Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les systèmes de pare-feu empêchent les accès non autorisés aux ressources de l'ordinateur. Si un pare-feu est activé alors qu'il n'est pas configuré correctement, les tentatives de connexion à SQL Server peuvent être bloquées.
Pour accéder à une instance de SQL Server via un pare-feu, vous devez configurer le pare-feu sur l’ordinateur exécutant SQL Server pour autoriser l’accès. Le pare-feu est un composant de Microsoft Windows. Vous pouvez également installer un pare-feu à partir d’une autre entreprise. Cette rubrique explique comment configurer le pare-feu Windows, mais les principes de base s’appliquent à d’autres programmes de pare-feu.
Remarque
Cette rubrique fournit une vue d’ensemble de la configuration du pare-feu et récapitule les informations intéressantes pour un administrateur SQL Server. Pour plus d’informations sur le pare-feu et pour obtenir des informations de pare-feu faisant autorité, consultez la documentation du pare-feu, telle que le Pare-feu Windows avec Advanced Security et IPsec.
Les utilisateurs familiarisés avec l’élément Pare-feu Windows dans le Panneau de configuration et le Pare-feu Windows avec le composant logiciel enfichable MMC (Advanced Security Microsoft Management Console) et qui savent quels paramètres de pare-feu ils souhaitent configurer peuvent passer directement aux rubriques de la liste suivante :
Configurer un pare-feu Windows pour accéder au moteur de base de données
Configurer le Pare-feu Windows pour autoriser l’accès à Analysis Services
Informations de base sur le pare-feu
Les pare-feu fonctionnent en inspectant les paquets entrants et en les comparant à un ensemble de règles. Si les règles autorisent le paquet, le pare-feu transmet le paquet au protocole TCP/IP pour un traitement supplémentaire. Si les règles n’autorisent pas le paquet, le pare-feu ignore le paquet et, si la journalisation est activée, crée une entrée dans le fichier de journalisation du pare-feu.
La liste du trafic autorisé est remplie de l'une des façons suivantes :
Lorsque l’ordinateur sur lequel le pare-feu est activé lance la communication, le pare-feu crée une entrée dans la liste afin que la réponse soit autorisée. La réponse entrante est considérée comme un trafic sollicité et vous n’avez pas besoin de le configurer.
Un administrateur configure des exceptions au pare-feu. Cela permet d’accéder à des programmes spécifiés s’exécutant sur votre ordinateur ou à des ports de connexion spécifiés sur votre ordinateur. Dans ce cas, l'ordinateur accepte le trafic entrant non sollicité lorsqu'il joue le rôle de serveur, d'écouteur ou d'homologue. Voici le type de configuration qui doit être complété pour se connecter au serveur SQL.
Le choix d'une stratégie de pare-feu est plus complexe que le fait de déterminer si un port donné doit être ouvert ou fermé. Lors de la conception d’une stratégie de pare-feu pour votre entreprise, veillez à prendre en compte toutes les règles et options de configuration disponibles. Cette rubrique ne passe pas en revue toutes les options de pare-feu possibles. Nous vous recommandons de consulter les documents suivants :
Guide de prise en main du Pare-feu Windows avec advanced security
Guide de conception avancée du pare-feu Windows avec sécurité avancée
Introduction à l'isolation de serveur et de domaine
Paramètres de pare-feu par défaut
Pour planifier votre configuration de pare-feu, la première étape est de déterminer l'état en cours du pare-feu de votre système d'exploitation. Si le système d’exploitation a été mis à niveau à partir d’une version précédente, les paramètres de pare-feu antérieurs ont peut-être été conservés. En outre, les paramètres de pare-feu peuvent avoir été modifiés par un autre administrateur ou par une stratégie de groupe dans votre domaine.
Remarque
L’activation du pare-feu affecte d’autres programmes qui accèdent à cet ordinateur, tels que le partage de fichiers et d’impression et les connexions bureau à distance. Les administrateurs doivent tenir compte de toutes les applications qui s'exécutent sur l'ordinateur avant de définir les paramètres du pare-feu.
Programmes pour configurer le pare-feu
Il existe trois façons de configurer les paramètres du Pare-feu Windows.
Élément de pare-feu Windows dans le Panneau de configuration
L’élément pare-feu Windows peut être ouvert à partir du Panneau de configuration.
Important
Les modifications apportées dans l’élément pare-feu Windows dans le Panneau de configuration affectent uniquement le profil actuel. Les appareils mobiles, par exemple un ordinateur portable, ne doivent pas utiliser l’élément pare-feu Windows dans le Panneau de configuration, car le profil peut changer lorsqu’il est connecté dans une autre configuration. Ensuite, le profil précédemment configuré ne sera pas en vigueur. Pour plus d’informations sur les profils, consultez Le Pare-feu Windows avec le Guide de prise en main avancée de la sécurité.
L’élément Pare-feu Windows dans le Panneau de configuration vous permet de configurer des options de base. Ces options en question sont les suivantes :
Activation ou désactivation de l’élément de pare-feu Windows dans le Panneau de configuration
Activation et désactivation des règles
Octroi d’exceptions pour les ports et les programmes
Définition de certaines restrictions d’étendue
L’élément pare-feu Windows dans le Panneau de configuration est le plus approprié pour les utilisateurs qui ne sont pas expérimentés dans la configuration du pare-feu et qui configurent les options de pare-feu de base pour les ordinateurs qui ne sont pas mobiles. Vous pouvez également ouvrir l’élément pare-feu Windows dans le Panneau de configuration à partir de la
runcommande à l’aide de la procédure suivante :Pour ouvrir l’élément de pare-feu Windows
Dans le menu Démarrer , cliquez sur Exécuter, puis entrez
firewall.cpl.Cliquez sur OK.
Microsoft Management Console (MMC)
Le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité vous permet de configurer des paramètres du pare-feu plus avancés. Ce composant logiciel enfichable présente la plupart des options de pare-feu de façon simple et expose tous les profils de pare-feu. Pour plus d’informations, consultez Utilisation du Pare-feu Windows avec composant logiciel enfichable Sécurité avancée plus loin dans cette rubrique.
netsh
L’outil netsh.exe peut être utilisé par un administrateur pour configurer et surveiller les ordinateurs Windows à l’invite de commandes ou à l’aide d’un fichier de commandes**.** à l’aide de l’outil netsh , vous pouvez diriger les commandes de contexte que vous entrez dans l’assistance appropriée, puis l’assistance effectue la commande. Un assistance est un fichier de bibliothèque de liens dynamiques (.dll) qui étend les fonctionnalités de l’outil netsh en fournissant la configuration, la surveillance et la prise en charge d’un ou plusieurs services, utilitaires ou protocoles. Tous les systèmes d’exploitation qui prennent en charge SQL Server ont un assistance de pare-feu. Windows Server 2008 dispose également d’un assistance de pare-feu avancé appelé advfirewall. Les détails de l’utilisation de netsh ne sont pas abordés dans cette rubrique. Toutefois, la plupart des options de configuration décrites peuvent être configurées à l’aide de netsh. Exécutez, par exemple, le script suivant à partir d'une invite de commandes pour ouvrir le port TCP 1433 :
netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENTExemple similaire utilisant le Pare-feu Windows pour l’assistance de sécurité avancée :
netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAINPour plus d’informations sur netsh, consultez les liens suivants :
Ports utilisés par SQL Server
Les tableaux suivants peuvent vous aider à identifier les ports utilisés par SQL Server.
Ports utilisés par le moteur de base de données
Le tableau suivant répertorie les ports qui sont fréquemment utilisés par le Moteur de base de données.
| Scénario | Port | Commentaires |
|---|---|---|
| Instance sql Server par défaut s’exécutant sur TCP | Port TCP 1433 | Il s’agit du port le plus courant autorisé via le pare-feu. Il s'applique aux connexions de routine de l'installation par défaut du Moteur de base de données, ou une instance nommée qui est la seule instance qui s'exécute sur l'ordinateur. (Les instances nommées ont des considérations spéciales. Voir Ports dynamiques plus loin dans cette rubrique.) |
| Instances SQL Server nommées dans la configuration par défaut | Le port TCP est un port dynamique déterminé au moment des démarrages du Moteur de base de données . | Consultez la discussion ci-dessous dans la section Ports dynamiques. Le port UDP 1434 peut être requis pour le service SQL Server Browser lorsque vous utilisez des instances nommées. |
| Instances nommées SQL Server lorsqu’elles sont configurées pour utiliser un port fixe | Le numéro de port configuré par l'administrateur. | Consultez la discussion ci-dessous dans la section Ports dynamiques. |
| Connexion administrateur dédiée | Port TCP 1434 pour l'instance par défaut. D'autres ports sont utilisés pour les instances nommées. Recherchez le numéro de port dans le journal des erreurs. | Par défaut, les connexions distantes à la connexion d’administrateur dédié (DAC) ne sont pas activées. Pour activer une DAC distante, utilisez la facette Configuration de la surface d'exposition. Pour plus d'informations, consultez Surface Area Configuration. |
| Service navigateur SQL Server | Port UDP 1434 | Le service SQL Server Browser écoute les connexions entrantes à une instance nommée et fournit au client le numéro de port TCP correspondant à cette instance nommée. Normalement le service SQL Server Browser est démarré toutes les fois que les instances nommées du Moteur de base de données sont utilisées. Le service SQL Server Browser n’a pas besoin d’être démarré si le client est configuré pour se connecter au port spécifique de l’instance nommée. |
| Instance SQL Server s’exécutant sur un point de terminaison HTTP. | Peut être spécifié lors de la création d'un point de terminaison HTTP. La valeur par défaut est le port TCP 80 pour le trafic CLEAR_PORT et 443 pour le trafic SSL_PORT. | Utilisé pour une connexion HTTP via une URL. |
| Instance sql Server par défaut s’exécutant sur un point de terminaison HTTPS. | Port TCP 443 | Utilisé pour une connexion HTTPS via une URL. HTTPS est une connexion HTTP qui utilise la couche SSL (Secure Sockets Layer). |
| Courtier de services | Port TCP 4022. Pour vérifier le port utilisé, exécutez la requête suivante :SELECT name, protocol_desc, port, state_descFROM sys.tcp_endpointsWHERE type_desc = 'SERVICE_BROKER' |
Il n’existe aucun port par défaut pour SQL ServerService Broker, mais il s’agit de la configuration conventionnelle utilisée dans les exemples de documentation en ligne. |
| Mise en miroir de bases de données | Port choisi par l'administrateur. Pour déterminer le port, exécutez la requête suivante :SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpointsWHERE type_desc = 'DATABASE_MIRRORING' |
Il n’existe aucun port par défaut pour la mise en miroir de bases de données, mais les exemples de documentation en ligne utilisent le port TCP 7022. Il est très important d'éviter d'interrompre un point de terminaison de mise en miroir en cours d'utilisation, en particulier en mode haute sécurité avec basculement automatique. Votre configuration du pare-feu doit éviter de rompre le quorum. Pour plus d’informations, consultez Spécifier une adresse réseau de serveur (Mise en miroir de bases de données). |
| Réplication | Les connexions de réplication à SQL Server utilisent les ports standard du moteur de base de données (port TCP 1433 pour l’instance par défaut, etc.) La synchronisation web et l’accès FTP/UNC pour l’instantané de réplication nécessitent l’ouverture de ports supplémentaires sur le pare-feu. Pour transférer des données initiales et le schéma d'un emplacement à un autre, la réplication peut utiliser FTP (port TCP 21), ou la synchronisation via HTTP (port TCP 80) ou le partage de fichiers. Le partage de fichiers utilise le port UDP 137 et 138 et le port TCP 139 s’il utilise NetBIOS. Le partage de fichiers utilise le port TCP 445. |
Pour la synchronisation via HTTP, la réplication utilise le point de terminaison IIS (lequel est configurable, mais utilise le port 80 par défaut), tandis que le processus IIS se connecte à la base de données SQL Server backend via les ports standards (1433 pour l'instance par défaut). Pendant la synchronisation Web via FTP, le transfert FTP s'effectue entre IIS et le serveur de publication SQL Server , pas entre l'abonné et IIS. |
| Débogueur Transact-SQL | Port TCP 135 Consultez Considérations spéciales relatives au port 135 L'exception IPsec peut également être requise. |
Si vous utilisez Visual Studio, sur l’ordinateur hôte Visual Studio, vous devez également ajouter Devenv.exe à la liste Exceptions et ouvrir le port TCP 135. Si vous utilisez Management Studio, sur l’ordinateur hôte Management Studio, vous devez également ajouter ssms.exe à la liste Exceptions et ouvrir le port TCP 135. Pour plus d’informations, consultez Configurer le débogueur Transact-SQL. |
Pour obtenir des instructions pas à pas pour configurer le Pare-feu Windows pour le moteur de base de données, consultez Configurer un pare-feu Windows pour l’accès au moteur de base de données.
Ports dynamiques
Par défaut, les instances nommées (y compris SQL Server Express) utilisent des ports dynamiques. Cela signifie que chaque fois que le moteur de base de données démarre, il identifie un port disponible et utilise ce numéro de port. Si l’instance nommée est la seule instance du moteur de base de données installée, elle utilise probablement le port TCP 1433. Si d’autres instances du moteur de base de données sont installées, il utilise probablement un autre port TCP. Étant donné que le port sélectionné peut changer chaque fois que le moteur de base de données est démarré, il est difficile de configurer le pare-feu pour permettre l’accès au numéro de port approprié. Par conséquent, si un pare-feu est utilisé, nous vous recommandons de reconfigurer le moteur de base de données pour utiliser le même numéro de port à chaque fois. Il s’agit d’un port fixe ou d’un port statique. Pour plus d’informations, consultez Configurer un serveur pour écouter sur un port TCP spécifique (Gestionnaire de configuration SQL Server).
Une alternative à la configuration d’une instance nommée pour écouter sur un port fixe consiste à créer une exception dans le pare-feu pour un programme SQL Server tel que sqlservr.exe (pour le moteur de base de données). Cela peut être pratique, mais le numéro de port n’apparaît pas dans la colonne Port local de la page Règles de trafic entrant lorsque vous utilisez le pare-feu Windows avec le composant logiciel enfichable MMC Advanced Security. Cela peut rendre plus difficile l’audit des ports ouverts. Une autre considération est qu’une mise à jour cumulative ou service Pack peut modifier le chemin d’accès à l’exécutable SQL Server qui invalidera la règle de pare-feu.
Remarque
La procédure suivante utilise l’élément pare-feu Windows dans le Panneau de configuration. Le composant logiciel enfichable MMC du Pare-feu Windows avec sécurité avancée peut configurer une règle plus complexe. Cela inclut la configuration d’une exception de service qui peut être utile pour fournir une défense en profondeur. Consultez le module enfichable "Utilisation du Pare-feu Windows avec sécurité avancée" ci-dessous.
Pour ajouter une exception de programme au pare-feu à l’aide de l’élément de pare-feu Windows dans le Panneau de configuration.
Sous l’onglet Exceptions de l’élément Pare-feu Windows dans le Panneau de configuration, cliquez sur Ajouter un programme.
Accédez à l’emplacement de l’instance de SQL Server que vous souhaitez autoriser via le pare-feu, par exemple C :\Program Files\Microsoft SQL Server\MSSQL12.<>instance_name\MSSQL\Binn, sélectionnez sqlservr.exe, puis cliquez sur Ouvrir.
Cliquez sur OK.
Pour plus d’informations sur les points de terminaison, consultez Configurer le moteur de base de données pour écouter sur plusieurs ports TCP et Vue Catalogue des points de terminaison (Transact-SQL).
Ports utilisés par Analysis Services
Le tableau suivant répertorie les ports qui sont fréquemment utilisés par Analysis Services.
| Caractéristique | Port | Commentaires |
|---|---|---|
| Services d'analyse | Port TCP 238 pour l'instance par défaut | Port standard pour l'instance par défaut de Analysis Services. |
| Service navigateur SQL Server | Port TCP 2382 uniquement exigé pour une instance nommée Analysis Services | Les demandes de connexion client pour une instance nommée d’Analysis Services qui ne spécifient pas de numéro de port sont dirigées vers le port 2382, le port sur lequel SQL Server Browser écoute. SQL Server Browser redirige ensuite la demande vers le port utilisé par l'instance nommée. |
| Analysis Services configuré pour une utilisation via IIS/HTTP (Le service Tableau croisé dynamique utilise HTTP ou HTTPS) |
Port TCP 80 | Utilisé pour une connexion HTTP via une URL. |
| Analysis Services configuré pour une utilisation via IIS/HTTPS (Le service PivotTable utilise HTTP ou HTTPS) |
Port TCP 443 | Utilisé pour une connexion HTTPS via une URL. HTTPS est une connexion HTTP qui utilise la couche SSL (Secure Sockets Layer). |
Si les utilisateurs accèdent à Analysis Services via IIS et Internet, vous devez ouvrir le port sur lequel IIS écoute et spécifie ce port dans la chaîne de connexion cliente. Dans ce cas, aucun port ne doit être ouvert pour l'accès direct à Analysis Services. Le port par défaut 2389 et le port 2382 doivent être limités avec tous les autres ports qui ne sont pas obligatoires.
Pour obtenir des instructions pas à pas pour configurer le Pare-feu Windows pour Analysis Services, consultez Configurer le Pare-feu Windows pour autoriser l’accès à Analysis Services.
Ports utilisés par Reporting Services
Le tableau suivant répertorie les ports qui sont fréquemment utilisés par Reporting Services.
| Caractéristique | Port maritime | Commentaires |
|---|---|---|
| Reporting Services Services Web | Port TCP 80 | Utilisé pour une connexion HTTP à Reporting Services via une URL. Nous vous recommandons de ne pas utiliser la règle préconfigurée World Wide Web Services (HTTP). Pour plus d’informations, consultez la section Interaction avec d’autres règles de pare-feu ci-dessous. |
| Reporting Services configuré pour une utilisation via HTTPS | Port TCP 443 | Utilisé pour une connexion HTTPS via une URL. HTTPS est une connexion HTTP qui utilise la couche SSL (Secure Sockets Layer). Nous vous recommandons de ne pas utiliser la règle préconfigurée Secure World Wide Web Services (HTTPS). Pour plus d’informations, consultez la section Interaction avec d’autres règles de pare-feu ci-dessous. |
Lorsque Reporting Services se connecte à une instance du Moteur de base de données ou Analysis Services, vous devez également ouvrir les ports appropriés pour ces services. Pour obtenir des instructions pas à pas pour configurer le Pare-feu Windows pour Reporting Services, configurez un pare-feu pour l’accès au serveur de rapports.
Ports utilisés par Integration Services
Le tableau suivant répertorie les ports qui sont utilisés par le service Integration Services .
| Caractéristique | Port | Commentaires |
|---|---|---|
| Microsoft Appels de procédure distante (MS RPC) Utilisé par le runtime Integration Services . |
Port TCP 135 Consultez Considérations spéciales relatives au port 135 |
Le service Integration Services utilise DCOM sur le port 135. Service Control Manager utilise le port 135 pour effectuer des tâches telles que le démarrage et l’arrêt du service Integration Services et la transmission des demandes de contrôle au service en cours d’exécution. Le numéro de port ne peut pas être modifié. Ce port doit être ouvert uniquement si vous vous connectez à une instance distante du service Integration Services à partir de Management Studio ou d’une application personnalisée. |
Pour obtenir des instructions pas à pas pour configurer le Pare-feu Windows pour Integration Services, consultez Configurer un Pare-feu Windows pour l’accès au service SSIS.
Ports et services supplémentaires
Le tableau suivant répertorie les ports et services dont SQL Server peut dépendre.
| Scénario | Port | Commentaires |
|---|---|---|
| Windows Infrastructure de gestion Pour plus d’informations sur WMI, consultez le fournisseur WMI pour les concepts de gestion de la configuration |
WMI s'exécute dans le cadre d'un hôte de service partagé avec les ports attribués via DCOM. WMI peut utiliser le port TCP 135. Consultez Considérations spéciales relatives au port 135 |
SQL Server utilise WMI pour lister et gérer des services. Nous vous recommandons d’utiliser la règle préconfigurée Windows Management Instrumentation (WMI) . Pour plus d’informations, consultez la section Interaction avec d’autres règles de pare-feu ci-dessous. |
| Microsoft Distributed Transaction Coordinator (MS DTC) | Port TCP 135 Consultez Considérations spéciales relatives au port 135 |
Si votre application utilise des transactions distribuées, vous devez éventuellement configurer le pare-feu pour autoriser le trafic MS DTC ( Microsoft Distributed Transaction Coordinator) entre des instances MS DTC distinctes, et entre MS DTC et les gestionnaires de ressources tels que SQL Server. Nous vous recommandons d'utiliser le groupe de règles préconfigurées Distributed Transaction Coordinator . Lorsqu’un MS DTC partagé unique est configuré pour tout le cluster dans un groupe de ressources distinct, vous devez ajouter sqlservr.exe comme exception au pare-feu. |
| Le bouton Parcourir dans Management Studio utilise UDP pour se connecter au service SQL Server Browser. Pour plus d’informations, consultez Service SQL Server Browser (moteur de base de données et SSAS). | Port UDP 1434 | UDP est un protocole sans connexion. Le pare-feu dispose d’un paramètre nommé UnicastResponsesToMulticastBroadcastDisabled Property de l’interface INetFwProfile, qui contrôle le comportement du pare-feu en ce qui concerne les réponses unidiffusion à une requête UDP par diffusion (ou multidiffusion). Il a deux comportements : Si le paramètre a la valeur TRUE, aucune réponse unicast à une diffusion n’est permise. L’énumération des services échoue. Si le paramètre a la valeur FALSE (valeur par défaut), les réponses de monodiffusion sont autorisées pendant 3 secondes. La durée n’est pas configurable. dans un réseau congestionné ou à latence élevée, ou pour des serveurs fortement chargés, un processus qui tente d'énumérer des instances de SQL Server pourrait retourner une liste partielle, ce qui pourrait induire en erreur les utilisateurs. |
| Trafic IPsec | Port UDP 500 et port UDP 4500 | Si la stratégie de domaine exige que les communications réseau s'effectuent par le biais du protocole IPsec, vous devez également ajouter les ports UDP 4500 et UDP 500 à la liste des exceptions. IPsec est une option de l’ Assistant Nouvelle règle de trafic entrant dans le composant logiciel enfichable Pare-feu Windows. Pour plus d’informations, consultez ci-dessous Utilisation de l’extension de sécurité avancée du Pare-feu Windows. |
| Utilisation de l'authentification Windows avec les domaines approuvés | Les pare-feu doivent être configurés pour autoriser des demandes d'authentification. | Pour plus d’informations, consultez Comment configurer un pare-feu pour les domaines et les approbations. |
| SQL Server et le clustering Windows | Le clustering nécessite des ports supplémentaires qui ne sont pas directement liés à SQL Server. | Pour plus d'informations, consultez Activer un réseau pour une utilisation du cluster. |
| Des espaces de noms réservés de l'URL dans l'API HTTP Server (HTTP.SYS) | Probablement le port TCP 80, mais la configuration d'autres ports est possible. Pour les informations générales, consultez Configuration de HTTP et HTTPS. | Pour obtenir des informations spécifiques à SQL Server sur la réservation d’un point de terminaison HTTP.SYS à l’aide de HttpCfg.exe, consultez À propos des réservations d’URL et de l’inscription (Gestionnaire de configuration SSRS). |
Considérations spéciales relatives au port 135
Lorsque vous utilisez RPC avec TCP/IP ou UDP/IP comme transport, les ports entrants sont fréquemment attribués dynamiquement aux services système selon les besoins ; Les ports TCP/IP et UDP/IP supérieurs au port 1024 sont utilisés. Ces ports sont souvent appelés « ports RPC aléatoires ». Dans ces cas, les clients RPC s’appuient sur le mappeur de point de terminaison RPC pour leur indiquer quels ports dynamiques ont été attribués au serveur. Pour certains services basés sur RPC, vous pouvez configurer un port spécifique au lieu de laisser RPC en attribuer un dynamiquement. Vous pouvez également restreindre la plage de ports que RPC affecte dynamiquement à une petite plage, quel que soit le service. Étant donné que le port 135 est utilisé pour de nombreux services, il est fréquemment attaqué par des utilisateurs malveillants. Lorsque vous ouvrez le port 135, pensez à restreindre l'étendue de la règle de pare-feu.
Pour plus d'informations sur le port 135, consultez les rubriques de référence suivantes :
Interaction avec d’autres règles de pare-feu
Le Pare-feu Windows utilise des règles et des groupes de règles pour établir sa configuration. Chaque règle ou groupe de règles est généralement associé à un programme ou à un service particulier, et ce programme ou service peut modifier ou supprimer cette règle sans vos connaissances. Par exemple, les groupes de règles Services World Wide Web (HTTP) et Services World Wide Web (HTTPS) sont associés à IIS. L’activation de ces règles ouvre les ports 80 et 443 et les fonctionnalités SQL Server qui dépendent des ports 80 et 443 fonctionnent si ces règles sont activées. Toutefois, les administrateurs qui configurent IIS peuvent modifier ou désactiver ces règles. Par conséquent, si vous utilisez le port 80 ou le port 443 pour SQL Server, vous devez créer votre propre règle ou groupe de règles qui gère votre configuration de port souhaitée indépendamment des autres règles IIS.
Le composant logiciel enfichable MMC du pare-feu Windows avec sécurité avancée autorise tout trafic qui correspond à une règle d'autorisation applicable. Par conséquent, s’il existe deux règles qui s’appliquent tous deux au port 80 (avec des paramètres différents), le trafic qui correspond à l’une ou l’autre règle sera autorisé. Par conséquent, si une règle autorise le trafic sur le port 80 à partir du sous-réseau local et qu’une règle autorise le trafic à partir de n’importe quelle adresse, l’effet net est que tout le trafic vers le port 80 est autorisé indépendamment de la source. Pour gérer efficacement l'accès à SQL Server, les administrateurs doivent périodiquement examiner toutes les règles de pare-feu activées sur le serveur.
Vue d’ensemble des profils de pare-feu
Les profils de pare-feu sont décrits dans le Pare-feu Windows avec le guide de prise en main avancée de la sécurité dans la section Pare-feu hôte prenant en compte l’emplacement réseau. Pour résumer, les systèmes d’exploitation identifient et mémorisent chacun des réseaux auxquels ils se connectent en ce qui concerne la connectivité, les connexions et la catégorie.
Il existe trois types d'emplacements réseau dans le Pare-feu Windows avec fonctions avancées de sécurité :
Domaine. Windows peut authentifier l’accès au contrôleur de domaine pour le domaine auquel l’ordinateur est joint.
Public. Autres que les réseaux de domaine, tous les réseaux sont initialement classés comme publics. Les réseaux qui représentent des connexions directes à l'Internet ou qui se trouvent à emplacements publics, tels que les aéroports et les cafés, doivent rester publics.
Privé. Réseau identifié par un utilisateur ou une application comme privé. Seuls les réseaux de confiance doivent être identifiés en tant que réseaux privés. Les utilisateurs souhaitent probablement identifier les réseaux domestiques ou les petites entreprises comme privés.
L'administrateur peut créer un profil pour chaque type d'emplacement réseau, chaque profil contenant des stratégies de pare-feu différentes. Un seul profil est appliqué à la fois. L'ordre des profils est appliqué comme suit :
Si toutes les interfaces sont authentifiées auprès du contrôleur de domaine pour le domaine dont l’ordinateur est membre, le profil de domaine est appliqué.
Si toutes les interfaces sont authentifiées auprès du contrôleur de domaine ou connectées à des réseaux classés comme emplacements réseau privés, le profil privé est appliqué.
Autrement, le profil public est appliqué.
Utilisez le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité pour afficher et configurer tous les profils de pare-feu. L'élément du Pare-feu Windows dans le Panneau de configuration configure seulement le profil actuel.
Paramètres de pare-feu supplémentaires à l’aide de l’élément de pare-feu Windows dans le Panneau de configuration
Les exceptions que vous ajoutez au pare-feu peuvent restreindre l’ouverture du port aux connexions entrantes à partir d’ordinateurs spécifiques ou du sous-réseau local. Cette restriction de l’étendue de l’ouverture de port peut réduire la quantité d’exposition de votre ordinateur aux utilisateurs malveillants et est recommandée.
Remarque
L’utilisation de l’élément Pare-feu Windows dans le Panneau de configuration configure seulement le profil de pare-feu actuel.
Pour modifier l’étendue d’une exception de pare-feu à l’aide de l’élément pare-feu Windows dans le Panneau de configuration
Dans l’élément Pare-feu Windows du Panneau de configuration, sélectionnez un programme ou un port sous l’onglet Exceptions , puis cliquez sur Propriétés ou Modifier.
Dans la boîte de dialogue Modifier un programme ou modifier un port , cliquez sur Modifier l’étendue.
Choisissez l’une des options suivantes :
Tout ordinateur (y compris ceux sur Internet)
Non recommandé. Cela permet à n’importe quel ordinateur qui peut traiter votre ordinateur de se connecter au programme ou au port spécifié. Ce paramètre peut être nécessaire pour autoriser la présentation d'informations à des utilisateurs anonymes sur Internet, mais augmente votre exposition aux utilisateurs malveillants. Votre exposition peut être augmentée davantage si vous activez ce paramètre et autorisez également la traversée NAT (Network Address Translation), par exemple l’option Autoriser la traversée de périphérie.
Mon réseau (sous-réseau) uniquement
Il s’agit d’un paramètre plus sécurisé que n’importe quel ordinateur. Seuls les ordinateurs présents sur le sous-réseau local de votre réseau peuvent se connecter au programme ou port.
Liste personnalisée :
Seuls les ordinateurs qui ont les adresses IP que vous listez peuvent se connecter. Il peut s’agir d’un paramètre plus sécurisé que Mon réseau (sous-réseau) uniquement, toutefois, les ordinateurs clients utilisant DHCP peuvent parfois modifier leur adresse IP. Ensuite, l’ordinateur prévu ne pourra pas se connecter. Un autre ordinateur, que vous n’aviez pas prévu d’autoriser, peut accepter l’adresse IP répertoriée, puis être en mesure de se connecter. L’option de liste personnalisée peut être appropriée pour répertorier d’autres serveurs configurés pour utiliser une adresse IP fixe ; toutefois, les adresses IP peuvent être usurpées par une intrus. Les règles de pare-feu restrictives ne sont fortes que si votre infrastructure réseau l'est aussi.
Utilisation du Pare-feu Windows avec composant logiciel enfichable Sécurité avancée
Des paramètres de pare-feu avancés supplémentaires peuvent être configurés à l’aide du pare-feu Windows avec le composant logiciel enfichable MMC Advanced Security. Le composant logiciel enfichable inclut un Assistant de règles et affiche des paramètres additionnels qui ne sont pas disponibles dans l’élément pare-feu Windows dans le Panneau de configuration. Les paramètres suivants sont inclus :
Paramètres de chiffrement
Restrictions de services
Restriction des connexions pour les ordinateurs par nom
Restriction des connexions à des utilisateurs ou profils spécifiques
Traversée latérale autorisant le trafic de contourner les routeurs NAT (Network Address Translation)
Configuration de règles de trafic sortant
Configuration de règles de sécurité
Présence nécessaire d'IPsec pour les connexions entrantes
Pour créer une nouvelle règle de pare-feu à l'aide de l'assistant de nouvelle règle
Dans le menu Démarrer, cliquez sur Exécuter, tapez WF.msc, puis cliquez sur OK.
Dans le Pare-feu Windows avec Advanced Security, dans le volet gauche, cliquez avec le bouton droit sur Règles de trafic entrant, puis cliquez sur Nouvelle règle.
Exécutez l' Assistant Nouvelle règle de trafic entrant à l'aide des paramètres que vous souhaitez.
Résolution des problèmes liés aux paramètres du pare-feu
Les outils et techniques suivants peuvent être utiles pour résoudre les problèmes liés au pare-feu :
L'état effectif du port repose sur l'union de toutes les règles en rapport avec le port. Lorsque vous essayez de bloquer l’accès via un port, il peut être utile d’examiner toutes les règles qui citent le numéro de port. Pour ce faire, utilisez le pare-feu Windows avec le composant logiciel enfichable MMC Advanced Security et triez les règles entrantes et sortantes par numéro de port.
Examinez les ports qui sont actifs sur l'ordinateur sur lequel SQL Server s'exécute. Ce processus de révision inclut la vérification des ports TCP/IP qui écoutent et vérifient également l’état des ports.
Pour vérifier quels ports écoutent, utilisez l’utilitaire de ligne de commande netstat . Outre l’affichage des connexions TCP actives, l’utilitaire netstat affiche également diverses statistiques et informations IP.
Pour répertorier les ports TCP/IP qui écoutent
Ouvrez la fenêtre d'invite de commandes.
À l’invite de commande, tapez
netstat -n -a.Le commutateur -n indique à netstat d’afficher numériquement l’adresse et le numéro de port des connexions TCP actives. Le commutateur indique à netstat d’afficher les ports TCP et UDP sur lesquels l’ordinateur écoute.
L’utilitaire PortQry peut être utilisé pour signaler l’état des ports TCP/IP comme à l’écoute, pas à l’écoute ou filtré. (Avec un état filtré, le port peut ou ne pas être à l’écoute ; cet état indique que l’utilitaire n’a pas reçu de réponse du port.) L’utilitaire PortQry est disponible en téléchargement à partir du Centre de téléchargement Microsoft.