Configuration du Pare-feu Windows pour autoriser l'accès à SQL Server

Les systèmes de pare-feu empêchent les accès non autorisés aux ressources de l'ordinateur. Si un pare-feu est activé alors qu'il n'est pas configuré correctement, les tentatives de connexion à SQL Server peuvent être bloquées.

Pour accéder à une instance du SQL Server par le biais d'un pare-feu, vous devez configurer le pare-feu sur l'ordinateur exécutant SQL Server pour autoriser l'accès. Le pare-feu est un composant de Microsoft Windows. Vous pouvez également installer un pare-feu d'une autre société. Cette rubrique explique comment configurer le Pare-feu Windows, mais les principes de base s'appliquent à d'autres programmes de pare-feu.

[!REMARQUE]

Cette rubrique fournit une vue d'ensemble de la configuration du pare-feu et résume les informations présentant un intérêt pour un administrateur SQL Server. Pour plus d'informations sur le pare-feu et pour des informations rigoureuses sur le pare-feu, consultez la documentation de pare-feu, par exemple Pare-feu Windows avec fonctions avancées de sécurité et IPsec et Pare-feu Windows avec fonctions avancées de sécurité - Plan du contenu.

Les utilisateurs familiarisés avec l'élément Pare-feu Windows dans le Panneau de configuration et avec le composant logiciel enfichable MMC (Microsoft Management Console) du Pare-feu Windows avec fonctions avancées de sécurité et qui savent quels paramètres de pare-feu ils veulent configurer peuvent passer directement aux rubriques de la liste suivante :

Dans cette rubrique

Cette rubrique contient les sections suivantes :

Informations de base sur le pare-feu

Paramètres du pare-feu par défaut

Programmes pour configurer le pare-feu

Ports utilisés par le moteur de base de données

Ports utilisés par Analysis Services

Ports utilisés par Reporting Services

Ports utilisés par Integration Services

Ports et services supplémentaires

Interaction avec d'autres règles de pare-feu

Vue d'ensemble des profils de pare-feu

Paramètres de pare-feu supplémentaires utilisant l'élément Pare-feu Windows dans le Panneau de configuration

Utilisation du composant logiciel enfichable Pare-feu Windows avec fonctions avancées de sécurité

Résolution des problèmes liés aux paramètres du pare-feu

Informations de base sur le pare-feu

Les pare-feu fonctionnent en examinant les paquets entrants, et en les comparant à un jeu de règles. Si les règles autorisent le paquet, le pare-feu passe le paquet au protocole TCP/IP pour traitement supplémentaire. Si les règles n'autorisent pas le paquet, le pare-feu ignore le paquet et, si la journalisation est activée, crée une entrée dans le fichier journal du pare-feu.

La liste du trafic autorisé est remplie de l'une des façons suivantes :

  • Lorsque l'ordinateur dont le pare-feu est activé lance la communication, le pare-feu crée une entrée dans la liste afin que la réponse soit autorisée. La réponse entrante est considérée comme étant un trafic sollicité et vous n'avez pas à configurer cet élément.

  • Un administrateur configure les exceptions du pare-feu. Cela permet l'accès à des programmes spécifiés qui s'exécutent sur votre ordinateur, ou l'accès aux ports de connexion spécifiés sur votre ordinateur. Dans ce cas, l'ordinateur accepte le trafic entrant non sollicité lorsqu'il joue le rôle de serveur, d'écouteur ou d'homologue. C'est le type de configuration qui doit être complétée pour se connecter à SQL Server.

Le choix d'une stratégie de pare-feu est plus complexe que le fait de déterminer si un port donné doit être ouvert ou fermé. Lors de la conception d'une stratégie de pare-feu pour votre entreprise, veillez à prendre en considération toutes les règles et les options de configuration disponibles. Cette rubrique n'examine pas toutes les options de pare-feu possibles. Nous vous recommandons de consulter les documents suivants :

Mise en route avec le Pare-feu Windows avec fonctions avancées de sécurité dans Windows Vista et Windows Server 2008

Guide de conception du Pare-feu Windows avec fonctions avancées de sécurité (éventuellement en anglais)

Introduction à l'isolation de serveur et de domaine

Paramètres du pare-feu par défaut

Pour planifier votre configuration de pare-feu, la première étape est de déterminer l'état en cours du pare-feu de votre système d'exploitation. Si le système d'exploitation a été mis à niveau à partir d'une version précédente, les anciens paramètres du pare-feu ont pu être conservés. De même, les paramètres du pare-feu ont peut-être été modifiés par un autre administrateur ou par une Stratégie de groupe dans votre domaine. Cependant, les paramètres de sécurité par défaut sont les suivants :

  • Windows Server 2008

    Le pare-feu est activé et bloque les connexions distantes.

  • Windows Server 2003

    Le pare-feu est désactivé. Les administrateurs doivent penser à activer le pare-feu.

  • Windows Vista

    Le pare-feu est activé et bloque les connexions distantes.

  • Windows XP, Service Pack 2 ou version ultérieure

    Le pare-feu est activé et bloque les connexions distantes.

  • Window XP, Service Pack 1 ou version précédente

    Le pare-feu est désactivé et doit être activé.

[!REMARQUE]

L'activation du pare-feu affectera d'autres programmes qui accèdent à cet ordinateur, comme le partage de fichiers et d'imprimantes, ainsi que les connexions Bureau à distance. Les administrateurs doivent tenir compte de toutes les applications qui s'exécutent sur l'ordinateur avant de définir les paramètres du pare-feu.

Programmes pour configurer le pare-feu

Il existe trois façons de configurer les paramètres du Pare-feu Windows.

  • Élément du Pare-feu Windows dans le Panneau de configuration

    Le composant Pare-feu Windows peut être ouvert à partir du Panneau de configuration.

    Important

    Les modifications effectuées dans le Pare-feu Windows dans le Panneau de configuration affectent seulement le profil actuel. Les appareils mobiles, par exemple un ordinateur portable, ne doivent pas utiliser le Pare-feu Windows dans le Panneau de configuration car le profil peut changer lorsqu'il est connecté dans une configuration différente. Le profil configuré précédemment ne sera alors pas appliqué. Pour plus d'informations sur les profils, consultez Mise en route du Pare-feu Windows avec fonctions avancées de sécurité dans Windows Vista et Windows Server 2008.

    L'élément Pare-feu Windows dans le Panneau de configuration vous permet de configurer des options de base. Ces options en question sont les suivantes :

    • Activation ou désactivation du Pare-feu Windows dans le Panneau de configuration

    • Règles d'activation et de désactivation

    • Octroi d'exceptions pour les ports et les programmes

    • Définition de restrictions d'étendue

    L'option Pare-feu Windows du Panneau de configuration est très appropriée pour les utilisateurs qui ne sont pas familiarisés avec la configuration du pare-feu, et qui configurent les options de base du pare-feu de base pour les ordinateurs qui ne sont pas mobiles. Vous pouvez également ouvrir le Pare-feu Windows dans le Panneau de configuration à partir de la commande run en utilisant la procédure suivante :

    Pour ouvrir le Pare-feu Windows

    1. Dans le menu Démarrer, cliquez sur Exécuter, puis tapez firewall.cpl.

    2. Cliquez sur OK.

  • Microsoft Management Console (MMC)

    Le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité vous permet de configurer des paramètres du pare-feu plus avancés. Ce composant logiciel enfichable est uniquement disponible pour Microsoft Vista et Windows Server 2008 ; toutefois, il présente la plupart des options de pare-feu de façon simple et expose tous les profils de pare-feu. Pour plus d'informations, consultez Utilisation du composant logiciel Pare-feu Windows avec fonctions avancées de sécurité, plus loin dans cette rubrique.

  • netsh

    L'outil netsh.exe peut être utilisé par un administrateur pour configurer et surveiller des ordinateurs Windows à partir d'une invite de commandes ou à l'aide d'un fichier de commandes**.** En utilisant l'outil netsh, vous pouvez diriger les commandes de contexte que vous entrez dans l'application d'assistance appropriée, et celle-ci exécute ensuite la commande. Une application d'assistance est un fichier de bibliothèque de liens dynamiques (.dll, Dynamic Link Library) qui étend les fonctionnalités de l'outil netsh en fournissant la configuration, l'analyse et la prise en charge d'un ou plusieurs services, utilitaires ou protocoles. Tous les systèmes d'exploitation qui prennent en charge SQL Server ont une application d'assistance de pare-feu. MicrosoftWindows Vista et Windows Server 2008 ont également une application d'assistance de pare-feu avancée, appelée advfirewall. Aucune information détaillée sur l'utilisation de netsh n'est fournie dans cette rubrique. Toutefois, un grand nombre des options de configuration décrites peuvent être configurées via netsh. Exécutez, par exemple, le script suivant à partir d'une invite de commandes pour ouvrir le port TCP 1433 :

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT
    

    Voici un exemple semblable qui utilise l'application auxiliaire Pare-feu Windows avec fonctions avancées de sécurité :

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN
    

    Pour les scripts permettant de configurer SQL Server à l'aide de netsh, consultez Comment utiliser un script pour ouvrir par programme des ports SQL Server à utiliser sur les systèmes qui exécutent Windows XP Service Pack 2. Pour plus d'informations sur netsh, consultez les liens suivants :

Ports utilisés par SQL Server

Les tableaux suivants peuvent vous aider à identifier les ports utilisés par SQL Server.

Ports utilisés par le moteur de base de données

Le tableau suivant répertorie les ports qui sont fréquemment utilisés par le Moteur de base de données.

Scénario

Port

Commentaires

L'instance SQL Server par défaut qui s'exécute via TCP

Le port 1433 TCP

C'est le port le plus commun autorisé via le pare-feu. Il s'applique aux connexions de routine de l'installation par défaut du Moteur de base de données, ou une instance nommée qui est la seule instance qui s'exécute sur l'ordinateur. (Les instances nommées ont des considérations spéciales. Consultez ultérieurement Ports dynamiques dans cette rubrique.)

Instances nommées de SQL Server dans la configuration par défaut

Le port TCP est un port dynamique déterminé au moment des démarrages du Moteur de base de données.

Consultez l'exposé ci-dessous dans la section Ports dynamiques. Le port UDP 1434 peut être requis pour le service SQL Server Browser lorsque vous utilisez des instances nommées.

Les instances nommées de SQL Server lorsqu'elles sont configurées pour utiliser un port fixe

Le numéro de port configuré par l'administrateur.

Consultez l'exposé ci-dessous dans la section Ports dynamiques.

Connexion administrateur dédiée

Port TCP 1434 pour l'instance par défaut. D'autres ports sont utilisés pour les instances nommées. Recherchez le numéro de port dans le journal des erreurs.

Par défaut, les connexions distantes à la connexion administrateur dédiée (DAC) ne sont pas activées. Pour activer une DAC distante, utilisez la facette Configuration de la surface d'exposition. Pour plus d'informations, consultez Présentation de la configuration de la surface d'exposition.

Service SQL Server Browser

Port UDP 1434

Le service SQL Server Browser est à l'écoute des connexions entrantes vers une instance nommée et fournit au client le numéro de port TCP qui correspond à cette instance nommée. Normalement le service SQL Server Browser est démarré toutes les fois que les instances nommées du Moteur de base de données sont utilisées. Il n'est pas nécessaire que le service SQL Server soit démarré si le client est configuré pour se connecter au port spécifique de l'instance nommée.

Instance de SQL Server qui s'exécute sur un point de terminaison HTTP.

Peut être spécifié lors de la création d'un point de terminaison HTTP. La valeur par défaut est le port TCP 80 pour le trafic CLEAR_PORT et le port 443 pour le trafic SSL_PORT.

Utilisé pour une connexion HTTP via une URL.

Instance par défaut de SQL Server qui s'exécute sur un point de terminaison HTTPS.

Port TCP 443

Utilisé pour une connexion HTTPS via une URL. HTTPS est une connexion HTTP qui utilise SSL (Secure Sockets Layer).

Service Broker

Port TCP 4022. Pour vérifier le port utilisé, exécutez la requête suivante :

SELECT name, protocol_desc, port, state_desc

FROM sys.tcp_endpoints

WHERE type_desc = 'SERVICE_BROKER'

Il n'y a aucun port par défaut pour SQL ServerService Broker, mais il s'agit de la configuration classique utilisée dans les exemples de la documentation en ligne.

Mise en miroir de bases de données

Port choisi par l'administrateur. Pour déterminer le port, exécutez la requête suivante :

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = 'DATABASE_MIRRORING'

Il n'y a aucun port par défaut pour la mise en miroir de bases de données ; cependant, les exemples de la documentation en ligne utilisent le port TCP 7022. Il est très important d'éviter d'interrompre un point de terminaison de mise en miroir en cours d'utilisation, en particulier en mode haute sécurité avec basculement automatique. Votre configuration du pare-feu doit éviter de rompre le quorum. Pour plus d'informations, consultez Spécification d'une adresse réseau de serveur (mise en miroir de base de données).

Réplication

Les connexions de réplication à SQL Server utilisent les ports standard type du Moteur de base de données (port TCP 1433 pour l'instance par défaut, etc.)

La synchronisation Web et l'accès de FTP/UNC pour la capture instantanée de réplication requièrent l'ouverture de ports supplémentaires sur le pare-feu. Pour transférer des données initiales et le schéma d'un emplacement à un autre, la réplication peut utiliser FTP (port TCP 21), ou la synchronisation via HTTP (port TCP 80) ou le partage de fichiers et d'imprimantes (port TCP 137,138 ou 139).

Pour la synchronisation via HTTP, la réplication utilise le point de terminaison IIS (dont les ports sont configurables mais qui a par défaut le port 80), mais le processus IIS se connecte au système principal SQL Server via les ports standard (1433 pour l'instance par défaut.

Pendant la synchronisation Web via FTP, le transfert FTP s'effectue entre IIS et le serveur de publication SQL Server, pas entre l'abonné et IIS.

Pour plus d'informations, consultez qui Configuration de Microsoft Internet Security and Acceleration Server pour la réplication Microsoft SQL Server 2000 sur Internet.

Débogueur Transact-SQL

Port TCP 135

Consultez Considérations spéciales relatives au port 135

L'exception IPsec peut également être requise.

Si vous utilisez Visual Studio, sur l'ordinateur hôte Visual Studio, vous devez également ajouter Devenv.exe à la liste Exceptions et ouvrir le port TCP 135.

Si vous utilisez Management Studio, sur l'ordinateur hôte Management Studio, vous devez également ajouter ssms.exe à la liste Exceptions et ouvrir le port TCP 135. Pour plus d'informations, consultez Configuration et démarrage du débogueur Transact-SQL.

Pour obtenir des instructions détaillées sur la manière de configurer le Pare-feu Windows pour le Moteur de base de données, consultez la rubrique Procédure : configurer un pare-feu Windows pour accéder au moteur de base de données.

Ports dynamiques

Par défaut, les instances nommées (y compris SQL Server Express) utilisent des ports dynamiques. Cela signifie que chaque fois que le Moteur de base de données démarre, il identifie un port disponible et utilise ce numéro de port. Si l'instance nommée est la seule instance du Moteur de base de données installée, elle utilisera probablement le port TCP 1433. Si d'autres instances du Moteur de base de données sont installées, le port utilisé sera probablement un port TCP différent. Dans la mesure où le port sélectionné peut changer chaque fois que le Moteur de base de données est démarré, il est difficile de configurer le pare-feu pour qu'il active l'accès au numéro de port correct. Par conséquent, si un pare-feu est utilisé, nous vous recommandons de reconfigurer le Moteur de base de données pour qu'il utilise le même numéro de port à chaque fois. Cela s'appelle port fixe ou port statique. Pour plus d'informations, consultez Configuration d'un port fixe.

L'alternative à la configuration d'une instance nommée pour l'écoute sur un port fixe est de créer une exception dans le pare-feu pour un programme SQL Server, tel que sqlservr.exe (pour le Moteur de base de données). Cette approche peut être pratique, mais le numéro de port n'apparaîtra pas dans la colonne Port local de la page Règles de trafic entrant lorsque vous utilisez le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité. Cela peut rendre plus difficile le fait d'auditer quels ports sont ouverts. Une autre considération est qu'un Service Pack ou mise à jour cumulative peut modifier le chemin d'accès vers le fichier exécutable SQL Server, ce qui risque d'invalider la règle de pare-feu.

[!REMARQUE]

La procédure suivante utilise l'élément Pare-feu Windows dans le Panneau de configuration. Le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité peut configurer une règle plus complexe. Cela inclut la configuration d'une exception de service qui peut être utile pour assurer une défense en profondeur. Consultez ci-dessous Utilisation du composant logiciel enfichable Pare-feu Windows avec fonctions avancées de sécurité.

Pour ajouter une exception de programme au pare-feu à l'aide de l'élément Pare-feu Windows du Panneau de configuration.

  1. Sous l'onglet Exceptions de l'élément du Pare-feu Windows dans Panneau de configuration, cliquez sur Ajouter un programme.

  2. Accédez à l'emplacement de l'instance de SQL Server que vous souhaitez autoriser via le pare-feu, par exemple C:\Program Files\Microsoft SQL Server\MSSQL10.<nom_instance>\MSSQL\Binn, sélectionnez sqlservr.exe, puis cliquez sur Ouvrir.

  3. Cliquez sur OK.

Pour plus d'informations sur les points de terminaison, consultez Protocoles réseau et points de terminaison TDS et Affichages catalogue des points de terminaison (Transact-SQL).

Ports utilisés par Analysis Services

Le tableau suivant répertorie les ports qui sont fréquemment utilisés par Analysis Services.

Fonctionnalité

Port

Commentaires

Analysis Services

Port TCP 238 pour l'instance par défaut

Port standard pour l'instance par défaut de Analysis Services.

Service SQL Server Browser

Port TCP 2382 uniquement exigé pour une instance nommée Analysis Services

Les demandes de connexion des clients à une instance nommée de Analysis Services qui ne définissent pas un numéro de port sont dirigées vers le port 2382, qui est le port écouté par SQL Server Browser. SQL Server Browser redirige ensuite la demande vers le port utilisé par l'instance nommée.

Analysis Services configuré pour une utilisation via IIS/HTTP

(Le service PivotTable® utilise HTTP ou HTTPS)

Port TCP 80

Utilisé pour une connexion HTTP via une URL.

Analysis Services configuré pour une utilisation via IIS/HTTPS

(Le service PivotTable® utilise HTTP ou HTTPS)

Port TCP 443

Utilisé pour une connexion HTTPS via une URL. HTTPS est une connexion HTTP qui utilise SSL (Secure Sockets Layer).

Si des utilisateurs accèdent à Analysis Services via IIS et Internet, vous devez ouvrir le port sur lequel IIS écoute et spécifier ce port dans la chaîne de connexion cliente. Dans ce cas, aucun port ne doit être ouvert pour l'accès direct à Analysis Services. Le port par défaut 2389 et le port 2382, ainsi que tous les ports qui ne sont pas nécessaires, doivent être soumis à des restrictions.

Pour obtenir des instructions détaillées sur la manière de configurer le Pare-feu Windows pour Analysis Services, consultez Procédure : configurer le pare-feu Windows pour accéder à Analysis Services.

Ports utilisés par Reporting Services

Le tableau suivant répertorie les ports qui sont fréquemment utilisés par Reporting Services.

Fonctionnalité

Port

Commentaires

Services Web Reporting Services

Port TCP 80

Utilisé pour une connexion HTTP à Reporting Services via une URL. Nous vous recommandons de ne pas utiliser la règle préconfigurée Services World Wide Web (HTTP). Pour plus d'informations, consultez ci-dessous la section Interaction avec d'autres règles de pare-feu.

Reporting Services configuré pour une utilisation via HTTPS

Port TCP 443

Utilisé pour une connexion HTTPS via une URL. HTTPS est une connexion HTTP qui utilise SSL (Secure Sockets Layer). Nous vous recommandons de ne pas utiliser la règle préconfigurée Services World Wide Web sécurisés (HTTPS). Pour plus d'informations, consultez ci-dessous la section Interaction avec d'autres règles de pare-feu.

Lorsque Reporting Services se connecte à une instance du Moteur de base de données ou Analysis Services, vous devez également ouvrir les ports appropriés pour ces services. Pour obtenir des instructions détaillées sur la manière de configurer le Pare-feu Windows pour Reporting Services, consultez Procédure : configurer un pare-feu pour accéder à Report Server.

Ports utilisés par Integration Services

Le tableau suivant répertorie les ports qui sont utilisés par le service Integration Services.

Fonctionnalité

Port

Commentaires

Appels de procédure distante Microsoft (MS RPC)

Utilisé par le runtime Integration Services.

Port TCP 135

Consultez Considérations spéciales relatives au port 135

Le service Integration Services utilise DCOM sur le port 135. Le Gestionnaire de contrôle des services utilise le port 135 pour effectuer des tâches telles que le démarrage et l'arrêt du service Integration Services ainsi que la transmission des demandes de contrôle au service en exécution. Le numéro de port ne peut pas être modifié.

Ce port ne doit être ouvert que si vous vous connectez à une instance distante du service Integration Services à partir de Management Studio ou d'une application personnalisée.

Pour obtenir des instructions détaillées sur la manière de configurer le Pare-feu Windows pour Integration Services, consultez Configuration d'un pare-feu Windows pour accéder à Integration Services et Procédure : configurer un pare-feu Windows pour Integration Services.

Ports et services supplémentaires

Le tableau suivant répertorie les ports et services dont SQL Server peut dépendre.

Scénario

Port

Commentaires

Windows Management Instrumentation

Pour plus d'informations sur WMI, consultez Fournisseur WMI pour les concepts de gestion de configuration.

WMI s'exécute dans le cadre d'un hôte de service partagé avec les ports attribués via DCOM. WMI peut utiliser le port TCP 135.

Consultez Considérations spéciales relatives au port 135

Le Gestionnaire de configurations SQL Server utilise WMI pour lister et gérer des services. Nous vous recommandons d'utiliser la règle préconfigurée Windows Management Instrumentation (WMI). Pour plus d'informations, consultez ci-dessous la section Interaction avec d'autres règles de pare-feu.

Microsoft Distributed Transaction Coordinator (MS DTC)

Port TCP 135

Consultez Considérations spéciales relatives au port 135

Si votre application utilise des transactions distribuées, vous devez éventuellement configurer le pare-feu pour autoriser le trafic MS DTC (Microsoft Distributed Transaction Coordinator) entre des instances MS DTC distinctes, et entre MS DTC et les gestionnaires de ressources tels que SQL Server. Nous vous recommandons d'utiliser le groupe de règles préconfigurées Distributed Transaction Coordinator.

Lorsqu'un MS DTC partagé unique est configuré pour l'intégralité du cluster dans un groupe de ressources distinct, vous devez ajouter sqlservr.exe comme exception au pare-feu.

Le bouton Parcourir dans Management Studio utilise UDP pour se connecter au service SQL Server Browser. Pour plus d'informations, consultez Service SQL Server Browser.

Port UDP 1434

UDP est un protocole sans connexion.

Le pare-feu a un paramètre, nommé Propriété UnicastResponsesToMulticastBroadcastDisabled de l'interface INetFwProfile, qui contrôle le comportement du pare-feu par rapport aux réponses de monodiffusion (unicast) à une demande UDP multidiffusion (ou multicast).  Il a deux comportements :

  • Si le paramètre est TRUE, aucune réponse de monodiffusion à une diffusion n'est autorisée. L'énumération des services échouera.

  • Si le paramètre est FALSE (valeur par défaut), les réponses de monodiffusion sont autorisées pendant 3 secondes. La durée n'est pas configurable. Dans un réseau encombré ou à latence élevée, ou pour les serveurs très chargés, toute tenative d'énumération des instances de SQL Server peut retourner une liste partielle, qui peut induire les utilisateurs en erreur.

Trafic IPsec

Port UDP 500 et port UDP 4500

Si la stratégie de domaine exige que les communications réseau s'effectuent par le biais du protocole IPsec, vous devez également ajouter les ports UDP 4500 et UDP 500 à la liste des exceptions. IPsec est une option de l'Assistant Nouvelle règle de trafic entrant dans le composant logiciel enfichable Pare-feu Windows. Pour plus d'informations, consultez ci-dessous Utilisation du composant logiciel enfichable Pare-feu Windows avec fonctions avancées de sécurité.

Utilisation de l'authentification Windows avec les domaines approuvés

Les pare-feu doivent être configurés pour autoriser des demandes d'authentification.

Pour plus d'informations, consultez Comment faire pour configurer un pare-feu pour les domaines et les approbations.

SQL Server et le clustering Windows

Le clustering requiert des ports supplémentaires qui ne sont pas directement en rapport avec SQL Server.

Pour plus d'informations, consultez Activer un réseau pour une utilisation du cluster.

Des espaces de noms réservés de l'URL dans l'API HTTP Server (HTTP.SYS)

Probablement le port TCP 80, mais la configuration d'autres ports est possible. Pour les informations générales, consultez Configuration de HTTP et HTTPS.

Pour informations spécifiques à SQL Server en ce qui concerne la réservation d'un point de terminaison HTTP.SYS à l'aide de HttpCfg.exe, consultez Réservation d'espaces de noms d'URL au moyen de Http.sys.

Considérations spéciales relatives au port 135

Lorsque vous utilisez RPC avec TCP/IP ou avec UDP/IP comme transport, les ports entrants sont fréquemment attribués de manière dynamique aux services système en fonction des besoins ; les ports TCP/IP et UDP/IP qui sont supérieurs au port 1024 sont utilisés. Ces ports sont souvent appelés de façon informelle « ports RPC aléatoires ». Dans ces cas, les clients RPC comptent sur le mappeur de points de terminaison RPC pour leur indiquer quels ports dynamiques ont été attribués au serveur. Pour certains services basés sur RPC, vous pouvez configurer un port spécifique au lieu de laisser RPC en attribuer un dynamiquement. Vous pouvez également limiter la plage de ports que RPC attribue dynamiquement, indépendamment du service. Étant donné que le port 135 est utilisé pour de nombreux services, il est fréquemment attaqué par des utilisateurs malveillants. Lorsque vous ouvrez le port 135, pensez à restreindre l'étendue de la règle de pare-feu.

Pour plus d'informations sur le port 135, consultez les rubriques de référence suivantes :

Interaction avec d'autres règles de pare-feu

Le Pare-feu Windows utilise des règles et des groupes de règles pour établir sa configuration. Chaque règle ou groupe de règles est généralement associé à un programme ou service particulier, et ce programme ou service peut modifier ou supprimer qui règle à votre insu. Par exemple, les groupes de règles Services World Wide Web (HTTP) et Services World Wide Web (HTTPS) sont associés à IIS. L'activation de ces règles ouvrira les ports 80 et 443, et les fonctionnalités de SQL Server qui dépendent des ports 80 et 443 fonctionneront si ces règles sont activées. Toutefois, les administrateurs qui configurent IIS peuvent modifier ou désactiver ces règles. Par conséquent, si vous utilisez le port 80 ou le port 443 pour SQL Server, vous devez créer votre propre règle ou groupe de règles qui conserve votre configuration de port souhaitée indépendamment des autres règles IIS.

Le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité autorise tout trafic qui correspond aux règles d'autorisation applicables. S'il existe deux règles qui s'appliquent toutes deux au port 80 (avec des paramètres différents), le trafic qui correspond à l'une ou l'autre règle sera autorisé. Si une règle autorise le trafic sur le port 80 du sous-réseau local et l'autre règle autorise le trafic à partir de n'importe quelle adresse, le résultat fait que tout le trafic vers le port 80 est autorisé indépendamment de la source. Pour gérer efficacement l'accès à SQL Server, les administrateurs doivent périodiquement examiner toutes les règles de pare-feu activées sur le serveur.

Vue d'ensemble des profils de pare-feu

Les profils de pare-feu sont examinés dans Mise en route du Pare-feu Windows avec fonctions avancées de sécurité dans Windows Vista et Windows Server 2008 de la section Pare-feu d'hôte prenant en charge l'emplacement réseau. Pour résumer, Windows Vista et Windows Server 2008 identifient et gardent en mémoire chacun des réseaux auxquels ils se connectent (connectivité, connexions et catégorie).

Il existe trois types d'emplacements réseau dans le Pare-feu Windows avec fonctions avancées de sécurité :

  • Domaine. Windows peut authentifier l'accès au contrôleur de domaine pour le domaine auquel l'ordinateur est joint.

  • Public. En dehors des réseaux de domaine, tous les réseaux sont catégorisés initialement en tant que publics. Les réseaux qui représentent des connexions directes à l'Internet ou qui se trouvent à emplacements publics, tels que les aéroports et les cafés, doivent rester publics.

  • Privé. Réseau identifié par un utilisateur ou une application comme privé. Seuls les réseaux de confiance doivent être identifiés en tant que réseaux privés. Les utilisateurs identifient généralement comme privés les réseaux domestiques ou les réseaux pour petites entreprises.

L'administrateur peut créer un profil pour chaque type d'emplacement réseau, chaque profil contenant des stratégies de pare-feu différentes. Un seul profil est appliqué à la fois. L'ordre des profils est appliqué comme suit :

  1. Si toutes les interfaces sont authentifiées au contrôleur de domaine pour le domaine dans lequel l'ordinateur est membre, le profil de domaine est appliqué.

  2. Si toutes les interfaces sont authentifiées au contrôleur de domaine ou sont connectées à des réseaux classifiés comme emplacements de réseau privés, le profil privé est appliqué.

  3. Autrement, le profil public est appliqué.

Utilisez le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité pour afficher et configurer tous les profils de pare-feu. L'élément du Pare-feu Windows dans le Panneau de configuration configure seulement le profil actuel.

Paramètres de pare-feu supplémentaires utilisant l'élément Pare-feu Windows dans le Panneau de configuration

Les exceptions que vous ajoutez au pare-feu peuvent restreindre l'ouverture du port aux connexions entrantes à partir d'ordinateurs spécifiques ou du sous-réseau local. Cette restriction de la portée d'ouverture de port peut réduire la surface d'exposition de votre ordinateur aux utilisateurs malveillants, et elle est recommandée.

[!REMARQUE]

L'utilisation de l'élément Pare-feu Windows dans le Panneau de configuration configure seulement le profil de pare-feu actuel.

Pour modifier l'étendue d'une exception de pare-feu à l'aide de l'élément Pare-feu Windows dans le Panneau de configuration

  1. Dans Pare-feu Windows du Panneau de configuration, sélectionnez un programme ou un port sous l'onglet Exceptions, puis cliquez sur Propriétés ou Modifier.

  2. Dans la boîte de dialogue Modifier un programme ou Modifier un port, cliquez sur Modifier l'étendue.

  3. Choisissez l'une des options suivantes :

    • N'importe quel ordinateur (y compris ceux présents sur Internet)

      Option non recommandée. Cela autorisera tout ordinateur qui peut adresser votre ordinateur à se connecter au programme ou port spécifié. Ce paramètre peut être nécessaire pour autoriser la présentation d'informations à des utilisateurs anonymes sur Internet, mais augmente votre exposition aux utilisateurs malveillants. Votre exposition peut être accrue encore plus si vous activez ce paramètre et également autorisez la traversée NAT (Network Address Translation), comme l'option Autoriser la traversée latérale.

    • Uniquement mon réseau (ou sous-réseau)

      Ce paramètre plus sécurisé que N'importe quel ordinateur. Seuls les ordinateurs présents sur le sous-réseau local de votre réseau peuvent se connecter au programme ou port.

    • Liste personnalisée :

    Seuls les ordinateurs qui correspondent aux adresses IP de votre liste peuvent se connecter. Ce paramètre peut être plus sécurisé que l'option Uniquement mon réseau (ou sous-réseau) ; toutefois, les ordinateurs clients utilisant DHCP peuvent parfois modifier leur adresse IP. L'ordinateur prévu ne sera alors pas en mesure de se connecter. Un autre ordinateur, que vous n'aviez pas projeté d'autoriser, peut accepter l'adresse IP répertoriée puis être en mesure de se connecter. L'option Liste personnalisée peut être appropriée pour lister des autres serveurs qui sont configurés pour utiliser une adresse IP fixe ; toutefois, les adresses IP peuvent être usurpées par un intrus. Les règles de pare-feu restrictives ne sont fortes que si votre infrastructure réseau l'est aussi.

Utilisation du composant logiciel enfichable Pare-feu Windows avec fonctions avancées de sécurité

Sur les ordinateurs qui exécutent Vista ou Windows Server 2008, des paramètres de pare-feu avancés supplémentaires peuvent être configurés en utilisant le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité. Le composant logiciel enfichable inclut un Assistant Règle et expose des paramètres supplémentaires qui ne sont pas disponibles dans l'élément Pare-feu Windows du Panneau de configuration. Ces paramètres sont les suivants :

  • Paramètres de chiffrement 

  • Restrictions de services

  • Restriction des connexions pour les ordinateurs par nom

  • Restriction des connexions à des utilisateurs ou profils spécifiques

  • Traversée latérale autorisant le trafic de contourner les routeurs NAT (Network Address Translation)

  • Configuration de règles de trafic sortant

  • Configuration de règles de sécurité

  • Présence nécessaire d'IPsec pour les connexions entrantes

Pour créer une règle de pare-feu à l'aide de l'Assistant Nouvelle règle

  1. Dans le menu Démarrer, cliquez sur Exécuter, tapez WF.msc, puis cliquez sur OK.

  2. Dans le Pare-feu Windows avec fonctions avancées de sécurité, dans le volet gauche, cliquez avec le bouton droit sur Règles de trafic entrant, puis cliquez sur Nouvelle règle.

  3. Exécutez l'Assistant Nouvelle règle de trafic entrant à l'aide des paramètres que vous souhaitez.

Résolution des problèmes liés aux paramètres du pare-feu

Les outils et techniques suivants peuvent être utiles pour résoudre les problèmes liés au pare-feu :

  • L'état effectif du port repose sur l'union de toutes les règles en rapport avec le port. Lors de la tentative de bloquer l'accès via un port, il peut être utile d'examiner toutes les règles qui citent le numéro de port. Pour cela, utilisez le composant logiciel enfichable MMC du Pare-feu Windows avec fonctions avancées de sécurité et triez les règles du trafic entrant et sortant par numéro de port.

  • Examinez les ports qui sont actifs sur l'ordinateur sur lequel SQL Server s'exécute. Ce processus de vérification inclut l'identification des ports TCP/IP qui écoutent, ainsi que de l'état des ports.

    Pour vérifier les ports qui écoutent, utilisez l'utilitaire de ligne de commande netstat. L'utilitaire netstat affiche non seulement les connexions IP actives, mais également diverses statistiques et informations IP.

    Pour lister les ports TCP/IP qui sont à l'écoute

    1. Ouvrez la fenêtre d'invite de commandes.

    2. À l'invite de commandes, tapez netstat -n -a.

      Le commutateur -n indique à netstat d'afficher l'adresse numérique et le numéro de port des connexions TCP actives. Le commutateur -a indique à netstat d'afficher les ports TCP et UDP écoutés par l'ordinateur.

  • L'utilitaire PortQry peut être utilisé pour signaler l'état des ports TCP/IP comme à l'écoute, pas à l'écoute ou filtré. (Lorsque l'état est filtré, le port peut être à l'écoute ou non ; cet état indique que l'utilitaire n'a pas reçu de réponse du port.) L'utilitaire PortQry peut être téléchargé à partir du Centre de téléchargement Microsoft.

Pour des rubriques supplémentaires sur la résolution des problèmes, consultez :