| [Network] | |||||||||||
XP SP2のファイアウォールでリモート管理を有効にする
|
|||||||||||
|
|||||||||||
| 解説 |
|
Windows XP Service Pack 2(以下XP SP2)を導入すると、コンピュータ外部からの通信要求はデフォルトではすべて拒否されるようになる。これにより、セキュリティ的には強固になるが、外部からはファイル共有へのアクセスが禁止されるだけでなく、リモート管理することも不可能になってしまう。リモート管理とは、例えばWindows XPやWindows Server 2003の[管理ツール]−[コンピュータの管理]ツールを使って、リモートのシステムの状態を調べたり、設定を変更したりすることである。またサード・パーティ製のシステム管理ツールやパッチ適用ツールなどを利用するためには、管理用の通信ポートをオープンにしておく必要がある。XP SP2のファイアウォールの管理・設定方法については、関連記事を参照していただきたい。
リモート管理のために必要なポート設定
|
XP SP2システムを外部からリモート管理するためには、基本的には「ファイルとプリンタ共有」のためのポート(ポート137〜139番、445番)を空けておけばよい。だが、これだけではMS-RPCサービス(ポート135番)がまだ許可されていないので、場合によっては利用できないネットワーク・アプリケーションもある。
これらのことを考えると、管理目的のためには以下のプロトコル/ポートを空けるようにしておけばよいだろう(ファイル共有も同時に有効となる)。
| 用途 | プロトコル/ポート |
| ファイル共有 | UDP 137 |
| UDP 138 | |
| TCP 139 | |
| TCP 445 | |
| リモート管理共有 | TCP 135 |
| TCP 445(ファイル共有と同じ) | |
| ping(echo) | ICMP echo |
 |
|
| リモート管理のために必要なポート | |
「リモート管理共有」とは、Windowsファイアウォールにあらかじめ用意されている、管理用の共有機能である。これを有効にすると、TCPの135番と445番がオープンになる。詳細は前掲の記事を参照していただきたい。
最後の「ping(echo)」とは、pingコマンドに対する応答を許可するために必要なプロトコルである。pingコマンドは最も基本的なネットワーク管理コマンドであり、これに応答するかどうかで対象となるコンピュータが存在しているかどうかを調べるツールも多い。イントラネット用途ではこれは許可しておくのが望ましい。ただしWindowsファイアウォールでは、TCPの445番をオープンにすると、このICMP echoも自動的にオープンになるので、通常は明示的に許可する必要はない。
リモート管理の設定方法
XP SP2でリモート管理を有効にするために、ファイアウォールの設定を行う方法は、大きく分けて以下の4とおりある。
- Windowsファイアウォールの設定画面を利用する方法
- netshコマンドを利用する方法
- グループ・ポリシーを利用する方法
- レジストリを設定する方法
これ以外にINFファイルを利用する方法などもあるが、ここでは触れない。これについても、詳しくは先の関連記事を参照していただきたい。
以下では、それぞれの方法について簡単にまとめておく。なお、以下の管理用の設定はイントラネットでの利用を前提としている。インターネットに直接接続されているような環境では、ローカルのインターフェイスでのみオープンにするか、接続できるコンピュータ(IPアレス)を制限するために「スコープ」を定義するなどの措置が必要になる。
| 操作方法 |
Windowsファイアウォールの設定画面を利用する方法
XP SP2のファイアウォールを管理する最も基本的な手法は、[コントロール パネル]の[Windows ファイアウォール]ツールを利用する方法である。このツールを起動して[例外]タブを表示させると、許可するサービスを選択することができる。ここで[ファイルとプリンタの共有]を選び、さらに[ポートの追加]でMS-RPC用のポート(TCP 135番)を手動で追加する(MS-RPC用のポートは事前に用意されていないため)。
 |
||||||
| [Windows ファイアウォール]でリモート管理用に「例外」を設定する | ||||||
| デフォルトではすべてのポートが閉じられているので、通信に必要なポートを「例外」として定義する。 | ||||||
|
[ポートの追加]をクリックすると、次のようなダイアログが表示されるので、プロトコルとポート番号を手動設定する。
 |
||||||||||||
| MS-RPC用ポートの追加 | ||||||||||||
| MS-RPC用のポートを簡単に設定するGUI画面は用意されていないので、手動で定義して追加する。 | ||||||||||||
|
netshコマンドを利用する方法
netshは、コマンド・プロンプトでネットワーク設定を変更したり、確認したりするためのツールである。コマンドを記入したバッチファイルなどを配布しておけば、ファイル名をダブルクリックするだけで簡単に設定することができる。Windowsファイアウォールを設定するには、「netsh firewall」に続けて、設定コマンドを並べればよい。上記のGUI画面と同じ設定をするには次のコマンドを使用する。
netsh firewall set service FILEANDPRINT enable |
最後の「enable」を「disable」にすると、それらのポートを閉じることができる。
グループ・ポリシーを利用する方法
Active Directoryを導入している場合は、グループ・ポリシーを使ってクライアント・コンピュータのファイアウォール設定を集中管理するのがよいだろう。XP SP2ではグループ・ポリシーの項目が拡張され、XP SP2のファイアウォール設定を行うことができる。具体的には以下の項目を設定する。
 |
|||||||||||||||||||||
| XP SP2のファイアウォール設定 | |||||||||||||||||||||
| Windows XP SP2ではグループ・ポリシーの項目が拡張され、Windowsファイアウォールに関するグループ・ポリシー・オブジェクト(GPO)が新しく用意されている。これを使えば簡単に各クライアント・コンピュータの設定を変更・管理することができる。 | |||||||||||||||||||||
|
なおファイアウォールのグループ・ポリシー・オブジェクトは、「標準プロファイル」と「ドメイン・プロファイル」の2カ所があるが、通常は「ドメイン・プロファイル」を設定すればよい。詳しくは前掲の記事を参照していただきたい。
レジストリを設定する方法
| [注意] |
|
レジストリに不正な値を書き込んでしまうと、システムに重大な障害を及ぼし、最悪の場合、システムの再インストールを余儀なくされることもあります。レジストリ エディタの操作は慎重に行うとともに、あくまで御自分のリスクで設定を行ってください。何らかの障害が発生した場合でも、本Windows Server Insider編集部では責任を負いかねます。ご了承ください。 |
以上のグループ・ポリシーに相当する項目は、すべてレジストリでも用意されているので、レジストリを直接設定してもよい。具体的には、以下のようなレジストリを設定する。「ドメイン・プロファイル(DomainProfile)」と「標準プロファイル(StandardProfile)」の2種類があるので、ドメイン・ネットワークとワークグループ・ネットワークのどちらになっているかで使い分けていただきたい(両方とも同じものを設定しておいてもよい)。
| 場所 | |||
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\のServices\SharedAccess\Parameters\FirewallPolicy\にある 「DomainProfile」か「StandardProfile」のいずれか |
|||
| キー | 名前 | 型 | 値 |
| GloballyOpenPorts\ List |
139:TCP | REG_SZ | 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004 |
| 445:TCP | REG_SZ | 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005 | |
| 137:UDP | REG_SZ | 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001 | |
| 138:UDP | REG_SZ | 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002 | |
| RemoteAdminSettings | Enabled | DWORD | 1 |
|
|||
| リモート管理のためのレジストリ設定 | |||
| これらのレジストリ設定を簡単に行うためには、XP SP2コンピュータでファイアウォールを設定後、レジストリをエクスポートして設定を書き出して利用するとよい。なお「@xpsp2res.dll,-22004」などは、日本語文字列リソースを含むファイル(xpsp2res.dll)中の特定のエントリを指すための特別な表記である(例:-22044なら"NetBIOS セッション サービス"という文字列を表す)。 | |||
この記事と関連性の高い別の記事
- Windowsファイアウォールのリモート管理を有効にする(TIPS)
- セキュリティが強化されたWindowsファイアウォールでリモート管理を有効にする(TIPS)
- グループポリシーでWindowsファイアウォールをまとめて管理する(ドメイン向け推奨Windowsファイアウォール設定)(TIPS)
- Windowsのターミナルサービス/リモートデスクトップ接続のポート番号を変更する(TIPS)
- リモート管理機能のスコープ設定に注意(TIPS)
- Windows Vistaのファイアウォールでアウトバウンド通信をブロックする(TIPS)
- Windowsでリモートから「リモート デスクトップ」を許可する(TIPS)
このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。
 |
「Windows TIPS」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
