Services autorisés et options avancées

Les options avancées dans les sections Pare-feu et Protection contre les attaques réseau vous permettent de configurer l’accès à certains des services s’exécutant sur votre ordinateur à partir de la zone de confiance.

Vous pouvez activer ou désactiver la détection de plusieurs types d’attaques et d’exploits qui peuvent endommager votre ordinateur.

Services autorisés

Les paramètres de ce groupe sont destinés à simplifier la configuration de l'accès aux services de cet ordinateur à partir de la zone de confiance. Plusieurs d'entre eux activent/désactivent des règles de pare-feu prédéfinies. Vous pouvez modifier les services autorisés dans Configuration avancée (F5) > Protection du réseau > Pare-feu > Avancés > Services autorisés.

•Autoriser le partage de fichiers et d'imprimantes dans la zone Fiable - Permet aux ordinateurs distants d'accéder à vos fichiers et imprimantes partagés.

•Autoriser UPNP pour les services système dans la zone de confiance : autorise les demandes entrantes et sortantes de services système envoyées par le protocole UPnP (Universal Plug and Play, aussi appelé Recherche du réseau de Microsoft).

•Autoriser la communication RPC entrante dans la zone de confiance - Autorise les connexions TCP provenant de la zone de confiance, ce qui autorise l'accès aux services Microsoft RPC Portmapper et RPCDCOM.

•Autoriser le Bureau à distance dans la zone de confiance - Active les connexions qui transitent par le Protocole Bureau à distance de Microsoft (RDP) et autorise les ordinateurs dans la zone de confiance à accéder à votre ordinateur grâce à un programme utilisant RDP (Connexion Bureau à distance, par ex.).

•Active la journalisation dans les groupes de multidiffusion par l'entremise de IGMP - Autorise les requêtes multicast IGMP entrantes et sortantes et UDP entrantes, par exemple, les flux vidéos générés par des applications utilisant le protocole IGMP (Protocole de gestion de groupes Internet).

•Autoriser la communication pour les connexions pontées : Sélectionnez cette option pour éviter de mettre fin aux connexions pontées. La mise en réseau pontée permet de connecter une machine virtuelle à un réseau en utilisant l'adaptateur Ethernet de l'ordinateur hôte. Si vous utilisez la mise en réseau pontée, la machine virtuelle peut accéder à d'autres périphériques sur le réseau, et vice versa comme s'il s'agissait d'un ordinateur physique sur le réseau.

•Autoriser Web Services Discovery (WSD) pour les services système dans la zone de confiance - Autorise les requêtes entrantes connexes au protocole Web Services Discovery provenant de la zone de confiance à traverser le pare-feu. Le protocole WSD est utilisé pour localiser des services sur un réseau local.

•Autoriser la résolution d'adresse multicast dans la zone de confiance (LLMNR) - Le protocole LLMNR (Link-local Multicast Name Resolution) est basé sur les paquets DNS. Il permet tant aux hôtes IPv4 que IPv6 d'effectuer une résolution de nom pour les hôtes se trouvant sur le même lien local, sans exiger, pour ce faire, de configuration de serveur DNS ou de client DNS. Cette option autorise les demandes de multidiffusion entrantes DNS de la zone de confiance èa travers le pare-feu.

•Compatibilité avec le groupe d'accueil Windows : active la compatibilité avec le groupe d’accueil du système d'exploitation Windows 7 et ses versions ultérieures. Un groupement résidentiel peut partager des fichiers et des imprimantes sur un réseau résidentiel. Pour le configurer, allez jusqu'à Démarrer > Paramètres > Réseau et Internet > Groupement résidentiel.

Détection d'intrusion

La détection d'intrusion surveille la communication avec les périphériques réseau pour y déceler toute activité malveillante. Vous pouvez modifier ces paramètres Configuration avancée (F5) > Protection du réseau > Protection contre les attaques réseau > Options avancées > Détection d’intrusion.

•ProtocoleSMB - Détecte et bloque les divers problèmes de sécurité dans le protocole SMB.

•Protocole RPC - Détecte et bloque divers CVE dans le système d'appel de la procédure distante développé pour le Distributed Computing Environment (DCE).

•Protocole RDP - Détecte et bloque divers CVE dans le protocole RDP (voir ci-dessus).

•ARP Détection des attaques par empoisonnement ARP - Détection des attaques par empoisonnement ARP causées par des attaques de type « l'homme du milieu » (man-in-the-middle) ou par la détection du reniflage au niveau du commutateur de réseau. Le protocole ARP (Protocole de résolution d'adresse) est utilisé par l'application réseau ou le périphérique pour déterminer l'adresse Ethernet.

•Détection des attaques de balayage des ports TCP/UDP - Détecte les attaques des logiciels de balayage de ports - une application conçue pour sonder un hôte afin d'y détecter des ports ouverts. Il envoie, pour ce faire, des requêtes client à un vaste éventail d'adresses de port dans l'objectif de trouver des ports actifs et d'exploiter les vulnérabilités du service. Pour en savoir plus sur ce type d'attaque, consultez le glossaire. Pour en savoir plus sur ce type d'attaque, consultez le glossaire.

•Bloquer l'adresse dangereuse après la détection d'une attaque - Les adresses IP ayant été détectées comme des sources d'attaque sont ajoutées à la liste noire pour éviter toute connexion pendant un certain temps.

•Afficher une notification à la détection d'une attaque – Active la notification de la zone de notification de Windows dans le coin inférieur droit de l'écran.

•Afficher également des notifications à la détection d'une attaque sur des failles de sécurité - Vous averti lorsque des attaques sur des failles de sécurité sont détectées ou si une menace tente d'entrer dans le système en utilisant des failles de sécurité.

Inspection des paquets

Un type d'analyse de paquet qui filtre les données qui transitent par le réseau. Vous pouvez modifier ces paramètres Configuration avancée (F5) > Protection du réseau > Protection contre les attaques réseau > Options avancées > Inspection des paquets.

•Autoriser les connexions entrantes sur les partages admin dans le protocole SMB- Les partages d'administration constituent les partages réseau par défaut qui partagent par défaut les partitions du disque dur (C$, D$, ...) du système, et du dossier de fichiers (ADMIN$ADMIN$). Désactiver la connexion aux partages d'administration devrait réduire bon nombre de risques pour la sécurité. Par exemple, le ver Conficker utilise les attaques par dictionnaire pour se connecter aux partages d'administration.

•Refuser les anciens dialectes SMB (non pris en charge) - Refuser des sessions SMB utilisant un ancien dialecte SMB, non pris en charge par IDS. Les systèmes d'exploitation Windows modernes prennent en charge les anciens dialectes SMB en raison de la rétrocompatibilité avec les anciens systèmes d'exploitation comme Windows 95. Le pirate peut utiliser un ancien dialecte dans une session SMB pour éviter l'inspection. Refusez les anciens dialectes SMB si votre ordinateur n'a pas à partager de fichiers (ou à utiliser la communication SMB en général) avec un ordinateur utilisant une version antérieure de Windows.

•Refuser les sessions SMB sans sécurité étendue - La sécurité étendue peut être utilisée pendant la négociation de session SMB afin de fournir un mécanisme d'authentification plus sécurisé que l'authentification par question/réponse du gestionnaire du réseau local (LM). Le schéma LM est jugé faible et son utilisation n'est pas recommandée.

•Refuser l'ouverture de fichiers exécutables sur un serveur hors de la zone de confiance dans le protocole SMB - Refuse la connexion lorsque vous tentez d'ouvrir un fichier exécutable (.exe, .dll, etc.) à partir d'un dossier partagé sur le serveur qui n'appartient pas à la zone de confiance du pare-feu. Notez que la copie de fichiers exécutables provenant de sources fiables peut être légitime. Veuillez prendre note que copier des fichiers exécutables à partir de sources fiables peut être légitime, mais cette détection devrait atténuer les risques de l'ouverture non désirée d'un fichier sur un serveur malveillant (par exemple, un fichier ouvert en cliquant sur un lien hypertexte vers un fichier exécutable malveillant commun).

•Refuser l'authentification NTLM dans le protocole SMB pour la connexion à un serveur à l'intérieur ou à l'extérieur de la zone de confiance - Les protocoles qui utilisent les schémas d'authentification NTLM (dans ses deux versions) sont sujets à une attaque avec transfert d'identifiants (appelée attaque par relais SMB dans le cas du protocole SMB). Refuser l'authentification NTLM à un serveur à l'extérieur de la zone de confiance devrait réduire les risques d'attaques avec transferts d'identifiants effectuée par un serveur malveillant se trouvant en dehors de la zone de confiance. Vous pouvez également refuser l'authentification NTLM aux serveurs se trouvant dans la zone de confiance.

•Autoriser les communications avec le service Security Account Manager - Pour de plus amples renseignements sur ces services, voir [MS-SAMR].

•Autoriser les communications avec le service Local Security Authority - Pour de plus amples renseignements sur ces services, voir [MS-LSAD] et [MS-LSAT].

•Autoriser les communications avec le service Remote Registry - Pour de plus amples renseignements sur ces services, voir [MS-RRP].

•Autoriser les communications avec le service Service Control Manager - Pour de plus amples renseignements sur ces services, voir [MS-SCMR].

•Autoriser les communications avec le service Server - Pour de plus amples renseignements sur ces services, voir [MS-SRVS].

•Autoriser les communications avec les autres services - Autres services MSRPC.