Vistaの地平

第15回 進化したWindows Vistaのファイアウォール機能(後編)

1.セキュリティが強化されたWindowsファイアウォールの管理

デジタルアドバンテージ 打越 浩幸
2008/04/17

「Vistaの地平」は、Windowsベースの情報システムを管理するIT Proを対象に、Windows Vistaの注目機能について解説するコーナーです。

Index
Windows Vistaとは何か?
Windows Vistaのユーザー・インターフェイス
カーネルの改良とフォント、セキュリティ機能の強化
TCO抑制に向けた各種運用管理機能が強化されたVista
Vistaのハードウェア要件
より高機能になったVistaのバックアップ機能
管理者権限での実行を制限するユーザー・アカウント制御UAC(前編)
管理者権限での実行を制限するユーザー・アカウント制御UAC(後編)
スパイウェアからコンピュータを保護するWindows Defender
IPv6を取り込んだVistaのネットワーク機能
機能が向上したWindows Vistaのグループ・ポリシー
機能性/実用性がさらに強化されたオフライン・ファイル
Windows Vista SP1
セキュリティが強化されたWindowsファイアウォールの概要
セキュリティが強化されたWindowsファイアウォールの管理

 前編では、Windows Vista(およびWindows Server 2008)に導入された新しいファイアウォール・システムである「セキュリティが強化されたWindowsファイアウォール」について、その概要を解説した。今回はその続きとして、ログ機能やnetshによるコマンドライン・ベースの管理、グループ・ポリシーによるファイアウォールの管理について解説する。

ファイアウォールの監視とログ・ファイル

 ファイアウォールの動作状況は、主にログ・ファイルによってのみ確認できる。ただしデフォルトではログ・ファイルは記録するようになっていないので、必要ならばファイアウォールの設定を変更して、ログを記録するようにしておこう。ログ・ファイルを残すかどうかの設定は、[管理ツール]の[セキュリティが強化されたWindowsファイアウォール]ツールを起動し、左側ペインのトップにある[ローカル コンピュータのセキュリティが強化されたWindowsファイアウォール]を右クリックして、ポップアップ・メニューから[プロパティ]を選択する(管理ツール画面については、前回の概要記事の最後の画面を参照)。

 ファイアウォールのプロパティ画面を表示させると、次のように、3つのプロファイルとそのログ設定画面が表示される。

ログ・ファイルの設定(1)
デフォルトではログを残さないようになっているので、必要なら設定を変更する。これは[管理ツール]の[セキュリティが強化されたWindowsファイアウォール]で、ファイアウォールの[プロパティ]画面を表示させたところ。
ドメイン・プロファイルの設定タブ。
プライベート・プロファイルの設定タブ。
パブリック・プロファイルの設定タブ。
このコンピュータはドメインに属しており、現在ドメイン・プロファイルがアクティブなので、このような注意を促すメッセージが表示されている。これは、ファイアウォールのルールなどの設定項目のうち、いくつかはグループ・ポリシーで制御されているので、この管理画面で設定しても、ポリシーで上書きされる可能性があるという意味。
このプロファイルでは、ファイアウォールの状態は現在有効となっている。
ログ・ファイルの設定を変更するにはこれをクリックする。

 この画面には、3つのプロファイル・タブがあるが、プロファイルの意味については前回の「2.ファイアウォールのプロファイル」を参照していただきたい。簡単にまとめておくと、従来のWidows XP SP2やWindows Server 2003のWindowsファイアウォールと違い、Windows Vista(およびWindows Server 2008)のセキュリティが強化されたWindowsファイアウォールでは、プロファイルの数が3つに拡張され、より細かく環境に応じてファイアウォールの設定を変更できるようになっている。

 上の画面で[ログ]の[カスタマイズ]ボタン()をクリックすると、次のような設定画面が表示される。

ログ・ファイルの設定(2)
この画面では、ログ・ファイルを残すかどうかや、ログ・ファイルのサイズを設定する。このログ・ファイル設定はプロファイルごとに独立しているので、プロファイルごとに異なるログ・ファイルを利用することも可能。
ログのファイル名。3つのプロファイルで同じファイル名を使用すると(デフォルト状態)、1つのファイルに各プロファイルのログが記録される。プロファイルはどれか1つしかアクティブにならないため(2つ以上が同時にアクティブになることはない)、書き込みが競合することはない。
ログ・ファイルの最大サイズ。
フィルタ設定によって、送信や受信が「拒否」されたパケットのログを記録するかどうかを設定する。デフォルトでは「いいえ」となっており、ログを残さない。
フィルタ設定によって、送信や受信が「許可」されたパケット(つまり正常に通信できた場合)のログを記録するかどうかを設定する。デフォルトでは「いいえ」となっており、ログを残さない。ただしこのログは巨大になりやすいので、デバッグ時以外は無効にしておくのがよいだろう。

 この画面では、ログを残すファイル名とその最大サイズを設定する。3つのプロファイルごとにこの画面が用意されていることからも分かるように、ログ設定はプロファイルごとに独立している(以前のWindowsファイアウォールでは、プロファイルによらず、ログ・ファイルの設定は1つしかなかった)。プロファイルごとに、拒否したパケットと許可したパケットのうち、どれをログとして残すかを設定できる。デフォルトでは「拒否」と「許可」のどちらのパケットも記録されないので、必要に応じていずれかの設定を「いいえ」から「はい」に変更する(上の画面の)。ただし正常な通信のログを記録するとログ・サイズが非常に大きくなってしまうので、通常は拒否した通信(ファイアウォール・ルールによってブロックされた通信)のログだけで十分であろう。

 ログ・ファイルは[セキュリティが強化されたWindowsファイアウォール]の管理コンソールにおいて、[監視]画面から確認できる。管理コンソールで[監視]ツリーを選択すると、コンソールの中央に現在の状態が表示されるので、ログ・ファイル名をクリックする。すると(デフォルトでは)メモ帳でログ・ファイルが開かれ、確認できる。

ログ・ファイルの確認
ファイアウォールの管理コンソールで[監視]を選択すると、ファイアウォールの状態やログ・ファイルの内容を確認できる。
[監視]を選択する。すると中央のペインに現在のファイアウォールの状態などが表示される。
[ファイアウォール]を選択すると、現在定義されているファイアウォールのルールが表示される。
これはドメイン・プロファイルにおける現在のファイアウォールの状態。
ドメイン・プロファイルにおけるログの設定。
これをクリックすると、ログ・ファイルの内容が表示される(デフォルトでは.LOGファイルに関連付けられているメモ帳を使って表示される)。
プライベート・プロファイルの設定を確認する場合はこれをクリックする。
パブリック・プロファイルの設定を確認する場合はこれをクリックする。

 表示されたログ・ファイルは例えば次のようになっている。

ファイアウォール・ログの例
これはパブリック・プロファイルに記録されたログの例。受信を(拒否)ブロックされたパケットのログが記録されている。

 ログとして記録される内容は以前のWindowsファイアウォールとほぼ同様であり、どのような接続要求が拒否されたか(許可されたか)がその時刻とともに記録されているだけである。より詳細な通信記録や通信プログラムのデバッグなどを行いたければ、TIPS「ネットワーク・モニタ3.1を使う(基本編)」で紹介したようなツールを使って解析する必要があるだろう。


 INDEX
  Vistaの地平
  第15回 進化したWindows Vistaのファイアウォール機能(後編)
  1.セキュリティが強化されたWindowsファイアウォールの管理
    2.netshコマンドによるファイアウォールの管理
    3.グループ・ポリシーによるファイアウォールの管理

 「 Vistaの地平 」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間