グループポリシーでWindowsファイアウォールをまとめて管理する（ドメイン向け推奨Windowsファイアウォール設定）：Tech TIPS

連載目次

解説

　現在リリースされているWindows OSにはWindowsファイアウォール機能（TCP/IPレベルでのパケットフィルタ機能）が搭載され、リモートからの許可されない通信をブロックする機能を持っている。システムの安全性を考えるとこれは望ましいことだが、社内やActive Directory環境で利用するような場面では、管理の都合上、リモートからもPCを管理／アクセスできるようになっていた方が望ましい。とはいえ、1台ずつ手動でWindowsファイアウォールの設定を変更するのは現実的ではないだろう。手間もかかるし、すべてのクライアントPCに対して一律に漏れなく設定するのは、台数が増えれば簡単ではないからだ。

　こういう場合に利用したいのが、グループポリシーによるWindowsファイアウォールの設定機能である。一度ポリシーを作成すれば、ドメイン内の全クライアントに対して自動的に設定が適用されるし、設定変更があっても、ポリシーを変更するだけで自動的に再適用され、管理の手間は大幅に軽減される。

　本フォーラムやTIPS記事でも、グループポリシーや手動設定によるWindowsファイアウォールの設定方法は（部分的に）いくつか取り上げてきたが、今回は、ドメイン環境で推奨されるWindowsファイアウォールのグループポリシー設定をすべてまとめて解説しておく。

操作方法

●グループポリシー管理ツールを用意する

　グループポリシーを編集するには［管理ツール］に含まれる［グループ ポリシー管理］ツールを利用するが、これらはデフォルトではWindows Server 2008以降のサーバOSにしか用意されていない。Windows XPやWindows Vista、Windows 7のようなクライアントOS、およびWindows Server 2003を利用している場合は、以下のTIPS記事などを参考に、管理ツールをインストールしておく。

• TIPS「グループポリシー管理を強力に支援するGPMCを活用する」
• TIPS「サーバ用管理ツールをクライアントPCにインストールする」
• TIPS「RSATツールでWindows Server 2008をリモート管理する」

●編集対象のグループポリシー

　Windowsファイアウォールを制御するグループポリシーは、［コンピュータの構成］−［管理用テンプレート］−［ネットワーク］−［ネットワーク接続］−［Windows ファイアウォール］にある（Windows 7／Server Server 2008 R2以降の場合は［コンピュータの構成］−［ポリシー］−［管理用テンプレート］−［ネットワーク］−［ネットワーク接続］−［Windows ファイアウォール］）。

Windowsファイアウォールを設定するためのグループポリシー
Windowsファイアウォールのためのグループポリシー。これはWindows 7／Windows Server 2008 R2での例。2つのプロファイルがあるので、これらを設定する。
　 （1）ドメイン接続時に使用されるプロファイル。
　 （2）ドメインからオフラインの状態で利用されるプロファイル。

　なお、Windows Vista／Windows Server 2008以降のグループポリシーには、新しく［コンピュータの構成］−［Windowsの設定］−［セキュリティの設定］−［セキュリティが強化されたWindowsファイアウォール］という項目もあるが、これは、Windowsファイアウォール後継の「セキュリティが強化されたWindowsファイアウォール」に対応するグループポリシー項目である。リモート管理するだけなら、こちらは使わなくてもよい（連載 Vistaの地平 第15回「進化したWindows Vistaのファイアウォール機能（後編）」参照）。

●2つのプロファイル

　「Windows ファイアウォール」の下には「ドメイン プロファイル」と「標準プロファイル」という2つのプロファイル項目があるが、いずれもドメインに参加しているPCでのみ有効なプロファイルである（そもそもドメインに参加していないとグループポリシーは利用できないが）。ドメインプロファイルはドメインネットワークに直接接続されてオンラインになっている状態、標準プロファイルはドメインネットワークから切り離されてオフラインになっている状態でのみ有効となる。後者は例えばドメインに参加しているノートPCを外へ持ち出して、ドメインコントローラと通信ができないような状態で適用される。この状態では公衆無線LANや社外のインターネットに接続している状態であろうから、より厳しいセキュリティ設定にしておく必要がある。以下の記事も参照していただきたい。

• TIPS「Windowsファイアウォールのプロファイルを知る」
• 連載 Vistaの地平 第14回「進化したWindows Vistaのファイアウォール機能」
• 連載 Windows 7新時代 第9回「Windows 7のファイアウォール機能」

●ドメインプロファイルにおける推奨設定

　それでは以下、各項目についてその推奨する設定について見ていく。なおグループポリシーの項目名は、Windows XP／Windows Server 2003以前とWindows Vista／Windows Server 2008以降で少し異なるが、ここではWindows 7／Windows Server 2008 R2での例を示しておく。たとえ項目名は異なっていても、その意味するところは変わらない。

■「ローカル プログラムの例外を許可する」→未構成／有効／無効

　Windowsファイアウォールでは、デフォルトでは外部からの着信はブロックされるが、これに対して「例外」を定義すると、外部からの着信を受け付けるようになる。つまり、外部から接続されるサービスを定義できる。

　この項目を有効もしくは未構成にすると、ローカルPCの管理者はサービスを公開するプログラム（つまり「例外」に設定するプログラム）を追加／削除できる。これはデフォルトの状態である。無効にすると、プログラムの例外を定義できなくなる。

■「着信プログラムの例外を定義する」→未構成／有効／無効

　ここでは、例外として認めるプログラムのパスや接続を許可するネットワークアドレスなどを定義する。Windowsファイアウォールの設定画面における「例外」タブの内容に相当する。例えば「%programfiles%\myapp\myapp.exe:LocalSubNet,192.168.0.0/16:enabled:my server application」といった定義列を追加する。運用「システム管理者のためのXP SP2展開計画　第2回 Windowsファイアウォールの管理　3．netshによる設定」が参考になるだろう。

■「ローカル ポートの例外を許可する」→未構成／有効／無効

　この項目を有効もしくは未構成にすると、ローカルPCの管理者は着信を許可するポートを追加／削除できる。これはデフォルトの状態である。無効にすると、ポートの例外を定義できなくなる。

■「着信ポートの例外を定義する」→未構成／有効／無効

　ここでは、例外として認めるポート番号や接続を許可するネットワークアドレスなどを定義する。Windowsファイアウォールの設定画面における「例外」タブの内容に相当する。例えば「520:udp:LocalSubNet,192.168.0.0/16:enabled:RIP listener」といった定義列を追加する（これはRIPリスナーポートの追加例。TIPS「RIPプロトコルでルーティング情報を受信する（クライアント編）」参照）。

■「着信 UPnP フレームワークの例外を許可する」→未構成／無効

　ネットワーク上に機器が接続されたり、サービスが起動した場合に、それを通知したり、制御したりする機能である（ハードウェアのプラグアンドプレイのネットワーク版）。家庭内でUPnPを使ったルータやメディアサーバ、メッセンジャーサービスなどを使う場合は必要だろうが、企業用途ではあまり使うことはないだろう。未構成のままか、無効にしておく。

■「着信ファイルとプリンタの共有の例外を許可する」→未構成／有効

　ファイル共有を利用する（フォルダを公開する）場合は、各PCで共有フォルダを設定するだけでなく、これを有効にしてほかのPCからもアクセスできるようにしておく。ただしセキュリティのため、接続を許可するアドレスなどは厳密に指定するべきである。

■「着信リモート デスクトップの例外を許可する」→未構成／有効／無効

　リモートデスクトップ接続を有効にするかどうかを定義する。これを有効にし、さらにリモートデスクトップ接続のポリシーも有効にしておくと（TIPS『リモートから「リモート デスクトップ」を許可する』参照）、外部からリモートデスクトップ接続してメンテナンスするなどの操作が行える。

■「着信リモート管理の例外を許可する」→有効

　「コンピュータの管理」ツールなどで接続して、システムを管理するためにはこの項目を有効にしておく。ただしセキュリティのため、接続を許可するアドレスなどは厳密に指定するべきである。以下の記事も参照のこと。

• TIPS「XP SP2のファイアウォールでリモート管理を有効にする」
• TIPS「セキュリティが強化されたWindowsファイアウォールでリモート管理を有効にする」
• TIPS「リモート管理機能のスコープ設定に注意」

■「ICMPの例外を許可する」→有効

　pingコマンドへの応答や、エラーなどを通知するためのICMP通信を許可するかどうかを定義する。ネットワーク管理者からみると、pingコマンドへの応答を行う「着信エコー要求を許可する」だけは少なくとも有効にしておきたい。それ以外の項目はネットワーク環境次第であるが、ダイナミックなルーティングを行っている場合は「リダイレクトを許可する」も有効にしておいてよいだろう。以下の記事も参照していただきたい。

• TIPS「Windows XPのファイアウォール機能を活用する」
• TIPS「Windows Vistaのファイアウォールでpingへの応答を許可する」
• TIPS「ICMPリダイレクト使用時のファイアウォール設定に注意」

■「すべてのネットワーク接続の保護」→有効／未構成

　Windowsファイアウォール／セキュリティが強化されたWindowsファイアウォールを有効にするかどうかの定義である（デフォルトではオンになっているはずである）。有効にすると、すべてのネットワークインターフェイス上でファイアウォールが有効になる。

■「マルチキャストまたはブロードキャスト要求に対する応答を禁止する」→未構成／有効／無効

　ネットワーク上で稼働しているノードを簡単に調べる方法として、マルチキャストやブロードキャストアドレスをあて先にしたpingを利用することがある（複数のノードから応答が帰ってくるので、その存在が判明する）。だがこれは、しばしばネットワークに負荷を与える攻撃に利用されることがある。管理上の必要性があるなら使ってもよいだろうが、インターネットに接続しているような環境では無効にしておく。有効にすると、そのような応答はすべてブロックされるが、無効もしくは未構成の場合は3秒間だけ許可され、その後はブロックされる。

■ログの記録を許可する→未構成／有効

　トラブル時にログの解析をするつもりならログの記録を有効にしておくとよい。とはいえ、通常は「ドロップ」パケットのログさえあれば十分なので、「成功」のログは記録しないようにしておく。

■「通知を禁止する」→未構成／有効／無効

　ファイアウォールを越えて外部へ通信が行われ、それがさらに外部からアクセスされるようなプログラムの場合、デフォルト（未構成）では通信を許可するか、ブロックするか、後で確認するかといったダイアログが表示されるが、その通知を出さないようにするかどうかを設定する。ユーザーが知らないうちに通信を許可してしまう可能性があるので、セキュリティを重視するなら有効にしておく。しかしユーザーの操作に任せるなら未構成か無効にする。

■「例外を許可しない」→未構成／有効／無効

　有効にすると、ファイアウォールの例外が定義できなくなる（Windowsファイアウォールの「例外」タブがすべて無効になる）。外部からの通信をすべて禁止し、許可もさせないなら有効にするとよいが、そのままではいくらかのサービスが利用できなくなる可能性があることに注意する。

●標準プロファイルにおける推奨設定

　標準プロファイルは、ドメイン非接続環境における設定を定義するポリシーである。この状態になるということは、例えばノートPCを外部へ持ち出しているといった状況が考えられるので、なるべく厳しく外部からの通信を禁止する。具体的には、上記の項目のうち、

• 「すべてのネットワーク接続の保護」
• 「マルチキャストまたはブロードキャスト要求に対する応答を禁止する」
• 「通知を禁止する」
• 「例外を許可しない」

を有効にし、それ以外のものは未構成や無効などに設定するのがよい（ただし「通知を禁止する」と「例外を許可しない」は、使用するアプリケーションなどによって許可してもよい）。ファイル共有や管理用ポートはもちろんのこと、ICMPもすべて禁止しておく。

「Tech TIPS」