第3回:Windowsファイアウォール設定を一括管理(4/4 ページ)
・「ファイルとプリンタの共有の例外を許可する」
ポートスキャンにて確認したところ、139/445番ポートの開閉について制御している。これもポートの開閉をコントロールするのではなく、IPアドレスによる制御が行える。ファイル、プリンタサーバ機能を提供する場合は必要である。社内ネットワークでは必要なケースが多いと思われるが、社外ネットワーク、インターネットに直接接続する場合、このポートは閉じる必要がある。
・「ICMPの例外を許可する」
ICMPにはさまざまなタイプが存在するが、Pingの応答に応えるため、タイプ8である「着信エコー要求を許可する」を設定するだけでよいだろう。社外ネットワークのPCでは、ICMPは受け入れないほうが適切だ。社内ネットワークでは、管理上必要なケースが多い。
・「リモートディスクトップの例外を許可する」
リモートディスクトップは、他のPCから操作対象のPCをネットワーク経由でGUIにてログイン出来る機能である。社外ネットワークに接続するPCでは必要性は感じられない。社内ネットワークでは、ユーザーサポートを行う場合必要な場合もあるが、基本的には必要ないだろう。
・「UPnPフレームワークの例外を許可する」
UPnPは、プラグアンドプレイのネットワーク版である。LAN上に接続された機器は、接続されたことやその機能をマルチキャストで通知、機器からほかの機器へコントロールする。コントロールするためのメッセージは、基本的にXMLベースでやり取りされている。
UPnPアプリケーションには、Windows Messenger/MSN MessengerなどのIMが挙げられる。社内ネットワークにおいては、このIMを使用しなければ、停止しても特に障害は出ないだろう。
・「通知を禁止する」
インターネットからコネクションを張られ、かつWindowsファイアウォールの例外タブの中に登録されていないプログラムの場合、「プログラムをブロックする」「ブロックを解除する」「後で確認する」といったポップアップ画面がでる(画面20)。
「通知を禁止する」は、このポップアップ画面を出さない設定である。ポップアップ画面がでてしまうと、知識のないユーザーが「ブロックを解除する」をクリックしてしまい、インターネットからプログラムを通してコンピュータにアクセスされることになる。
・「マルチキャストまたはブロードキャスト要求に対するユニキャスト応答を禁止する」
あるネットワーク内で稼働しているホストを調べるため、ブロードキャストPingを行うことがある。この管理用のブロードキャストPingを悪用した攻撃は、Smurf攻撃と呼ばれている。
この攻撃は、ブロードキャストPingのパケットを送信する際、Ping応答の帰ってくる先を標的となるマシンのIPに偽装させる。その結果、すべてのマシンが偽装されたIPアドレスに対してPing応答パケットを送信してしまう。そうすると、偽装されたIPアドレスのマシンは過重負荷がかかることになる。これはICMPであるが、同様なことがUDPでも可能である。UDPでの攻撃はfraggle攻撃といわれる。
これらの攻撃に対してこの設定が有効であり、結果としてネットワーク障害が起きにくい環境となる。この設定がされたコンピュータが、他のコンピュータへマルチキャスト/ブロードキャストメッセージを要求した後、他のコンピュータからのユニキャストレスポンスを3秒の間待つ。その後は、ユニキャストレスポンスを受け取らないようになる。ただ、DHCPに付いて仕様上、制御していないようである。
Windowsファイアウォールの推奨値
以上が利用頻度の高いと思われる各項目の説明である。実際に社内システムに適用するに当たり、最後に筆者が推奨するWindowsファイアウォールの値を参考までに示した。
Windowsファイルサーバ、社内WEBサーバ、sendmailサーバがあるような一般的な企業の環境を想定している。
| ドメインプロファイル | 標準プロファイル | |
|---|---|---|
| ネットワーク接続をすべて保護する | 有効 | 有効 |
| 例外を許可しない | 未構成 | 未構成 |
| プログラムの例外を定義する | 未構成 | 無効 |
| ローカルプログラムの例外を許可する | 未構成 | 未構成 |
| リモート管理の例外を許可する | 有効(管理側のIPを入力) | 無効 |
| ファイルとプリンタの共有の例外を許可する | 有効 | 無効 |
| ICMPの例外を許可する | 有効(エコー要求の着信を許可する) | 無効 |
| リモートディスクトップの例外を許可する | 無効 | 無効 |
| UPnPフレームワークの例外を許可する | 無効 | 無効 |
| 通知を禁止する | 有効 | 無効 |
| ログの記録を許可する | 未構成 | 未構成 |
| マルチキャストまたはブロードキャスト要求に対するユニキャスト応答を禁止する | 無効 | 有効 |
| ポートの例外を定義する | 未構成 | 未構成 |
| ローカルポートの例外を許可する | 未構成 | 無効 |
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
ITmediaはアイティメディア株式会社の登録商標です。