Recenser les applications

portables, le recensement doit tenir compte de la nature différente du trafic réseau, quand le système est connecté à un réseau d’entreprise avec des DC et sur lequel le profil Windows Firewall Domain est actif, par rapport à ce qui se passe quand le système est connecté à un réseau public et que le profil Standard est actif. Vous devez toujours configurer le profil Standard et le faire de telle sorte que seul le trafic entrant essentiel soit autorisé au travers du pare-feu, pour diminuer le risque auquel est exposé votre système mobile connecté.

Windows Firewall définit quatre services administratifs intégrés qui représentent les exceptions courantes requises dans toute stratégie de parefeu : File et Print, Remote Administration, Remote Desktop et Universal Plug and Play (UpnP). Remote Administration est la possibilité de gérer le système à l’aide d’interfaces administratives courantes et des sous-systèmes comme WMI (Windows Management Instrumentation) et RPC (remote procedure calls). Remote Desktop vous permet de vous connecter à votre machine à partir d’un autre système via RDP et on l’utilise aussi lorsqu’on demande Remote Assistance. Les administrateurs utilisent généralement Remote Desktop pour se connecter aux serveurs distants afin de les gérer. Le protocole UpnP permet aux unités de se découvrir et de se configurer dynamiquement l’une l’autre, en réaction aux applications et aux services qui s’exécutent, pour assurer le bon fonctionnement des unités. Exemple courant de UpnP : quand vous lancez MSN Messenger et que XP travaille avec un routeur large bande domestique compatible avec UpnP pour s’assurer que les connexions audio et vidéo sont autorisées au travers du pare-feu intégré du routeur.

Quand vous configurez les profils Windows Firewall Domain et Standard, il est bon de définir les exceptions par application. Une exception d’application permet à celle-ci d’établir les points d’extrémité d’écoute qu’elle choisit et d’y accepter le trafic. Deux bonnes raisons plaident pour la définition des exceptions par application : premièrement, il est plus facile de définir et d’approuver les applications que les ports individuels qu’elles utilisent, particulièrement depuis que de nombreuses applications ne documentent pas complètement les ports en question, ou utilisent des ports dynamiques. Deuxièmement, beaucoup d’applications, dont certaines malveillantes, utilisent les mêmes ports et applications approuvés. En définissant des applications au lieu de ports, vous ne donnez pas aux applications non approuvées l’occasion d’établir des points d’extrémité d’écoute. Je recommande également que, dans la mesure du possible, vous ne permettiez aucune exception pour le profil Standard et que vous refusiez toutes les connexions entrantes. Le tableau Web 1, (www.itpro.fr), donne la liste des ports et des protocoles de transport sur Windows 2003 et XP que les applications et services Windows et courants standard utilisent et pour lesquels vous pourriez devoir créer des exceptions.