[Network] | |||||||||||||
Windowsファイアウォールのリモート管理を有効にする
|
|||||||||||||
|
解説 |
Windows XP SP2やWindows Server 2003 SP1には、ネットワーク接続時の安全性を向上させるために「Windowsファイアウォール」という機能が用意されている。それ以前の「インターネット接続ファイアウォール」と比べると機能向上が図られ、Windows XP SP2ではデフォルトで有効になるようになっている(Windowsファイアウォールの機能自体はWindows Server 2003 SP1にも搭載されているが、こちらはデフォルトでは無効になっており、管理者が手動で有効に設定する)。
だがこのWindowsファイアウォールを有効にすると、(デフォルトでは)外部からの通信が一切遮断され、安全性は向上するものの、管理業務にも支障をきたす可能性がある。Windowsファイアウォールのデフォルト設定では、内部(ローカル・コンピュータ)から外部へのアクセスは許可されるが、逆に外部から内部へのアクセスはすべて拒否されるからだ(XP SP2ではリモート・アシスタンスのみが許可されている)。TCPやUDPだけでなく、ICMPの着信も拒否されるため、pingのパケット(ICMPのEchoコマンド)にも応答しなくなる。
一般的にはこのような設定でも問題は少ないだろうが、企業などで使用するコンピュータの場合は、リモートから一切管理することができなくなるし、pingにすら応答しないのでは、存在しているかどうかを確認することもできない。
そこでこのような状態を解消し、リモートからでも管理できるように、最低限の管理用ポートを許可する「リモート管理」機能が用意されている。この機能を有効にすると、ファイル共有やICMPの設定といった、個別のポート設定をいちいち変更することなく、コンピュータをリモートから管理できるように、いくつかのポートがまとめて着信許可状態になる。例えば[管理ツール]の[コンピュータの管理]や[イベント ビューア]、[サービス]などの各種の管理ツールでリモートから接続して管理することができるようになる。具体的には、以下のポートに対して、外部からの着信を受け付けるようにオープンされる。
受け付けるポート | 目的 |
TCPのポート135番 | MS-RPCのポート・マッパで使用されるポート。netstatでは「emap」と表示される |
TCPのポート445番 | Windows 2000移行のWindowsネットワークにおいて、ファイル共有サービス(SMBサービス)で利用されるポート。CIFSサービスともいい、NetBIOSを利用しないでファイル共有を行うために利用される。netstatでは「microsoft-ds」と表示される |
ICMP Echoコマンド | pingで応答する場合に使用されるICMPサービスのポート。これが有効だとpingコマンドに応答する |
リモート管理で使用されるポートとサービス |
|
これで分かるように、リモート管理で利用されるポートは、結局のところ、通常のファイル共有サービス(SMB/CIFS)などで利用されるポートと同じものである(Windowsネットワーク機能の仕組み上、これを避けることはできない)。そのためリモート管理を有効にすると、ファイル共有も可能になってしまうので、必要に応じてファイルや共有フォルダのアクセス権設定なども適切に行っておく必要がある。
本TIPSでは、このリモート管理を有効にする方法について解説する。
操作方法 |
リモート管理用ポートをオープンする
|
リモート管理用ポートをオープンするにはいくつか方法がある。Windows XP SP2/Windows Server 2003 SP1のインストール時にINFファイルを使って設定する方法やインストール後に手動でレジストリを設定する方法、netshコマンドを利用する方法、グループ・ポリシーを利用する方法などである。それぞれの具体的な方法については関連記事を参照していただきたいが、管理目的で利用するならば、グループ・ポリシーで設定するのがよいだろう。OSやService Packのインストール方法にかかわらず、ドメインに参加しているコンピュータの設定を、中央から一括して変更することができるからだ。リモートから管理するという目的からすればこれで十分だし、個々のコンピュータの設定を変更する必要もないので、手間もかからない。
手順1――グループ・ポリシーのテンプレートを更新する
|
グループ・ポリシーで管理するためには、まずActive Directoryのドメイン・コントローラに新しい管理用のテンプレートを導入する必要がある。Windowsファイアウォールやリモート管理のためグループ・ポリシーは、Windows XP SP2かWindows Server 2003 SP1に付属している管理用テンプレートにしか含まれていないからだ。管理用テンプレートを更新するにはいくつか方法があるが、いちばん簡単なのは、ドメインのメンバとなっているWindows XP SP2かWindows Server 2003 SP1コンピュータにグループ・ポリシーのエディタ(グループ・ポリシー管理コンソールかサーバ用管理ツール)を導入し、既存のグループ・ポリシーを一度編集することだ。この変更を行うとドメイン・コントローラ上の管理用テンプレートが更新され、Windowsファイアウォールの項目を設定することができる。具体的な操作方法については関連記事を参照していただきたい。この操作を行うと、グループ・ポリシー・エディタが「[strings] セクションの次のエントリが長すぎて切り詰められました)」というエラーを出力することがあるが、その場合も関連記事の手順に従ってグループ・ポリシー・エディタを更新していただきたい。
手順2――リモート管理用の設定を行う
準備ができたら、Windowsファイアウォール用のグループ・ポリシーを編集する。編集するにはActive Directoryの管理ツールか、グループ・ポリシー管理ツール(GPMC)を利用する。編集したいグループ・ポリシー・オブジェクト(GPO)を選択し、ポップアップ・メニューから[編集]を選択する。
GPMCによるグループ・ポリシーの編集 | ||||||
これは、グループ・ポリシー管理コンソール(GPMC)を使ったグループ・ポリシーの編集例。編集したいグループ・ポリシーを選択して、[編集]を実行する。従来のActive Directoryの管理ツールを使ってもよい。 | ||||||
|
|
Windowsファイアウォールに関するGPOは、[コンピュータの構成]−[管理用テンプレート]−[ネットワーク]−[ネットワーク接続]−[Windows Firewall]に存在する。この中には「ドメイン プロファイル」と「標準プロファイル」という2つのプロファイルがある。2つのプロファイルの違いについては参考記事を参照していただきたいが、ドメイン環境では「ドメイン プロファイル」の方で定義しなければならない。標準プロファイルは、ドメイン・ネットワークから外れた(通信できなくなった)場合に利用されるが、そのような状況ではリモート管理用ポートをオープンするのは危険なので、オープンしないようにする。
上の画面で、の行をダブルクリックすると、GPOを編集するダイアログが表示される。そこで[有効]を選択し、さらに管理を許可するネットワーク・アドレスのリストを入力すればよい。
リモート管理の有効化 | |||||||||||||||
このGPOを有効にすると、リモート管理用のポートが自動的にオープンされる。デフォルトではすべてコンピュータからのアクセスが許可されているので、適切なアドレス範囲を指定すること。 | |||||||||||||||
|
には、リモート管理ポートへのアクセスを許可するIPアドレス範囲のリスト(スコープ)を指定する。リモート管理ではなく、例えば「ファイルとプリンタの共有」なら「LocalSubNet」がデフォルトとなっており、同じネットワークからのアクセスしか許可されていない。だがリモート管理(とリモート・デスクトップ)のルールでは、デフォルトではすべてのIPアドレスからのアクセスが許可されているので、場合によっては非常に危険である。必ず、社内ネットワークのIPアドレス範囲だけを許可するように設定しなければならない。詳しくはTIPS「リモート管理のスコープ設定に注意」を参照のこと。
手順3――グループ・ポリシー設定の確認
以上でグループ・ポリシーの設定は完了なので、次はクライアント側で実際の設定を確認してみる。クライアントのコンピュータを再起動すると、新しいGPOがロードされ、適用されているはずである。
まずグループ・ポリシーがロードされているかどうかを見てみよう。クライアント・コンピュータの[コントロール パネル]にある[Windowsファイアウォール]を開き、[例外]タブを表示させてみる。
クライアント側での確認 | ||||||||||||
Windowsファイアウォールがグループ・ポリシーで制御されている場合、[グループ ポリシー]という欄が表示される。 | ||||||||||||
|
ここには、Windowsファイアウォールで許可されているポートやサービスが表示される。Windowsファイアウォールに関するGPOが定義されていると、さらに「グループ ポリシー」という欄が表示されるが(上の)、そうでなければ、この欄そのものが表示されない。
この画面では「グループ ポリシー」欄が表示されているので、Windows ファイアウォールに関する何らかのGPOが定義されていることが分かる。だが「リモート管理」はこの一覧には表示されない仕様なので、リモート管理が有効かどうかはこの画面では確認できない。実際にリモートから何らかの管理ツールで接続したり、pingコマンドを実行したりしてみてもよいが、ここではコマンド・プロンプトを開いて、netshコマンドを利用する方法を紹介しておく。
netshは、ネットワーク関連のコンポーネントをコマンド・プロンプトで操作するためのインターフェイスである。netshのfirewallコンテキストでshow statコマンドなどを実行すれば、リモート管理が有効かどうかが分かる。
設定の確認 | |||||||||||||||
コマンド・プロンプトから設定を確認するには、netshコマンドを利用する。ファイアウォールの設定や状態をより詳細に見ることができる。 | |||||||||||||||
|
コマンド・プロンプトで、直接「netsh firewall show stat」と実行してもよいし、netshコマンドを立ち上げて、「firewall」「show stat」コマンドを順番に入力してインタラクティブに実行してもよい。いずれにしろ、リモート管理が有効になっていると「リモート管理モード = Enable」と表示されているはずである。より詳細な情報を知りたければ、「show stat enable」(これは「show stat verbose=enable」と同じ)とすればよい。
詳細な状態の表示 | |||
show stat enableコマンドで、より詳細に表示される。 | |||
|
これを見れば分かるように、リモート管理にはスコープ指定が付けられており、ここに列挙したアドレス以外からのアクセスは拒否されるようになっている。
関連記事(Windows Server Insider) | ||
Windows TIPS:XP SP2のファイアウォールでリモート管理を有効にする | ||
Windows TIPS:リモート管理機能のスコープ設定に注意 | ||
この記事と関連性の高い別の記事
- XP SP2のファイアウォールでリモート管理を有効にする(TIPS)
- リモート管理機能のスコープ設定に注意(TIPS)
- セキュリティが強化されたWindowsファイアウォールでリモート管理を有効にする(TIPS)
- グループポリシーでWindowsファイアウォールをまとめて管理する(ドメイン向け推奨Windowsファイアウォール設定)(TIPS)
- Windows Server 2008のリモート管理ツールを利用する(TIPS)
- MMC管理コンソールでリモート・コンピュータへ接続する(TIPS)
- リモート・デスクトップ接続を無効にする(TIPS)
- Windowsでリモートから「リモート デスクトップ」を許可する(TIPS)
このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。
「Windows TIPS」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|