, tels que les administrateurs.
 Activer le pare-feu Windows Defender avec fonctions
avancées de sécurité et de configurer le
comportement par défaut
17/04/2019 • 2 minutes to read

S'applique à
Windows10
Windows Server2016
Pour activer le pare-feu Windows Defender avec sécurité avancée et configurer son comportement par défaut,
utilisez le pare-feu Windows Defender avec nœud sécurité avancée dans la console de gestion des stratégies de
groupe.
Informations d’identification d’administration
Pour effectuer ces procédures, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour modifier les objets de stratégie de groupe.

Pour activer le pare-feu Windows Defender et configurer le

comportement par défaut
1. Ouvrez la Console de gestion de stratégie de groupe pour le pare-feu Windows Defender avec sécurité
avancée.
2. Dans le volet d’informations, dans la section de la vue d’ensemble , cliquez sur Propriétés du pare-feu
Windows Defender.
3. Pour chaque type d’emplacement réseau (domaine, privé, Public), procédez comme suit.

Remarque: les étapes présentées ici indiquent les valeurs recommandées pour un déploiement
classique. Utilisez les paramètres appropriés à votre conception du pare-feu.

a. Cliquez sur l’onglet qui correspond au type d’emplacement réseau.

b. Modifier l' état du pare-feu pour sur (recommandé).
c. Modifier les connexions entrantes sur le bloc (par défaut).
d. Modifier les connexions sortantes pour Autoriser (par défaut).
 Vérifier que le trafic réseau est authentifié
16/04/2019 • 4 minutes to read

S'applique à
Windows10
Windows Server2016
Une fois que vous avez configuré votre règle d’isolation de domaine pour demander, plutôt que de besoin,
l’authentification, vous devez confirmer que le trafic réseau envoyé par les périphériques sur le réseau est protégé
par l’authentification IPsec comme prévu. Si vous passez vos règles pour exiger une authentification avant que
tous les appareils ont reçu et appliquer la stratégie de groupe approprié, ou s’il existe des erreurs dans vos règles,
communications sur le réseau peut échouer. En premier définissant les règles pour demander l’authentification,
les connexions réseau que l’authentification a échoué peuvent continuer en texte clair, tandis que vous
diagnostiquer et à résoudre les problèmes.
Dans ces procédures, vous confirmez que les règles que vous avez déployé fonctionnent correctement. Les étapes
suivantes dépendent de la zone dans laquelle vous travaillez sur:
Zone d’isolation de domaine principal. Avant de convertir votre règle de IPsec de l’isolation de
domaine principal du mode de demande au mode est nécessaire, il se peut que vous devez vous assurer
que le trafic réseau est protégé en fonction de votre conception. En configurant vos règles pour demander
et ne nécessite pas l’authentification au début des opérations, les appareils sur le réseau peuvent continuer
à communiquer même lorsque l’authentification en mode principal ou les règles de l’intégrité et le
chiffrement en mode rapide ne fonctionnent pas correctement. Par exemple, si votre zone de chiffrement
contient des règles qui nécessitent un certain algorithme de chiffrement, mais cet algorithme n’est pas
inclus dans une combinaison de méthode de sécurité sur les clients, puis ces clients ne peuvent pas
négocier avec succès une association de sécurité en mode rapide , et le serveur refuse le trafic réseau du
client. En premier à l’aide du mode de demande uniquement, vous avez la possibilité de déployer vos
règles, puis examinez le trafic réseau pour voir si elles fonctionnent comme prévu sans risque de perte de
communication.
Zone limite. Confirmation correct le fonctionnement de IPsec constitue la dernière étape si vous travaillez
sur la zone limite de stratégie de groupe. Vous ne convertissez pas l’objet de stratégie de groupe afin
d’exiger le mode à tout moment.
Zone de chiffrement. Similaire à la zone d’isolation principale, après avoir vérifié que le trafic réseau aux
membres de la zone est correctement authentifié et chiffré, vous devez convertir vos règles de zone à partir
du mode de requête pour le mode est nécessaire.

Remarque: outre les étapes présentées dans cette procédure, vous pouvez également utiliser des outils de
capture le trafic réseau tels que le Moniteur réseau Microsoft, qui peut être téléchargé à partir de
https://go.microsoft.com/fwlink/?linkid=94770. Le Moniteur réseau et des outils similaires permettent à
capturer, analyser et afficher les paquets réseau reçus par la carte réseau sur votre appareil. Les versions
actuelles de ces outils incluent la prise en charge complète pour IPsec. Ils peuvent identifier les paquets réseau
chiffré, mais ils ne peuvent pas les déchiffrer.

Informations d’identification d’administration

Pour effectuer ces procédures, vous devez être membre du groupe Admins du domaine, ou être dans le cas
contraire des autorisations déléguées pour modifier les objets de stratégie de groupe.
Pour vérifier ce réseau connexions sont authentifiées à l’aide du pare-
feu Windows Defender avec la console de sécurité avancée
1. Ouvrez le pare-feu Windows Defender avec la console de sécurité avancée.
2. Dans le volet de navigation, développez analyse, puis cliquez sur Les règles de sécurité de connexion.
Le volet Détails affiche les règles actuellement en vigueur sur l’appareil.
3. Pour afficher la colonne de la Source de la règle
a. Dans le volet Actions , cliquez sur l’affichage, puis cliquez sur Ajouter/supprimer des colonnes.
b. Dans la liste des colonnes disponibles , sélectionnez la Source de la règle, puis cliquez sur
Ajouter.
c. Utilisez les boutons Monter et Descendre pour réorganiser l’ordre. Lorsque vous avez terminé,
cliquez sur OK .
Il peut prendre quelques instants pour obtenir la liste être actualisée avec la colonne qui vient d’être
ajoutée.
4. Examinez la liste des règles de stratégie de groupe que vous prévoyez d’être appliqués à cet appareil.

Remarque: si les règles n’apparaissent pas dans la liste, puis résoudre les problèmes du groupe de
sécurité de stratégie de groupe et les filtres WMI qui sont appliquées à l’objet de stratégie de groupe.
Assurez-vous que l’appareil local est un membre des groupes appropriés et répond aux exigences des
filtres WMI.

5. Dans le volet de navigation, développez les Associations de sécurité, puis cliquez sur Le Mode
principal.
La liste actuelle des associations de mode principal qui ont été négociés avec d’autres appareils s’affiche
dans la colonne Détails.
6. Examinez la liste des associations de sécurité en mode principal pour les sessions entre l’appareil local et de
l’appareil distant. S’assurer que les colonnes 1er méthode d’authentification et la Méthode
d’authentification 2e contiennent les valeurs attendues. Si vos règles de spécifient une première
méthode d’authentification, la colonne de la Méthode d’authentification 2e n’affiche Aucune
authentification. Si vous double-cliquez sur la ligne, la boîte de dialogue s’affiche avec des détails
supplémentaires sur l’association de sécurité.
7. Dans le volet de navigation, cliquez sur le mode rapide.
8. Examinez la liste des associations de sécurité en mode rapide pour les sessions entre l’appareil local et de
l’appareil distant. S’assurer que les colonnes AH intégrité, intégrité ESPet la Confidentialité ESP
contiennent les valeurs attendues.