Pourquoi configurer le pare-feu Windows est indispensable
Le pare-feu Windows Defender est votre premiere ligne de defense contre les intrusions reseau. Par defaut, il bloque les connexions entrantes non sollicitees, mais sa configuration standard ne suffit pas pour une protection optimale. Un pare-feu mal configure peut laisser passer des connexions malveillantes ou, au contraire, bloquer des applications legitimes.
Au Senegal, avec la multiplication des cyberattaques ciblant les PME et les freelances, bien configurer son pare-feu est devenu une necessite absolue. Que vous travailliez depuis Dakar, Saint-Louis ou Thies, ce tutoriel vous guide pas a pas pour securiser votre machine Windows.
Acceder au pare-feu Windows Defender
Methode 1 : Via les Parametres
Ouvrez les Parametres Windows (Win + I), puis allez dans Confidentialite et securite > Securite Windows > Pare-feu et protection du reseau. Cette interface simplifiee vous montre le statut pour vos 3 profils reseau.
Methode 2 : Pare-feu Windows Defender avec securite avancee
Pour un controle complet, tapez wf.msc dans la barre de recherche ou dans Executer (Win + R). Cette console est celle que tout administrateur doit maitriser :
- Regles de trafic entrant : controlent ce qui entre dans votre machine
- Regles de trafic sortant : controlent ce qui sort (souvent neglige mais crucial)
- Regles de securite de connexion : pour IPSec et VPN
- Analyse : voir les regles actives en temps reel
Methode 3 : Via PowerShell (administrateurs)
# Voir le statut de tous les profils
Get-NetFirewallProfile | Format-Table Name, Enabled, DefaultInboundAction, DefaultOutboundAction
# Resultat attendu :
# Name Enabled DefaultInboundAction DefaultOutboundAction
# Domain True Block Allow
# Private True Block Allow
# Public True Block AllowComprendre les 3 profils reseau
Windows applique des regles differentes selon le type de reseau detecte. Bien comprendre ces profils est essentiel :
| Profil | Quand il est actif | Niveau de securite | Exemple au Senegal |
|---|---|---|---|
| Domaine | PC connecte a un Active Directory | Moyen (gere par admin) | Bureaux entreprise avec serveur AD |
| Prive | Reseau de confiance | Moyen | Votre box Internet a la maison |
| Public | Reseau non fiable | Eleve | WiFi hotel, coworking Dakar, partage 4G |
Conseil critique : quand vous vous connectez au WiFi public dans un coworking a Dakar ou un cafe, verifiez toujours que le profil est bien sur Public. Si Windows vous pose la question « Voulez-vous autoriser la decouverte reseau ? », repondez Non.
# Verifier le profil actif de votre connexion
Get-NetConnectionProfile | Format-Table Name, NetworkCategory
# Forcer un reseau en Public
Set-NetConnectionProfile -InterfaceAlias "Wi-Fi" -NetworkCategory PublicConfigurer les regles de trafic entrant
Les regles entrantes sont les plus importantes : elles controlent qui peut se connecter a votre machine.
Principe de base : tout bloquer sauf ce qui est autorise
Par defaut, Windows bloque tout le trafic entrant non sollicite. Gardez ce comportement et ajoutez uniquement les exceptions necessaires :
# Verifier la politique par defaut
Get-NetFirewallProfile -Name Public | Select-Object DefaultInboundAction
# Doit retourner : Block
# Si ce n'est pas le cas, corriger :
Set-NetFirewallProfile -Name Public -DefaultInboundAction BlockCreer une regle pour autoriser une application
Exemple : autoriser un serveur de developpement local (XAMPP, Laragon) uniquement en reseau prive :
# Autoriser Apache (Laragon) sur le port 80 en reseau prive uniquement
New-NetFirewallRule -DisplayName "Laragon Apache HTTP" `
-Direction Inbound `
-Protocol TCP `
-LocalPort 80 `
-Action Allow `
-Profile Private `
-Program "C:\laragon\bin\apache\httpd-2.4.54\bin\httpd.exe" `
-Description "Autorise Apache Laragon en reseau prive"Bloquer une application suspecte
# Bloquer une application inconnue trouvee dans vos processus
New-NetFirewallRule -DisplayName "Bloquer AppSuspecte" `
-Direction Inbound `
-Action Block `
-Program "C:\Users\Public\Downloads\app_inconnue.exe" `
-Profile Any `
-Description "Application suspecte bloquee"5 regles entrantes essentielles pour un PC au Senegal
| Regle | Port/Protocole | Action | Profil | Raison |
|---|---|---|---|---|
| Bloquer SMB externe | TCP 445 | Bloquer | Public | Empeche WannaCry et similaires |
| Bloquer RDP externe | TCP 3389 | Bloquer | Public | Evite les attaques brute-force RDP |
| Bloquer NetBIOS | UDP 137-139 | Bloquer | Public | Empeche la decouverte reseau |
| Autoriser XAMPP local | TCP 80, 443 | Autoriser | Prive | Developpement web local |
| Autoriser MySQL local | TCP 3306 | Autoriser | Prive | Base de donnees dev uniquement |
Configurer les regles de trafic sortant
Le trafic sortant est souvent ignore, pourtant c’est par la que les malwares exfiltrent vos donnees. Par defaut, Windows autorise tout le trafic sortant.
Approche restrictive (recommandee pour les paranos de securite)
# Passer en mode "bloquer tout sortant par defaut"
# ATTENTION : cela bloque TOUT, meme les navigateurs
Set-NetFirewallProfile -Name Public -DefaultOutboundAction Block
# Ensuite autoriser uniquement ce dont vous avez besoin :
# Navigateur Chrome
New-NetFirewallRule -DisplayName "Chrome Sortant" `
-Direction Outbound -Action Allow `
-Program "C:\Program Files\Google\Chrome\Application\chrome.exe"
# DNS (indispensable)
New-NetFirewallRule -DisplayName "DNS Sortant" `
-Direction Outbound -Action Allow -Protocol UDP -RemotePort 53
# HTTPS general
New-NetFirewallRule -DisplayName "HTTPS Sortant" `
-Direction Outbound -Action Allow -Protocol TCP -RemotePort 443Approche equilibree (recommandee pour la plupart des utilisateurs)
Gardez la politique par defaut (Allow) mais bloquez specifiquement les applications suspectes :
# Bloquer une application qui tente de communiquer sans raison
New-NetFirewallRule -DisplayName "Bloquer Telemetrie App" `
-Direction Outbound -Action Block `
-Program "C:\Program Files\AppSuspecte\telemetry.exe"
# Bloquer un range IP malveillant connu
New-NetFirewallRule -DisplayName "Bloquer IP Malveillants" `
-Direction Outbound -Action Block `
-Protocol Any -RemoteAddress "185.234.218.0/24"Regles avancees : filtrage par IP et port
Limiter l’acces RDP a une seule IP
Si vous devez utiliser le Bureau a Distance, ne l’ouvrez jamais a tout le monde :
# Autoriser RDP uniquement depuis l'IP de votre bureau
New-NetFirewallRule -DisplayName "RDP Bureau Dakar" `
-Direction Inbound -Action Allow `
-Protocol TCP -LocalPort 3389 `
-RemoteAddress "41.82.xxx.xxx" `
-Profile Any `
-Description "RDP autorise uniquement depuis IP bureau Dakar"Creer un scope reseau local
# Autoriser le partage de fichiers uniquement sur votre sous-reseau
New-NetFirewallRule -DisplayName "Partage Fichiers LAN" `
-Direction Inbound -Action Allow `
-Protocol TCP -LocalPort 445 `
-RemoteAddress "192.168.1.0/24" `
-Profile PrivateSurveiller et analyser le trafic bloque
Activer les journaux du pare-feu
Par defaut, le pare-feu ne journalise rien. Activez les logs pour detecter les tentatives d’intrusion :
# Activer la journalisation pour le profil Public
Set-NetFirewallProfile -Name Public `
-LogAllowed True `
-LogBlocked True `
-LogFileName "C:\Windows\System32\LogFiles\Firewall\pfirewall.log" `
-LogMaxSizeKilobytes 4096
# Meme chose pour le profil Prive
Set-NetFirewallProfile -Name Private `
-LogBlocked True `
-LogFileName "C:\Windows\System32\LogFiles\Firewall\pfirewall.log"Analyser les logs
# Voir les 50 dernieres connexions bloquees
Get-Content "C:\Windows\System32\LogFiles\Firewall\pfirewall.log" -Tail 50 | Where-Object { $_ -match "DROP" }
# Compter les IP qui tentent le plus de connexions
Get-Content "C:\Windows\System32\LogFiles\Firewall\pfirewall.log" | `
Where-Object { $_ -match "DROP" } | `
ForEach-Object { ($_ -split " ")[4] } | `
Group-Object | Sort-Object Count -Descending | `
Select-Object -First 10 Name, CountExporter, importer et sauvegarder vos regles
Vous avez passe du temps a configurer votre pare-feu : sauvegardez votre travail pour pouvoir le restaurer ou le deployer sur d’autres machines.
# Exporter toutes les regles (fichier .wfw)
netsh advfirewall export "C:\Backup\firewall-config-2024.wfw"
# Importer sur une autre machine
netsh advfirewall import "C:\Backup\firewall-config-2024.wfw"
# Exporter en PowerShell (format lisible)
Get-NetFirewallRule | Where-Object { $_.Enabled -eq "True" } | `
Select-Object DisplayName, Direction, Action, Profile | `
Export-Csv "C:\Backup\regles-firewall.csv" -NoTypeInformation -Encoding UTF8Configuration recommandee pour les cas courants au Senegal
Cas 1 : Freelance developpeur web
- Profil Public par defaut sur tous les WiFi externes
- XAMPP/Laragon autorise uniquement en Prive sur ports 80, 443, 3306
- Bloquer SMB (445) et RDP (3389) sur Public
- Git (SSH port 22) autorise en sortant uniquement
- VS Code Live Server autorise en Prive sur port 5500
Cas 2 : Comptable PME avec Sage/SYSCOHADA
- Sage autorise uniquement en reseau Prive
- Bloquer tout acces sortant non essentiel pendant le travail comptable
- Partage fichiers limite au sous-reseau 192.168.x.0/24
- Imprimante reseau autorisee en Prive uniquement
- Bloquer les ports de jeux et streaming en heures de bureau
Cas 3 : Petit serveur local (NAS ou serveur de fichiers)
- Bloquer TOUT le trafic entrant depuis Public
- SMB (445) autorise uniquement depuis le sous-reseau local
- RDP autorise uniquement depuis 2-3 IP specifiques
- Journalisation activee sur tous les profils
- Sauvegardes automatiques des regles chaque semaine
Depannage : problemes courants et solutions
| Probleme | Cause probable | Solution |
|---|---|---|
| Application bloquee sans raison | Regle trop restrictive ou mauvais profil | Verifier les logs, creer une exception specifique |
| Internet ne fonctionne plus | Trafic sortant bloque par erreur | Set-NetFirewallProfile -All -DefaultOutboundAction Allow |
| Partage reseau impossible | SMB bloque ou mauvais profil | Verifier que le reseau est en Prive, autoriser port 445 en Prive |
| Impossible de ping | ICMP bloque | Activer la regle « Partage de fichiers et imprimantes (Echo) » en entrant |
| VPN ne se connecte pas | Ports VPN bloques | Autoriser UDP 500, 4500 (IPSec) ou TCP 1194 (OpenVPN) |
| Imprimante reseau invisible | Decouverte reseau bloquee | Activer les regles de decouverte reseau en profil Prive |
Script PowerShell complet de securisation
Voici un script a executer en administrateur pour appliquer toutes les bonnes pratiques d’un coup :
# === Script de securisation pare-feu Windows ===
# Executer en tant qu'Administrateur
# 1. Activer le pare-feu sur tous les profils
Set-NetFirewallProfile -All -Enabled True
# 2. Politique : bloquer entrant, autoriser sortant
Set-NetFirewallProfile -All -DefaultInboundAction Block
Set-NetFirewallProfile -All -DefaultOutboundAction Allow
# 3. Bloquer les ports dangereux en Public
$portsDangereux = @(
@{Name="SMB"; Port=445; Proto="TCP"},
@{Name="RDP"; Port=3389; Proto="TCP"},
@{Name="NetBIOS1"; Port=137; Proto="UDP"},
@{Name="NetBIOS2"; Port=138; Proto="UDP"},
@{Name="NetBIOS3"; Port=139; Proto="TCP"},
@{Name="Telnet"; Port=23; Proto="TCP"},
@{Name="FTP"; Port=21; Proto="TCP"}
)
foreach ($p in $portsDangereux) {
New-NetFirewallRule -DisplayName "BLOQUER $($p.Name) Public" `
-Direction Inbound -Action Block `
-Protocol $p.Proto -LocalPort $p.Port `
-Profile Public `
-Description "Securisation automatique"
}
# 4. Activer les journaux
Set-NetFirewallProfile -All `
-LogBlocked True `
-LogFileName "C:\Windows\System32\LogFiles\Firewall\pfirewall.log" `
-LogMaxSizeKilobytes 4096
# 5. Verification finale
Get-NetFirewallProfile | Format-Table Name, Enabled, DefaultInboundAction, DefaultOutboundAction, LogBlocked
Write-Host "Pare-feu securise avec succes !" -ForegroundColor GreenChecklist de verification mensuelle
- Pare-feu actif sur les 3 profils :
Get-NetFirewallProfile | Select Name, Enabled - Examiner les regles ajoutees recemment (applications installees)
- Verifier les logs pour des tentatives d’intrusion repetees
- Supprimer les regles obsoletes (applications desinstallees)
- Exporter une sauvegarde des regles actuelles
- Verifier que le profil Public est bien applique sur les WiFi externes
- Tester avec
Test-NetConnection -ComputerName votre-ip -Port 445depuis une autre machine
