Vistaの地平 第15回　進化したWindows Vistaのファイアウォール機能（後編） 1．セキュリティが強化されたWindowsファイアウォールの管理 デジタルアドバンテージ　打越 浩幸 2008/04/17

「Vistaの地平」は、Windowsベースの情報システムを管理するIT Proを対象に、Windows Vistaの注目機能について解説するコーナーです。

Index 第1回 Windows Vistaとは何か？ 第2回 Windows Vistaのユーザー・インターフェイス 第3回 カーネルの改良とフォント、セキュリティ機能の強化 第4回 TCO抑制に向けた各種運用管理機能が強化されたVista 第5回 Vistaのハードウェア要件 第6回 より高機能になったVistaのバックアップ機能 第7回 管理者権限での実行を制限するユーザー・アカウント制御UAC（前編） 第8回 管理者権限での実行を制限するユーザー・アカウント制御UAC（後編） 第9回 スパイウェアからコンピュータを保護するWindows Defender 第10回 IPv6を取り込んだVistaのネットワーク機能 第11回 機能が向上したWindows Vistaのグループ・ポリシー 第12回 機能性／実用性がさらに強化されたオフライン・ファイル 第13回 Windows Vista SP1 第14回 セキュリティが強化されたWindowsファイアウォールの概要 第15回 セキュリティが強化されたWindowsファイアウォールの管理 　前編では、Windows Vista（およびWindows Server 2008）に導入された新しいファイアウォール・システムである「セキュリティが強化されたWindowsファイアウォール」について、その概要を解説した。今回はその続きとして、ログ機能やnetshによるコマンドライン・ベースの管理、グループ・ポリシーによるファイアウォールの管理について解説する。 ファイアウォールの監視とログ・ファイル 　ファイアウォールの動作状況は、主にログ・ファイルによってのみ確認できる。ただしデフォルトではログ・ファイルは記録するようになっていないので、必要ならばファイアウォールの設定を変更して、ログを記録するようにしておこう。ログ・ファイルを残すかどうかの設定は、［管理ツール］の［セキュリティが強化されたWindowsファイアウォール］ツールを起動し、左側ペインのトップにある［ローカル コンピュータのセキュリティが強化されたWindowsファイアウォール］を右クリックして、ポップアップ・メニューから［プロパティ］を選択する（管理ツール画面については、前回の概要記事の最後の画面を参照）。

　ファイアウォールのプロパティ画面を表示させると、次のように、3つのプロファイルとそのログ設定画面が表示される。

ログ・ファイルの設定（1）

デフォルトではログを残さないようになっているので、必要なら設定を変更する。これは［管理ツール］の［セキュリティが強化されたWindowsファイアウォール］で、ファイアウォールの［プロパティ］画面を表示させたところ。

ドメイン・プロファイルの設定タブ。 プライベート・プロファイルの設定タブ。 パブリック・プロファイルの設定タブ。 このコンピュータはドメインに属しており、現在ドメイン・プロファイルがアクティブなので、このような注意を促すメッセージが表示されている。これは、ファイアウォールのルールなどの設定項目のうち、いくつかはグループ・ポリシーで制御されているので、この管理画面で設定しても、ポリシーで上書きされる可能性があるという意味。 このプロファイルでは、ファイアウォールの状態は現在有効となっている。 ログ・ファイルの設定を変更するにはこれをクリックする。

　この画面には、3つのプロファイル・タブがあるが、プロファイルの意味については前回の「2．ファイアウォールのプロファイル」を参照していただきたい。簡単にまとめておくと、従来のWidows XP SP2やWindows Server 2003のWindowsファイアウォールと違い、Windows Vista（およびWindows Server 2008）のセキュリティが強化されたWindowsファイアウォールでは、プロファイルの数が3つに拡張され、より細かく環境に応じてファイアウォールの設定を変更できるようになっている。

　上の画面で［ログ］の［カスタマイズ］ボタン（）をクリックすると、次のような設定画面が表示される。

ログ・ファイルの設定（2）

この画面では、ログ・ファイルを残すかどうかや、ログ・ファイルのサイズを設定する。このログ･ファイル設定はプロファイルごとに独立しているので、プロファイルごとに異なるログ・ファイルを利用することも可能。

ログのファイル名。3つのプロファイルで同じファイル名を使用すると（デフォルト状態）、1つのファイルに各プロファイルのログが記録される。プロファイルはどれか1つしかアクティブにならないため（2つ以上が同時にアクティブになることはない）、書き込みが競合することはない。 ログ・ファイルの最大サイズ。 フィルタ設定によって、送信や受信が「拒否」されたパケットのログを記録するかどうかを設定する。デフォルトでは「いいえ」となっており、ログを残さない。 フィルタ設定によって、送信や受信が「許可」されたパケット（つまり正常に通信できた場合）のログを記録するかどうかを設定する。デフォルトでは「いいえ」となっており、ログを残さない。ただしこのログは巨大になりやすいので、デバッグ時以外は無効にしておくのがよいだろう。

　この画面では、ログを残すファイル名とその最大サイズを設定する。3つのプロファイルごとにこの画面が用意されていることからも分かるように、ログ設定はプロファイルごとに独立している（以前のWindowsファイアウォールでは、プロファイルによらず、ログ・ファイルの設定は1つしかなかった）。プロファイルごとに、拒否したパケットと許可したパケットのうち、どれをログとして残すかを設定できる。デフォルトでは「拒否」と「許可」のどちらのパケットも記録されないので、必要に応じていずれかの設定を「いいえ」から「はい」に変更する（上の画面のと）。ただし正常な通信のログを記録するとログ・サイズが非常に大きくなってしまうので、通常は拒否した通信（ファイアウォール・ルールによってブロックされた通信）のログだけで十分であろう。

　ログ・ファイルは［セキュリティが強化されたWindowsファイアウォール］の管理コンソールにおいて、［監視］画面から確認できる。管理コンソールで［監視］ツリーを選択すると、コンソールの中央に現在の状態が表示されるので、ログ・ファイル名をクリックする。すると（デフォルトでは）メモ帳でログ・ファイルが開かれ、確認できる。

ログ・ファイルの確認

ファイアウォールの管理コンソールで［監視］を選択すると、ファイアウォールの状態やログ・ファイルの内容を確認できる。

［監視］を選択する。すると中央のペインに現在のファイアウォールの状態などが表示される。 ［ファイアウォール］を選択すると、現在定義されているファイアウォールのルールが表示される。 これはドメイン・プロファイルにおける現在のファイアウォールの状態。 ドメイン・プロファイルにおけるログの設定。 これをクリックすると、ログ・ファイルの内容が表示される（デフォルトでは.LOGファイルに関連付けられているメモ帳を使って表示される）。 プライベート・プロファイルの設定を確認する場合はこれをクリックする。 パブリック・プロファイルの設定を確認する場合はこれをクリックする。

　表示されたログ・ファイルは例えば次のようになっている。

ファイアウォール・ログの例

これはパブリック・プロファイルに記録されたログの例。受信を（拒否）ブロックされたパケットのログが記録されている。

　ログとして記録される内容は以前のWindowsファイアウォールとほぼ同様であり、どのような接続要求が拒否されたか（許可されたか）がその時刻とともに記録されているだけである。より詳細な通信記録や通信プログラムのデバッグなどを行いたければ、TIPS「ネットワーク・モニタ3.1を使う（基本編）」で紹介したようなツールを使って解析する必要があるだろう。

INDEX
	Vistaの地平
	第15回　進化したWindows Vistaのファイアウォール機能（後編）
	1．セキュリティが強化されたWindowsファイアウォールの管理
	2．netshコマンドによるファイアウォールの管理
	3．グループ・ポリシーによるファイアウォールの管理

「 Vistaの地平 」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）