第3回:Windowsファイアウォール設定を一括管理(3/4 ページ)
グループポリシー運用編
SP2で追加された機能の使用
上記の設定で、SP2で追加された機能をグループポリシーでコントロールできるようになった。細かく見ると、非常に細かい設定が出来る事に気がつくであろう。ここでは、SP2の目玉である「Windowsファイアウォール」の機能を具体例として紹介する。この設定を通して、これまでクライアントごとに設定を行う必要があった点が、新たにActive Directoryのグループポリシーによって、統合管理可能となったわけだ。
Windowsファイアウォールの機能
Windows XP SP1においてもICFと呼ばれる標準のファイアウォール機能が搭載されていたが、SP2に搭載されたWindowsファイアウォールはSP1よりも高機能になっている。
| 機能 | 説明 |
|---|---|
| プログラムとの連動 | プログラムが実行されるたびにポートを開き、プログラムが終了すれば、ポートを閉じる |
| スコープの設定 | 通信先のIPアドレスの範囲を設定することが可能になった |
| 例外設定 | Windowsファイアウォールのデフォルトはすべての受信パケットはすべて拒否するになっているが、例外設定を行うことにより受信が可能 |
| グループポリシーとの連携 | ドメインに参加したマシンに対し、設定を行うことが可能になった |
| プロファイル | グループポリシーにより、動作モードをドメイン参加時、ドメイン不参加時の2種類プロファイル設定が可能となった |
| ファイアウォールAPI | ファイアウォールAPIとして公開されており、アプリケーションから呼び出す事が可能となった |
| netshによる設定/デバッグ | netshコマンドにfirewallのコンテキストが追加され設定可能となった。netsh firewall show config によりサポートも楽になる |
これらの中でグループポリシー設定時に理解しておきたい機能は、「プロファイル」「プログラムとの連動」「スコープの設定」「例外設定」だろう。今回は、グループポリシーで管理する方法なのでWindowsファイアウォールの細かい内容は割愛し、グループポリシーにあるWindowsファイアウォールの項目の方を説明させて頂く。
グループポリシーにおけるWindowsファイアウォールの項目
グループポリシーでWindowsファイアウォールの設定を実際に行う前に、まずは利用する可能性がある項目の意味を理解しておきたい。
・プロファイル
プロファイルには、ドメインプロファイル(Domain Profile)と標準プロファイル(Standard Profile)がある(画面18)。
ドメインプロファイルはActive Directoryに接続できる時、つまり、社内ネットワークに接続出来る時にWindowsファイアウォールの動きを決める項目である。一方、標準プロファイルはActive Directoryに接続出来ない時、つまり、コンピュータ自体はドメインに参加しているが、ノートPCを社内ネットワークから外し、ログインした時にどのような動きをさせるかを決める項目である。
この項目によって、社内でのWindowsファイアウォールの動きと、社外でのWindowsファイアウォールの動作を変更することができるので、エンドユーザーの手をわずらわさせずにセキュリティを向上させられる。
・「ネットワーク接続をすべて保護する」
この設定は、コンピュータのすべてのネットワークインタフェースにWindowsファイアウォールを動作させることを意味する。この設定を行うと、「DNSドメインネットワーク上でのインターネット接続ファイアウォールの使用を禁止する」のポリシーよりも優先される。
つまり、「ネットワーク接続をすべて保護する」を有効にしていると、ドメインネットワークでWindowsファイアウォールの動作を無効にしていても、ファイアウォールが有効に機能する。
・「例外を許可しない」
Windowsファイアウォールの基本動作は、内側からのセッションのみ許可されている。外部から受信用のポートを開けるには、例外という項目で定義する必要がある。この「例外を許可しない」は、例外の定義を無効化するのである(画面19)。
この設定を有効/無効のどちらか一方を選択すると、ローカル管理者でも例外設定をすることができなくなる。
・「プログラムの例外を定義する」
グループポリシーによって定義されたプログラムの例外の一覧を表示、変更できるようにする項目である。無効を選択した場合、グループポリシーで定義したプログラムの例外の一覧が削除される。ローカル管理者によって例外プログラムの定義を許す場合、未構成、もしくは有効にしておくとよい。
・「ローカルプログラムの例外を許可する」
この設定を有効にすると、ローカル管理者はローカルプログラムの例外を定義できるようになる。この設定を未構成にしていた場合、「プログラムの例外を定義する」に依存することになる。
・「リモート管理の例外を許可する」
マイクロソフト管理コンソール(MMC)とWMI(Windows Management Instrumentation)などによって、コンピュータの遠隔管理をする場合必要である。MMCとWMIは、TCP135とTCP445を使用する。社内ネットワークでは、このMMCやWMIで管理しているケースが多いだろう。
しかし、一般ユーザーのマシンからアクセスさせる必要があるため、ポートの開閉をコントロールするのではなく、IPアドレスによる制御を行う必要がある。無効にした場合、TCP135だけを閉じる。
RPCやDCOMは多くのサードパーティ製品が使っているので、制御が難しいが、攻撃者としては注目するポートでもある。極力制御をしたほうがよいだろう。
・「ファイルとプリンタの共有の例外を許可する」
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- セキュリティ担当者に求められる役割と責任に変化 その背景には何がある?
ITmediaはアイティメディア株式会社の登録商標です。