Vistaの地平
第15回 進化したWindows Vistaのファイアウォール機能(後編)

3.グループ・ポリシーによるファイアウォールの管理

デジタルアドバンテージ 打越 浩幸
2008/04/17

 前ページまでは、ファイアウォールの管理コンソールやnetshコマンドによる操作方法を紹介したが、実際のネットワーク環境では、Active Directoryとグループ・ポリシーを使ってリモートからまとめて設定、管理するのが一般的だろう。pingコマンドやリモート・アシスタンス、リモート・デスクトップのほか、各種管理ツール(イベント・ビューアや[管理ツール]メニューに登録されている各種ツール類)、ファイル共有などを使って、リモートからコンピュータの状態を把握したり、操作したりできなければ、いちいちコンピュータの設置場所まで出向いて操作しなければならないからだ。

 グループ・ポリシーによるファイアウォールの管理機能は、従来のWindowsファイアウォール(Windows XP SP2、Windows Server 2003)でも用意されていた(次の画面参照)。

グループ・ポリシーによるWindowsファイアウォールの制御
従来のWindowsファイアウォールをグループ・ポリシーで制御するには、これらの項目を利用する。これらはWindows XP SP2以降のOSで利用可能。
Windowsファイアウォールに関する項目は、[コンピュータの構成]−[管理用テンプレート]−[ネットワーク]−[ネットワーク接続]−[Windowsファイアウォール]の下に用意されている。
ドメイン・プロファイルの設定。
標準プロファイルの設定。
設定項目の例。リモートから管理するためには、例えば[リモート管理の例外を許可する]を有効にする。

 具体的な設定方法などについては、「システム管理者のためのXP SP2展開計画―― グループ・ポリシーによる設定」やTIPS「XP SP2のファイアウォールでリモート管理を有効にする」などを参照していただきたい。

 Windows Vistaでもこれらのエントリは有効だが、セキュリティが強化されたWindows Firewallでは、これらとは独立して、まったく別の新しいグループ・ポリシー項目が用意されている(次の画面参照)。

セキュリティが強化されたWindowsファイアウォールに対応したグループ・ポリシー・オブジェクト
Windows Vista/Windows Server 2008で導入されたセキュリティが強化されたWindowsファイアウォールを制御するために、新しいグループ・ポリシー・オブジェクトが導入された。ただしこれを設定するためには、Windows VistaかWindows Server 2008上でグループ・ポリシー管理コンソール(GPMC)を利用する必要がある。
新しいグループ・ポリシー・オブジェクトは[コンピュータの構成]−[Windowsの設定]−[セキュリティの設定]−[セキュリティが強化されたWindowsファイアウォール]の下に用意されている。
受信パケットに関するファイアウォール・ルール。ただしデフォルトのルールは1つも定義されていないようなので、ルールを1から手動で作成する必要がある。
送信パケットに関するファイアウォール・ルール。
この概要画面は[管理ツール]の[セキュリティが強化されたWindowsファイアウォール]とほぼ同じになっているので、難しくはないだろう。
セキュリティが強化されたWindowsファイアウォール全体のプロパティの設定を行う。
これをクリックすると、プロファイルごとのファイアウォールのポリシー(受信や送信をブロックするかどうか、ログ・ファイルをどうするかなど)を設定できる。ファイアウォールの管理ツールと同じような設定画面が表示される。
受信のルールの設定/確認。
送信のルールの設定/確認。

GPOを編集するための準備作業

 ところでこれらの新しいグループ・ポリシー・オブジェクト(GPO)を編集するためには、Windows VistaかWindows Server 2008上で作業する必要がある。これらのOS上でグループ・ポリシー管理コンソール(GPMC.MSC)を起動すればよいのだが、ドメイン・コントローラがWindows Server 2003やWindows 2000 Serverなどの場合は、そのままでは編集できない。Windows Vista以降のOSではグループ・ポリシーのテンプレート・ファイルの書式が更新されてXML形式になっており、そのままでは従来のサーバOS(ドメイン・コントローラ)では利用できないからだ。詳細は連載第11回「機能が向上したWindows Vistaのグループ・ポリシー」の「4.ドメイン環境でのグループ・ポリシーの展開」を参照していただきたいが、Windows VistaもしくはWindows Server 2008上で新しいテンプレート・ファイルをドメイン・コントローラへコピー後、いくらかの作業を行う必要がある。

 さらにもう1つ重要な注意点がある。Windows VistaにService Pack 1(SP1)を導入すると、最初からVistaシステムにインストールされているグループ・ポリシー管理コンソール(GPMC.MSC)が利用できなくなってしまうのだ(互換性の問題のため、SP1適用時に強制的に削除される)。そのため、これらのGPOの編集作業は、SP1未適用のWindows Vistaか、最近リリースが開始されたWindows Server 2008上で行う必要がある。Vista SP1向けのGPMC.MSCは後日提供されるとのことだが、4月中旬現在、まだ提供されていない(連載第13回「Windows Vista SP1――3.Windows Vista SP1の機能強化ポイント」の「グループ・ポリシー管理コンソール(GPMC)の削除」の項参照)。

 なおWindows Server 2008をドメイン・コントローラとして利用する場合は、別稿の「Vista世代の新サーバOS、Windows Server 2008登場」で述べているように、サーバOSにあらかじめパッチを当てておく必要がある。詳細は「Windows Server 2008 日本語版 ご利用に際しての注意事項 (重要)(マイクロソフト)」を参照していただきたい。

ファイアウォール・ルールを定義する

 グループ・ポリシー管理コンソールの準備ができたら、あとは受信や送信のためのルールを定義していけばよい。このあたりの手順は[セキュリティが強化されたWindowsファイアウォール]管理ツールで新規のルールを定義する場合とほとんど同じである。前述のグループ・ポリシー・オブジェクト・エディタで[受信の規則]か[送信の規則](上の画面中の)をクリックすると、フィルタ・ルールの画面に切り替わるので、右クリックしてポップアップ・メニューから[新規の規則]を選ぶ。すると次のような画面が表示されるので、プログラムのパスやプロトコル、ポート番号、事前定義のサービス名、プロファイル、フィルタ名などを順次指定していけばよい。

新規ルールの作成ウィザード
ファイアウォールのルールの作成画面は、[セキュリティが強化されたWindowsファイアウォール]管理ツールでルールを定義する場合とほとんど同じである(Windows Vista以降の新しいグループ・ポリシー・エディタではこのように、ユーザー・インターフェイスが大幅に改善されている)。
ルールの定義ウィザードの最初の画面では、ルールのタイプを選択する。プログラムやサービスごとに通信をブロック/許可したり、ポート番号などに基づいて通信を制御したりする。
あらかじめ定義されているプロトコルを使う場合は、ここから選択できる。

 ウィザードの残りの画面は前編で述べたのと同じなので省略するが、通常の管理ツールで作業する場合とほとんど違いはない。

 本稿では、2回にわたってWindows VistaおよびWindows Server 2008で導入された新しいファイアウォールについて見てきた。Windows XP SP2やWindows Server 2003のWindowsファイアウォールと比べると、送信方向にも適用可能なフィルタや事前定義された多数の有用なフィルタ・ルール、きめ細かいプロファイル制御などを特徴としている。適切に運用すれば、従来よりも安全性の高いシステムを構築できるだろう。また今回は触れなかったが、IPv6やIPSecプロトコルのサポート、コンピュータやユーザーによる認証(認証をパスしたものだけを許可するなど)などの機能も持っているが、これらについてはまた別の機会に解説したい。End of Article

 

 INDEX
  Vistaの地平
  第15回 進化したWindows Vistaのファイアウォール機能(後編)
    1.セキュリティが強化されたWindowsファイアウォールの管理
    2.netshコマンドによるファイアウォールの管理
  3.グループ・ポリシーによるファイアウォールの管理

 「 Vistaの地平 」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間