Windows TIPS
| [System Environment] |
セキュリティが強化されたWindowsファイアウォールでリモート管理を有効にする
→ 解説をスキップして操作方法を読む
デジタルアドバンテージ 打越 浩幸
2009/04/03 |
| 対象OS |
| Windows Vista |
| Windows Server 2008 |
|
|
 |
| ■ |
コンピュータをリモートから管理するためには、ファイアウォールの設定を変更して、リモート管理サービスへ接続できるようにする必要がある。 |
| ■ |
セキュリティが強化されたWindowsファイアウォールでは、「リモート管理」グループの規則を有効化する。 |
|
|
「コンピュータの管理ツール」やコマンド・プロンプト上で動作するコマンドなどを使ってコンピュータをリモートから管理するためには、ファイアウォールの設定を変更して、外部からのリモート管理用接続を許可する必要がある。
TIPS「XP SP2のファイアウォールでリモート管理を有効にする」では、Windows XP SP2やWindows Server 2003の「Windowsファイアウォール」において、リモートから管理するためのファイアウォールの設定方法を紹介した。Windowsファイアウォールは単純な通信ブロック機能を持つファイアウォールであり、許可するプロトコルやポート番号さえ指定すれば、それだけでリモート管理のサービスなどに接続することができた。
これに対してWindows VistaやWindows Server 2008以降で実装されている「セキュリティが強化されたWindowsファイアウォール」では、より上位のネットワーク・サービスも区別する機能を持っている。例えば同じMS-RPCプロトコルを利用するサービスであっても、「リモート・タスク管理」「スプーラ・サービス」「イベント・ログ管理」など、個別のサービスごとに通信を許可したり、禁止したりできる。
本TIPSでは、セキュリティが強化されたWindowsファイアウォールにおいて、リモートからの管理(「コンピュータの管理ツール」などで可能な管理業務)を許可する方法についてまとめておく。このファイアウォールの機能概要については関連記事を参照していただきたい。
GUIツールによるリモート管理規則の有効化
セキュリティが強化されたWindowsファイアウォールをGUIで管理するためには、[管理ツール]にある[セキュリティが強化されたWindowsファイアウォール]を起動する。
 |
| セキュリティが強化されたWindowsファイアウォール |
| Windows VistaやWindows Server 2008ではWindowsファイアウォールではなく、このセキュリティが強化されたWindowsファイアウォールを利用することが推奨されている。 |
|
 |
ドメイン・ネットワークに属している場合にはこのドメイン・プロファイルが適用される。 |
|
 |
社内ネットワークなど閉じたネットワーク内のワークグループ・ネットワークに属している場合はこのプライベート・プロファイルが適用される。最後に「~がアクティブです」となっているのが現在適用されているプロファイル。アクティブなプロファイルはネットワークの接続状況などによって動的に変わる。 |
|
 |
公共のネットワークなどに接続されているときは、このパブリック・プロファイルが適用される。 |
|
Windows XPやWindows Server 2003のWindowsファイアウォールには「ドメイン プロファイル」と「標準プロファイル」の2つがあったが、セキュリティが強化されたWindowsファイアウォールでは「ドメイン プロファイル」「プライベート プロファイル」「パブリック プロファイル」という3つのプロファイルが利用できる(各プロファイルの違いについては関連記事参照)。プロファイルの数が増えているので、環境に応じて適切なプロファイルに対してファイアウォールのルールを設定する必要がある。リモート管理のような重要なファイアウォール規則ならば、ドメイン・プロファイル(ドメイン・ネットワークの場合)やプライベート・プロファイル(ワークグループ・ネットワークの場合)だけに設定しておけばよいだろう。
リモート管理のためにファイアウォールの受信規則を許可するには、管理ツールの画面で[受信の規則]を選択し、「リモート管理」グループに属している規則に注目する。それらの規則を右クリックして[規則の有効化]を選択する。1つの規則に複数のプロファイルが関連付けられている場合は、メニューから[プロパティ]を選択して、適切なプロファイルでのみ有効化しておく。
 |
| リモート管理のための受信規則の有効化 |
| セキュリティが強化されたWindowsファイアウォールではファイアウォール規則がグループ分けされているので、「リモート管理」グループの規則を有効にする。これを有効にすると、イベント・ログの規則など、個別の規則を許可する必要はない。 |
|
|
[受信規則]を選択する。 |
|
|
「リモート管理」グループの規則を有効化する。 |
|
|
これを選択して、プライベートやドメイン・プロファイルに属する規則を有効化する。パブリック・プロファイルで有効化する場合はセキュリティに注意すること。必要ならば接続可能なネットワーク・アドレス(スコープ)を限定するなどの対策を行う。 |
|
コマンド・プロンプト上でのリモート管理規則の有効化
コマンド・プロンプト上でリモート管理のためのファイアウォール規則を有効にするには、netsh advfirewallコマンドを利用する(TIPS「Windows Vista/Windows Server 2008のファイアウォールをnetshコマンドで制御する」参照)。
netshコマンドはネットワークの設定をコマンド・プロンプト上から操作するためのコマンドであるが、セキュリティが強化されたWindowsファイアウォールを操作するには、netshコマンドの中にあるadvfirewallコンテキストを利用する(従来のWindowsファイアウォールはnetshのfirewallコンテキスト)。個別の規則を1つずつ有効化してもよいが、それでは大変なので、次のようにして「リモート管理」グループの規則をまとめて有効化するとよい。なお、以下の作業は管理者として実行したコマンド・プロンプト上で行うこと。
C:\>netsh ……netshコマンドの起動
netsh>advfirewall ……advfirwallコンテキストへの切り替え
netsh advfirewall>firewall ……firewallコンテキストへの切り替え
netsh advfirewall firewall>show rule all ……全規則の表示と確認
規則名: リモート デスクトップ (TCP 受信)
------------------------------------------------------------
有効: Yes
方向: In
プロファイル: Private
グループ: リモート デスクトップ
LocalIP: Any
……(中略)……
netsh advfirewall firewall>set rule group="リモート管理" new enable=yes
……リモート管理グループの有効化
6 規則を更新しました。 ……結果
OK
netsh advfirewall firewall> |
setをコマンド・プロンプトから直接実行するには、「netsh advfirewall firewall set rule group="リモート管理" new enable=yes」というコマンド列を実行すればよい。「group=~」に指定する文字列については、TIPS「日本語化されたファイアウォール・ルールのグループ名に注意」も参照していただきたい。
グループ・ポリシーで設定する場合
グループ・ポリシーでリモート管理を有効にする方法は従来のWindowsファイアウォールでもセキュリティが強化されたWindowsファイアウォールでも同じである。いずれのWindows OSであっても、グループ・ポリシーで[コンピュータの構成]-[管理用テンプレート]-[ネットワーク]-[ネットワーク接続]-[Windows ファイアウォール]の下にある各プロファイルで、[Windows ファイアウォール: リモート管理の例外を有効にする]を有効にすればよい。詳細については関連記事を参照していただきたい。
 |
| グループ・ポリシーによるリモート管理の有効化 |
| グループ・ポリシーを使ってリモート管理を有効化する方法は従来と同じである。グループ・ポリシー管理コンソールを開き、Windowsファイアウォールの規則を有効化する。 |
|
|
ドメインか標準のいずれかのプロファイルを選択する。 |
|
|
この規則を有効にする。必要ならばスコープなども定義すること。 |
|
Windows Server Insider フォーラム 新着記事
