SP2で追加された機能の使用
上記の設定で、SP2で追加された機能をグループポリシーでコントロールできるようになった。細かく見ると、非常に細かい設定が出来る事に気がつくであろう。ここでは、SP2の目玉である「Windowsファイアウォール」の機能を具体例として紹介する。この設定を通して、これまでクライアントごとに設定を行う必要があった点が、新たにActive Directoryのグループポリシーによって、統合管理可能となったわけだ。
Windowsファイアウォールの機能
Windows XP SP1においてもICFと呼ばれる標準のファイアウォール機能が搭載されていたが、SP2に搭載されたWindowsファイアウォールはSP1よりも高機能になっている。
機能 | 説明 |
---|---|
プログラムとの連動 | プログラムが実行されるたびにポートを開き、プログラムが終了すれば、ポートを閉じる |
スコープの設定 | 通信先のIPアドレスの範囲を設定することが可能になった |
例外設定 | Windowsファイアウォールのデフォルトはすべての受信パケットはすべて拒否するになっているが、例外設定を行うことにより受信が可能 |
グループポリシーとの連携 | ドメインに参加したマシンに対し、設定を行うことが可能になった |
プロファイル | グループポリシーにより、動作モードをドメイン参加時、ドメイン不参加時の2種類プロファイル設定が可能となった |
ファイアウォールAPI | ファイアウォールAPIとして公開されており、アプリケーションから呼び出す事が可能となった |
netshによる設定/デバッグ | netshコマンドにfirewallのコンテキストが追加され設定可能となった。netsh firewall show config によりサポートも楽になる |
これらの中でグループポリシー設定時に理解しておきたい機能は、「プロファイル」「プログラムとの連動」「スコープの設定」「例外設定」だろう。今回は、グループポリシーで管理する方法なのでWindowsファイアウォールの細かい内容は割愛し、グループポリシーにあるWindowsファイアウォールの項目の方を説明させて頂く。
グループポリシーにおけるWindowsファイアウォールの項目
グループポリシーでWindowsファイアウォールの設定を実際に行う前に、まずは利用する可能性がある項目の意味を理解しておきたい。
・プロファイル
プロファイルには、ドメインプロファイル(Domain Profile)と標準プロファイル(Standard Profile)がある(画面18)。
ドメインプロファイルはActive Directoryに接続できる時、つまり、社内ネットワークに接続出来る時にWindowsファイアウォールの動きを決める項目である。一方、標準プロファイルはActive Directoryに接続出来ない時、つまり、コンピュータ自体はドメインに参加しているが、ノートPCを社内ネットワークから外し、ログインした時にどのような動きをさせるかを決める項目である。
この項目によって、社内でのWindowsファイアウォールの動きと、社外でのWindowsファイアウォールの動作を変更することができるので、エンドユーザーの手をわずらわさせずにセキュリティを向上させられる。
・「ネットワーク接続をすべて保護する」
この設定は、コンピュータのすべてのネットワークインタフェースにWindowsファイアウォールを動作させることを意味する。この設定を行うと、「DNSドメインネットワーク上でのインターネット接続ファイアウォールの使用を禁止する」のポリシーよりも優先される。
つまり、「ネットワーク接続をすべて保護する」を有効にしていると、ドメインネットワークでWindowsファイアウォールの動作を無効にしていても、ファイアウォールが有効に機能する。
・「例外を許可しない」
Windowsファイアウォールの基本動作は、内側からのセッションのみ許可されている。外部から受信用のポートを開けるには、例外という項目で定義する必要がある。この「例外を許可しない」は、例外の定義を無効化するのである(画面19)。
この設定を有効/無効のどちらか一方を選択すると、ローカル管理者でも例外設定をすることができなくなる。
・「プログラムの例外を定義する」
グループポリシーによって定義されたプログラムの例外の一覧を表示、変更できるようにする項目である。無効を選択した場合、グループポリシーで定義したプログラムの例外の一覧が削除される。ローカル管理者によって例外プログラムの定義を許す場合、未構成、もしくは有効にしておくとよい。
・「ローカルプログラムの例外を許可する」
この設定を有効にすると、ローカル管理者はローカルプログラムの例外を定義できるようになる。この設定を未構成にしていた場合、「プログラムの例外を定義する」に依存することになる。
・「リモート管理の例外を許可する」
マイクロソフト管理コンソール(MMC)とWMI(Windows Management Instrumentation)などによって、コンピュータの遠隔管理をする場合必要である。MMCとWMIは、TCP135とTCP445を使用する。社内ネットワークでは、このMMCやWMIで管理しているケースが多いだろう。
しかし、一般ユーザーのマシンからアクセスさせる必要があるため、ポートの開閉をコントロールするのではなく、IPアドレスによる制御を行う必要がある。無効にした場合、TCP135だけを閉じる。
RPCやDCOMは多くのサードパーティ製品が使っているので、制御が難しいが、攻撃者としては注目するポートでもある。極力制御をしたほうがよいだろう。
・「ファイルとプリンタの共有の例外を許可する」
Copyright © ITmedia, Inc. All Rights Reserved.