Conseils de résolution des problèmes liés au Pare-feu Windows avec fonctions de sécurité avancées

Cet article est conçu pour vous aider à résoudre les problèmes liés au Pare-feu Windows avec Advanced Security.

Liste de contrôle pour la résolution des problèmes

Considérations relatives aux règles de pare-feu

Une seule règle de pare-feu est utilisée pour déterminer si un paquet réseau est autorisé ou rejeté. Si le paquet réseau correspond à plusieurs règles, la règle utilisée est sélectionnée à l’aide de la priorité suivante :

1. Règles spécifiant l’action Autoriser si sécurisé, ainsi que l’option Bloquer le remplacement
2. Règles spécifiant l’option Bloquer
3. Règles spécifiant l’option Autoriser

Seules les règles actives sont affichées dans le nœud Monitoring. Les règles peuvent ne pas apparaître dans la liste si :

1. La règle est désactivée.
2. Si le comportement du pare-feu entrant ou sortant par défaut est configuré pour autoriser le trafic qui n’est pas bloqué par une règle, les règles d’autorisation de la direction spécifiée ne sont pas affichées.

Par défaut, les règles de pare-feu dans les groupes identifiés dans la liste suivante sont activées. Des règles supplémentaires peuvent être activées quand vous installez certains programmes ou fonctionnalités Windows.

1. Réseau de base – Tous les profils
2. Assistance à distance – Règles TCP du serveur DCOM et RA pour le profil de domaine uniquement, autres règles pour les profils de domaine et privés
3. Découverte du réseau – Profil privé uniquement

Activer les événements d’audit

Utilisez auditpol.exe pour modifier les stratégies d’audit de l’ordinateur local. Vous pouvez utiliser l’outil auditpol en ligne de commande pour activer ou désactiver les différentes catégories et sous-catégories d’événements, puis afficher les événements dans le composant logiciel enfichable Observateur d’événements.

• Pour obtenir la liste des catégories d’événements reconnues par l’outil auditpol, exécutez la commande suivante à l’invite de commandes :

  auditpol.exe /list /category
  

• Pour obtenir la liste des sous-catégories sous une catégorie (cet exemple utilise la modification de stratégie de catégorie), exécutez la commande suivante à l’invite de commandes :

  auditpol.exe /list /category:"Policy Change"
  

• Pour définir une catégorie et une sous-catégorie à activer, tapez ce qui suit à l’invite de commandes :

  auditpol.exe /set /category:"CategoryName" /SubCategory:"SubcategoryName"
  

Configurer le fichier journal du pare-feu pour un profil

1. Dans l’arborescence de la console du Pare-feu Windows avec composant logiciel enfichable Sécurité avancée, sélectionnez Pare-feu Windows avec sécurité avancée, puis sélectionnez Propriétés dans le volet Actions .
2. Sélectionnez l’onglet du profil pour lequel vous souhaitez configurer la journalisation (domaine, privé ou public), puis sélectionnez Personnaliser.
3. Spécifiez un nom et un emplacement.
4. Spécifiez une limite de taille de fichier journal (comprise entre 1 et 32767 Ko).
5. Sélectionnez Oui pour les paquets supprimés dans les journaux.
6. Sélectionnez Oui pour les connexions réussies dans les journaux, puis sélectionnez OK.

Créer des fichiers texte de statistiques réseau et de liste des tâches

1. À l'invite de commandes, tapez netstat -ano > netstat.txt, puis appuyez sur Entrée.
2. À l'invite de commandes, tapez tasklist > tasklist.txt, puis appuyez sur Entrée.
   Si vous souhaitez créer un fichier texte pour les services plutôt que pour les programmes, à l’invite de commandes, tapez tasklist /svc > tasklist.txt.
3. Ouvrez les fichiers tasklist.txt et netstat.txt.
4. Dans le fichier tasklist.txt, notez l’identificateur PID du processus que vous dépannez. Comparez le PID avec celui figurant dans le fichier netstat.txt. Notez le protocole utilisé. Les informations sur le protocole utilisé peuvent être utiles lors de l’examen des informations contenues dans le fichier journal du pare-feu.

Vérifier que les services de pare-feu et IPsec fonctionnent

Pour que le Pare-feu Windows avec Advanced Security fonctionne correctement, les services suivants doivent être démarrés :

• Moteur de filtrage de base
• Client de stratégie de groupe
• Modules de génération de clés IKE et AuthIP
• Assistance IP
• Agent de stratégie IPSec
• Connaissance des emplacements réseau
• Service Liste des réseaux
• Pare-feu Windows

Problèmes courants et solutions

• Le Pare-feu Windows bloque un programme
• Le Pare-feu Windows est désactivé chaque fois que je démarre mon ordinateur
• Besoin de désactiver le Pare-feu Windows
• Impossible de configurer le Pare Windows avec fonctions avancées de sécurité
• Personne ne peut effectuer un test ping sur mon ordinateur
• Personne ne peut accéder à mes partages de fichiers et d’imprimantes locaux
• Impossible d’administrer à distance le Pare-feu Windows
• Résolution des problèmes liés au Pare-feu Windows après une mise à niveau de Windows

Collecte de données

Avant de contacter le support Microsoft, vous pouvez collecter des informations sur votre problème.

Prerequisites

1. TSS doit être exécuté par des comptes disposant de privilèges d’administrateur sur le système local, et le CLUF doit être accepté (une fois que l’CLUF est accepté, TSS n’invite pas à nouveau).
2. Nous recommandons la stratégie d’exécution powerShell de l’ordinateur RemoteSigned local.

Note

Si la stratégie d’exécution PowerShell actuelle n’autorise pas l’exécution de TSS, effectuez les actions suivantes :

• Définissez la RemoteSigned stratégie d’exécution pour le niveau de processus en exécutant l’applet de commande PS C:\> Set-ExecutionPolicy -scope Process -ExecutionPolicy RemoteSigned.
• Pour vérifier si la modification prend effet, exécutez l’applet de commande PS C:\> Get-ExecutionPolicy -List.
• Étant donné que les autorisations au niveau du processus s’appliquent uniquement à la session PowerShell actuelle, une fois que la fenêtre PowerShell donnée dans laquelle TSS s’exécute est fermée, l’autorisation affectée pour le niveau de processus revient également à l’état précédemment configuré.

Collecter les informations clés avant de contacter le support Microsoft

1. Téléchargez TSS sur tous les nœuds et décompressez-le dans le dossier C :\tss .

2. Ouvrez le dossier C :\tss à partir d’une invite de commandes PowerShell avec élévation de privilèges.

3. Démarrez les traces à l’aide de l’applet de commande suivante :

   TSS.ps1 -Scenario NET_WFP
   

4. Acceptez le CLUF si les traces sont exécutées pour la première fois sur l’ordinateur.

5. Autoriser l’enregistrement (PSR ou vidéo).

6. Reproduire le problème avant d’entrer Y.

   Note

   Si vous collectez des journaux sur le client et le serveur, attendez ce message sur les deux nœuds avant de reproduire le problème.

7. Entrez Y pour terminer la collection de journaux une fois le problème reproduit.

Les traces sont stockées dans un fichier zip dans le dossier C :\MS_DATA , qui peut être chargé dans l’espace de travail à des fins d’analyse.

Référence

• Événements du Pare-feu Windows avec fonctions avancées de sécurité dans l’Observateur d’événements
• Bonnes pratiques relatives à la configuration du pare-feu Windows Defender
• Améliorations de l’origine du filtre dans le journal d’audit
• Utiliser le pare-feu netsh advfirewall