Microsoft Defender ファイアウォールの管理は、特に多数のコンピューターに適切に設定しようとすると、少々面倒な作業になることがあります。組み込みのファイアウォールは堅牢でカスタマイズ性も高いのですが、グループ ポリシーを使って構成する方法を知っておくことが、特に大規模ネットワークでは真価を発揮します。ドメインを運用していて、一貫したルールが必要な場合は、GPO を使って設定することで、後々面倒な手間を省くことができます。しかし、一歩間違えれば、一部のユーザーがアクセスできなくなったり、深刻な脆弱性が生じたりする可能性があるため、注意が必要です。このガイドでは、新しいルールを作成する場合でも、既存のポリシーを管理する場合でも、ファイアウォール ルールを適切に設定し、それらのポリシーをすべてのコンピューターにスムーズに適用する方法について説明します。ファイアウォールを巧みに操作して、必要なポートのみを開くようにしたり、不要なトラフィックをすべてブロックしたりする必要があります。よくあることですが、正しく行うには努力が必要です。
GPOを使用してWindowsのファイアウォール構成とルールを修正する方法
GPO経由でMicrosoft Defenderファイアウォールを有効にする
ここから作業を開始します。グループ ポリシー管理コンソールを開きます ( gpmc.mscにあります)。新しい GPO を作成し、わかりやすいようにgpoFirewallDefaultという名前を付けて編集します。内部では、ファイアウォールが自動起動するように設定して、ローカル管理者権限を持つユーザーでも無効にできないようにします。[コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [システム サービス]で、Windows ファイアウォール を見つけます。スタートアップの種類を[自動]に変更します。こうすることで、再起動時にファイアウォールが起動し、オンのままになります。また、ユーザーがサービスを停止できないようにします。これにより、悪意のある管理者が保護を無効にするのを防ぐことができます。おまけとして、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [ネットワーク] > [ネットワーク接続] > [Windows Defender] > [ファイアウォール] > [ドメイン プロファイル]に移動して、 [Windows Defender ファイアウォール: すべてのネットワーク接続を保護する]を有効にします。ああ、ドメイン、プライベート、パブリック プロファイル (Windows 固有のもの) のファイアウォールをオンにすることを忘れないでください。
正常に動作しているかどうかを確認するには、 を編集してログ記録を有効にすることができます%systemroot%\system32\logfiles\firewall\pfirewall.log。これは、トラブルシューティングやネットワークの異常な動作を把握したい場合に非常に便利です。設定によっては、ファイアウォールの設定を微調整しないとログがほとんど記録されない場合があるので、設定しておく価値はあります。
GPOを使用して新しいWindowsファイアウォールルールを作成する
ネットワークトラフィックを制御するための新しいルールを追加したいですか?「コンピューターの構成」>「Windowsの設定」>「セキュリティの設定」>「セキュリティが強化されたWindowsファイアウォール」に進みます。ここでは、受信ルール、送信ルール、接続セキュリティルールなど、豊富なオプションから選択できます。一般的なタスクとしては、TCPポート3389経由のRDPを許可することが挙げられますが、ニーズに合わせてルールを作成する必要があります。
「受信の規則」を右クリックし、「新しい規則」を選択します。ウィザードはローカルファイアウォールの規則と似ていますが、ドメインレベル向けにカスタマイズされています。規則の種類を選択する際は、以下から選択できます。
- プログラム– 特定の実行ファイルの場合、
- ポート– TCP/UDPポートの場合、
- 定義済み– 一般的なWindowsサービス用
- カスタム– プロトコルと IP 範囲をより細かく制御します。
あなたの場合は、「ポート」を選択し、「TCP」を選択し、 RDPに3389を入力します。次に、その接続をどのように処理するかを選択します。「許可する」、「安全な場合は許可する」、「ブロックする」のいずれかを選択します。通常は、特定のプロファイルでRDPの受信を許可するかどうかを選択します。
適用するプロファイルを選択します(通常は3つすべて)。次に、ルールに「RDPを許可」などの名前を付けます。万全を期したい場合は、ポート3389のUDPルールも作成してください。現在、一部のシステムではRDPにUDPが使用されているためです。必要に応じて、他のポートやサービスについても繰り返します。
スクリプトのほうが好みであれば、次のようなテキスト行を使用してルールを一括で追加することもできます。
3389:TCP:localsubnet:enabled:In_RDP_TCP 3389:UDP:localsubnet:enabled:In_RDP_UDP 445:TCP:localsubnet:enabled:In_SMB_TCP
GPOにインポートして、受信ポートの例外ポリシーを定義します。テキストで記述することで、特に大規模な構成の場合、複数のルールの展開が速くなります。
適切なPCにファイアウォールルールを導入する
この部分は非常に簡単ですが、非常に重要です。GPOを正しいOUにリンクする必要があります。OUを右クリックし、「既存のGPOのリンク」を選択します。作成したルールセットを選択します。ただし、ネットワーク全体に展開する前に、必ず数台のマシンでテストしてください。ルールを間違えると、誤ってアクセスをブロックしたり、ポートを開いたままにしたりしてしまう可能性があります。
リンク後、gpupdate /force対象マシンで実行してください(または自動更新させてください)。PowerShellのTest-NetConnectionやPortqryなどのツールを使用して、ポートが意図したとおりに開いているかブロックされているかを確認してください。まだ設定されていない場合は、「コントロールパネル」>「システムとセキュリティ」>「Windows Defenderファイアウォール」でローカルファイアウォールの設定を確認してください。新しいルールは設定済みで、適用されており、ユーザーが変更できない状態になっているはずです。
クイックチェックとして、Get-NetFirewallRule -Action Allow -Enabled True -Direction Inbound | Format-Table...何がアクティブになっているか確認するには、実行してみてください。すべてのルールが適切に適用され、必要な厳しさが保たれていることを確認してください。
ファイアウォール設定をエクスポートおよびインポートする方法
複数の設定でルールを再利用したり、バックアップしたりする予定ですか?Windows ファイアウォールはポリシーをエクスポートできます。Windows Defenderファイアウォールの高度なセキュリティコンソールを開いて、メニューから「アクション」>「ポリシーのエクスポート」を選択します。設定をファイルとして保存しておくと、必要に応じて他のマシンにインポートしたり、 「ポリシーのインポート」を選択して設定を復元したりできます。ベースイメージを構築したり、複数のシステムを一度にアップデートしたりする場合に役立ちます。
ドメインルールとローカル設定を組み合わせる
ユーザーや管理者にある程度自由度を与えつつ、ドメインレベルでは厳格な制御を維持したい場合があります。GPOには、Windowsファイアウォールの「受信ポートの例外を定義する」ポリシーの下に、ルールのマージに関する設定があります。ローカルルールの作成を有効または無効にしたり、ローカルルールをドメインルールに上書き、マージ、またはブロックするかどうかを決定したりできます。理由は定かではありませんが、一部の設定ではローカルルールが優先されるため、厳格なポリシーを適用したい場合は、これらの設定をよく確認してください。
ヒント: 優先順位をしっかり把握してください。ブロック ルールは許可ルールよりも優先されますが、ローカルの「拒否」ルールが紛れ込む可能性もあります。これは、いわば「何を許可するか注意する」状況です。
まとめ
- 特にドメイン セキュリティの場合は、ファイアウォールを GPO 経由で自動的に起動するように設定します。
- ウィザードまたは一括テキストインポートを使用して、特定のポートまたはサービスに対するルールを作成します。
- GPO を正しい OU にリンクし、ポリシーの更新を強制して、ポートが開いている (または閉じている) ことを確認します。
- 構成をまとめてバックアップまたは展開するには、エクスポート/インポートを使用します。
- 予期せぬ事態を避けるために、GPO でローカル ルールとドメイン ルールを管理します。
まとめ
Windows DefenderファイアウォールをGPOで適切に設定するのは、それほど難しいことではありませんが、綿密な計画が必要です。一部のマシンでは、これらのポリシーがすぐに適用されなかったり、再起動が必要になったりするため、テストが重要です。動作を確認せずにルールを適当に導入しないでください。危険なものをブロックし、必要な情報を通過させる設定ができれば、基本的に問題ありません。ただし、今少し辛抱強く待つことで、後で多くの面倒な問題を回避できることを覚えておいてください。この記事が、誰かのネットワークをより安全で適切に管理するのに役立つことを願っています。