Windows 2019 Server

Pare-feu / Firewall

Le firewall s'administre via les commandes PowerShell (notamment sur les versions Core).

Lister l'ensemble des CmdLets du module NetSecurity

PS C:\> Get-Command -module NetSecurity

Vérifier l'état du firewall

On affiche seulement les colonnes Name et Enabled :

PS C:\> Get-NetFirewallProfile | ft Name,Enabled

Name      Enabled
----      -------
Domain    False
Private   False
Public    False

Activer/désactiver le firewall sur un profil

Dans les commandes PowerShell, il faudra préciser le profil sur lequel s'applique la commande. Voici les valeurs à utiliser pour chacun des profils :

Réseaux avec domaine : Domain
Réseaux provés : Private
Réseaux publics ou invités : Public
Tous les profils : *

Pour désactiver le pare-feu sur tous les profils :

PS C:\> Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False
# ou
PS C:\> Set-NetFirewallProfile -Profile * -Enabled False

Pour activer le pare-feu sur un seul profil :

PS C:\> Set-NetFirewallProfile -Profile Public -Enabled True

Groupes de règles prédéfinies

Lister les groupes de règles prédéfinies disponible

PS C:\> $rules=Get-NetFirewallRule
PS C:\> $DisplayGroups=foreach ($rule in $rules) {$rule.displaygroup}
PS C:\> $DisplayGroups | Select-Object -Unique
Analyse de l’ordinateur virtuel
Interruption SNMP
DiagTrack
Optimisation de livraison
Moniteur d’événements distants
Recherche du réseau
Routeur AllJoyn
Service Accès réseau
Arrêt à distance
Protocole SSTP
Partage de fichiers et d’imprimantes via SMBDirect
Serveur protocole DIAL
Gestion à distance des tâches planifiées
Gestion des périphériques Windows
Gestion à distance de Windows
Gestion à distance de Windows (Compatibilité)
Bureau à distance
...

Activer/désactiver une règle prédéfinie

Exemple : Activer l'accès au Bureau à distance sur le profil Domain

PS C:\> New-NetFirewallRule -DisplayName "Autoriser le Bureau à distance (RDP)" -Group "Bureau à distance" -Profile Domain -Enabled True -Action Allow

Créer sa propre règle

Exemple : autoriser les connexions à destination du port 22, en TCP (SSH)

PS C:\> New-NetFirewallRule -Name "SSH" -DisplayName "Autoriser SSH (Port 22)" -Profile Domain -Enabled True -Protocol TCP -LocalPort 22 -Action Allow -LocalAddress 192.168.1.10

Supprimer une règle existante

Exemple : supprimer la règle SSH créée précédemment

PS C:\> Remove-NetFirewallRule -Name SSH

On peut vérifier que la règle est bien supprimée en la cherchant :

PS C:\> Get-NetFirewallRule -Name SSH

Un message d'erreur sera affiché car la règle n'existe plus