netsh advfirewall : Configurer Pare-feu Windows Defender en invite de commandes

Vous ne le savez peut-être pas mais vous pouvez configurer le pare-feu de Windows en invite de commandes.
Ainsi, on peut par exemple autoriser ou bloquer un programme avec la commande netsh advfirewall en ligne de commandes.
Cela permet donc de créer une exception sur Windows Defender firewall.
Ainsi, la création de script automatisé est alors possible.

Cet article vous donne les grandes lignes pour configurer le firewall de Windows en invite de commandes.

Configurer Windows Defender Firewall en invite de commandes avec netsh advfirewall

Il est donc possible de paramétrer et configurer le firewall de Windows à partir de l’invite de commandes avec netsh advfirewal.
Celle-ci doit être ouverte en administrateur puisque l’on modifie la configuration système.
Pour cela :

Utiliser netsh advfirewall en invite de commandes

Pour afficher les commandes possibles, on utilise la ligne de commandes suivantes :

netsh advfirewall /?

Voici les paramètres possibles :

• consec – Modifications pour le contexte netsh advfirewall consec'.
• dump – Affiche un script de configuration.
• export – Exporte la stratégie actuelle dans un fichier.
• firewall – Modifications pour le contextenetsh advfirewall firewall’.
• help – Affiche une liste de commandes.
• import – Importe un fichier de stratégie dans le magasin de stratégies actuel.
• mainmode – Modifications pour le contexte netsh advfirewall mainmode'.
• monitor – Modifications pour le contextenetsh advfirewall monitor’.
• reset – Rédéfinit la stratégie sur la stratégie fournie par défaut.
• set – Définit les paramètres par profil ou globaux.
• show – Affiche les propriétés de profils ou globaux.

A partir de là, on peut utiliser cette commande pour configurer, piloter et paramétrer le pare-feu de Windows.

Voici quelques exemples à travers le paragraphe suivant.

Lister les profiles du pare-feu

Windows Defender Firewall fonctionne avec des profils (domaine, privé et public).
A ces profils, on configure un régime, stratégie et état.
Pour plus d’informations sur ces derniers, lire : Les différences entre un réseau public, privé ou domestique sur Windows

Voici la commande à utiliser afin de lister les profils et leurs états :

netsh advfirewall show allprofiles

Pour désactiver un profil du pare-feu de Windows.

netsh advfirewall set privateprofile state off
netsh advfirewall set domainprofile state off
netsh advfirewall set publicprofile state off

Puis on utilise le paramètre “on” pour le réactiver depuis la ligne de commandes.

Plus bas dans l’article, vous verrez qu’en désactivant le profil actif, cela va désactiver le pare-feu de Windows.

Ouvrir un port sur le pare-feu

La commande netsh advfirewall donne la possibilité d’ouvrir des ports.
Cela créé donc une règle pour autoriser le port à se connecter.

Voici un exemple qui permet d’ouvrir le port 3389 lié au protocole RDP et accès au bureau à distance.

netsh advfirewall firewall add rule name="Accès bureau à distance" protocol=TCP dir=in localport=3389 action=allow

Si tout va bien, cela retourne OK.

Si vous devez ouvrir une gamme de ports, utilisez simplement un tiret simple. Par exemple, ici j’ouvre les ports 6000 à 7000 pour le trafic sortant UDP :

netsh advfirewall firewall add rule name="UDP ports" protocol=UDP dir=out localport=6000-7000 action=allow

Ou encore ici on bloque la connexion au port 443 en sortant.

netsh advfirewall firewall add rule name="Bloquer le surf" remoteport=443 protocol=tcp dir=out action=block profile=public

Autoriser/Bloquer une application sur le firewall

On peut ensuite créer des règles pour autoriser une application sur le pare-feu de Windows.
Cela se fait avec netsh advfirewall firewall.

Pour rappel, une règle et donc la commande à utiliser se compose :

• indiquer le nom de la règle,
• le chemin de l’application (program),
• une direction (avec dir) : out ou in,
• une action : bloquer ou autoriser,
• le profil auquelle la règle va apartenir (public, privé, domaine).

Par exemple ci-dessous, on créé une règle :

• qui porte le nom “Bloquer Chrome”,
• Elle vise l’exécutable chrome.exe,
• L’action est de bloquer,
• elle s’applique au profile public.

netsh advfirewall firewall add rule name="Bloquer Chrome" program="C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" dir=out action=block profile=public

Lorsque la règle est prise en compte, l’invite de commandes retourne OK.

On peut aussi affiner la règle en indiquant des IP distantes avec remoteip.
Ici il s’agit du LAN et vise Powershell.

netsh advfirewall firewall add rule name="PS-Allow-LAN" dir=out remoteip=localsubnet action=allow program="c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe" enable=yes

Lister les règles du firewall

Puis pour lister les règles de Windows Firewall Defender.
On utilise le paramètre show.

Pour lister le contenu d’une règle en particulier, on indique son nom avec le paramètre name.

netsh advfirewall firewall show rule name="Accès bureau à distance"

Enfin pour lister toutes les règles de Windows Firewall Defender.

netsh advfirewall firewall show rule name=all 

Supprimer une règle de pare-feu

Il suffit d’utiliser la commande netsh firewall delete rules en indiquant le nom de la règle.
Ce qui nous donne depuis l’invite de commandes :

netsh advfirewall firewall delete rule name="Bloquer Chrome"

Activer/désactiver le parefeu

Voici la commande à utiliser afin de désactiver le pare-feu de Windows.
En réalité, il s’agit de désactiver le profil actif.

netsh advfirewall set  currentprofile state off

Ainsi pour activer le pare-feu de Windows, voici la ligne de commandes :

netsh advfirewall set  currentprofile state on

Afficher la configuration générale du pare-feu

Enfin on peut afficher les paramètres globaux et encore les profils avec la commande suivante :

netsh advfirewall monitor show firewall

Les paramètres du pare-feu défilent alors dans l’invite de commandes.