特集
Windows Server 2003 SP1レビュー

第4回 ネットワーク・セキュリティを実現する「Windowsファイアウォール」

2.Windowsファイアウォールの設定

デジタルアドバンテージ 打越 浩幸
2005/06/03

Windowsファイアウォールの基本的な設定方法

 Windows Server 2003 SP1のWindowsファイアウォールを設定するには、以下の手順で行うとよい。

■ステップ1――システム状態の事前確認とサービスのインストール
 先に述べたように、Windowsファイアウォールはほかのファイアウォール製品やRRASとは共存できないので、それらが動作していないことを確認しておく。また、ファイアウォールの設定を行う前に、あらかじめサーバ上で稼働させる予定のサービスやネットワーク・コンポーネントをすべて導入して、設定を済ませておく。セキュリティ構成ウィザードは、現在稼働中のサービスを元にファイアウォール・ルールを設定するからだ。

■ステップ2――ファイアウォールを有効にする
 コントロール・パネルにある「Windowsファイアウォール」アプレットを起動し、[全般]タブにある[有効]を選択する。最初に起動する場合は次のようなダイアログが表示されるので、[OK]を押してWindowsファイアウォールのサービスを開始する。

Windowsファイアウォールの開始
Windows Server 2003 SP1をインストールしても、初期状態ではWindowsファイアウォールは有効になっていない。サーバでは多くのサービスが稼働しているため、適切な設定なしにファイアウォールを有効にすると、サービスが利用できなくなるというトラブルが発生する可能性があるからだ。そして最初にWindowsファイアウォールを起動しようとすると、このようなダイアログが表示される。
  これをクリックして、Windowsファイアウォール・サービスの開始を許可する。

■ステップ3――Windowsファイアウォールの例外設定
 次はWindowsファイアウォール・ルール(例外ルール)を設定する。このためには、あらかじめ調べておいたファイアウォール・ルールを手動で設定したり、netshを使ってコマンド・プロンプトから設定したり、セキュリティ構成ウィザードを使って設定を行ったりする。目的別/サービス別の実際の使用ポートなどの情報については、以下の情報などを参考にしていただきたい。

■ステップ4――Windowsファイアウォールの詳細設定
 Windowsファイアウォールのログ採取や、ICMPの設定、インターフェイスごとの個別設定などを行うには、さらに[詳細設定]タブを使って設定を行う。

監査機能によるポート/サービスのモニタ

 Windowsファイアウォールを設定するためには、あるサービスがどのポート番号を利用しているのか、どのプログラム・ファイルがどのようなポートをリッスンしようとしているのかなどを知っておく必要がある。代表的なプログラムやサーバ製品については上記のドキュメントなどからも知ることができるが、サード・パーティ製品の場合や特別にカスタマイズしたソフトウェアの場合は自分で調査しなければならない。調査方法としては、例えばWindowsファイアウォールのログ・ファイルを調査する、ネットワーク・モニタなどでパケットをキャプチャして調査する、コマンド・プロンプトで「netstat -anbv」を使ってポートやファイル名を表示させるなどの方法がある。また、セキュリティ・ポリシーを変更して、ポートのオープン/クローズ動作を監査するという方法もある。

 ポートの動作を監査するには、[管理ツール]の[ローカル セキュリティ ポリシー]を開き(もしくはグループ・ポリシー・エディタで監査したいグループ・ポリシー・オブジェクトを開く)、[Windowsの設定]−[セキュリティの設定]−[ローカル ポリシー]−[監査ポリシー]を開く。そして[プロセス追跡の監査]と[ポリシーの変更の監査]のポリシー設定を[有効]にすればよい。

ポリシーの監査の設定画面
サービスによってどのポートが実際に利用(リッスン)されているのかを調べるには、Windowsファイアウォールの監査機能を有効にすればよい。
  監査ポリシーを変更する。
  これらのポリシーを変更する。
  [成功]と[失敗]の監査を有効にする。

 これらの監査を有効にすると、ポートのオープン/クローズの情報がイベント・ログの[セキュリティ]ログに記録される。

イベント・ビューアに記録されたイベントの例
あるアプリケーション(lsass.exe)のプロセスが起動し、ポートがリッスン状態になった場合に記録されるイベント。
  Windowsファイアウォールの設定が変更されたことを表すイベント。
  イベントの元となったプロセス。このダイアログのさらに下の方には、リッスンしているポートの情報(UDPプロトコルのポート1252番など)が表示されている。

 ただしこの監査を有効にすると、イベント・ログには大量のイベントが記録されるので、調査が終了したら、監査を無効にした方がよい。

グループ・ポリシーによる設定

XP SP2のファイアウォール機能と管理
TIPS「Windowsファイアウォールのリモート管理を有効にする」
TIPS「リモート管理機能のスコープ設定に注意」

 Windowsファイアウォールを設定するにはいくつか方法があるが、ここではグループ・ポリシーを使う方法と、セキュリティ構成ウィザードを使う方法について触れておく。

 グループ・ポリシーを使う方法は、以前のWindows XP SP2における設定方法と同じである。具体的な設定方法については関連記事を参照していただきたい。

Windowsファイアウォールに関するGPO
Windowsファイアウォールに関するグループ・ポリシー・オブジェクト(GPO)は、[コンピュータの構成]−[管理用テンプレート]−[ネットワーク]−[ネットワーク接続]−[Windows Firewall]の下にある。2つのプロファイルがあるが、「ドメイン プロファイル」の方で定義すること。
  Windowsファイアウォールに対するGPO。これはドメイン・ネットワーク接続時に使用されるプロファイル。
  標準プロファイルは、ドメイン・ネットワークへの接続が途絶えた場合や、ワークグループ・ネットワークで利用される。
  WindowsファイアウォールのGPO。オープンしたいポートやプログラム、スコープなどを定義する。

セキュリティ構成ウィザードによる設定

 グループ・ポリシーを利用するにしろ、手動でWindowsファイアウォールの例外ルールを設定するにしろ、どのサービス(もしくはプログラム・ファイル)がどのポートを利用しているかをあらかじめ調査しておく必要がある。ファイル共有やWebサーバ(IIS)といったサービスならば簡単だが、そうでない場合はやや面倒である。各アプリケーションのドキュメントを調査したり、実際に動作しているサーバの状態を詳細に調査したりしなければならないからだ。

 だがWindows Server 2003 SP1のセキュリティ構成ウィザードを利用すれば、現在実行中のプログラムやサービスの状態を元に、適切なファイアウォール・ルールを設定できる。一度設定した構成情報はXMLファイルとして出力しておき、後でインポートしたり、ほかのサーバに適用したりできる。

 セキュリティ構成ウィザードはデフォルトではインストールされていないので、最初に[コントロール パネル]の[プログラムの追加と削除]でインストールしておく。

 このツールは、Windows Server 2003 SP1システムのセキュリティ設定を行うためのツールであり、ファイアウォールの設定や監査/ポリシーの設定、サービスの設定など、セキュリティを強化するためのさまざまな設定を行う。詳細については今後記事にする予定である。

 セキュリティ構成ウィザードを起動すると、「サーバーの役割の選択」「クライアントの機能の選択」「管理オプションとその他のオプションの選択」などを選ぶ画面が表示される。これらの画面で選択した(チェック・ボックスをオンにした)サービスに対し、ファイアウォールを通過するようなルールが作成される。もし必要ならば、接続を許可するIPアドレス(スコープ)を指定したり、複数のネットワーク・インターフェイスを持つサーバの場合は、どのインターフェイスで着信するかなどを設定したりできる。またIPSecを利用して暗号化や署名の要求なども設定することができる。

セキュリティ構成ウィザード――役割の選択
ここで選択した役割に基づいて、必要なサービスが開始されたり、ファイアウォールのルールなどが定義されたりする。
  表示する役割の選択。インストールされているもの以外に、このツールで定義されているすべての役割を表示させることもできる。すべての役割の中には、例えばBizTalk ServerやSQL Server、Exchange Serverといった、アプリケーション・サーバに対する設定なども用意されている。
  このチェック・ボックスをオンにすると、該当するサービスに対するファイアウォール・ルールが自動的に生成される。
  役割(サーバ製品)名。
  役割名とその内容、関連するサービスなどの情報。
 
セキュリティ構成ウィザード――ポートの設定
選択されたサービス名と使用するポートの情報。ポート番号に加えて、必要ならばアクセスを許可するIPアドレス(スコープ)やセキュリティ設定を施すことができる。暗号化や署名の要求をオンにすると、自動的にIPSecのポリシーなども設定される。
  制限されたポート(IPSecで保護されたポート)などに限定して表示することができる。
  これをオンにすると、該当するサービスやポートに対するファイアウォールのルールが生成される。
  ポートに関する情報。

 ウィザードで作成したセキュリティ構成情報はXMLファイルに保存され、必要ならば直ちにシステムに適用することができる。また再編集したり、ほかのサーバにエクスポートして同じ構成に設定したりもできる。

サーバ用に設定されたWindowsファイアウォール
セキュリティ構成ウィザードでセキュリティを設定後、ファイアウォールに設定を「適用」すると、このようになる。必要なプログラムやポートに対するルールが自動的に生成され、有効化されている。
  設定されたルールの一覧。
  チェック・ボックスがオンになっているサービスでWindowsファイアウォールの例外ルールが有効になる。
  グループ・ポリシーで制御している場合は、ここが[はい]になる。今回はすべてセキュリティ構成ウィザードで設定しているので、すべて[いいえ]になっている。

netshを使ったWindowsファイアウォールの設定

 ファイアウォールの構成は、netshコマンドを使って、コマンド・プロンプトから設定することもできる。telnetなどでログオンして作業するには、こちらの方が便利だろう。ただし最初にセキュリティ構成ウィザードで編集をしたのなら、以後もウィザードを使って作業した方がよい。ウィザードでは、ネットワーク設定以外のセキュリティ・ポリシーの設定なども可能になっているからだ。

INFファイルやレジストリによるファイアウォールの設定

 XP SP2のWindowsファイアウォールと同様に、Windows Server 2003 SP1でもINFファイルやレジストリの直接操作、UNATTEND.TXTファイルを使った無人インストールなどにより、自動的なファイアウォール・ルールの設定も可能である。これらの方法を利用すれば、既存環境にSP1を適用したり、Windows Server 2003 SP1(統合版)を更新インストールしてすぐに指定した構成でファイアウォールを有効にすることができる。だが、サーバではインストールするオプションやコンポーネントに応じてファイアウォールのルールを変更しなければならないことも多いので、ファイアウォールの構成を自動化するメリットはそう多くない。Windows Server 2003 SP1のインストール後、セキュリティ構成ウィザードを使ってシステム全体の設定もまとめて行うのがよいだろう。

そのほかのTCP/IP拡張機能

TIPS「netstatコマンドを使いこなす」

 Windows Server 2003 SP1のTCP/IP機能は、以前のものよりも若干機能拡張されている。ほとんどの機能拡張はWindows XP SP2でも導入されているが、以下のものはWindows Server 2003 SP1だけの機能である。

■デフォルトで有効になったSYN 攻撃保護機能
 SYN攻撃とは、TCP/IPネットワークに対するDOS攻撃の1つであり、大量のSYNパケットを送りつけて、TCP/IPプロトコル・スタックの性能低下を引き起こさせる攻撃である。SYN攻撃を検出すると、SYNに対する応答(SYN-ACKパケット)の再送頻度を低下させ、新たなSYNパケットの受け付けを拒否するなどして、性能低下を抑える。この機能はWindows XP(全SPバージョン)やWindows Server 2003(SP未適用版)にすでに実装されているが、有効化はされていなかった。Windows Server 2003 SP1では、この機能をデフォルトで有効にしてセキュリティを高めており、管理者が手動でレジストリを操作する必要がなくなった。

■SYN攻撃ヘルパーAPI
 SYN攻撃を受けていることを検出し、それをアプリケーションに通知するためのサービスAPIが新設された。

スマートTCPポート割り当て
 TCPのコネクションが終了後、TIME_WAIT状態のポートは、デフォルトでは120秒間再使用することができないという仕様がある。しかし場合によってこの間に同じポート番号が使用され、接続がエラーとなる場合があった。Windows Server 2003 SP1のTCPでは、ポートの割り当てアルゴリズムを変更し、この再使用時の衝突を避けるように改善された。End of Article


 INDEX
  [特集]Windows Server 2003 SP1レビュー
  第4回 ネットワーク・セキュリティを実現する「Windowsファイアウォール」
    1.Windowsファイアウォール機能の概要
  2.Windowsファイアウォールの設定
 
目次ページへ  「特集」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間