Windows TIPS
[Network]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

Windowsファイアウォールのリモート管理を有効にする

解説をスキップして操作方法を読む

デジタルアドバンテージ 打越 浩幸
2005/05/28
 
対象OS
Windows XP SP2
Windows Server 2003 SP1
Windowsファイアウォールを有効にすると、外部からのアクセスが一切禁止され、管理者ですらコンピュータの状態を調査できなくなる。
Windowsファイアウォールのリモート管理モードを有効にすると、管理用のポートがいくつかオープンされ、管理ツールなどでリモート操作できるようになる。
リモート管理モードは、グループ・ポリシーで設定するとよい。
リモート管理モードを利用する場合は、必ずスコープも設定すること。
 
解説

 Windows XP SP2やWindows Server 2003 SP1には、ネットワーク接続時の安全性を向上させるために「Windowsファイアウォール」という機能が用意されている。それ以前の「インターネット接続ファイアウォール」と比べると機能向上が図られ、Windows XP SP2ではデフォルトで有効になるようになっている(Windowsファイアウォールの機能自体はWindows Server 2003 SP1にも搭載されているが、こちらはデフォルトでは無効になっており、管理者が手動で有効に設定する)。

 だがこのWindowsファイアウォールを有効にすると、(デフォルトでは)外部からの通信が一切遮断され、安全性は向上するものの、管理業務にも支障をきたす可能性がある。Windowsファイアウォールのデフォルト設定では、内部(ローカル・コンピュータ)から外部へのアクセスは許可されるが、逆に外部から内部へのアクセスはすべて拒否されるからだ(XP SP2ではリモート・アシスタンスのみが許可されている)。TCPやUDPだけでなく、ICMPの着信も拒否されるため、pingのパケット(ICMPのEchoコマンド)にも応答しなくなる。

 一般的にはこのような設定でも問題は少ないだろうが、企業などで使用するコンピュータの場合は、リモートから一切管理することができなくなるし、pingにすら応答しないのでは、存在しているかどうかを確認することもできない。

 そこでこのような状態を解消し、リモートからでも管理できるように、最低限の管理用ポートを許可する「リモート管理」機能が用意されている。この機能を有効にすると、ファイル共有やICMPの設定といった、個別のポート設定をいちいち変更することなく、コンピュータをリモートから管理できるように、いくつかのポートがまとめて着信許可状態になる。例えば[管理ツール]の[コンピュータの管理]や[イベント ビューア]、[サービス]などの各種の管理ツールでリモートから接続して管理することができるようになる。具体的には、以下のポートに対して、外部からの着信を受け付けるようにオープンされる。

受け付けるポート 目的
TCPのポート135番 MS-RPCのポート・マッパで使用されるポート。netstatでは「emap」と表示される
TCPのポート445番 Windows 2000移行のWindowsネットワークにおいて、ファイル共有サービス(SMBサービス)で利用されるポート。CIFSサービスともいい、NetBIOSを利用しないでファイル共有を行うために利用される。netstatでは「microsoft-ds」と表示される
ICMP Echoコマンド pingで応答する場合に使用されるICMPサービスのポート。これが有効だとpingコマンドに応答する
リモート管理で使用されるポートとサービス

TIPS「ポート445に注意」
連載「基礎から学ぶWindowsネットワーク」

 これで分かるように、リモート管理で利用されるポートは、結局のところ、通常のファイル共有サービス(SMB/CIFS)などで利用されるポートと同じものである(Windowsネットワーク機能の仕組み上、これを避けることはできない)。そのためリモート管理を有効にすると、ファイル共有も可能になってしまうので、必要に応じてファイルや共有フォルダのアクセス権設定なども適切に行っておく必要がある。

 本TIPSでは、このリモート管理を有効にする方法について解説する。


操作方法

リモート管理用ポートをオープンする

XP SP2展開計画「Windowsファイアウォールの管理」

 リモート管理用ポートをオープンするにはいくつか方法がある。Windows XP SP2/Windows Server 2003 SP1のインストール時にINFファイルを使って設定する方法やインストール後に手動でレジストリを設定する方法、netshコマンドを利用する方法、グループ・ポリシーを利用する方法などである。それぞれの具体的な方法については関連記事を参照していただきたいが、管理目的で利用するならば、グループ・ポリシーで設定するのがよいだろう。OSやService Packのインストール方法にかかわらず、ドメインに参加しているコンピュータの設定を、中央から一括して変更することができるからだ。リモートから管理するという目的からすればこれで十分だし、個々のコンピュータの設定を変更する必要もないので、手間もかからない。

手順1――グループ・ポリシーのテンプレートを更新する

XP SP2展開計画「4.グループ・ポリシーによる設定」

 グループ・ポリシーで管理するためには、まずActive Directoryのドメイン・コントローラに新しい管理用のテンプレートを導入する必要がある。Windowsファイアウォールやリモート管理のためグループ・ポリシーは、Windows XP SP2かWindows Server 2003 SP1に付属している管理用テンプレートにしか含まれていないからだ。管理用テンプレートを更新するにはいくつか方法があるが、いちばん簡単なのは、ドメインのメンバとなっているWindows XP SP2かWindows Server 2003 SP1コンピュータにグループ・ポリシーのエディタ(グループ・ポリシー管理コンソールかサーバ用管理ツール)を導入し、既存のグループ・ポリシーを一度編集することだ。この変更を行うとドメイン・コントローラ上の管理用テンプレートが更新され、Windowsファイアウォールの項目を設定することができる。具体的な操作方法については関連記事を参照していただきたい。この操作を行うと、グループ・ポリシー・エディタが「[strings] セクションの次のエントリが長すぎて切り詰められました)」というエラーを出力することがあるが、その場合も関連記事の手順に従ってグループ・ポリシー・エディタを更新していただきたい。

手順2――リモート管理用の設定を行う

 準備ができたら、Windowsファイアウォール用のグループ・ポリシーを編集する。編集するにはActive Directoryの管理ツールか、グループ・ポリシー管理ツール(GPMC)を利用する。編集したいグループ・ポリシー・オブジェクト(GPO)を選択し、ポップアップ・メニューから[編集]を選択する。

GPMCによるグループ・ポリシーの編集
これは、グループ・ポリシー管理コンソール(GPMC)を使ったグループ・ポリシーの編集例。編集したいグループ・ポリシーを選択して、[編集]を実行する。従来のActive Directoryの管理ツールを使ってもよい。
  編集したいグループ・ポリシーを選択してマウスを右クリックする。
  これを選択して編集する。

XP SP2展開計画「1.Windowsファイアウォールの管理方法」

 Windowsファイアウォールに関するGPOは、[コンピュータの構成]−[管理用テンプレート]−[ネットワーク]−[ネットワーク接続]−[Windows Firewall]に存在する。この中には「ドメイン プロファイル」と「標準プロファイル」という2つのプロファイルがある。2つのプロファイルの違いについては参考記事を参照していただきたいが、ドメイン環境では「ドメイン プロファイル」の方で定義しなければならない。標準プロファイルは、ドメイン・ネットワークから外れた(通信できなくなった)場合に利用されるが、そのような状況ではリモート管理用ポートをオープンするのは危険なので、オープンしないようにする。

Windowsファイアウォールに関するGPO
Windowsファイアウォールに関するGPOは、[コンピュータの構成]−[管理用テンプレート]−[ネットワーク]−[ネットワーク接続]−[Windows Firewall]の下にある。2つのプロファイルがあるが、「ドメイン プロファイル」の方で定義すること。
  WindowsファイアウォールのGPO。
  ドメイン・ネットワーク接続時に使用されるプロファイル。
  標準プロファイルは、ドメイン・ネットワークへの接続が途絶えた場合に利用される。こちらでリモート管理を有効にしてはいけない。
  これがリモート管理のためのGPO。これをダブルクリックして編集する。
  これを有効にする。

 上の画面で、の行をダブルクリックすると、GPOを編集するダイアログが表示される。そこで[有効]を選択し、さらに管理を許可するネットワーク・アドレスのリストを入力すればよい。

リモート管理の有効化
このGPOを有効にすると、リモート管理用のポートが自動的にオープンされる。デフォルトではすべてコンピュータからのアクセスが許可されているので、適切なアドレス範囲を指定すること。
  このGPOに関する説明を見るには、これを選択する。
  デフォルトではこの[未構成]になっている。
  これを選択して、リモート管理を有効化する。
  これを選択すると、リモート管理が無効になる。
  ここには、アクセスを許可するネットワーク・アドレスのリストを指定する。必ず忘れずに指定すること。

 には、リモート管理ポートへのアクセスを許可するIPアドレス範囲のリスト(スコープ)を指定する。リモート管理ではなく、例えば「ファイルとプリンタの共有」なら「LocalSubNet」がデフォルトとなっており、同じネットワークからのアクセスしか許可されていない。だがリモート管理(とリモート・デスクトップ)のルールでは、デフォルトではすべてのIPアドレスからのアクセスが許可されているので、場合によっては非常に危険である。必ず、社内ネットワークのIPアドレス範囲だけを許可するように設定しなければならない。詳しくはTIPS「リモート管理のスコープ設定に注意」を参照のこと。

手順3――グループ・ポリシー設定の確認

 以上でグループ・ポリシーの設定は完了なので、次はクライアント側で実際の設定を確認してみる。クライアントのコンピュータを再起動すると、新しいGPOがロードされ、適用されているはずである。

 まずグループ・ポリシーがロードされているかどうかを見てみよう。クライアント・コンピュータの[コントロール パネル]にある[Windowsファイアウォール]を開き、[例外]タブを表示させてみる。

クライアント側での確認
Windowsファイアウォールがグループ・ポリシーで制御されている場合、[グループ ポリシー]という欄が表示される。
  このタブを選択する。
  ここにWindowsファイアウォールで許可されるポートやサービスの名称が表示される。さらにチェック・ボックスがオンになっていれば、そのポートやサービスが許可されていることになる。
  Windowsファイアウォールに関するグループ・ポリシー項目が1つでも定義されていると、このように「グループ ポリシー」という欄が表示される。そうでなければ、この欄は空白のままである。
  グループ・ポリシーによって有効化されていると、ここが[はい]となる。

 ここには、Windowsファイアウォールで許可されているポートやサービスが表示される。Windowsファイアウォールに関するGPOが定義されていると、さらに「グループ ポリシー」という欄が表示されるが(上の)、そうでなければ、この欄そのものが表示されない。

 この画面では「グループ ポリシー」欄が表示されているので、Windows ファイアウォールに関する何らかのGPOが定義されていることが分かる。だが「リモート管理」はこの一覧には表示されない仕様なので、リモート管理が有効かどうかはこの画面では確認できない。実際にリモートから何らかの管理ツールで接続したり、pingコマンドを実行したりしてみてもよいが、ここではコマンド・プロンプトを開いて、netshコマンドを利用する方法を紹介しておく。

 netshは、ネットワーク関連のコンポーネントをコマンド・プロンプトで操作するためのインターフェイスである。netshのfirewallコンテキストでshow statコマンドなどを実行すれば、リモート管理が有効かどうかが分かる。

設定の確認
コマンド・プロンプトから設定を確認するには、netshコマンドを利用する。ファイアウォールの設定や状態をより詳細に見ることができる。
  firewallコンテキストへの切り替え。
  Windowsファイアウォールの状態を表示するコマンド。
  現在使用中のプロファイル。ドメイン・プロファイルが使用されている。
  リモート管理モードが有効になっている。
  オープンされているポート。135はMS-RPC、445はCIFS/SMBプロトコルで使用。

 コマンド・プロンプトで、直接「netsh firewall show stat」と実行してもよいし、netshコマンドを立ち上げて、「firewall」「show stat」コマンドを順番に入力してインタラクティブに実行してもよい。いずれにしろ、リモート管理が有効になっていると「リモート管理モード = Enable」と表示されているはずである。より詳細な情報を知りたければ、「show stat enable」(これは「show stat verbose=enable」と同じ)とすればよい。

詳細な状態の表示
show stat enableコマンドで、より詳細に表示される。
  リモート管理モードのスコープが表示されている。

 これを見れば分かるように、リモート管理にはスコープ指定が付けられており、ここに列挙したアドレス以外からのアクセスは拒否されるようになっている。End of Article

関連記事(Windows Server Insider)
  Windows TIPS:XP SP2のファイアウォールでリモート管理を有効にする
  Windows TIPS:リモート管理機能のスコープ設定に注意
     
「Windows TIPS」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間