Options avancées de filtrage

Les sections Pare-feu et Protection contre les attaques réseau vous permettent de configurer des options de filtrage avancées pour détecter plusieurs types d’attaques et de vulnérabilités pouvant être perpétrés contre votre ordinateur.

Services autorisés

Les paramètres de ce groupe sont destinés à simplifier la configuration de l'accès aux services de cet ordinateur à partir de la zone de confiance. Plusieurs d'entre eux activent/désactivent des règles de pare-feu prédéfinies.

•Autoriser le partage de fichiers et d'imprimantes dans la zone Fiable - Permet aux ordinateurs distants d'accéder à vos fichiers et imprimantes partagés.

•Autoriser UPNP pour les services système dans la zone de confiance - Autorise les demandes entrantes et sortantes de services système envoyées par le protocole UPnP. UPnP (Universal Plug and Play, aussi appelé Recherche du réseau de Microsoft) est utilisé dans Windows Vista et les versions ultérieures des systèmes d'exploitation.

•Autoriser la communication RPC entrante dans la zone de confiance - Autorise les connexions TCP provenant de la zone de confiance, ce qui autorise l'accès aux services MS RPC Portmapper et RPC/DCOM.

•Autoriser le Bureau à distance dans la zone de confiance - Active les connexions qui transitent par le Protocole Bureau à distance de Microsoft (RDP) et autorise les ordinateurs dans la zone de confiance à accéder à votre ordinateur grâce à un programme utilisant RDP (Connexion Bureau à distance, par ex.). Consultez également la rubrique sur la façon d'autoriser les connexions RDP en dehors de la zone de confiance.

•Active la journalisation dans les groupes de multidiffusion par l'entremise de IGMP - Autorise les requêtes multicast IGMP entrantes et sortantes et UDP entrantes, par exemple, les flux vidéos générés par des applications utilisant le protocole IGMP (Protocole de gestion de groupes Internet).

•Autoriser la communication pour les connexions pontées : Sélectionnez cette option pour éviter de mettre fin aux connexions pontées. La mise en réseau pontée permet de connecter une machine virtuelle à un réseau en utilisant l'adaptateur Ethernet de l'ordinateur hôte. Si vous utilisez la mise en réseau pontée, la machine virtuelle peut accéder à d'autres périphériques sur le réseau, et vice versa comme s'il s'agissait d'un ordinateur physique sur le réseau.

•Autoriser Web Services Discovery (WSD) pour les services système dans la zone de confiance - Autorise les requêtes entrantes connexes au protocole Web Services Discovery provenant de la zone de confiance à traverser le pare-feu. Le protocole WSD est utilisé pour localiser des services sur un réseau local.

•Autoriser la résolution d'adresse multicast dans la zone de confiance (LLMNR) - Le protocole LLMNR est basé sur les paquets DNS. Il permet tant aux hôtes IPv4 que IPv6 d'effectuer une résolution de nom pour les hôtes se trouvant sur le même lien local, sans exiger, pour ce faire, de configuration de serveur ou de client DNS. Cette option permet aux requêtes multicast DNS entrantes provenant de la zone de confiance de traverser le pare-feu.

•Compatibilité groupement résidentiel Windows - Active la compatibilité avec le groupement résidentiel pour le système d'exploitation Windows 7 et ses versions ultérieures. Un groupement résidentiel est capable de partager des fichiers et des imprimantes sur un réseau résidentiel. Pour le configurer, allez jusqu'à Démarrer > Panneau de configuration > Réseau et Internet > Groupement résidentiel.

Détection d'intrusion

•Protocole SMB - Détecte et bloque les divers problèmes de sécurité dans le protocole SMB, à savoir :

•Détection d'attaque par détection de serveurs non autorisés - Cette option protège l'ordinateur contre une attaque qui utilise un serveur non autorisé pendant l'authentification afin d'obtenir les identifiants de l'utilisateur.

•Détection d'évasion IDS pendant l'ouverture d'un canal nommé - Détection de techniques d'évasion connues pour ouvrir les canaux nommés MSRPC dans le protocole SMB.

•Détection CVE (Common Vulnerabilities and Exposures) - Méthodes de détection mises en œuvre de diverses attaques, formes, trous de sécurité et exploits sur le protocole SMB. Voir le site Web CVE cve.mitre.org pour plus de détails sur les identificateurs CVE (CVE).

•Protocole RPC - Détecte et bloque divers CVE dans le système d'appel de la procédure distante développé pour le Distributed Computing Environment (DCE).

•Protocole RDP - Détecte et bloque divers CVE dans le protocole RDP (voir ci-haut).

•Détection d'attaque par empoisonnement ARP - Détection des attaques par empoisonnement ARP causées par le type « l'homme du milieu » (man-in-the-middle) ou par la détection du reniflage au commutateur de réseau. Le protocole ARP (Protocole de résolution d'adresse) est utilisé par l'application réseau ou le périphérique pour déterminer l'adresse Ethernet.

•Détection des attaques de balayage des ports UDP - Détecte les attaques des logiciels de balayage de ports - une application conçue pour sonder un hôte afin d'y détecter des ports ouverts. Il envoie, pour ce faire, des requêtes client à un vaste éventail d'adresses de port dans l'objectif de trouver des ports actifs et d'exploiter les vulnérabilités du service. Pour en savoir plus sur ce type d'attaque, consultez le glossaire.

•Bloquer l'adresse dangereuse après la détection d'une attaque - Les adresses IP ayant été détectées comme des sources d'attaque sont ajoutées à la liste noire pour éviter toute connexion pendant un certain temps.

•Afficher une notification à la détection d'une attaque - Active la notification dans la barre d'état système, dans le coin inférieur droit de l'écran.

•Afficher également des notifications à la détection d'une attaque sur des failles de sécurité - Vous averti lorsque des attaques sur des failles de sécurité sont détectées ou si une menace tente d'entrer dans le système en utilisant des failles de sécurité.

Inspection des paquets

•Autoriser les connexions entrantes sur les partages admin dans le protocole SMB - Les partages d'administration constituent les partages réseau par défaut qui partagent par défaut les partitions du disque dur (C$, D$, ...) du système, et du dossier de fichiers (ADMIN$). Désactiver la connexion aux partages d'administration devrait réduire bon nombre de risques pour la sécurité. Par exemple, le ver Conficker utilise les attaques par dictionnaire pour se connecter aux partages d'administration.

•Refuser les anciens dialectes SMB (non pris en charge) - Refuser des sessions SMB utilisant un ancien dialecte SMB, non pris en charge par IDS. Les systèmes d'exploitation Windows modernes prennent en charge les anciens dialectes SMB en raison de la rétrocompatibilité avec les anciens systèmes d'exploitation comme Windows 95. L'attaquant peut utiliser un ancien dialecte dans une session SMB pour éviter l'inspection. Refusez les anciens dialectes SMB si votre ordinateur n'a pas à partager de fichiers (ou utiliser la communication SMB en général) avec un ordinateur utilisant une version antérieure de Windows.

•Refuser les sessions SMB sans sécurité étendue - La sécurité étendue peut être utilisée pendant la négociation de session SMB afin de fournir un mécanisme d'authentification plus sécurisé que l'authentification par question/réponse du gestionnaire du réseau local (LM). Le schéma LM est jugé faible et son utilisation n'est pas recommandée.

•Refuser l'ouverture de fichiers exécutables sur un serveur hors de la zone de confiance dans le protocole SMB - Refuse la connexion lorsque vous tentez d'ouvrir un fichier exécutable (.exe, .dll, etc.) à partir d'un dossier partagé sur le serveur qui n'appartient pas à la zone de confiance du pare-feu. Veuillez prendre note que copier des fichiers exécutables à partir de sources fiables peut être légitime, mais cette détection devrait atténuer les risques de l'ouverture non désirée d'un fichier sur un serveur malveillant (par exemple, un fichier ouvert en cliquant sur un lien hypertexte vers un fichier exécutable malveillant commun).

•Refuser l'authentification NTLM dans le protocole SMB pour la connexion à un serveur à l'intérieure ou à l'extérieure de la zone de confiance - Les protocoles qui utilisent les schémas d'authentification NTLM (dans ses deux versions) sont sujets à une attaque avec transfert d'identifiants (appelée attaque par relais SMB dans le cas du protocole SMB). Refuser l'authentification NTLM à un serveur à l'extérieur de la zone de confiance devrait réduire les risques d'attaques avec transferts d'identifiants effectuée par un serveur malveillant se trouvant en dehors de la zone de confiance. Vous pouvez également refuser l'authentification NTLM aux serveurs se trouvant dans la zone de confiance.

•Autoriser les communications avec le service Security Account Manager - Pour de plus amples renseignements sur ces services, voir [MS-SAMR].

•Autoriser les communications avec le service Local Security Authority - Pour de plus amples renseignements sur ces services, voir [MS-LSAD] et [MS-LSAT].

•Autoriser les communications avec le service Remote Registry - Pour de plus amples renseignements sur ces services, voir [MS-RRP].

•Autoriser les communications avec le service Service Control Manager - Pour de plus amples renseignements sur ces services, voir [MS-SCMR].

•Autoriser les communications avec le service Server - Pour de plus amples renseignements sur ces services, voir [MS-SRVS].

•Autoriser les communications avec les autres services –.MSRPC est la version Microsoft du mécanisme DCE RPC. MSRPC peut également utiliser des canaux nommés intégrés dans le protocole SMB (partage de fichiers réseau) pour le transport (ncacn_np transport). Les services MSRPC fournissent les interfaces permettant d'accéder à distance à vos systèmes Windows et de les gérer. Plusieurs vulnérabilités connexes à la sécurité ont été découvertes dans le système MSRPC de Windows puis utilisées à mauvais escient (vers Conficker, Sasser, etc.). Désactiver la communication avec les services MSRPC dont vous n'avez pas besoin peut permettre de réduire bon nombre de risques pour la sécurité (comme l'exécution de code à distance ou des attaques par déni de service).