none
Stratégie pour Déployer le parefeu RRS feed

  • Question

  • Bonjour à tous,

    Je considère sérieusement de déployer le parefeu sur l'ensemble de nos ordinateurs Windows 10 de notre organisation. Je cherche des "hints" sur la façon de faire. Je connais l'endroit où mettre les configurations par GPO, par contre je réalise que ce ne sera pas aussi simple.  

    En plus des règles qui peuvent être poussées que l'on peut contrôler, il existe de nombreuses règles de base déjà existantes sur chaque poste de travail. Si l'on démarre par exemple le parefeu sur un poste, ce dernier applique les règles selon si le poste est connecté au domaine, à un réseau privé ou à un réseau public.  Que ce soit l'un ou l'autre de ces réseaux, il y a une grande multitude de règles qui doivent être appliquées afin de permettre le trafic des différentes applications. Comment doit-on gérer les règles poussées par des Gpo et les règles deja existantes qui sont locales? Existe-t-il des "meilleures pratiques" afin de gérer convenablement un parc informatique avec le parefeu Microsoft?. 


    lundi 2 mai 2016 19:51

Réponses

  • Bonjour,

    pour les stations, il y a normalement pas trop de risques...

    Généralement, pour simplifier, on applique les mêmes règles sur les différents réseaux (Domaine, Privé, ou Public/invité). Les cartes réseaux ont tendance à changer facilement de catégorie de réseau. Il est dommage par exemple de perdre la prise de contrôle à distance par RDP, juste par ce que la station a quitté le domaine.

    Par ailleurs, on exclue d'office tous les serveurs des stratégies de pare-feu... pour éviter de bloquer les logiciels qui ont très bien fonctionné jusque là. Pour les logiciels Microsoft (Exchange, SQL,...), ce sont les exécutables qui sont autorisés. Pour tous les autres logiciels, il faudra analyser au cas par cas  les ports ou configurations nécessaires avant d'en définir une stratégie.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    • Proposé comme réponse Emile Supiot mercredi 11 mai 2016 13:50
    • Marqué comme réponse Emile Supiot mercredi 18 mai 2016 14:25
    mardi 3 mai 2016 15:10

Toutes les réponses

  • Bonjour,

    Je ne connais pas de "meilleures pratiques" à utiliser malheureusement, tout vas dépendre de vos besoins. Normalement les GPO doivent prendre le dessus sur les règles locales.

    Configurer les conditions requises de port de pare-feu pour la stratégie de groupe.

    Cordialement,

    Emile


    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    mardi 3 mai 2016 14:34
  • Bonjour,

    pour les stations, il y a normalement pas trop de risques...

    Généralement, pour simplifier, on applique les mêmes règles sur les différents réseaux (Domaine, Privé, ou Public/invité). Les cartes réseaux ont tendance à changer facilement de catégorie de réseau. Il est dommage par exemple de perdre la prise de contrôle à distance par RDP, juste par ce que la station a quitté le domaine.

    Par ailleurs, on exclue d'office tous les serveurs des stratégies de pare-feu... pour éviter de bloquer les logiciels qui ont très bien fonctionné jusque là. Pour les logiciels Microsoft (Exchange, SQL,...), ce sont les exécutables qui sont autorisés. Pour tous les autres logiciels, il faudra analyser au cas par cas  les ports ou configurations nécessaires avant d'en définir une stratégie.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    • Proposé comme réponse Emile Supiot mercredi 11 mai 2016 13:50
    • Marqué comme réponse Emile Supiot mercredi 18 mai 2016 14:25
    mardi 3 mai 2016 15:10