Partage via

Paramètres de stratégie de pare-feu pour les appareils attachés au locataire dans Microsoft Intune

  • Article

Affichez les paramètres du Pare-feu Microsoft Windows que vous pouvez gérer avec le profil Pare-feu Windows (ConfigMgr) à partir d’Intune. Le profil est disponible lorsque vous configurez la stratégie de pare-feu Intune, et la stratégie est déployée sur les appareils que vous gérez avec Configuration Manager lorsque vous avez configuré le scénario d’attachement de locataire.

Pare-feu Windows

  • Vérification de la liste de révocation de certificats (appareil)
    CSP : MdmStore/Global/CRLcheck

    Spécifiez la façon dont la vérification de liste de révocation de certificats (CRL) est appliquée.

    • Non configuré (valeur par défaut) : utilisez la valeur par défaut du client, qui consiste à désactiver la vérification de la liste de révocation de certificats.
    • Aucune
    • Tentative
    • Require (Rendre obligatoire)

  • Désactiver ftp avec état (appareil)
    CSP : MdmStore/Global/DisableStatefulFtp

    • Non configuré (par défaut)
    • True : ftp avec état désactivé
    • False : le pare-feu effectue un filtrage FTP (Stateful File Transfer Protocol) pour autoriser les connexions secondaires.

  • Activer la file d’attente de paquets (appareil)
    CSP : MdmStore/Global/EnablePacketQueue

    Sélectionnez l’une des options suivantes pour configurer la mise à l’échelle du logiciel côté réception pour la réception chiffrée et effacer le texte vers l’avant pour le scénario de passerelle de tunnel IPsec. Cela garantit que l’ordre des paquets est conservé. Par défaut, aucune option n’est sélectionnée.

    • Disabled
    • Entrée de file d’attente
    • File d’attente sortante

  • Exceptions IPsec (appareil)
    CSP : MdmStore/Global/IPsecExempt

    Sélectionnez l’une des options suivantes pour configurer des exceptions IPsec.

    • Codes de type ICMP IPv6 découverts par un voisin exempté à partir d’IPsec
    • Exempter ICMP d’IPsec
    • Codes de type ICMP IPv6 détectés par le routeur exempté à partir d’IPsec
    • Exempter le trafic DHCP IPv4 et IPv6 d’IPsec

  • Faire correspondre opportunistement le jeu d’authentification par km (appareil)
    CSP : OpportunisticallyMatchAuthSetPerKM

    • Non configuré (par défaut)
    • True
    • False

  • Encodage de clé prépartagé (appareil)
    CSP : MdmStore/Global/PresharedKeyEncoding

    • Non configuré (par défaut)
    • Aucune
    • UTF8

  • Temps d’inactivité de l’association de sécurité (appareil)
    CSP : MdmStore/Global/SaIdleTime

    Spécifiez une durée en secondes comprise entre 300 et 3600, pour la durée pendant laquelle les associations de sécurité sont conservées une fois que le trafic réseau n’est pas visible. Si vous ne spécifiez aucune valeur, le système supprime une association de sécurité après qu’elle a été inactive pendant 300 secondes.

Profil de domaine

  • Activer le pare-feu de réseau de domaine (appareil)
    CSP : EnableFirewall

    • Non configuré (valeur par défaut) : le client revient à sa valeur par défaut, qui consiste à activer le pare-feu.
    • True : le Pare-feu Windows pour le type de domaine réseau est activé et appliqué.
    • False : désactivez le pare-feu.

    Lorsque la valeur est True, vous pouvez configurer les paramètres suivants pour ce type de profil de pare-feu :

    • Autoriser la fusion de stratégies Ipsec locale (appareil)
      CSP : AllowLocalIpsecPolicyMerge

      • Non configuré (par défaut)
      • True
      • False : les règles de sécurité de connexion du magasin local sont ignorées et non appliquées.

    • Autoriser la fusion de stratégies locales (appareil)
      CSP : AllowLocalPolicyMerge

      • Non configuré (par défaut)
      • True
      • False : les règles de pare-feu du magasin local sont ignorées et non appliquées.

    • Auth Apps Allow User Pref Merge (Appareil)
      CSP : AuthAppsAllowUserPrefMerge

      • Non configuré (par défaut)
      • True
      • False

    • Action entrante par défaut pour le profil de domaine (appareil)
      CSP : DefaultInboundAction

      • Non configuré (par défaut)
      • Allow
      • Bloquer

    • Action sortante par défaut (appareil)
      CSP : DefaultOutboundAction

      • Allow
      • Bloquer

    • Désactiver les notifications entrantes (appareil)
      CSP : DisableInboundNotifications

      • Non configuré (par défaut)
      • True : le pare-feu n’affiche pas de notification à l’utilisateur lorsqu’une application est bloquée sur un port.
      • False : le pare-feu peut afficher une notification à l’utilisateur lorsqu’une application ne peut pas écouter sur un port.

    • Désactiver le mode furtif (appareil)
      CSP : DisableStealthMode

      • Non configuré (par défaut)
      • True
      • False : le serveur fonctionne en mode furtif. Les règles de pare-feu utilisées pour appliquer le mode furtif sont spécifiques à l’implémentation.

    • Désactiver les réponses de monodiffusion à la diffusion multidiffusion (appareil)
      CSP : DisableUnicastResponsesToMulticastBroadcast

      • Non configuré (par défaut)
      • True : la réponse de monodiffusion au trafic de diffusion multidiffusion est bloquée.
      • False

    • Les ports globaux autorisent la fusion de préfpostages utilisateur (appareil)
      CSP : GlobalPortsAllowUserPrefMerge

      • Non configuré (par défaut)
      • True
      • False : les règles de pare-feu de port globales dans le magasin local sont ignorées et non appliquées.

    • Protégé (appareil)
      CSP : protégé

      • Non configuré (par défaut)
      • True : le serveur bloque tout le trafic entrant, quels que soient les autres paramètres de stratégie.
      • False

Profil privé

  • Activer le pare-feu de réseau privé (appareil)
    CSP : EnableFirewall

    • Non configuré (valeur par défaut) : le client revient à sa valeur par défaut, qui consiste à activer le pare-feu.
    • True : le Pare-feu Windows pour le type de réseau privé est activé et appliqué.
    • False : désactivez le pare-feu.

    Lorsque la valeur est True, vous pouvez configurer les paramètres suivants pour ce type de profil de pare-feu :

    • Autoriser la fusion de stratégies Ipsec locale (appareil)
      CSP : AllowLocalIpsecPolicyMerge

      • Non configuré (par défaut)
      • True
      • False : les règles de sécurité de connexion du magasin local sont ignorées et non appliquées.

    • Autoriser la fusion de stratégies locales (appareil)
      CSP : AllowLocalPolicyMerge

      • Non configuré (par défaut)
      • True
      • False : les règles de pare-feu du magasin local sont ignorées et non appliquées.

    • Auth Apps Allow User Pref Merge (Appareil)
      CSP : AuthAppsAllowUserPrefMerge

      • Non configuré (par défaut)
      • True
      • False

    • Action entrante par défaut pour le profil privé (appareil)
      CSP : DefaultInboundAction

      • Non configuré (par défaut)
      • Allow
      • Bloquer

    • Action sortante par défaut (appareil)
      CSP : DefaultOutboundAction

      • Allow
      • Bloquer

    • Désactiver les notifications entrantes (appareil)
      CSP : DisableInboundNotifications

      • Non configuré (par défaut)
      • True : le pare-feu n’affiche pas de notification à l’utilisateur lorsqu’une application est bloquée sur un port.
      • False : le pare-feu peut afficher une notification à l’utilisateur lorsqu’une application ne peut pas écouter sur un port.

    • Désactiver le mode furtif (appareil)
      CSP : DisableStealthMode

      • Non configuré (par défaut)
      • True
      • False : le serveur fonctionne en mode furtif. Les règles de pare-feu utilisées pour appliquer le mode furtif sont spécifiques à l’implémentation.

    • Désactiver les réponses de monodiffusion à la diffusion multidiffusion (appareil)
      CSP : DisableUnicastResponsesToMulticastBroadcast

      • Non configuré (par défaut)
      • True : la réponse de monodiffusion au trafic de diffusion multidiffusion est bloquée.
      • False

    • Les ports globaux autorisent la fusion de préfpostages utilisateur (appareil)
      CSP : GlobalPortsAllowUserPrefMerge

      • Non configuré (par défaut)
      • True
      • False : les règles de pare-feu de port globales dans le magasin local sont ignorées et non appliquées.

    • Protégé (appareil)
      CSP : protégé

      • Non configuré (par défaut)
      • True : le serveur bloque tout le trafic entrant, quels que soient les autres paramètres de stratégie.
      • False

Profil public

  • Activer le pare-feu de réseau public (appareil)
    CSP : EnableFirewall

    • Non configuré (valeur par défaut) : le client revient à sa valeur par défaut, qui consiste à activer le pare-feu.
    • True : le Pare-feu Windows pour le type de réseau public est activé et appliqué.
    • False : désactivez le pare-feu.

    Lorsque la valeur est True, vous pouvez configurer les paramètres suivants pour ce type de profil de pare-feu :

    • Autoriser la fusion de stratégies Ipsec locale (appareil)
      CSP : AllowLocalIpsecPolicyMerge

      • Non configuré (par défaut)
      • True
      • False : les règles de sécurité de connexion du magasin local sont ignorées et non appliquées.

    • Autoriser la fusion de stratégies locales (appareil)
      CSP : AllowLocalPolicyMerge

      • Non configuré (par défaut)
      • True
      • False : les règles de pare-feu du magasin local sont ignorées et non appliquées.

    • Auth Apps Allow User Pref Merge (Appareil)
      CSP : AuthAppsAllowUserPrefMerge

      • Non configuré (par défaut)
      • True
      • False

    • Action entrante par défaut pour le profil public (appareil)
      CSP : DefaultInboundAction

      • Non configuré (par défaut)
      • Allow
      • Bloquer

    • Action sortante par défaut (appareil)
      CSP : DefaultOutboundAction

      • Allow
      • Bloquer

    • Désactiver les notifications entrantes (appareil)
      CSP : DisableInboundNotifications

      • Non configuré (par défaut)
      • True : le pare-feu n’affiche pas de notification à l’utilisateur lorsqu’une application est bloquée sur un port.
      • False : le pare-feu peut afficher une notification à l’utilisateur lorsqu’une application ne peut pas écouter sur un port.

    • Désactiver le mode furtif (appareil)
      CSP : DisableStealthMode

      • Non configuré (par défaut)
      • True
      • False : le serveur fonctionne en mode furtif. Les règles de pare-feu utilisées pour appliquer le mode furtif sont spécifiques à l’implémentation.

    • Désactiver les réponses de monodiffusion à la diffusion multidiffusion (appareil)
      CSP : DisableUnicastResponsesToMulticastBroadcast

      • Non configuré (par défaut)
      • True : la réponse de monodiffusion au trafic de diffusion multidiffusion est bloquée.
      • False

    • Les ports globaux autorisent la fusion de préfpostages utilisateur (appareil)
      CSP : GlobalPortsAllowUserPrefMerge

      • Non configuré (par défaut)
      • True
      • False : les règles de pare-feu de port globales dans le magasin local sont ignorées et non appliquées.

    • Protégé (appareil)
      CSP : protégé

      • Non configuré (par défaut)
      • True : le serveur bloque tout le trafic entrant, quels que soient les autres paramètres de stratégie.
      • False

Prochaines étapes

Stratégie de sécurité des points de terminaison pour les pare-feu