Vistaの地平
|
|
前ページまでは、ファイアウォールの管理コンソールやnetshコマンドによる操作方法を紹介したが、実際のネットワーク環境では、Active Directoryとグループ・ポリシーを使ってリモートからまとめて設定、管理するのが一般的だろう。pingコマンドやリモート・アシスタンス、リモート・デスクトップのほか、各種管理ツール(イベント・ビューアや[管理ツール]メニューに登録されている各種ツール類)、ファイル共有などを使って、リモートからコンピュータの状態を把握したり、操作したりできなければ、いちいちコンピュータの設置場所まで出向いて操作しなければならないからだ。
グループ・ポリシーによるファイアウォールの管理機能は、従来のWindowsファイアウォール(Windows XP SP2、Windows Server 2003)でも用意されていた(次の画面参照)。
具体的な設定方法などについては、「システム管理者のためのXP SP2展開計画―― グループ・ポリシーによる設定」やTIPS「XP SP2のファイアウォールでリモート管理を有効にする」などを参照していただきたい。
Windows Vistaでもこれらのエントリは有効だが、セキュリティが強化されたWindows Firewallでは、これらとは独立して、まったく別の新しいグループ・ポリシー項目が用意されている(次の画面参照)。
セキュリティが強化されたWindowsファイアウォールに対応したグループ・ポリシー・オブジェクト | ||||||||||||||||||||||||
Windows Vista/Windows Server 2008で導入されたセキュリティが強化されたWindowsファイアウォールを制御するために、新しいグループ・ポリシー・オブジェクトが導入された。ただしこれを設定するためには、Windows VistaかWindows Server 2008上でグループ・ポリシー管理コンソール(GPMC)を利用する必要がある。 | ||||||||||||||||||||||||
|
GPOを編集するための準備作業
ところでこれらの新しいグループ・ポリシー・オブジェクト(GPO)を編集するためには、Windows VistaかWindows Server 2008上で作業する必要がある。これらのOS上でグループ・ポリシー管理コンソール(GPMC.MSC)を起動すればよいのだが、ドメイン・コントローラがWindows Server 2003やWindows 2000 Serverなどの場合は、そのままでは編集できない。Windows Vista以降のOSではグループ・ポリシーのテンプレート・ファイルの書式が更新されてXML形式になっており、そのままでは従来のサーバOS(ドメイン・コントローラ)では利用できないからだ。詳細は連載第11回「機能が向上したWindows Vistaのグループ・ポリシー」の「4.ドメイン環境でのグループ・ポリシーの展開」を参照していただきたいが、Windows VistaもしくはWindows Server 2008上で新しいテンプレート・ファイルをドメイン・コントローラへコピー後、いくらかの作業を行う必要がある。
さらにもう1つ重要な注意点がある。Windows VistaにService Pack 1(SP1)を導入すると、最初からVistaシステムにインストールされているグループ・ポリシー管理コンソール(GPMC.MSC)が利用できなくなってしまうのだ(互換性の問題のため、SP1適用時に強制的に削除される)。そのため、これらのGPOの編集作業は、SP1未適用のWindows Vistaか、最近リリースが開始されたWindows Server 2008上で行う必要がある。Vista SP1向けのGPMC.MSCは後日提供されるとのことだが、4月中旬現在、まだ提供されていない(連載第13回「Windows Vista SP1――3.Windows Vista SP1の機能強化ポイント」の「グループ・ポリシー管理コンソール(GPMC)の削除」の項参照)。
なおWindows Server 2008をドメイン・コントローラとして利用する場合は、別稿の「Vista世代の新サーバOS、Windows Server 2008登場」で述べているように、サーバOSにあらかじめパッチを当てておく必要がある。詳細は「Windows Server 2008 日本語版 ご利用に際しての注意事項 (重要)(マイクロソフト)」を参照していただきたい。
ファイアウォール・ルールを定義する
グループ・ポリシー管理コンソールの準備ができたら、あとは受信や送信のためのルールを定義していけばよい。このあたりの手順は[セキュリティが強化されたWindowsファイアウォール]管理ツールで新規のルールを定義する場合とほとんど同じである。前述のグループ・ポリシー・オブジェクト・エディタで[受信の規則]か[送信の規則](上の画面中のや)をクリックすると、フィルタ・ルールの画面に切り替わるので、右クリックしてポップアップ・メニューから[新規の規則]を選ぶ。すると次のような画面が表示されるので、プログラムのパスやプロトコル、ポート番号、事前定義のサービス名、プロファイル、フィルタ名などを順次指定していけばよい。
新規ルールの作成ウィザード | ||||||
ファイアウォールのルールの作成画面は、[セキュリティが強化されたWindowsファイアウォール]管理ツールでルールを定義する場合とほとんど同じである(Windows Vista以降の新しいグループ・ポリシー・エディタではこのように、ユーザー・インターフェイスが大幅に改善されている)。 | ||||||
|
ウィザードの残りの画面は前編で述べたのと同じなので省略するが、通常の管理ツールで作業する場合とほとんど違いはない。
■
本稿では、2回にわたってWindows VistaおよびWindows Server 2008で導入された新しいファイアウォールについて見てきた。Windows XP SP2やWindows Server 2003のWindowsファイアウォールと比べると、送信方向にも適用可能なフィルタや事前定義された多数の有用なフィルタ・ルール、きめ細かいプロファイル制御などを特徴としている。適切に運用すれば、従来よりも安全性の高いシステムを構築できるだろう。また今回は触れなかったが、IPv6やIPSecプロトコルのサポート、コンピュータやユーザーによる認証(認証をパスしたものだけを許可するなど)などの機能も持っているが、これらについてはまた別の機会に解説したい。
INDEX | ||
Vistaの地平 | ||
第15回 進化したWindows Vistaのファイアウォール機能(後編) | ||
1.セキュリティが強化されたWindowsファイアウォールの管理 | ||
2.netshコマンドによるファイアウォールの管理 | ||
3.グループ・ポリシーによるファイアウォールの管理 | ||
「 Vistaの地平 」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|