Windows TIPS
[Network]
  Windows TIPS TOPへ
Windows TIPS全リストへ

XP SP2のファイアウォールでリモート管理を有効にする

解説をスキップして操作方法を読む

デジタルアドバンテージ
2004/10/09
 
対象OS
Windows XP SP2
Windows XP SP2では、デフォルトでファイアウォールが有効になり、外部からはアクセスできなくなっている。
リモートからコンピュータを管理するためには、いくつかのポートをオープンにしなければならない。
リモート管理するためには、ファイル共有とMS-RPCポートをオープンにすればよい。
 
解説

システム管理者のためのXP SP2展開計画 第2回 Windowsファイアウォールの管理

 Windows XP Service Pack 2(以下XP SP2)を導入すると、コンピュータ外部からの通信要求はデフォルトではすべて拒否されるようになる。これにより、セキュリティ的には強固になるが、外部からはファイル共有へのアクセスが禁止されるだけでなく、リモート管理することも不可能になってしまう。リモート管理とは、例えばWindows XPやWindows Server 2003の[管理ツール]−[コンピュータの管理]ツールを使って、リモートのシステムの状態を調べたり、設定を変更したりすることである。またサード・パーティ製のシステム管理ツールやパッチ適用ツールなどを利用するためには、管理用の通信ポートをオープンにしておく必要がある。XP SP2のファイアウォールの管理・設定方法については、関連記事を参照していただきたい。

リモート管理のために必要なポート設定

Win TIPS「ポート445(ダイレクト・ホスティングSMBサービス)に注意

 XP SP2システムを外部からリモート管理するためには、基本的には「ファイルとプリンタ共有」のためのポート(ポート137〜139番、445番)を空けておけばよい。だが、これだけではMS-RPCサービス(ポート135番)がまだ許可されていないので、場合によっては利用できないネットワーク・アプリケーションもある。

 これらのことを考えると、管理目的のためには以下のプロトコル/ポートを空けるようにしておけばよいだろう(ファイル共有も同時に有効となる)。

用途 プロトコル/ポート
ファイル共有 UDP 137
UDP 138
TCP 139
TCP 445
リモート管理共有 TCP 135
TCP 445(ファイル共有と同じ)
ping(echo) ICMP echo
リモート管理のために必要なポート

 「リモート管理共有」とは、Windowsファイアウォールにあらかじめ用意されている、管理用の共有機能である。これを有効にすると、TCPの135番と445番がオープンになる。詳細は前掲の記事を参照していただきたい。

 最後の「ping(echo)」とは、pingコマンドに対する応答を許可するために必要なプロトコルである。pingコマンドは最も基本的なネットワーク管理コマンドであり、これに応答するかどうかで対象となるコンピュータが存在しているかどうかを調べるツールも多い。イントラネット用途ではこれは許可しておくのが望ましい。ただしWindowsファイアウォールでは、TCPの445番をオープンにすると、このICMP echoも自動的にオープンになるので、通常は明示的に許可する必要はない。

リモート管理の設定方法

 XP SP2でリモート管理を有効にするために、ファイアウォールの設定を行う方法は、大きく分けて以下の4とおりある。

  • Windowsファイアウォールの設定画面を利用する方法
  • netshコマンドを利用する方法
  • グループ・ポリシーを利用する方法
  • レジストリを設定する方法

 これ以外にINFファイルを利用する方法などもあるが、ここでは触れない。これについても、詳しくは先の関連記事を参照していただきたい。

 以下では、それぞれの方法について簡単にまとめておく。なお、以下の管理用の設定はイントラネットでの利用を前提としている。インターネットに直接接続されているような環境では、ローカルのインターフェイスでのみオープンにするか、接続できるコンピュータ(IPアレス)を制限するために「スコープ」を定義するなどの措置が必要になる。


操作方法

Windowsファイアウォールの設定画面を利用する方法

 XP SP2のファイアウォールを管理する最も基本的な手法は、[コントロール パネル]の[Windows ファイアウォール]ツールを利用する方法である。このツールを起動して[例外]タブを表示させると、許可するサービスを選択することができる。ここで[ファイルとプリンタの共有]を選び、さらに[ポートの追加]でMS-RPC用のポート(TCP 135番)を手動で追加する(MS-RPC用のポートは事前に用意されていないため)。

[Windows ファイアウォール]でリモート管理用に「例外」を設定する
デフォルトではすべてのポートが閉じられているので、通信に必要なポートを「例外」として定義する。
  ファイル共有を許可するためにはこれをオンにする。
  さらにMS-RPC用のポートを手動で追加するために、これをクリックする。

 [ポートの追加]をクリックすると、次のようなダイアログが表示されるので、プロトコルとポート番号を手動設定する。

MS-RPC用ポートの追加
MS-RPC用のポートを簡単に設定するGUI画面は用意されていないので、手動で定義して追加する。
  名前は自由に付けてよい。
  ポート番号は135番にする。
  プロトコルはTCPを選択する。
  スコープを変更すると、このコンピュータにアクセスできるIPアドレスを制限することができる。

netshコマンドを利用する方法

 netshは、コマンド・プロンプトでネットワーク設定を変更したり、確認したりするためのツールである。コマンドを記入したバッチファイルなどを配布しておけば、ファイル名をダブルクリックするだけで簡単に設定することができる。Windowsファイアウォールを設定するには、「netsh firewall」に続けて、設定コマンドを並べればよい。上記のGUI画面と同じ設定をするには次のコマンドを使用する。

netsh firewall set service FILEANDPRINT enable
netsh firewall set service REMOTEADMIN  enable

 最後の「enable」を「disable」にすると、それらのポートを閉じることができる。

グループ・ポリシーを利用する方法

 Active Directoryを導入している場合は、グループ・ポリシーを使ってクライアント・コンピュータのファイアウォール設定を集中管理するのがよいだろう。XP SP2ではグループ・ポリシーの項目が拡張され、XP SP2のファイアウォール設定を行うことができる。具体的には以下の項目を設定する。

XP SP2のファイアウォール設定
Windows XP SP2ではグループ・ポリシーの項目が拡張され、Windowsファイアウォールに関するグループ・ポリシー・オブジェクト(GPO)が新しく用意されている。これを使えば簡単に各クライアント・コンピュータの設定を変更・管理することができる。
  Windowsファイアウォールに関する項目はここに用意されている。
  Active Directoryドメインに参加していて、かつドメイン・ネットワークに接続されている場合(ネットワーク接続がアクティブな場合)は、この[ドメイン プロファイル]が適用される。通常はこちらを利用する。
  ノートPCをドメイン・ネットワークから外して利用しているような場合は、こちらの[標準プロファイル]が利用される。またワークグループ構成でファイアウォールを操作すると、この[標準プロファイル]側の設定が変更される。
  MS-RPCのポートを空けるには、この「リモート管理の例外」を[有効]にする。
  デフォルトの[未構成]から[有効]にする。
  ファイル共有のポートを空けるには、これを[有効]にする。
  デフォルトの[未構成]から[有効]にする。

 なおファイアウォールのグループ・ポリシー・オブジェクトは、「標準プロファイル」と「ドメイン・プロファイル」の2カ所があるが、通常は「ドメイン・プロファイル」を設定すればよい。詳しくは前掲の記事を参照していただきたい。

レジストリを設定する方法

[注意]

レジストリに不正な値を書き込んでしまうと、システムに重大な障害を及ぼし、最悪の場合、システムの再インストールを余儀なくされることもあります。レジストリ エディタの操作は慎重に行うとともに、あくまで御自分のリスクで設定を行ってください。何らかの障害が発生した場合でも、本Windows Server Insider編集部では責任を負いかねます。ご了承ください。

 以上のグループ・ポリシーに相当する項目は、すべてレジストリでも用意されているので、レジストリを直接設定してもよい。具体的には、以下のようなレジストリを設定する。「ドメイン・プロファイル(DomainProfile)」と「標準プロファイル(StandardProfile)」の2種類があるので、ドメイン・ネットワークとワークグループ・ネットワークのどちらになっているかで使い分けていただきたい(両方とも同じものを設定しておいてもよい)。End of Article

場所
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\のServices\SharedAccess\Parameters\FirewallPolicy\にある
「DomainProfile」か「StandardProfile」のいずれか
キー 名前
GloballyOpenPorts\
  List
139:TCP REG_SZ 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
445:TCP REG_SZ 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
137:UDP REG_SZ 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
138:UDP REG_SZ 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
RemoteAdminSettings Enabled DWORD 1
リモート管理のためのレジストリ設定
これらのレジストリ設定を簡単に行うためには、XP SP2コンピュータでファイアウォールを設定後、レジストリをエクスポートして設定を書き出して利用するとよい。なお「@xpsp2res.dll,-22004」などは、日本語文字列リソースを含むファイル(xpsp2res.dll)中の特定のエントリを指すための特別な表記である(例:-22044なら"NetBIOS セッション サービス"という文字列を表す)。
 
「Windows TIPS」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間