English | Deutsch
 


Domaines (Permissions par nom de domaine)
Définition
Windows 10 Firewall Control peut créer des règles de filtrage basées sur les noms de domaine (noms entiers ou avec caractères génériques). Les caractères génériques suivants peuvent être utilisés : "*", "?" et "[a-z]" (intervalle entre lettres). Exemple : le modèle "*telemetry*" correspond à tous les domaines dont le nom contient le mot "telemetry" ("telemetry.microsoft.com", "telemetry.mozilla.org"…).
Attention : le point "." est utilisé littéralement et non comme caractère générique, ainsi "*.site.com" est différent de "*site.com". Le premier correspond aux sous-domaines de "site", par ex. "sub.site.com" et "extra.site.com", mais pas "mysite.com". Les modèles sans caractères génériques correspondent à la fois aux noms de domaine ainsi qu’à leurs sous-domaines, par ex. "site.com" correspond à "site.com" ainsi qu’à "sub.site.com".
Le filtrage est effectué uniquement sur les noms de domaines et non sur des liens complets (adresses URL) : il n’est pas possible de définir des règles par nom en incluant des protocoles (ex. "http://…") ou des dossiers (ex. "…/folder"). Ainsi, les modèles "http://site.com" et "site.com/folder" ne sont pas corrects et n’auront aucun effet.
Utilisation
Les règles par nom peuvent être utilisées : pour les domaines, dans le panneau "Domaines" ; pour les zones, dans le panneau "Zones" ; pour les zones associées aux applications, dans le panneau "Programmes" ; et pour les "Zones pour toutes les applications", dans le panneau "Réglages".
Fonctionnement
Dans tous les cas, Windows 10 Firewall Control protège finalement les applications en fonction de règles par adresse IP (IPv4 et IPv6). Dans la pratique, Windows 10 Firewall Control analyse toutes les altérations de noms de domaine et crée les règles par IP correspondantes. L’analyse est précise et exhaustive : Windows 10 Firewall Control supporte les domaines correspondant à plusieurs adresses IP ainsi que la mutabilité des adresses IP, autant pour les communications IPv4 qu’IPv6.
Attention : dans la mesure où la dernière étape de protection est effectuée sur la base de règles par IP, il ne faut pas oublier qu’une adresse IP unique peut correspondre simultanément à plusieurs noms de domaines. Par exemple, "www.site.com" et "site.com" peuvent avoir la même adresse IP (ou le même jeu d’adresses IP), aussi il faut se méfier de conflits possibles si des règles mutuellement exclusives sont définies pour de tels domaines. Les règles sont appliquées en fonction de l’ordre suivant.
Priorité des règles (par ordre croissant)
  • Détection/Blocage au niveau global (action automatique en arrière-plan) : Empêche l’accès au réseau à toute application inconnue (non listée)
  • Zone propre à chaque application, définie dans le panneau "Programmes"
  • "Domaines : Priorité Applications Faible", dans le panneau "Domaines"
  • "Domaines : Priorité Applications Forte"
  • "Zone pour toutes les applications" (ordre de haut en bas), dans le panneau "Réglages"
  • Permissions d’application (ordre de haut en bas), dans le panneau "Programmes"
  • "Domaines : Priorité Domaines Faible" (*), dans le panneau "Domaines"
  • "Domaines : Priorité Domaines Forte" (*)
  • Mode global : icône de la barre d’état > Clic droit > Mode (si différent de Mode : Normal)
  • Règles de sous-réseaux virtuels (Éditions Network/Cloud) (**)
(*) Les règles "Priorité Domaines" sont plus importantes que les permissions d’applications : toute règle définie ainsi l’emporte sur les permissions d’applications. Cela implique qu’en cas de règles par domaine trop permissives, des applications pourraient se trouver non protégées. Par conséquent, il faut prendre garde à ne pas utiliser de caractères génériques vagues (tels que "*") pour les règles de niveau "Priorité Domaines" définies dans le panneau "Domaines".
(**) Lorsqu’une application tente de se connecter à un autre ordinateur, elle n’est ni détectée ni listée si cet ordinateur fait partie d’un sous-réseau virtuel défini (onglet "Réseaux") ou de la "Zone pour toutes les applications" (onglet "Réglages"). Si la règle du sous-réseau virtuel correspondant est positive ou que l’ordinateur ne fait pas partie d’un sous-réseau, les autres règles sont appliquées. Si la règle est négative, les tentatives de connexion sont rejetées. En d’autres termes, les règles de sous-réseaux virtuels ont la priorité sur les autres règles (Éditions Network/Cloud uniquement).