Partager via


Mots clés dynamiques du Pare-feu Windows

Important

Cet article décrit les fonctionnalités ou les paramètres en préversion. Le contenu est susceptible d’être modifié et peut avoir des dépendances sur d’autres fonctionnalités ou services en préversion.

Le Pare-feu Windows inclut une fonctionnalité appelée mots clés dynamiques, qui simplifie la configuration et la gestion du Pare-feu Windows.

Avec des mots clés dynamiques, vous pouvez définir un ensemble de plages d’adresses IP, de noms de domaine complets (FQDN) et d’options de résolution automatique , auxquelles une ou plusieurs règles de pare-feu peuvent faire référence.

Configurer des mots clés dynamiques

Pour configurer des mots clés dynamiques, vous pouvez utiliser :

  • Fournisseur csp de pare-feu, qui peut être utilisé avec une solution mobile Gestion des appareils (GPM) comme Microsoft Intune
  • Windows PowerShell

Astuce

Microsoft Intune offre une expérience de gestion simplifiée appelée groupes de paramètres réutilisables. Pour plus d’informations, consultez Ajouter des groupes de paramètres réutilisables aux profils pour les règles de pare-feu.

Cet article explique comment configurer des mots clés dynamiques à l’aide de Windows PowerShell.

Mots clés dynamiques et noms de domaine complets (FQDN)

Les mots clés dynamiques peuvent être configurés en définissant un ensemble de plages d’adresses IP ou de noms de domaine complets. Voici les points importants à prendre en compte lors de l’utilisation des noms de domaine complets :

  • La prise en charge du nom de domaine complet permet de réduire la surcharge liée à la gestion des règles IP où les adresses IP sont dynamiques et changent fréquemment
  • Les noms de domaine complets ne remplacent pas les adresses IP dans tous les scénarios. Les adresses IP doivent être utilisées lorsque cela est possible, pour des raisons de sécurité et de performances
    • Les règles de nom de domaine complet peuvent affecter les performances sur le point de terminaison, en raison de la latence DNS et d’autres facteurs
    • Le nom de domaine complet n’est pas un service DNS sécurisé. La résolution FQDN utilise la configuration DNS par défaut du point de terminaison
  • Une règle de nom de domaine complet nécessite qu’une requête DNS se produise pour que ce nom de domaine complet soit résolu en adresse IP. Le trafic vers les adresses IP doit générer une requête DNS pour les règles de nom de domaine complet
    • Les limitations incluent : les sites web accessibles via un proxy, les services DNS sécurisés, certaines configurations de tunnel VPN, les adresses IP mises en cache sur le point de terminaison
  • Bien que les noms de domaine partiellement qualifiés (PQDN) soient autorisés, les noms de domaine complets sont préférés. Les caractères génériques * sont pris en charge pour les hôtes, par exemple *.contoso.com

Voici deux exemples de règles de nom de domaine complet :

  • Bloquer tous les trafics sortants et entrants par défaut et autoriser le trafic sortant spécifique
  • Bloquer tous les trafics entrants par défaut et bloquer un trafic sortant spécifique

Remarque

Les règles de nom de domaine complet entrant ne sont pas prises en charge en mode natif. Toutefois, il est possible d’utiliser des scripts de pré-hydratation pour générer des entrées IP entrantes pour les règles.

Attention

La configuration par défaut de Bloqué pour les règles de trafic sortant peut être prise en compte pour certains environnements hautement sécurisés. Toutefois, la configuration de la règle de trafic entrant ne doit jamais être modifiée d’une manière qui autorise le trafic par défaut.

Dans les environnements à haute sécurité, un inventaire de toutes les applications doit être tenu à jour. Les enregistrements doivent indiquer si une application nécessite une connectivité réseau. Les administrateurs doivent créer des règles spécifiques à chaque application qui a besoin d’une connectivité réseau et envoyer (push) ces règles de manière centralisée à l’aide d’une solution de gestion des appareils.

Fonctions et limitations connues

La fonctionnalité FQDN du Pare-feu Windows utilise le pilote de légende externe protection réseau pour inspecter les réponses DNS lorsque la requête DNS correspond aux règles de nom de domaine complet. Voici quelques fonctions et limitations importantes de la fonctionnalité :

  • Le composant Protection réseau n’exécute pas régulièrement les requêtes DNS. Une application doit exécuter une requête DNS
  • Le Pare-feu Windows vide toutes les adresses IP résolues stockées au redémarrage de l’appareil
  • La protection réseau n’inspecte pas de manière synchrone la réponse DNS, car elle ne contient pas le paquet UDP pendant l’inspection. Le résultat est une condition potentielle où une application, après avoir reçu la réponse DNS, tente de se connecter, mais est bloquée si elle est plus rapide que la mise à jour de la règle de pare-feu
    • En règle générale, les applications ont une logique de nouvelle tentative pour une connexion initiale ayant échoué, le problème est donc transparent pour l’utilisateur final.
    • Parfois, un composant peut ne pas avoir de logique de nouvelle tentative lors de l’échec de la connexion initiale. Ce qui est résolu de deux manières :
      • L’utilisateur peut appuyer sur Actualiser dans l’application qu’il utilise, et il doit se connecter correctement
      • Les administrateurs peuvent utiliser les scripts de préhydratation avec tactful, lorsque cette condition se produit dans leur environnement

Configuration requise pour les fonctionnalités FQDN

Voici les conditions requises pour la fonctionnalité FQDN :

  • Microsoft Defender antivirus doit être activé et exécuter la version de la plateforme ou une version 4.18.2209.7 ultérieure.
  • La protection réseau doit être en mode bloc ou audit . Pour plus d’informations, consultez Vérifier si la protection réseau est activée.
  • DNS sur HTTPS (DoH) doit être désactivé. Pour configurer votre navigateur préféré, vous pouvez utiliser les paramètres suivants :
  • Les paramètres de résolution DNS par défaut de l’appareil s’appliquent. Cette fonctionnalité ne fournit pas de modifications de sécurité ou de fonctionnalité DNS

    Astuce

    Vous pouvez également télécharger le fichier ADMX à partir de là, suivre les instructions et le configurer via gpedit.msc pour les tests locaux.

Gérer des mots clés dynamiques avec Windows PowerShell

Cette section fournit quelques exemples de gestion des mots clés dynamiques à l’aide de Windows PowerShell. Voici quelques points importants à prendre en compte lors de l’utilisation de mots clés dynamiques :

  • Tous les objets mot clé dynamiques doivent avoir un identificateur unique (GUID) pour les représenter
  • Une règle de pare-feu peut utiliser des mots clés dynamiques au lieu de définir explicitement des adresses IP pour ses conditions
  • Une règle de pare-feu peut utiliser des mots clés dynamiques et des plages d’adresses définies statiquement
  • Un objet mot clé dynamique peut être réutilisé dans plusieurs règles de pare-feu
  • Si une règle de pare-feu n’a pas d’adresses distantes configurées, la règle n’est pas appliquée. Par exemple, si une règle est configurée avec uniquement AutoResolve des objets qui ne sont pas encore résolus
  • Si une règle utilise plusieurs mots clés dynamiques, la règle est appliquée pour toutes les adresses actuellement résolues. La règle est appliquée même s’il existe des objets non résolus. Lorsqu’une adresse de mot clé dynamique est mise à jour, les adresses distantes de tous les objets de règle associés sont mises à jour
  • Windows n’applique aucune dépendance entre une règle et une adresse mot clé dynamique, et l’un ou l’autre des objets peut être créé en premier. Une règle peut référencer des ID de mot clé dynamiques qui n’existent pas encore, auquel cas la règle n’est pas appliquée
  • Vous pouvez supprimer une adresse de mot clé dynamique, même si elle est utilisée par une règle de pare-feu

Autoriser le trafic sortant

Voici un exemple de script pour autoriser un nom de domaine complet à partir de PowerShell. Remplacez la valeur de la $fqdn variable par le nom de domaine complet que vous souhaitez bloquer (ligne n°1) :

$fqdn = 'contoso.com'
$id = '{' + (new-guid).ToString() + '}'
New-NetFirewallDynamicKeywordAddress -id $id -Keyword $fqdn -AutoResolve $true
New-NetFirewallRule -DisplayName "allow $fqdn" -Action Allow -Direction Outbound -RemoteDynamicKeywordAddresses $id

Les adresses mot clé dynamiques peuvent être créées avec le AutoResolve paramètre défini sur $true ou $false. Si AutoResolve a la valeur $true, Windows tente de résoudre le mot clé en adresse IP.

Bloquer le trafic sortant

Voici un exemple de script pour bloquer un nom de domaine complet à partir de PowerShell. Remplacez la valeur de la $fqdn variable par le nom de domaine complet que vous souhaitez bloquer (ligne n°1) :

$fqdn = 'contoso.com'
$id = '{' + (new-guid).ToString() + '}'
New-NetFirewallDynamicKeywordAddress -id $id -Keyword $fqdn -AutoResolve $true
New-NetFirewallRule -DisplayName "block $fqdn" -Action Block -Direction Outbound -RemoteDynamicKeywordAddresses $id

Afficher les règles de résolution automatique et les adresses IP résolues associées

Cet exemple montre comment afficher toutes les adresses mot clé dynamiques dont le AutoResolve paramètre est défini $true sur et les adresses IP résolues associées.

Get-NetFirewallDynamicKeywordAddress -AllAutoResolve

Remarque

Les adresses IP ne sont pas renseignées tant que la requête DNS n’est pas observée.

Hydrater les règles de nom de domaine complet

Les exemples de scripts suivants lisent la configuration actuelle du Pare-feu Windows, extraient les règles basées sur le nom de domaine complet et effectuent une résolution DNS sur chaque domaine. Le résultat est que les adresses IP de ces règles sont « préhydratées ».

Get-NetFirewallDynamicKeywordAddress -AllAutoResolve |`
ForEach-Object {
  if(!$_.Keyword.Contains("*")) {
    Write-Host "Getting" $_.Keyword
    resolve-dnsname -Name $_.Keyword -DNSOnly | out-null
  }
}

Un script similaire peut être utilisé pour effectuer une résolution DNS à l’aide de nslookup.exe:

Get-NetFirewallDynamicKeywordAddress -AllAutoResolve |`
ForEach-Object {
  if(!$_.Keyword.Contains("*")) {
    Write-Host "Getting" $_.Keyword
    nslookup $_.Keyword
  }
}

Si vous utilisez nslookup.exe, vous devez créer une règle de pare-feu de trafic sortant lors de l’utilisation de la posture bloquer tous les trafics sortants . Voici la commande permettant de créer la règle de trafic sortant pour nslookup.exe:

$appName = 'nslookup'
$appPath = 'C:\Windows\System32\nslookup.exe'
New-NetFirewallRule -DisplayName "allow $appName" -Program $appPath -Action Allow -Direction Outbound -Protocol UDP -RemotePort 53

Bloquer tout le trafic sortant et autoriser certains noms de domaine complets

Dans l’exemple suivant, une liste d’applications est analysée pour l’évaluation du nom de domaine complet. Les noms de domaine complets répertoriés dans les scripts ont été observés lors de l’inspection du trafic lors du premier lancement de Microsoft Edge.

Important

Il ne s’agit pas d’une liste complète ni d’une recommandation. Il s’agit d’un exemple de la façon dont une application doit être évaluée pour garantir une connectivité et un fonctionnement appropriés.

Pour en savoir plus sur les exigences de Microsoft Edge pour la connectivité Internet, consultez liste d’autorisation pour les points de terminaison Microsoft Edge.

$domains = @(
    '*.microsoft.com',
    '*.msftconnecttest.com',
    'assets.msn.com',
    'client.wns.windows.com',
    'config.edge.skype.com',
    'ctldl.windowsupdate.com',
    'dns.msftncsi.com',
    'login.live.com',
    'ntp.msn.com'
)

foreach ($domain in $domains) {
    $id = '{' + (New-Guid).ToString() + '}'
    New-NetFirewallDynamicKeywordAddress -Id $id -Keyword $domain -AutoResolve $true
    New-NetFirewallRule -DisplayName "allow $domain" -Action Allow -Direction Outbound -RemoteDynamicKeywordAddresses $id
}

Pour plus d’informations sur les applets de commande PowerShell utilisées pour gérer les mots clés dynamiques, consultez :

Pour plus d’informations sur la structure de l’API, consultez Mots clés dynamiques de pare-feu.