＠IT：Windows TIPS -- Tips：Windowsファイアウォールのリモート管理を有効にする

Windows TIPS

［Network］

→ Windows TIPS TOPへ
→ Windows TIPS全リストへ
→ 内容別分類一覧へ

Windowsファイアウォールのリモート管理を有効にする

→ 解説をスキップして操作方法を読む

デジタルアドバンテージ　打越浩幸
2005/05/28

対象OS

Windows XP SP2

Windows Server 2003 SP1


■	Windowsファイアウォールを有効にすると、外部からのアクセスが一切禁止され、管理者ですらコンピュータの状態を調査できなくなる。
■	Windowsファイアウォールのリモート管理モードを有効にすると、管理用のポートがいくつかオープンされ、管理ツールなどでリモート操作できるようになる。
■	リモート管理モードは、グループ・ポリシーで設定するとよい。
■	リモート管理モードを利用する場合は、必ずスコープも設定すること。

解説

　Windows XP SP2やWindows Server 2003 SP1には、ネットワーク接続時の安全性を向上させるために「Windowsファイアウォール」という機能が用意されている。それ以前の「インターネット接続ファイアウォール」と比べると機能向上が図られ、Windows XP SP2ではデフォルトで有効になるようになっている（Windowsファイアウォールの機能自体はWindows Server 2003 SP1にも搭載されているが、こちらはデフォルトでは無効になっており、管理者が手動で有効に設定する）。

　だがこのWindowsファイアウォールを有効にすると、（デフォルトでは）外部からの通信が一切遮断され、安全性は向上するものの、管理業務にも支障をきたす可能性がある。Windowsファイアウォールのデフォルト設定では、内部（ローカル・コンピュータ）から外部へのアクセスは許可されるが、逆に外部から内部へのアクセスはすべて拒否されるからだ（XP SP2ではリモート・アシスタンスのみが許可されている）。TCPやUDPだけでなく、ICMPの着信も拒否されるため、pingのパケット（ICMPのEchoコマンド）にも応答しなくなる。

　一般的にはこのような設定でも問題は少ないだろうが、企業などで使用するコンピュータの場合は、リモートから一切管理することができなくなるし、pingにすら応答しないのでは、存在しているかどうかを確認することもできない。

　そこでこのような状態を解消し、リモートからでも管理できるように、最低限の管理用ポートを許可する「リモート管理」機能が用意されている。この機能を有効にすると、ファイル共有やICMPの設定といった、個別のポート設定をいちいち変更することなく、コンピュータをリモートから管理できるように、いくつかのポートがまとめて着信許可状態になる。例えば［管理ツール］の［コンピュータの管理］や［イベントビューア］、［サービス］などの各種の管理ツールでリモートから接続して管理することができるようになる。具体的には、以下のポートに対して、外部からの着信を受け付けるようにオープンされる。

受け付けるポート	目的
TCPのポート135番	MS-RPCのポート・マッパで使用されるポート。netstatでは「emap」と表示される
TCPのポート445番	Windows 2000移行のWindowsネットワークにおいて、ファイル共有サービス（SMBサービス）で利用されるポート。CIFSサービスともいい、NetBIOSを利用しないでファイル共有を行うために利用される。netstatでは「microsoft-ds」と表示される
ICMP Echoコマンド	pingで応答する場合に使用されるICMPサービスのポート。これが有効だとpingコマンドに応答する

リモート管理で使用されるポートとサービス

	TIPS「ポート445に注意」
	連載「基礎から学ぶWindowsネットワーク」

　これで分かるように、リモート管理で利用されるポートは、結局のところ、通常のファイル共有サービス（SMB／CIFS）などで利用されるポートと同じものである（Windowsネットワーク機能の仕組み上、これを避けることはできない）。そのためリモート管理を有効にすると、ファイル共有も可能になってしまうので、必要に応じてファイルや共有フォルダのアクセス権設定なども適切に行っておく必要がある。

　本TIPSでは、このリモート管理を有効にする方法について解説する。

操作方法

リモート管理用ポートをオープンする

XP SP2展開計画「Windowsファイアウォールの管理」

　リモート管理用ポートをオープンするにはいくつか方法がある。Windows XP SP2／Windows Server 2003 SP1のインストール時にINFファイルを使って設定する方法やインストール後に手動でレジストリを設定する方法、netshコマンドを利用する方法、グループ・ポリシーを利用する方法などである。それぞれの具体的な方法については関連記事を参照していただきたいが、管理目的で利用するならば、グループ・ポリシーで設定するのがよいだろう。OSやService Packのインストール方法にかかわらず、ドメインに参加しているコンピュータの設定を、中央から一括して変更することができるからだ。リモートから管理するという目的からすればこれで十分だし、個々のコンピュータの設定を変更する必要もないので、手間もかからない。

手順1――グループ・ポリシーのテンプレートを更新する

XP SP2展開計画「4．グループ・ポリシーによる設定」

　グループ・ポリシーで管理するためには、まずActive Directoryのドメイン・コントローラに新しい管理用のテンプレートを導入する必要がある。Windowsファイアウォールやリモート管理のためグループ・ポリシーは、Windows XP SP2かWindows Server 2003 SP1に付属している管理用テンプレートにしか含まれていないからだ。管理用テンプレートを更新するにはいくつか方法があるが、いちばん簡単なのは、ドメインのメンバとなっているWindows XP SP2かWindows Server 2003 SP1コンピュータにグループ・ポリシーのエディタ（グループ・ポリシー管理コンソールかサーバ用管理ツール）を導入し、既存のグループ・ポリシーを一度編集することだ。この変更を行うとドメイン・コントローラ上の管理用テンプレートが更新され、Windowsファイアウォールの項目を設定することができる。具体的な操作方法については関連記事を参照していただきたい。この操作を行うと、グループ・ポリシー・エディタが「[strings] セクションの次のエントリが長すぎて切り詰められました）」というエラーを出力することがあるが、その場合も関連記事の手順に従ってグループ・ポリシー・エディタを更新していただきたい。

手順2――リモート管理用の設定を行う

　準備ができたら、Windowsファイアウォール用のグループ・ポリシーを編集する。編集するにはActive Directoryの管理ツールか、グループ・ポリシー管理ツール（GPMC）を利用する。編集したいグループ・ポリシー・オブジェクト（GPO）を選択し、ポップアップ・メニューから［編集］を選択する。

GPMCによるグループ・ポリシーの編集

これは、グループ・ポリシー管理コンソール（GPMC）を使ったグループ・ポリシーの編集例。編集したいグループ・ポリシーを選択して、［編集］を実行する。従来のActive Directoryの管理ツールを使ってもよい。

		編集したいグループ・ポリシーを選択してマウスを右クリックする。
		これを選択して編集する。

XP SP2展開計画「1．Windowsファイアウォールの管理方法」

　Windowsファイアウォールに関するGPOは、［コンピュータの構成］－［管理用テンプレート］－［ネットワーク］－［ネットワーク接続］－［Windows Firewall］に存在する。この中には「ドメインプロファイル」と「標準プロファイル」という2つのプロファイルがある。2つのプロファイルの違いについては参考記事を参照していただきたいが、ドメイン環境では「ドメインプロファイル」の方で定義しなければならない。標準プロファイルは、ドメイン・ネットワークから外れた（通信できなくなった）場合に利用されるが、そのような状況ではリモート管理用ポートをオープンするのは危険なので、オープンしないようにする。

Windowsファイアウォールに関するGPO

Windowsファイアウォールに関するGPOは、［コンピュータの構成］－［管理用テンプレート］－［ネットワーク］－［ネットワーク接続］－［Windows Firewall］の下にある。2つのプロファイルがあるが、「ドメインプロファイル」の方で定義すること。

		WindowsファイアウォールのGPO。
		ドメイン・ネットワーク接続時に使用されるプロファイル。
		標準プロファイルは、ドメイン・ネットワークへの接続が途絶えた場合に利用される。こちらでリモート管理を有効にしてはいけない。
		これがリモート管理のためのGPO。これをダブルクリックして編集する。
		これを有効にする。

　上の画面で、の行をダブルクリックすると、GPOを編集するダイアログが表示される。そこで［有効］を選択し、さらに管理を許可するネットワーク・アドレスのリストを入力すればよい。

リモート管理の有効化

このGPOを有効にすると、リモート管理用のポートが自動的にオープンされる。デフォルトではすべてコンピュータからのアクセスが許可されているので、適切なアドレス範囲を指定すること。

		このGPOに関する説明を見るには、これを選択する。
		デフォルトではこの［未構成］になっている。
		これを選択して、リモート管理を有効化する。
		これを選択すると、リモート管理が無効になる。
		ここには、アクセスを許可するネットワーク・アドレスのリストを指定する。必ず忘れずに指定すること。

　には、リモート管理ポートへのアクセスを許可するIPアドレス範囲のリスト（スコープ）を指定する。リモート管理ではなく、例えば「ファイルとプリンタの共有」なら「LocalSubNet」がデフォルトとなっており、同じネットワークからのアクセスしか許可されていない。だがリモート管理（とリモート・デスクトップ）のルールでは、デフォルトではすべてのIPアドレスからのアクセスが許可されているので、場合によっては非常に危険である。必ず、社内ネットワークのIPアドレス範囲だけを許可するように設定しなければならない。詳しくはTIPS「リモート管理のスコープ設定に注意」を参照のこと。

手順3――グループ・ポリシー設定の確認

　以上でグループ・ポリシーの設定は完了なので、次はクライアント側で実際の設定を確認してみる。クライアントのコンピュータを再起動すると、新しいGPOがロードされ、適用されているはずである。

　まずグループ・ポリシーがロードされているかどうかを見てみよう。クライアント・コンピュータの［コントロールパネル］にある［Windowsファイアウォール］を開き、［例外］タブを表示させてみる。

クライアント側での確認

Windowsファイアウォールがグループ・ポリシーで制御されている場合、［グループポリシー］という欄が表示される。

		このタブを選択する。
		ここにWindowsファイアウォールで許可されるポートやサービスの名称が表示される。さらにチェック・ボックスがオンになっていれば、そのポートやサービスが許可されていることになる。
		Windowsファイアウォールに関するグループ・ポリシー項目が1つでも定義されていると、このように「グループポリシー」という欄が表示される。そうでなければ、この欄は空白のままである。
		グループ・ポリシーによって有効化されていると、ここが［はい］となる。

　ここには、Windowsファイアウォールで許可されているポートやサービスが表示される。Windowsファイアウォールに関するGPOが定義されていると、さらに「グループポリシー」という欄が表示されるが（上の）、そうでなければ、この欄そのものが表示されない。

　この画面では「グループポリシー」欄が表示されているので、Windows ファイアウォールに関する何らかのGPOが定義されていることが分かる。だが「リモート管理」はこの一覧には表示されない仕様なので、リモート管理が有効かどうかはこの画面では確認できない。実際にリモートから何らかの管理ツールで接続したり、pingコマンドを実行したりしてみてもよいが、ここではコマンド・プロンプトを開いて、netshコマンドを利用する方法を紹介しておく。

　netshは、ネットワーク関連のコンポーネントをコマンド・プロンプトで操作するためのインターフェイスである。netshのfirewallコンテキストでshow statコマンドなどを実行すれば、リモート管理が有効かどうかが分かる。

設定の確認

コマンド・プロンプトから設定を確認するには、netshコマンドを利用する。ファイアウォールの設定や状態をより詳細に見ることができる。

		firewallコンテキストへの切り替え。
		Windowsファイアウォールの状態を表示するコマンド。
		現在使用中のプロファイル。ドメイン・プロファイルが使用されている。
		リモート管理モードが有効になっている。
		オープンされているポート。135はMS-RPC、445はCIFS／SMBプロトコルで使用。

　コマンド・プロンプトで、直接「netsh firewall show stat」と実行してもよいし、netshコマンドを立ち上げて、「firewall」「show stat」コマンドを順番に入力してインタラクティブに実行してもよい。いずれにしろ、リモート管理が有効になっていると「リモート管理モード = Enable」と表示されているはずである。より詳細な情報を知りたければ、「show stat enable」（これは「show stat verbose=enable」と同じ）とすればよい。

詳細な状態の表示

show stat enableコマンドで、より詳細に表示される。

リモート管理モードのスコープが表示されている。

　これを見れば分かるように、リモート管理にはスコープ指定が付けられており、ここに列挙したアドレス以外からのアクセスは拒否されるようになっている。

	関連記事（Windows Server Insider）
		Windows TIPS：XP SP2のファイアウォールでリモート管理を有効にする
		Windows TIPS：リモート管理機能のスコープ設定に注意

この記事と関連性の高い別の記事

このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw（ジグソー）により自動抽出したものです。

generated by

「Windows TIPS」

Windows Server Insider フォーラム新着記事

Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる （2017/7/27）
　AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう
Azure Storage ExplorerでStorageを手軽に操作する （2017/7/24）
　エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう
Win 10でキーボード配列が誤認識された場合の対処 （2017/7/21）
　キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう
Azure Web AppsでWordPressをインストールしてみる （2017/7/20）
　これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた！まずはWordPressをインストールしてみる