運用
システム管理者のためのXP SP2展開計画

第2回 Windowsファイアウォールの管理

4.グループ・ポリシーによる設定

デジタルアドバンテージ
2004/09/30

 グループ・ポリシーによる設定は、ドメイン環境における最も柔軟で、かつ管理者の手間のかからない方法である。netshやINFファイル、レジストリによる設定などは、結局のところ各クライアント・コンピュータに対して個別に設定を行う必要があるし、設定が変更しようとしても容易には再設定できない。またクライアント・コンピュータ側で設定が変更されてもそれを検出して・再修正もできないなど、ファイアウォール設定を中央で集中管理したい場合には重大な問題がある。また、グループ・ポリシーの適用処理は、クライアント側からドメイン・コントローラに対する通信によって行われるので、Windowsファイアウォールにブロックされることはない。すでにXP SP2を導入していても、クライアント側の設定を変更する必要はない。可能な限り、Active Directoryドメインを導入して、クライアント・コンピュータの管理を集中的に行うようにしたい。

 グループ・ポリシー(やnetsh)を使った設定例については次のドキュメントに詳しいのでそちらも参照してほしい。

管理用テンプレートの更新とグループ・ポリシーの編集

 XP SP2では、グループ・ポリシーの管理にかかわる管理用テンプレートがいくつか更新されている。XP SP2のWindowsファイアウォールに関するグループ・ポリシーを設定するためには、この新しいテンプレートが必要になる。

最新の管理用テンプレート
XP SP2ではグループ・ポリシーのための管理用テンプレートがいくつか更新されている。これはグループ・ポリシー・エディタでテンプレートの変更日付を確認しているところ。すべて2004年7月もしくは8月になっている(wuauはXP SP2のものよりもさらに新しくなっている)。グループ・ポリシー・エディタを開き、[コンピュータの構成]−[管理用テンプレート]を右クリックしてポップアップ・メニューから[テンプレートの追加と削除]を選択すると表示される。
  XP SP2に含まれる管理用テンプレート。日付がXP SP2に含まれるファイルと同じになっている。

 ドメインに新しい管理用テンプレートを導入するにはいくつか方法があるが(ドメイン・コントローラの%windir%\INFフォルダなどにコピーしてから、一度編集するなど)、いちばん簡単な方法としては、ドメインのメンバーとなっているWindows XP ProfessionalマシンにXP SP2を適用し、さらにグループ・ポリシー管理コンソール(GPMC)を使ってグループ・ポリシー・オブジェクト(以下GPO)を編集することである(GPMCの導入についてはWindows TIPS「グループ・ポリシー管理を強力に支援するGPMCを活用する」を参照のこと)。(既存のすべての)GPOを一度編集することにより、自動的に最新の管理用テンプレートがドメイン・コントローラへとコピーされ、それが適用される。

 一度ドメインの管理用テンプレートが更新されれば、あとは管理ツールにあるグループ・ポリシー・エディタで編集することができるが、エディタのバージョンによっては、次のようなメッセージが次々と表示されることがある。

グループ・ポリシー・エディタのエラー
グループ・ポリシー・エディタでXP SP2の新しい管理用テンプレートを開こうとすると、このようなエラー・メッセージ([strings] セクションの次のエントリが長すぎて切り詰められました)が何度も表示されることがある。エディタのバージョンが古いのが原因なので、パッチを適用する。
  このようなエラー・メッセージが何度も表示される。
  エラーを起こした文字列の内容。
  これをクリックしても、次のエラー・メッセージがまた表示される。

 これは、新しい管理用テンプレートに含まれている文字列が長すぎて、古いグループ・ポリシー・エディタでは扱えないという意味のエラーである。この問題を修正するには、以下のサポート技術情報に用意されているパッチを適用すればよい。

 Windows Small Business Server 2003の場合は、さらに以下のサポート技術情報も適用していただきたい。

WindowsファイアウォールのGPO

 ここではグループ・ポリシー管理コンソールを使って、Windowsファイアウォールに関する設定を行ってみよう。まず編集の対象となるGPOを選択する。ここではドメインのデフォルトのGPOである「Default Domain Policy」を編集してみる。

GPMCによるグループ・ポリシーの編集
編集したいグループ・ポリシーを選択して、[編集]を実行する。GPMCでは、どこにグループ・ポリシーが定義されているのかが、従来のActive Directoryの管理ツールよりも分かりやすくなっている。
  編集したいグループ・ポリシーを選択する。
  これを選択して編集する。

 Windowsファイアウォールに関するGPOは、[コンピュータの構成]−[管理用テンプレート]−[ネットワーク]−[ネットワーク接続]−[Windows Firewall]に存在する。この中には、ドメイン・プロファイルと標準プロファイルのそれぞれに対応するオブジェクトが用意されている。

Windowsファイアウォールに関するGPO
XP SP2以降では、GPOが拡張され、Windowsファイアウォールに関する設定が行えるようになっている。
  WindowsファイアウォールのGPO。
  ドメイン・プロファイルのGPO。
  標準プロファイルのGPO。
  項目。
  値設定。[未構成]のままだと、XP SP2インストール時のデフォルトのままになる。

ファイル共有サービスを例外に設定する例

 それではイントラネットでの利用を前提にして、ファイル共有サービスを有効にしてみよう。

 上の画面において、[Windows ファイアウォール: ファイルとプリンタの共有の例外を許可する]の行をダブルクリックすると、次のダイアログが表示される。

GPOの例
これは[ファイルとプリンタの共有]に関するGPO。設定内容そのものはほかの手段で設定する場合と同じである。ネットワーク・アドレスの表記方法や列挙方法なども同じ。
  詳しい説明を見るにはこれを選択する。XP SP2のヘルプなどよりも、詳しく記述されている。
  デフォルトのままにする場合はこれを選択する。
  このGPOを有効にする、つまり[ファイルとプリンタの共有]の例外を有効にし、外部からファイルにアクセスできるようにする。
  このGPOを無効にする。つまり外部からファイルへはアクセスできないようにする。[未構成]の場合と違って、たとえ管理者権限を持っていても、共有を許可することはできなくなる。
  パケットの送信元のネットワーク・アドレスを限定する場合は、ここにアドレスを列挙する。空白のままだと「*」と同じとみなされ、すべてネットワークからのアクセスが許可される。

 この例外ルールを有効にするには、まず[有効]というオプションを選択し、さらに必要ならばアクセス(着信)を許可するネットワーク・アドレスを指定する。ここを空白のままにすると、「*」と同じ扱いになり、任意のIPアドレスからの着信が許可されるようである。

 [ファイルとプリンタ共有]のほかに[リモート デスクトップ接続]も有効化し、さらに[UPnP フレームワーク]と[ローカル ポートの例外を許可する]も無効化した状態で、クライアント・コンピュータにログオンしたのが次の画面である。

グループ・ポリシーによって制御されたWindowsファイアウォール
グレーアウトしている項目はグループ・ポリシーによって制御されていることを表している。[リモート アシスタンス]の有効/無効はグループ・ポリシーでは制御できないので(リモート・アシスタンスを含む、すべての例外プログラムを無効にすることは可能だが、これだけを単独で無効にはできない)、この部分はユーザーが制御することができる。
  ファイル共有とリモート・デスクトップはグループ・ポリシーでチェックをオンにしている。
  グレーになっている項目はグループ・ポリシーで制御されている。
  この[グループ ポリシー]という項目(および見出し文字列)は、Windowsファイアウォール関連のGPOが定義されていない場合や、非ドメイン環境の場合には表示されない。[はい]の項目は、GPOによって制御されていることを示す。
  ポートの追加も無効にしているので、ボタンがグレーになっていて、クリックすることはできない。

 グループ・ポリシーによってWindowsファイアウォールが制御されている場合は、このように文字列がグレーアウト状態にあり、ユーザーによって変更できないことを表している。

そのほかのGPO項目

 単純なプロトコルの有効/無効の選択のほかに、GPOでは例えば例外ポートの指定や、例外プログラムの指定も行うことができるが、これらの書式はnetshやINFファイル/レジストリで指定する場合と同じなので省略する。

リモート管理のGPO

 なお、GPOに[Windows ファイアウォール: リモート管理の例外を許可する]という項目があるが、これは管理目的のために特別に用意されている機能である。通常Windowsコンピュータの管理目的のためには、WMI(Windows Management Instrumentation)のような、MS-RPCやDCOMインターフェイスなどを利用したサービスが使われるが、これらを利用するためには、ポート135番(MS-RPC)や445番(ファイル共有サービス)、そしてRPCのために1024番以上のいくつかの動的ポートを通す必要がある。

 [リモート管理の例外を許可する]というGPOを有効にすると、リモート管理が行えるように、ポート445番や135番、および関連するポートがオープンになる。ただし純粋に管理専用というわけではなく、副作用として(というと少々語弊があるが)同じポートを使っているファイル共有も有効になる。逆に[ファイルとプリンタ共有]のGPOだけを有効にしても、ファイル共有は利用できるが、WMIなどを使った管理ツールは動作しない。

 具体的には、例えば[管理ツール]−[コンピュータの管理]ツールでXP SP2をインストールしたコンピュータへ接続してみればよい。イベント・ビューアなど、ほとんどのツールは[ファイルとプリンタ共有]さえ許可されていれば利用できるが、[WMI コントロール]を呼び出すには、[ファイルとプリンタ共有]ではなく、[リモート管理の例外]を有効にしていなければならない。

リモート管理の例
  これらのサービスは[ファイルとプリンタ共有]が有効になっていれば利用できる。
  WMIによる管理ツール。
  これを選択すると、WMIサービスへ接続しようとするが(MS-RPCのポート135番へ接続しようとする)、[ファイルとプリンタ共有]GPOではMS-RPCへのアクセスを許可していないので、失敗する。[リモート管理]GPOが有効になっていると成功する。

 このリモート管理を許可するための設定は、GUIベースのツールでは行うことはできない。以上のようにGPOを使うか、netsh(前ページ参照)やレジストリ、INFファイルを使って指定する必要がある。前出のドキュメント(「Microsoft Windows XP Service Pack 2 における Windows ファイアウォール用 INF ファイルの使用」)にある、RemoteAdminSettingsの説明も参照してほしい。End of Article

関連記事
  Windows TIPS:XP SP2のファイアウォールでリモート管理を有効にする(Windows Server Insider)
     
 

 INDEX
  [運用]システム管理者のためのXP SP2展開計画
  第2回 Windowsファイアウォールの管理
    1.Windowsファイアウォールの管理方法
    2.INFファイル/レジストリによる設定
    3.netshによる設定
  4.グループ・ポリシーによる設定

 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間