Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh advfirewall consec set rule ?
Utilisation : set rule
group=| name=[type=dynamic|static][profile=public|private|domain|any[,...] (par défaut=any)][endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][port1=0-65535|[,...]|any][port2=0-65535|[,...]|any][protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
new
[name=][profile=public|private|domain|any[,...]][description=][mode=transport|tunnel][endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][action=requireinrequestout|requestinrequestout|
requireinrequireout|requireinclearout|noauthentication][enable=yes|no][type=dynamic|static][localtunnelendpoint=any||][remotetunnelendpoint=any||][port1=0-65535|[,...]|any][port2=0-65535|[,...]|any][protocol=0-255|tcp|udp|icmpv4|icmpv6|any][interfacetype=wiresless|lan|ras|any][auth1=computerkerb|computercert|computercertecdsap256|
computercertecdsap384|computerpsk|computerntlm|anonymous[,...]][auth1psk=][auth1ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (par défaut=root)]| ..."][auth1healthcert=yes|no][auth1ecdsap256ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (par défaut=root)]| ..."][auth1ecdsap256healthcert=yes|no (par défaut=no)][auth1ecdsap384ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (par défaut=root)]| ..."][auth1ecdsap384healthcert=yes|no (par défaut=no)][auth2=computercert|computercertecdsap256|computercertecdsap384|
userkerb|usercert|usercertecdsap256|usercertecdsap384|userntlm|
anonymous[,...]][auth2ca="[certmapping:yes|no][catype:root|intermediate (par défaut=root)]| ..."][auth2ecdsap256ca="[certmapping:yes|no][catype:root|intermediate (par défaut=root)]| ..."][auth2ecdsap384ca="[certmapping:yes|no][catype:root|intermediate (par défaut=root)]| ..."][qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|none][qmsecmethods=authnoencap:+[valuemin]+[valuekb]|
ah:+esp:-+[valuemin]+[valuekb]|default][exemptipsecprotectedconnections=yes|no (par défaut=no)][applyauthz=yes|no (par défaut=no)]
Remarques :
- Définit une nouvelle valeur de paramètre sur une règle identifiée.
La commande échoue si la règle n'existe pas. Pour créer une règle,
utilisez la commande add.
- Les valeurs situées après le mot clé new sont mises à jour dans
la règle. S'il n'y a aucune valeur ou si le mot clé new est absent,
aucune modification n'est apportée.
- Un groupe de règles peut être activé ou désactivé uniquement.
- Si plusieurs règles correspondent aux critères, toutes les règles
de correspondance sont mises à jour.
- Le nom de la règle doit être unique et ne peut pas être « all ».
- Auth1 et auth2 peuvent être des listes d'options séparées par
des virgules.
- Les méthodes Computerpsk et computerntlm ne peuvent pas être spécifiés
conjointement pour auth1.
- Computercert ne peut pas être spécifié avec les informations
d'identification de l'utilisateur pour auth2.
- Les options de signature de certificat ecdsap256 et ecdsap384
ne sont prises en charge que par Windows Vista SP1 et ultérieur.
- Qmsecmethods peut être une liste de propositions séparée
par une virgule «, ».
- - Pour qmsecmethods, integrity=md5|sha1|sha256|aesgmac128|aesgmac192|
aesgmac256|aesgcm128|aesgcm192|aesgcm256 et
encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
- Si aesgcm128, aesgcm192, ou aesgcm256 est spécifié, il doit être
utilisé pour le chiffrement et l'intégrité ESP.
Aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256,
sha256 ne sont pris en charge que par Windows Vista SP1 et ultérieur.
- Si qmsemethods a la valeur par défaut, qmpfs est défini également
par défaut.
- Qmpfs=mainmode utilise le paramètre d'échange de clés du mode principal
pour PFS.
- Il n'est pas recommandé d'utiliser DES, MD5 et DHGroup1. Ces
algorithmes de chiffrement sont fournis à des fins de compatibilité
descendante uniquement.
- Les caractères " présents dans le nom de l'autorité de certification
doivent être remplacés par \'
- Pour auth1ca et auth2ca, le nom de l'autorité de certification doit
être préfixé par « CN= ».
- catype peut être utilisé pour spécifier le type d'autorité
de certification - catype=root/intermediate
- authnoencap est pris en charge par Windows 7 et ultérieur.
- authnoencap indique les ordinateurs utiliseront l'authentification,
et n'utiliseront pas les algorithmes de chiffrement
ou l'encapsulation de paquets pour protéger les paquets réseau échangés
dans le cadre de cette connexion.
- QMPFS et authnoencap ne peuvent pas être utilisés conjointement sur
la même règle.
- AuthNoEncap doit être accompagné au moins d'une suite d'intégrité
AH ou ESP.
- Lorsque mode=tunnel l'action doit être requireinrequireout,
requireinclearout ou noauthentication.
- requireinclearout n'est pas valide lorsque mode=Transport.
applyauthz peut être spécifié uniquement pour les règles de mode
de tunnel.
- exemptipsecprotectedconnections peut être spécifié uniquement
pour les règles de mode de tunnels. Si vous affectez la valeur « oui,
le trafic ESP sera exempté du tunnel.
Le trafic AH uniquement ne sera PAS exempté du tunnel.
- Port1, Port2 et Protocol ne peuvent être spécifiés que lorsque
mode=transport.
- Valuemin (lorsqu'il est spécifié) pour une méthode qmsecmethod doit
être compris entre 5 et 2 880 minutes. Valuekb (lorsqu'il est spécifié)
pour une méthode qmsecmethod doit être compris
entre 20 480 et 2 147 483 647 kilo-octets.
Exemples :
Renommer la règle1 règle 2 :
netsh advfirewall consec set rule name=« règle1 » new
name=« règle2 »
Modifier l'action sur une règle :
netsh advfirewall consec set rule name=« règle1 »
endpoint1=1.2.3.4 endpoint2=4.3.2.1 new action=requestinrequestout
Ajouter une règle avec des propositions en mode rapide personnalisées :
netsh advfirewall consec set rule name=« MR personnalisé » new
endpoint1=any endpoint2=any
qmsecmethods=authnoencap:aesgmac256,ah:aesgmac256+esp:aesgmac256-none
