Windows TIPS
[Network]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

リモート管理機能のスコープ設定に注意


デジタルアドバンテージ 打越 浩幸
2005/05/28

 
対象OS
Windows XP SP2
Windows Server 2003 SP1
リモート管理機能のデフォルトのスコープは「*」であり、すべてのIPアドレスからの要求を受け付ける。
リモート管理機能を利用する場合は、必ずスコープも設定しておかないと危険である。
スコープには、LocalSubNetと組織内部で使用しているプライベートIPアドレスを指定しておくとよい。
 
解説

 TIPS「Windowsファイアウォールのリモート管理を有効にする」では、Windowsファイアウォールのリモート管理機能を有効にする方法について解説した。この機能を利用すると、ドメインのメンバ・コンピュータをリモートから各種管理ツールを使ってアクセスできるようになる。例えば[管理ツール]にある[コンピュータの管理]や[イベント・ビューア]、[サービス]などのツールでリモートから接続して操作することができる。いちいち個々のファイアウォール・ルールを設定する必要がないし、グループ・ポリシーを使って設定を配布すれば、コンピュータごとの設定作業も不要になり、管理者にとっては便利な機能である。

 だがこのリモート管理は、実際には、Windowsネットワークにおけるファイル共有サービス(SMB/CIFS)やMS-RPCサービスのための通信を許可するものであり、設定を間違えると、外部からのアクセスを許してしまう、非常に危険な機能でもある。

Windowsファイアウォールの基本ルール

 Windowsファイアウォールでサービスやポートに対して許可ルールを設定する場合、不正なアクセスを防ぐために、アクセス元のIPアドレスを限定する「スコープ」を定義することができる。例えば「ファイルとプリンタの共有」というルールでは、デフォルトでは「LocalSubNet」というスコープが定義されている。LocalSubNetとは、該当するネットワーク・インターフェイスのネットワーク・アドレスを表す特別な表記である。例えば、あるネットワーク・インターフェイスのIPアドレスが192.168.1.10/24(IPアドレス=192.168.1.10、サブネットマスク=255.255.255.0のこと)だった場合、LocalSubNet=192.168.1.0〜192.168.1.255を表す。この範囲からのアクセスに関してはファイル共有サービスへ接続することができるが、それ以外のIPアドレスの場合、パケットはすべて拒否され、ファイルへアクセスすることはできない。

スコープが定義されていない特別なルール

 このようにほとんどのルールではLocalSubNetがデフォルトのスコープとして定義されているが、なぜか「リモート管理」と「リモート・デスクトップ接続」「リモート アシスタンス」のルールでは、デフォルトのスコープは「*」として定義されている。「*」は「すべてのIPアドレス」を表すための特別な表記であり、何のIPアドレス制限も付けないということを意味している。

リモート管理モードのスコープ設定
リモート管理モードのスコープは「*」となっており、任意のアドレスからの要求を受け付ける。
  リモート管理モードのスコープ。スコープを明示的に設定しないと、「*」とみなされる。

 つまり、Windowsファイアウォールで「リモート管理」と「リモート・デスクトップ接続」(および「リモート アシスタンス」)を許可した場合、管理者がスコープをデフォルトのままにしておくと、これらは任意のIPアドレスからの接続要求を受け付けるようになっているのである。これに対してファイル共有サービスでは、スコープを指定しないと、ローカルのネットワーク(そのネットワーク・インターフェイスが属しているネットワーク・アドレス)からのアクセスしか許可されない。

 なぜこのようになっているのかは、その用途を考えると明らかであろう。

 リモート・デスクトップ(とリモート・アシスタンス)では、接続元のコンピュータのIPアドレスが同一ネットワーク上に存在する可能性は低いと考えられる。離れた場所から操作するために、任意のIPアドレスからの接続を許可しているのであろう。

 また「リモート管理」についても、別のネットワーク上にいるシステム管理者がリモートから管理するためにこうなっていると考えられる。例えば社内に10のネットワークがあり、それぞれが異なるネットワーク・アドレスを持っているとする。そして管理者はどこか1つのネットワーク上にいて、残りのすべてのネットワーク上のコンピュータを管理しているとする。こういう状況では、デフォルトがLocalSubNetとなっていると、ほとんどのネットワークにアクセスすることができない(同一ネットワーク上でしか管理できない)。よって、どこからでもアクセスできるように、「*(任意のIPアドレス)」がデフォルトになっているのだろう。

リモート管理を無条件に有効化した場合の問題点

 このように、Windowsファイアウォールのデフォルト設定では、リモート管理を有効にするとすべてのネットワークからのアクセスが許可されることになる。だがこれは場合によっては問題となることがある。

 例えば、そのコンピュータに別のネットワーク・インターフェイスが存在し、それがインターネットへ直接接続されているとどうなるだろうか。直接でなくても、例えばPPP(ダイヤルアップの場合)やPPPoE(DSLや光ファイバなどの場合)を介してインターネット接続していてもよいだろう。この場合、インターネットからのリモート管理用の接続要求がすべて許可されてしまうことになる。グループ・ポリシーでは、個々のインターフェイスごとにルールを設定することはできず、Windowsファイアウォール全体で有効なルールしか定義できないからだ。特定のポートをオープンにすると、すべてのインターフェイスでそれが有効になる。リモート管理用ポートといっても、実際にはファイル共有で使用するポートと同じであるから、これはつまり、インターネットに対して(ファイアウォールなしで)ファイル共有サービスを公開しているのと同じ状態になる。もしパスワードなしのユーザー・アカウントがそのまま放置されていたり、セキュリティ・パッチなどを適用せずに使用していたりすると、あっという間にクラックされたり、コンピュータ内部にアクセスされたりしてしまうだろう。

 このような危険性を避けるため、リモート管理を使う場合には、最低でも次のような設定を行う必要がある。

■安全なリモート管理のために――1.スコープを必ず定義する

 リモート管理を有効にしつつも、望まないアクセスを拒否するためには、スコープを適切に定義することである。デフォルトでは「*」となっているが、許可するIPアドレス範囲を厳密に定義しておくとよい。一般的には、(社内で使っている)プライベートIPアドレスのみを許可するか、もっと厳しくして、リモート管理を行うネットワーク(管理者の属しているネットワーク)とLocalSubNetのみを許可するようにするべきだろう。

リモート管理のスコープの指定
リモート管理を行う場合は、必ずアクセスを許可するアドレスの範囲を限定するようにする。
  これを選択するとリモート管理が有効になる。
  デフォルトではスコープは何も定義されていないので、例えば「LocalSubNet,10.0.0.0/8,192.168.0.0/16」などを指定し、それ以外のアドレスからのアクセスをすべて拒否すること。「LocalSubnet」を範囲に含めておかないと、同一ネットワーク上のコンピュータから管理したり、pingしたりすることができなくなる。

■安全なリモート管理のために――2.ドメイン・プロファイルでのみ使用する

XP SP2展開計画「1.Windowsファイアウォールの管理方法」

 Windowsファイアウォールでは、「ドメイン プロファイル」と「標準プロファイル」の2つがあるが(その違いについては関連記事参照)、リモート管理はドメイン・プロファイルでのみ利用するのがよい。ドメインに属しているコンピュータにおいて、ドメイン・ネットワークとの接続が何らかの理由で切断されると、標準プロファイルに切り替わる。例えばモバイルPCをドメイン外へ持ち出した場合などがこれに相当する。もし標準プロファイル中でリモート管理が有効になっていると、そのコンピュータは外部からのリモート管理アクセスが許可された状態になってしまう。スタンドアロンで利用する場合は、これは望ましくない状態であると考えられる。よってリモート管理を許可するなら、ドメイン環境(つまりドメイン・プロファイル)でのみ許可するのが望ましいだろう。

 なお、本TIPSではWindowファイアウォールにおけるリモート管理の危険性について述べているが、これは何もリモート管理機能そのものが危険な機能だから使わない方がよい、といっているわけではない。スコープを定義しないで使うリモート管理機能がことさら脆弱なわけではなく、その危険性はファイアウォールをオフにした状態で使うのと同程度か、若干ましな程度である。すべてのアカウントに必ずパスワードを付けておくとか、セキュリティ・パッチを小まめに適用しておくなどの対策も忘れないでいただきたい。End of Article

関連記事(Windows Server Insider)
  Windows TIPS:Windowsファイアウォールのリモート管理を有効にする
     
「Windows TIPS」

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH