Un guide pratique pour autoriser des applications, programmes, ports, services et adresses IP de confiance dans le pare-feu Windows Defender, sans ouvrir plus d’accès que nécessaire.
Une exception du pare-feu Windows est une règle d’autorisation qui permet à un trafic réseau précis de traverser le pare-feu Windows Defender. L’exception peut autoriser une application particulière, un fichier de programme de bureau, un service Windows, un numéro de port, un protocole ou du trafic provenant d’une adresse IP de confiance.
Dans Windows 10 et Windows 11, les exceptions du pare-feu se créent généralement à deux endroits : l’écran simple Autoriser une application via le pare-feu, ou la console avancée appelée Pare-feu Windows Defender avec fonctions avancées de sécurité. La console avancée donne plus de contrôle sur la direction, le chemin du programme, le protocole, le port, le profil et la portée des adresses distantes.
Autorise une application ou un fichier exécutable précis à traverser le pare-feu. C’est le meilleur choix pour la plupart des programmes de bureau et des applications Microsoft Store.
Autorise le trafic vers un port TCP ou UDP, par exemple 8080, 25565 ou 3389. Utile pour les serveurs et les outils réseau.
Autorise le trafic uniquement depuis certaines adresses du réseau local, sous-réseaux ou appareils de confiance, au lieu d’autoriser tout le réseau.
Vous pouvez avoir besoin d’ajouter une exception lorsqu’une application de confiance doit recevoir des connexions entrantes ou lorsqu’un autre appareil ne parvient pas à se connecter à un service exécuté sur votre PC Windows.
Avant de modifier les règles du pare-feu, identifiez exactement ce qui doit être autorisé. Cela évite de créer une exception trop large ou difficile à dépanner plus tard.
| Question | Pourquoi c’est important | Exemple |
|---|---|---|
| Quel programme a besoin d’un accès ? | Une règle basée sur le programme est généralement plus sûre qu’une règle basée uniquement sur un port. | C:\Program Files\MyApp\MyApp.exe |
| Entrant ou sortant ? | La plupart des problèmes d’hébergement d’application nécessitent des règles entrantes. Les règles sortantes sont utilisées lorsque le trafic sortant est restreint. | Règle entrante pour un serveur local |
| Quel profil réseau ? | Le profil Privé est généralement plus sûr pour les réseaux locaux domestiques ou de bureau. Le profil Public doit être limité. | Privé uniquement |
| Quel protocole et quel port ? | TCP et UDP sont distincts. Certaines applications nécessitent les deux. | TCP 8080 ou UDP 27015 |
| Quels appareils peuvent se connecter ? | La portée des adresses distantes peut limiter la règle aux adresses IP de confiance. | 192.168.1.0/24 |
Privé est normalement le bon profil pour un réseau domestique ou professionnel de confiance. Public est utilisé pour les réseaux non fiables comme les hôtels, aéroports, cafés et Wi-Fi partagés. Si vous ne savez pas quel profil votre réseau utilise, ouvrez Paramètres → Réseau et Internet et vérifiez les propriétés de la connexion active.
C’est la méthode la plus simple lorsque vous voulez ajouter une exception de pare-feu pour un programme de bureau classique ou une application Microsoft Store déjà listée.
Win + R, tapez control firewall.cpl, puis appuyez sur Entrée..exe du programme, puis cliquez sur Ajouter.La console avancée du pare-feu est préférable lorsque vous avez besoin d’une règle nommée, d’un chemin de programme précis, de profils réseau sélectionnés ou de restrictions par adresses IP distantes.
Win + R, tapez wf.msc, puis appuyez sur Entrée.Bons noms de règles de pare-feu :
Allow Plex Media Server - Private LAN
Allow TCP 8080 - Local Web Test Server
Allow MyApp.exe Inbound - Accounting Network
Après avoir créé la règle, double-cliquez dessus pour examiner les onglets Programmes et services, Protocoles et ports, Étendue et Avancé. Ces onglets contrôlent ce que l’exception autorise et où elle s’applique.
Une exception de port est utile lorsque vous connaissez exactement le port TCP ou UDP requis par un serveur, un jeu, un outil d’appareil ou un environnement de développement. Utilisez une exception de programme lorsque c’est possible ; utilisez une exception de port lorsque la documentation de l’application exige précisément un port.
Win + R, tapez wf.msc, puis appuyez sur Entrée.8080. Vous pouvez aussi saisir une plage comme 5000-5010.| Exemple de règle | Protocole | Port | Portée recommandée |
|---|---|---|---|
| Serveur web local de test | TCP | 8080 |
Profil Privé, sous-réseau local uniquement |
| Serveur Minecraft Java | TCP | 25565 |
Profil Privé ou adresses distantes de confiance |
| Bureau à distance | TCP/UDP | 3389 |
VPN ou adresses IP de confiance uniquement |
| Partage de fichiers / SMB | TCP | 445 |
Réseau local privé uniquement ; ne pas exposer à Internet |
PowerShell est utile pour les administrateurs, les configurations répétables, les scripts et l’assistance à distance. Ouvrez Terminal (Admin) ou Windows PowerShell (Admin) avant d’exécuter les commandes ci-dessous.
PowerShellNew-NetFirewallRule `
-DisplayName "Allow MyApp Inbound - Private" `
-Direction Inbound `
-Program "C:\Program Files\MyApp\MyApp.exe" `
-Action Allow `
-Profile Private
PowerShellNew-NetFirewallRule `
-DisplayName "Allow TCP 8080 - Local Web Server" `
-Direction Inbound `
-Protocol TCP `
-LocalPort 8080 `
-Action Allow `
-Profile Private
PowerShellNew-NetFirewallRule `
-DisplayName "Allow UDP 27015 - Game Server" `
-Direction Inbound `
-Protocol UDP `
-LocalPort 27015 `
-Action Allow `
-Profile Private
PowerShellNew-NetFirewallRule `
-DisplayName "Allow TCP 8080 from LAN only" `
-Direction Inbound `
-Protocol TCP `
-LocalPort 8080 `
-RemoteAddress 192.168.1.0/24 `
-Action Allow `
-Profile Private
Remplacez le chemin du programme, le nom d’affichage, le port, le protocole, le profil et l’adresse distante par les valeurs requises par votre application ou votre réseau.
L’invite de commandes peut créer des exceptions de pare-feu avec netsh advfirewall. C’est utile dans d’anciens scripts ou sur des systèmes où PowerShell n’est pas privilégié.
Invite de commandesnetsh advfirewall firewall add rule name="Allow MyApp Inbound - Private" dir=in action=allow program="C:\Program Files\MyApp\MyApp.exe" profile=private enable=yes
Invite de commandesnetsh advfirewall firewall add rule name="Allow TCP 8080 - Local Web Server" dir=in action=allow protocol=TCP localport=8080 profile=private enable=yes
Invite de commandesnetsh advfirewall firewall add rule name="Allow UDP 27015 - Game Server" dir=in action=allow protocol=UDP localport=27015 profile=private enable=yes
L’exception de pare-feu la plus sûre est l’exception la plus étroite qui permet encore à l’application de fonctionner. Après avoir créé une règle dans wf.msc, vous pouvez la restreindre davantage.
wf.msc.wf.msc.192.168.1.50 ou 192.168.1.0/24.Révisez régulièrement les exceptions personnalisées du pare-feu. Les anciennes règles de test, les règles en double ou les règles liées à des applications supprimées peuvent créer une exposition inutile et rendre le dépannage plus difficile.
| Tâche | Méthode graphique | Commande PowerShell |
|---|---|---|
| Désactiver une règle | Ouvrez wf.msc, faites un clic droit sur la règle, puis sélectionnez Désactiver la règle. |
Disable-NetFirewallRule -DisplayName "Rule Name" |
| Activer une règle | Faites un clic droit sur la règle et sélectionnez Activer la règle. | Enable-NetFirewallRule -DisplayName "Rule Name" |
| Supprimer une règle | Faites un clic droit sur la règle et sélectionnez Supprimer. | Remove-NetFirewallRule -DisplayName "Rule Name" |
| Afficher les règles correspondantes | Utilisez les options de recherche/filtre dans Règles de trafic entrant. | Get-NetFirewallRule -DisplayName "*MyApp*" |
Invite de commandesnetsh advfirewall firewall delete rule name="Allow TCP 8080 - Local Web Server"
Si l’application est toujours bloquée après l’ajout d’une exception, vérifiez la direction de la règle, le profil, le chemin du programme, le protocole, le port et le fait que l’application écoute réellement les connexions.
| Problème | Ce qu’il faut vérifier | Correction |
|---|---|---|
| Mauvais profil réseau | La règle est autorisée pour le profil Privé, mais Windows marque le réseau comme Public. | Passez le réseau actif en Privé s’il est de confiance, ou ajoutez le bon profil à la règle. |
| Mauvaise direction de règle | Règle entrante ou sortante. | Créez une règle entrante lorsque d’autres appareils doivent se connecter à ce PC. |
| Le chemin du programme a changé | L’application a été mise à jour ou déplacée vers un autre dossier. | Modifiez la règle ou créez une nouvelle règle avec le chemin .exe actuel. |
| Aucun service n’écoute | netstat -ano | findstr :PORT |
Démarrez l’application ou le service qui doit accepter les connexions. |
| Mauvais protocole | L’application nécessite UDP, mais seul TCP a été autorisé, ou l’inverse. | Créez la bonne règle TCP ou UDP. Certaines applications nécessitent les deux. |
| Le routeur bloque l’accès depuis Internet | Redirection de port, adresse IP WAN, CGNAT et règles du pare-feu du routeur. | Configurez la redirection de port sur le routeur uniquement lorsque l’accès externe est nécessaire et sûr. |
| Un pare-feu tiers est actif | Les suites de sécurité peuvent remplacer le pare-feu Windows ou ajouter une autre couche de filtrage. | Ajoutez l’exception dans le pare-feu tiers ou testez après l’avoir désactivé temporairement. |
Invite de commandesnetstat -ano | findstr LISTENING
netstat -ano | findstr :8080
PowerShellGet-NetTCPConnection -State Listen
Test-NetConnection 192.168.1.50 -Port 8080
wf.msc, trouvez la règle dans Règles de trafic entrant ou Règles de trafic sortant, puis désactivez-la ou supprimez-la. Dans PowerShell, utilisez Disable-NetFirewallRule ou Remove-NetFirewallRule.Pour la plupart des utilisateurs, la méthode la plus sûre consiste à autoriser une application précise dans le pare-feu Windows et à l’activer uniquement sur le profil Privé. Pour plus de contrôle, utilisez wf.msc afin de créer une règle entrante nommée, de sélectionner le programme ou le port exact et de limiter la portée aux adresses IP de confiance.
Ajoutez uniquement les exceptions de pare-feu dont vous avez réellement besoin, utilisez des noms de règles descriptifs, évitez le profil Public sauf nécessité et supprimez les anciennes règles après les tests. Une règle étroite pour une application fiable ou une plage d’adresses IP de confiance est beaucoup plus sûre qu’une règle large qui autorise tous les appareils à se connecter.