Windows TIPS
[System Environment]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

セキュリティが強化されたWindowsファイアウォールでリモート管理を有効にする

解説をスキップして操作方法を読む

デジタルアドバンテージ 打越 浩幸
2009/04/03
対象OS
Windows Vista
Windows Server 2008
コンピュータをリモートから管理するためには、ファイアウォールの設定を変更して、リモート管理サービスへ接続できるようにする必要がある。
セキュリティが強化されたWindowsファイアウォールでは、「リモート管理」グループの規則を有効化する。

解説

 「コンピュータの管理ツール」やコマンド・プロンプト上で動作するコマンドなどを使ってコンピュータをリモートから管理するためには、ファイアウォールの設定を変更して、外部からのリモート管理用接続を許可する必要がある。

 TIPS「XP SP2のファイアウォールでリモート管理を有効にする」では、Windows XP SP2やWindows Server 2003の「Windowsファイアウォール」において、リモートから管理するためのファイアウォールの設定方法を紹介した。Windowsファイアウォールは単純な通信ブロック機能を持つファイアウォールであり、許可するプロトコルやポート番号さえ指定すれば、それだけでリモート管理のサービスなどに接続することができた。

進化したWindows Vistaのファイアウォール機能(Vistaの地平)
セキュリティが強化されたWindowsファイアウォール(Windows Web Server 2008のセキュリティ対策)

 これに対してWindows VistaやWindows Server 2008以降で実装されている「セキュリティが強化されたWindowsファイアウォール」では、より上位のネットワーク・サービスも区別する機能を持っている。例えば同じMS-RPCプロトコルを利用するサービスであっても、「リモート・タスク管理」「スプーラ・サービス」「イベント・ログ管理」など、個別のサービスごとに通信を許可したり、禁止したりできる。

 本TIPSでは、セキュリティが強化されたWindowsファイアウォールにおいて、リモートからの管理(「コンピュータの管理ツール」などで可能な管理業務)を許可する方法についてまとめておく。このファイアウォールの機能概要については関連記事を参照していただきたい。

操作方法

GUIツールによるリモート管理規則の有効化

 セキュリティが強化されたWindowsファイアウォールをGUIで管理するためには、[管理ツール]にある[セキュリティが強化されたWindowsファイアウォール]を起動する。

セキュリティが強化されたWindowsファイアウォール
Windows VistaやWindows Server 2008ではWindowsファイアウォールではなく、このセキュリティが強化されたWindowsファイアウォールを利用することが推奨されている。
ドメイン・ネットワークに属している場合にはこのドメイン・プロファイルが適用される。
社内ネットワークなど閉じたネットワーク内のワークグループ・ネットワークに属している場合はこのプライベート・プロファイルが適用される。最後に「〜がアクティブです」となっているのが現在適用されているプロファイル。アクティブなプロファイルはネットワークの接続状況などによって動的に変わる。
公共のネットワークなどに接続されているときは、このパブリック・プロファイルが適用される。

Windowsファイアウォールのプロファイルを知る(Windows TIPS)
ファイアウォールのプロファイル(Vistaの地平)

 Windows XPやWindows Server 2003のWindowsファイアウォールには「ドメイン プロファイル」と「標準プロファイル」の2つがあったが、セキュリティが強化されたWindowsファイアウォールでは「ドメイン プロファイル」「プライベート プロファイル」「パブリック プロファイル」という3つのプロファイルが利用できる(各プロファイルの違いについては関連記事参照)。プロファイルの数が増えているので、環境に応じて適切なプロファイルに対してファイアウォールのルールを設定する必要がある。リモート管理のような重要なファイアウォール規則ならば、ドメイン・プロファイル(ドメイン・ネットワークの場合)やプライベート・プロファイル(ワークグループ・ネットワークの場合)だけに設定しておけばよいだろう。

 リモート管理のためにファイアウォールの受信規則を許可するには、管理ツールの画面で[受信の規則]を選択し、「リモート管理」グループに属している規則に注目する。それらの規則を右クリックして[規則の有効化]を選択する。1つの規則に複数のプロファイルが関連付けられている場合は、メニューから[プロパティ]を選択して、適切なプロファイルでのみ有効化しておく。

リモート管理のための受信規則の有効化
セキュリティが強化されたWindowsファイアウォールではファイアウォール規則がグループ分けされているので、「リモート管理」グループの規則を有効にする。これを有効にすると、イベント・ログの規則など、個別の規則を許可する必要はない。
[受信規則]を選択する。
「リモート管理」グループの規則を有効化する。
これを選択して、プライベートやドメイン・プロファイルに属する規則を有効化する。パブリック・プロファイルで有効化する場合はセキュリティに注意すること。必要ならば接続可能なネットワーク・アドレス(スコープ)を限定するなどの対策を行う。

コマンド・プロンプト上でのリモート管理規則の有効化

 コマンド・プロンプト上でリモート管理のためのファイアウォール規則を有効にするには、netsh advfirewallコマンドを利用する(TIPS「Windows Vista/Windows Server 2008のファイアウォールをnetshコマンドで制御する」参照)。

 netshコマンドはネットワークの設定をコマンド・プロンプト上から操作するためのコマンドであるが、セキュリティが強化されたWindowsファイアウォールを操作するには、netshコマンドの中にあるadvfirewallコンテキストを利用する(従来のWindowsファイアウォールはnetshのfirewallコンテキスト)。個別の規則を1つずつ有効化してもよいが、それでは大変なので、次のようにして「リモート管理」グループの規則をまとめて有効化するとよい。なお、以下の作業は管理者として実行したコマンド・プロンプト上で行うこと。

C:\>netsh ……netshコマンドの起動
netsh>advfirewall ……advfirwallコンテキストへの切り替え
netsh advfirewall>firewall ……firewallコンテキストへの切り替え
netsh advfirewall firewall>show rule all ……全規則の表示と確認

規則名:                            リモート デスクトップ (TCP 受信)
------------------------------------------------------------
有効:                                 Yes
方向:                                 In
プロファイル:                               Private
グループ:                             リモート デスクトップ
LocalIP:                              Any
……(中略)……
netsh advfirewall firewall>set rule group="リモート管理" new enable=yes
……リモート管理グループの有効化

6 規則を更新しました。 ……結果
OK

netsh advfirewall firewall>

 setをコマンド・プロンプトから直接実行するには、「netsh advfirewall firewall set rule group="リモート管理" new enable=yes」というコマンド列を実行すればよい。「group=〜」に指定する文字列については、TIPS「日本語化されたファイアウォール・ルールのグループ名に注意」も参照していただきたい。

グループ・ポリシーで設定する場合

Windowsファイアウォールのリモート管理を有効にする(Windows TIPS)
XP SP2のファイアウォールでリモート管理を有効にする(Windows TIPS)

 グループ・ポリシーでリモート管理を有効にする方法は従来のWindowsファイアウォールでもセキュリティが強化されたWindowsファイアウォールでも同じである。いずれのWindows OSであっても、グループ・ポリシーで[コンピュータの構成]−[管理用テンプレート]−[ネットワーク]−[ネットワーク接続]−[Windows ファイアウォール]の下にある各プロファイルで、[Windows ファイアウォール: リモート管理の例外を有効にする]を有効にすればよい。詳細については関連記事を参照していただきたい。End of Article

グループ・ポリシーによるリモート管理の有効化
グループ・ポリシーを使ってリモート管理を有効化する方法は従来と同じである。グループ・ポリシー管理コンソールを開き、Windowsファイアウォールの規則を有効化する。
ドメインか標準のいずれかのプロファイルを選択する。
この規則を有効にする。必要ならばスコープなども定義すること。

「Windows TIPS」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間