特集
|
|
|
Windowsファイアウォールの基本的な設定方法
Windows Server 2003 SP1のWindowsファイアウォールを設定するには、以下の手順で行うとよい。
■ステップ1――システム状態の事前確認とサービスのインストール
先に述べたように、Windowsファイアウォールはほかのファイアウォール製品やRRASとは共存できないので、それらが動作していないことを確認しておく。また、ファイアウォールの設定を行う前に、あらかじめサーバ上で稼働させる予定のサービスやネットワーク・コンポーネントをすべて導入して、設定を済ませておく。セキュリティ構成ウィザードは、現在稼働中のサービスを元にファイアウォール・ルールを設定するからだ。
■ステップ2――ファイアウォールを有効にする
コントロール・パネルにある「Windowsファイアウォール」アプレットを起動し、[全般]タブにある[有効]を選択する。最初に起動する場合は次のようなダイアログが表示されるので、[OK]を押してWindowsファイアウォールのサービスを開始する。
■ステップ3――Windowsファイアウォールの例外設定
次はWindowsファイアウォール・ルール(例外ルール)を設定する。このためには、あらかじめ調べておいたファイアウォール・ルールを手動で設定したり、netshを使ってコマンド・プロンプトから設定したり、セキュリティ構成ウィザードを使って設定を行ったりする。目的別/サービス別の実際の使用ポートなどの情報については、以下の情報などを参考にしていただきたい。
■ステップ4――Windowsファイアウォールの詳細設定
Windowsファイアウォールのログ採取や、ICMPの設定、インターフェイスごとの個別設定などを行うには、さらに[詳細設定]タブを使って設定を行う。
監査機能によるポート/サービスのモニタ
Windowsファイアウォールを設定するためには、あるサービスがどのポート番号を利用しているのか、どのプログラム・ファイルがどのようなポートをリッスンしようとしているのかなどを知っておく必要がある。代表的なプログラムやサーバ製品については上記のドキュメントなどからも知ることができるが、サード・パーティ製品の場合や特別にカスタマイズしたソフトウェアの場合は自分で調査しなければならない。調査方法としては、例えばWindowsファイアウォールのログ・ファイルを調査する、ネットワーク・モニタなどでパケットをキャプチャして調査する、コマンド・プロンプトで「netstat -anbv」を使ってポートやファイル名を表示させるなどの方法がある。また、セキュリティ・ポリシーを変更して、ポートのオープン/クローズ動作を監査するという方法もある。
ポートの動作を監査するには、[管理ツール]の[ローカル セキュリティ ポリシー]を開き(もしくはグループ・ポリシー・エディタで監査したいグループ・ポリシー・オブジェクトを開く)、[Windowsの設定]−[セキュリティの設定]−[ローカル ポリシー]−[監査ポリシー]を開く。そして[プロセス追跡の監査]と[ポリシーの変更の監査]のポリシー設定を[有効]にすればよい。
ポリシーの監査の設定画面 | |||||||||
サービスによってどのポートが実際に利用(リッスン)されているのかを調べるには、Windowsファイアウォールの監査機能を有効にすればよい。 | |||||||||
|
これらの監査を有効にすると、ポートのオープン/クローズの情報がイベント・ログの[セキュリティ]ログに記録される。
イベント・ビューアに記録されたイベントの例 | ||||||
あるアプリケーション(lsass.exe)のプロセスが起動し、ポートがリッスン状態になった場合に記録されるイベント。 | ||||||
|
ただしこの監査を有効にすると、イベント・ログには大量のイベントが記録されるので、調査が終了したら、監査を無効にした方がよい。
グループ・ポリシーによる設定
|
Windowsファイアウォールを設定するにはいくつか方法があるが、ここではグループ・ポリシーを使う方法と、セキュリティ構成ウィザードを使う方法について触れておく。
グループ・ポリシーを使う方法は、以前のWindows XP SP2における設定方法と同じである。具体的な設定方法については関連記事を参照していただきたい。
Windowsファイアウォールに関するGPO | |||||||||
Windowsファイアウォールに関するグループ・ポリシー・オブジェクト(GPO)は、[コンピュータの構成]−[管理用テンプレート]−[ネットワーク]−[ネットワーク接続]−[Windows Firewall]の下にある。2つのプロファイルがあるが、「ドメイン プロファイル」の方で定義すること。 | |||||||||
|
セキュリティ構成ウィザードによる設定
グループ・ポリシーを利用するにしろ、手動でWindowsファイアウォールの例外ルールを設定するにしろ、どのサービス(もしくはプログラム・ファイル)がどのポートを利用しているかをあらかじめ調査しておく必要がある。ファイル共有やWebサーバ(IIS)といったサービスならば簡単だが、そうでない場合はやや面倒である。各アプリケーションのドキュメントを調査したり、実際に動作しているサーバの状態を詳細に調査したりしなければならないからだ。
だがWindows Server 2003 SP1のセキュリティ構成ウィザードを利用すれば、現在実行中のプログラムやサービスの状態を元に、適切なファイアウォール・ルールを設定できる。一度設定した構成情報はXMLファイルとして出力しておき、後でインポートしたり、ほかのサーバに適用したりできる。
セキュリティ構成ウィザードはデフォルトではインストールされていないので、最初に[コントロール パネル]の[プログラムの追加と削除]でインストールしておく。
このツールは、Windows Server 2003 SP1システムのセキュリティ設定を行うためのツールであり、ファイアウォールの設定や監査/ポリシーの設定、サービスの設定など、セキュリティを強化するためのさまざまな設定を行う。詳細については今後記事にする予定である。
セキュリティ構成ウィザードを起動すると、「サーバーの役割の選択」「クライアントの機能の選択」「管理オプションとその他のオプションの選択」などを選ぶ画面が表示される。これらの画面で選択した(チェック・ボックスをオンにした)サービスに対し、ファイアウォールを通過するようなルールが作成される。もし必要ならば、接続を許可するIPアドレス(スコープ)を指定したり、複数のネットワーク・インターフェイスを持つサーバの場合は、どのインターフェイスで着信するかなどを設定したりできる。またIPSecを利用して暗号化や署名の要求なども設定することができる。
セキュリティ構成ウィザード――役割の選択 | ||||||||||||
ここで選択した役割に基づいて、必要なサービスが開始されたり、ファイアウォールのルールなどが定義されたりする。 | ||||||||||||
|
セキュリティ構成ウィザード――ポートの設定 | |||||||||
選択されたサービス名と使用するポートの情報。ポート番号に加えて、必要ならばアクセスを許可するIPアドレス(スコープ)やセキュリティ設定を施すことができる。暗号化や署名の要求をオンにすると、自動的にIPSecのポリシーなども設定される。 | |||||||||
|
ウィザードで作成したセキュリティ構成情報はXMLファイルに保存され、必要ならば直ちにシステムに適用することができる。また再編集したり、ほかのサーバにエクスポートして同じ構成に設定したりもできる。
サーバ用に設定されたWindowsファイアウォール | |||||||||
セキュリティ構成ウィザードでセキュリティを設定後、ファイアウォールに設定を「適用」すると、このようになる。必要なプログラムやポートに対するルールが自動的に生成され、有効化されている。 | |||||||||
|
netshを使ったWindowsファイアウォールの設定
ファイアウォールの構成は、netshコマンドを使って、コマンド・プロンプトから設定することもできる。telnetなどでログオンして作業するには、こちらの方が便利だろう。ただし最初にセキュリティ構成ウィザードで編集をしたのなら、以後もウィザードを使って作業した方がよい。ウィザードでは、ネットワーク設定以外のセキュリティ・ポリシーの設定なども可能になっているからだ。
INFファイルやレジストリによるファイアウォールの設定
XP SP2のWindowsファイアウォールと同様に、Windows Server 2003 SP1でもINFファイルやレジストリの直接操作、UNATTEND.TXTファイルを使った無人インストールなどにより、自動的なファイアウォール・ルールの設定も可能である。これらの方法を利用すれば、既存環境にSP1を適用したり、Windows Server 2003 SP1(統合版)を更新インストールしてすぐに指定した構成でファイアウォールを有効にすることができる。だが、サーバではインストールするオプションやコンポーネントに応じてファイアウォールのルールを変更しなければならないことも多いので、ファイアウォールの構成を自動化するメリットはそう多くない。Windows Server 2003 SP1のインストール後、セキュリティ構成ウィザードを使ってシステム全体の設定もまとめて行うのがよいだろう。
そのほかのTCP/IP拡張機能
|
Windows Server 2003 SP1のTCP/IP機能は、以前のものよりも若干機能拡張されている。ほとんどの機能拡張はWindows XP SP2でも導入されているが、以下のものはWindows Server 2003 SP1だけの機能である。
■デフォルトで有効になったSYN 攻撃保護機能
SYN攻撃とは、TCP/IPネットワークに対するDOS攻撃の1つであり、大量のSYNパケットを送りつけて、TCP/IPプロトコル・スタックの性能低下を引き起こさせる攻撃である。SYN攻撃を検出すると、SYNに対する応答(SYN-ACKパケット)の再送頻度を低下させ、新たなSYNパケットの受け付けを拒否するなどして、性能低下を抑える。この機能はWindows XP(全SPバージョン)やWindows Server 2003(SP未適用版)にすでに実装されているが、有効化はされていなかった。Windows Server 2003 SP1では、この機能をデフォルトで有効にしてセキュリティを高めており、管理者が手動でレジストリを操作する必要がなくなった。
■SYN攻撃ヘルパーAPI
SYN攻撃を受けていることを検出し、それをアプリケーションに通知するためのサービスAPIが新設された。
■スマートTCPポート割り当て
TCPのコネクションが終了後、TIME_WAIT状態のポートは、デフォルトでは120秒間再使用することができないという仕様がある。しかし場合によってこの間に同じポート番号が使用され、接続がエラーとなる場合があった。Windows Server 2003 SP1のTCPでは、ポートの割り当てアルゴリズムを変更し、この再使用時の衝突を避けるように改善された。
INDEX | ||
[特集]Windows Server 2003 SP1レビュー | ||
第4回 ネットワーク・セキュリティを実現する「Windowsファイアウォール」 | ||
1.Windowsファイアウォール機能の概要 | ||
2.Windowsファイアウォールの設定 | ||
「特集」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|