| [System Environment] | ||||||||||
セキュリティが強化されたWindowsファイアウォールでリモート管理を有効にする
|
||||||||||
|
||||||||||
| 解説 |
「コンピュータの管理ツール」やコマンド・プロンプト上で動作するコマンドなどを使ってコンピュータをリモートから管理するためには、ファイアウォールの設定を変更して、外部からのリモート管理用接続を許可する必要がある。
TIPS「XP SP2のファイアウォールでリモート管理を有効にする」では、Windows XP SP2やWindows Server 2003の「Windowsファイアウォール」において、リモートから管理するためのファイアウォールの設定方法を紹介した。Windowsファイアウォールは単純な通信ブロック機能を持つファイアウォールであり、許可するプロトコルやポート番号さえ指定すれば、それだけでリモート管理のサービスなどに接続することができた。
|
これに対してWindows VistaやWindows Server 2008以降で実装されている「セキュリティが強化されたWindowsファイアウォール」では、より上位のネットワーク・サービスも区別する機能を持っている。例えば同じMS-RPCプロトコルを利用するサービスであっても、「リモート・タスク管理」「スプーラ・サービス」「イベント・ログ管理」など、個別のサービスごとに通信を許可したり、禁止したりできる。
本TIPSでは、セキュリティが強化されたWindowsファイアウォールにおいて、リモートからの管理(「コンピュータの管理ツール」などで可能な管理業務)を許可する方法についてまとめておく。このファイアウォールの機能概要については関連記事を参照していただきたい。
| 操作方法 |
GUIツールによるリモート管理規則の有効化
セキュリティが強化されたWindowsファイアウォールをGUIで管理するためには、[管理ツール]にある[セキュリティが強化されたWindowsファイアウォール]を起動する。
 |
|||||||||
| セキュリティが強化されたWindowsファイアウォール | |||||||||
| Windows VistaやWindows Server 2008ではWindowsファイアウォールではなく、このセキュリティが強化されたWindowsファイアウォールを利用することが推奨されている。 | |||||||||
|
|
Windows XPやWindows Server 2003のWindowsファイアウォールには「ドメイン プロファイル」と「標準プロファイル」の2つがあったが、セキュリティが強化されたWindowsファイアウォールでは「ドメイン プロファイル」「プライベート プロファイル」「パブリック プロファイル」という3つのプロファイルが利用できる(各プロファイルの違いについては関連記事参照)。プロファイルの数が増えているので、環境に応じて適切なプロファイルに対してファイアウォールのルールを設定する必要がある。リモート管理のような重要なファイアウォール規則ならば、ドメイン・プロファイル(ドメイン・ネットワークの場合)やプライベート・プロファイル(ワークグループ・ネットワークの場合)だけに設定しておけばよいだろう。
リモート管理のためにファイアウォールの受信規則を許可するには、管理ツールの画面で[受信の規則]を選択し、「リモート管理」グループに属している規則に注目する。それらの規則を右クリックして[規則の有効化]を選択する。1つの規則に複数のプロファイルが関連付けられている場合は、メニューから[プロパティ]を選択して、適切なプロファイルでのみ有効化しておく。
 |
|||||||||
| リモート管理のための受信規則の有効化 | |||||||||
| セキュリティが強化されたWindowsファイアウォールではファイアウォール規則がグループ分けされているので、「リモート管理」グループの規則を有効にする。これを有効にすると、イベント・ログの規則など、個別の規則を許可する必要はない。 | |||||||||
|
コマンド・プロンプト上でのリモート管理規則の有効化
コマンド・プロンプト上でリモート管理のためのファイアウォール規則を有効にするには、netsh advfirewallコマンドを利用する(TIPS「Windows Vista/Windows Server 2008のファイアウォールをnetshコマンドで制御する」参照)。
netshコマンドはネットワークの設定をコマンド・プロンプト上から操作するためのコマンドであるが、セキュリティが強化されたWindowsファイアウォールを操作するには、netshコマンドの中にあるadvfirewallコンテキストを利用する(従来のWindowsファイアウォールはnetshのfirewallコンテキスト)。個別の規則を1つずつ有効化してもよいが、それでは大変なので、次のようにして「リモート管理」グループの規則をまとめて有効化するとよい。なお、以下の作業は管理者として実行したコマンド・プロンプト上で行うこと。
C:\>netsh ……netshコマンドの起動 |
setをコマンド・プロンプトから直接実行するには、「netsh advfirewall firewall set rule group="リモート管理" new enable=yes」というコマンド列を実行すればよい。「group=〜」に指定する文字列については、TIPS「日本語化されたファイアウォール・ルールのグループ名に注意」も参照していただきたい。
グループ・ポリシーで設定する場合
|
グループ・ポリシーでリモート管理を有効にする方法は従来のWindowsファイアウォールでもセキュリティが強化されたWindowsファイアウォールでも同じである。いずれのWindows OSであっても、グループ・ポリシーで[コンピュータの構成]−[管理用テンプレート]−[ネットワーク]−[ネットワーク接続]−[Windows ファイアウォール]の下にある各プロファイルで、[Windows ファイアウォール: リモート管理の例外を有効にする]を有効にすればよい。詳細については関連記事を参照していただきたい。
 |
||||||
| グループ・ポリシーによるリモート管理の有効化 | ||||||
| グループ・ポリシーを使ってリモート管理を有効化する方法は従来と同じである。グループ・ポリシー管理コンソールを開き、Windowsファイアウォールの規則を有効化する。 | ||||||
|
この記事と関連性の高い別の記事
- Windows Vista/Windows Server 2008のファイアウォールをnetshコマンドで制御する(TIPS)
- Windowsファイアウォールのプロファイルを知る(TIPS)
- Windows Vistaのファイアウォール・ログを有効にする(TIPS)
- Windowsファイアウォールのリモート管理を有効にする(TIPS)
- XP SP2のファイアウォールでリモート管理を有効にする(TIPS)
- グループポリシーでWindowsファイアウォールをまとめて管理する(ドメイン向け推奨Windowsファイアウォール設定)(TIPS)
- Windows Vistaのファイアウォールでpingへの応答を許可する(TIPS)
- Windows Server 2008のリモート管理ツールを利用する(TIPS)
- リモート管理機能のスコープ設定に注意(TIPS)
このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。
 |
「Windows TIPS」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
