Le pare-feu Windows Defender avec sécurité avancée est un outil puissant mais sous-exploité. Au-delà du simple filtrage entrant, il permet de créer des règles granulaires pour contrôler chaque application, bloquer la télémétrie et sécuriser votre réseau selon le profil de connexion. Ce guide vous montre comment le maîtriser avec PowerShell.
1. Comprendre les profils réseau du pare-feu
Windows 11 applique des règles de pare-feu différentes selon le profil réseau détecté. Comprendre ces profils est essentiel avant de créer des règles :
- Domaine : réseau d'entreprise avec Active Directory. Règles les plus permissives.
- Privé : réseau domestique de confiance. Permet le partage de fichiers et la découverte réseau.
- Public : Wi-Fi public, hôtel, café. Profil le plus restrictif par défaut.
Une bonne pratique consiste à configurer votre réseau domestique en « Privé » et tout autre réseau en « Public » pour appliquer automatiquement les règles les plus strictes en déplacement.
2. Activer et configurer le pare-feu sur tous les profils
Assurez-vous que le pare-feu est actif sur les trois profils et configurez les actions par défaut. Bloquer les connexions entrantes par défaut est la règle de base de toute politique de sécurité réseau.
# Activer le pare-feu et définir les politiques par défaut
Set-NetFirewallProfile -Profile Domain -Enabled True `
-DefaultInboundAction Block -DefaultOutboundAction Allow
Set-NetFirewallProfile -Profile Private -Enabled True `
-DefaultInboundAction Block -DefaultOutboundAction Allow
Set-NetFirewallProfile -Profile Public -Enabled True `
-DefaultInboundAction Block -DefaultOutboundAction Block
# Vérifier la configuration
Get-NetFirewallProfile | Select-Object Name, Enabled, DefaultInboundAction, DefaultOutboundAction |
Format-Table -AutoSize
Write-Host "Pare-feu activé sur tous les profils" -ForegroundColor Green
3. Créer des règles entrantes et sortantes
Les règles entrantes contrôlent le trafic qui arrive vers votre PC (serveurs, partage de fichiers). Les règles sortantes contrôlent le trafic émis par vos applications. Voici comment créer des règles précises pour autoriser uniquement le trafic nécessaire :
# Règle entrante : autoriser le bureau à distance uniquement depuis le réseau local
New-NetFirewallRule -DisplayName "RDP - Réseau local uniquement" `
-Direction Inbound -Protocol TCP -LocalPort 3389 `
-RemoteAddress "192.168.0.0/16" -Action Allow `
-Profile Private -Description "Autorise RDP depuis le LAN"
# Règle sortante : autoriser Firefox
New-NetFirewallRule -DisplayName "Firefox - Navigation web" `
-Direction Outbound -Program "C:\Program Files\Mozilla Firefox\firefox.exe" `
-Protocol TCP -RemotePort 80,443 -Action Allow `
-Profile Domain,Private,Public -Description "Autorise Firefox HTTP/HTTPS"
# Règle sortante : bloquer une application spécifique
New-NetFirewallRule -DisplayName "Bloquer AppX - Sortie" `
-Direction Outbound -Program "C:\Program Files\AppX\app.exe" `
-Action Block -Profile Domain,Private,Public `
-Description "Empêche AppX de communiquer avec Internet"
Write-Host "Règles pare-feu créées avec succès" -ForegroundColor Green
4. Bloquer les IP de télémétrie Microsoft
Même après avoir désactivé la télémétrie via le registre, certaines connexions persistent vers les serveurs Microsoft. Le pare-feu permet de les bloquer définitivement au niveau réseau, empêchant toute communication sortante vers ces adresses :
# Bloquer les plages IP de télémétrie Microsoft connues
$telemetryIPs = @(
"13.64.0.0/11" # Azure US West
"13.104.0.0/14" # Microsoft Corp
"20.33.0.0/16" # Azure Front Door
"20.40.0.0/13" # Azure Global
"23.96.0.0/13" # Azure Cloud
"40.64.0.0/10" # Microsoft Azure
"52.96.0.0/14" # Office 365
"52.112.0.0/14" # Microsoft Teams
"104.40.0.0/13" # Azure Europe
"131.253.0.0/16" # Microsoft IT
"150.171.0.0/16" # Microsoft Corp
"204.79.197.0/24" # Bing / Telemetry
)
New-NetFirewallRule -DisplayName "Bloquer Télémétrie Microsoft" `
-Direction Outbound -Action Block `
-RemoteAddress $telemetryIPs `
-Profile Domain,Private,Public `
-Description "Bloque les connexions sortantes vers les serveurs de télémétrie"
Write-Host "Plages IP de télémétrie bloquées" -ForegroundColor Green
5. Activer la journalisation avancée
La journalisation du pare-feu enregistre toutes les connexions autorisées et bloquées dans un fichier log. C'est un outil indispensable pour diagnostiquer les problèmes réseau et détecter les tentatives d'intrusion.
# Activer la journalisation complète sur tous les profils
$profiles = @("Domain", "Private", "Public")
foreach ($profile in $profiles) {
Set-NetFirewallProfile -Profile $profile `
-LogAllowed True -LogBlocked True `
-LogFileName "%SystemRoot%\System32\LogFiles\Firewall\pfirewall.log" `
-LogMaxSizeKilobytes 8192
}
# Lire les dernières entrées du journal
$logPath = "$env:SystemRoot\System32\LogFiles\Firewall\pfirewall.log"
if (Test-Path $logPath) {
Get-Content $logPath -Tail 20 | ForEach-Object { Write-Host $_ }
} else {
Write-Host "Le fichier journal sera créé après la prochaine connexion" -ForegroundColor Yellow
}
Write-Host "Journalisation activée (max 8 Mo)" -ForegroundColor Green
6. Gérer et auditer les règles existantes
Au fil du temps, les règles s'accumulent et certaines deviennent obsolètes. Auditez régulièrement votre pare-feu pour supprimer les règles inutiles et identifier les applications autorisées à communiquer avec Internet :
- Listez toutes les règles actives pour repérer les autorisations trop permissives
- Supprimez les règles liées à des applications désinstallées
- Vérifiez qu'aucune règle n'autorise le trafic entrant depuis « Any » sur le profil Public
# Lister toutes les règles sortantes actives
Get-NetFirewallRule -Direction Outbound -Enabled True |
Select-Object DisplayName, Action, Profile |
Sort-Object DisplayName | Format-Table -AutoSize
# Trouver les règles autorisant le trafic entrant depuis n'importe quelle adresse
Get-NetFirewallRule -Direction Inbound -Action Allow -Enabled True |
Get-NetFirewallAddressFilter |
Where-Object { $_.RemoteAddress -eq "Any" } |
Select-Object -ExpandProperty CreationClassName
# Supprimer une règle par nom
# Remove-NetFirewallRule -DisplayName "Nom de la règle à supprimer"
netsh advfirewall export "C:\backup-firewall.wfw" avant toute modification importante. Vous pourrez les restaurer avec netsh advfirewall import "C:\backup-firewall.wfw" en cas de problème.
7. Sécuriser les profils réseau automatiquement
Créez un script complet qui durcit le pare-feu selon le profil réseau détecté. Ce script peut être exécuté au démarrage via une tâche planifiée ou intégré dans votre routine de maintenance :
- Profil Public : tout bloquer sauf navigateurs et VPN
- Profil Privé : autoriser le partage réseau et les services locaux
- Profil Domaine : appliquer la politique de groupe de l'entreprise
Lancez wf.msc pour ouvrir la console graphique du pare-feu avancé et visualiser l'ensemble de vos règles classées par profil.
🔥 Pare-feu durci en un clic
WindowsBooster configure le pare-feu Windows avec des règles optimisées, bloque la télémétrie et active la journalisation automatiquement.
Lancer WindowsBoosterConclusion
Le pare-feu Windows Defender est bien plus qu'un simple interrupteur on/off. Avec des règles avancées, une journalisation active et un blocage ciblé de la télémétrie, il devient un rempart efficace contre les menaces réseau. Complétez votre protection avec notre guide complet de sécurité Windows 11 et la configuration d'un DNS rapide et sécurisé.