Pare-feu, antivirus et protection endpoint
Définition
La protection endpoint regroupe les outils logiciels qui défendent les postes de travail et serveurs contre les menaces : pare-feu (contrôle du trafic réseau), antivirus/anti-malware (détection de logiciels malveillants) et EDR (Endpoint Detection and Response).
| Composant |
Fonction |
Couche OSI |
| Pare-feu logiciel |
Filtre le trafic entrant/sortant par règles |
3-7 |
| Antivirus |
Détecte et supprime les malware connus |
Application |
| Anti-malware |
Protection élargie (spyware, adware, PUP) |
Application |
| EDR |
Détection comportementale avancée + réponse |
Application |
| HIPS |
Prévention d'intrusion au niveau de l'hôte |
Application |
Contexte
CompTIA A+ teste la configuration du pare-feu Windows, la gestion de Windows Defender, les types de scans et la compréhension des différents niveaux de protection. Le technicien doit savoir activer/configurer ces outils et diagnostiquer les conflits.
Détails techniques
Pare-feu Windows (Windows Defender Firewall)
| Type de profil |
Description |
Niveau de sécurité |
| Domain |
PC connecté à un domaine AD |
Défini par GPO |
| Private |
Réseau domestique/bureau de confiance |
Moyen |
| Public |
Wi-Fi public, réseau inconnu |
Élevé (plus restrictif) |
Règles du pare-feu
| Direction |
Description |
| Entrante (inbound) |
Trafic arrivant vers le PC |
| Sortante (outbound) |
Trafic partant du PC |
Règle entrante typique :
┌────────────────────────────────────────┐
│ Nom : Autoriser RDP │
│ Direction : Entrante │
│ Action : Autoriser │
│ Protocole : TCP │
│ Port : 3389 │
│ Profil : Domaine, Privé │
│ Programme : svchost.exe (TermService) │
└────────────────────────────────────────┘
# Afficher le statut du pare-feu
Get-NetFirewallProfile | Select-Object Name, Enabled
# Créer une règle entrante (autoriser RDP)
New-NetFirewallRule -DisplayName "Autoriser RDP" -Direction Inbound -Protocol TCP -LocalPort 3389 -Action Allow
# Bloquer un port
New-NetFirewallRule -DisplayName "Bloquer Telnet" -Direction Inbound -Protocol TCP -LocalPort 23 -Action Block
# Lister les règles actives
Get-NetFirewallRule | Where-Object Enabled -eq True | Select-Object DisplayName, Direction, Action
Windows Defender Antivirus
| Type de scan |
Description |
Durée |
| Scan rapide |
Emplacements courants (System32, Startup, RAM) |
Minutes |
| Scan complet |
Tous les fichiers sur tous les disques |
Heures |
| Scan personnalisé |
Dossier ou lecteur spécifique |
Variable |
| Scan hors-ligne |
Démarre avant Windows (rootkits) |
~15 min |
| Fonctionnalité |
Description |
| Protection en temps réel |
Analyse les fichiers à l'accès |
| Protection cloud |
Envoi de signatures au cloud pour analyse |
| Controlled Folder Access |
Protège les dossiers contre les ransomware |
| Tamper Protection |
Empêche la désactivation par un malware |
| Exclusions |
Exclure des fichiers/dossiers du scan |
# Lancer un scan rapide
Start-MpScan -ScanType QuickScan
# Mettre à jour les définitions
Update-MpSignature
# Vérifier le statut de Windows Defender
Get-MpComputerStatus | Select-Object RealTimeProtectionEnabled, AntivirusSignatureLastUpdated
# Ajouter une exclusion
Add-MpPreference -ExclusionPath "C:\DevTools"
Types de détection de malware
| Méthode |
Description |
Forces / Faiblesses |
| Signatures |
Compare aux bases de définitions connues |
Rapide, mais ne détecte pas les zero-day |
| Heuristique |
Analyse le comportement suspect |
Détecte les variantes, plus de faux positifs |
| Comportementale |
Surveille les actions en temps réel |
Détecte les attaques nouvelles |
| Sandboxing |
Exécute dans un environnement isolé |
Très efficace, mais plus lent |
Bonnes pratiques
| Pratique |
Raison |
| Un seul antivirus temps réel |
Deux antivirus entrent en conflit |
| Mises à jour automatiques |
Nouvelles définitions pour nouvelles menaces |
| Scan hebdomadaire complet |
Détecter les menaces silencieuses |
| Pare-feu toujours activé |
Protection réseau de base |
| Profil public pour Wi-Fi public |
Bloquer les connexions entrantes |
Exemple concret
Un technicien configure un PC de bureau : il vérifie que Windows Defender est actif avec la protection en temps réel, met à jour les définitions, active Controlled Folder Access pour protéger Documents et Bureau contre les ransomware. Il ouvre wf.msc et vérifie que le profil "Public" bloque toutes les connexions entrantes non sollicitées. Il exclut le dossier de développeur C:\DevTools pour éviter les faux positifs.
