Windows ServerのWindowsファイアウォールを構成および管理する方法

チュートリアル
Windows

あなたのWindowsサーバーのWindowsファイアウォールを設定および管理する。堅牢なサーバー管理の分野では、Windowsファイアウォールが枢軸的な装置として現れ、我々のWindowsサーバーを様々な潜在的な脆弱性から固く守りつつ、通信の流れを正確に調整する。Windowsサーバーオペレーティングシステムの基本的な構成要素として、Windowsファイアウォールの機能について微妙な理解を持って巧みに設定し、熟練して管理することが必要です。この記事では、Windowsサーバー環境内のWindowsファイアウォールの設定と管理を支える多面的な側面について綿密で徹底的な検討を行い、サーバーの防衛を強化し、その運用効率を微調整するための貴重な洞察を提供します。

また読むWindowsサーバー暗号化とBitLockerでデータを保護する

あなたのWindowsサーバーのWindowsファイアウォールを設定および管理する

Windowsファイアウォールは、Windowsオペレーティングシステムの組み込みセキュリティ機能であり、インターネットやローカルネットワークからの潜在的な脅威となるものからコンピューターやネットワークを保護するバリアとして機能します。それは着信および送信ネットワークトラフィックを監視および制御し、システムを不正なアクセスや悪意のある活動から保護するのに役立ちます。記事の次のセクションでは、Windowsファイアウォールを無効にする方法について詳しく説明します。

また読むWindowsサーバーパッチ管理:Windowsサーバーをセキュアで最新の状態に保つ方法

GUIを使用したWindowsファイアウォールの構成

Windowsの組み込みグラフィカルユーザーインターフェース(GUI)ツールは、家庭や職場のユーザーがファイアウォールを管理する最も迅速な方法です。GUIツールの1つの例は、Windows Defenderファイアウォールコントロールパネルです。

Windows Defenderファイアウォールコントロールパネルの使用

Windowsオペレーティングシステムの不可欠な側面であるWindows Defender Firewallコントロールパネルは、ユーザーがシステムの堅固な防御ラインを編成できるようにします。このアクセスしやすいインターフェイスを通じて、ユーザーはインバウンドおよびアウトバウンドトラフィックを綿密に管理し、ネットワークセキュリティを強化しながらシームレスな通信の整合性を維持します。次に、Windows Defender Firewallコントロールパネルを起動するいくつかの方法を示します。

方法1

コントロールパネルシステムとセキュリティWindows Defender Firewallに移動します。
方法2

スタートをクリックし、Windows Defender Firewallと入力して、Windows Defender Firewallリンクをクリックします。
方法3

実行ダイアログボックスを開き、firewall.cplと入力し、OKをクリックします。

リストのネットワークプロファイル—ドメイン、プライベート、およびゲストまたはパブリックネットワークをWindows Defenderファイアウォールコントロールパネルで認識する必要があります。左側のWindows Defenderのオン/オフリンクをクリックします。

ページで、各ネットワークプロファイルのWindowsファイアウォールをオフにします。以下の例では、Windowsファイアウォールがすべてのネットワークプロファイルで無効になっています。

また、以下を参照してくださいWindows Server Hardening: Windows Serverのセキュリティ設定とポリシーの構成

グループポリシー管理コンソールを使用する

システム管理者は、グループポリシーオブジェクト(GPO)を展開することで、ドメイン内の選択されたコンピュータまたはすべてのコンピュータのWindowsファイアウォールをオフにします。展開後、Windowsファイアウォールの無効化は、構成によってスコープ内のすべてのコンピュータにポリシー経由で強制されるため、自動化されます。

この場合、グループポリシー管理(GPMC)コンソール(GPMC)を使用して、サーバー上でGPOを作成します。そのためには、実行ダイアログでgpmc.mscコマンドを実行します。

 グループポリシー管理コンソールでフォレストを展開し、GPOを作成するドメインを選択します。GPOを作成したら、ドメインを右クリックして、このドメインでGPOを作成し、ここにリンクする…

新しいGPOダイアログボックスが表示されます。作成するGPOの名前を入力します。新しいGPOを右クリックして、編集を選択します。GPOはグループポリシー管理エディタで開きます。その後、これらのフォルダーを展開します:

  • コンピューターの構成
  • ポリシー
  • 管理用テンプレート
  • ネットワーク
  • ネットワーク接続
  • Windows Defender
  • ファイアウォール
  • ドメインプロファイル

ここでは、ドメインで実装するすべてのWindowsファイアウォールプロファイルのリストを見ることができます。この例では、右ペインの設定リストでWindows Defenderファイアウォール:すべてのネットワーク接続を保護をダブルクリックして、そのプロパティを開きます。

設定プロパティが開いたら、無効を選択して、OKをクリックします。

同じオプションを標準プロファイルの設定にもう一度適用します。GPOが作成されたので、ドメインコンピュータにGPOを展開する必要があります。グループポリシー管理でWindowsファイアウォールを無効にする GPOを選択して適用します。その後、スコープタブセキュリティフィルタリング セクションの追加ボタンをクリックします。

「ドメインコンピュータ」を選択すると、GPOがDomain Computers グループのメンバーであるすべてのコンピュータに適用されることが保証されます。

次回クライアントコンピュータがポリシーアップデートを受信すると、ファイアウォールがオフになります。

GPOが作成および展開されたので、ポリシーアップデートを強制してGPOが機能するかどうかをテストします。gpupdate /forceをクライアントコンピュータで実行してポリシーアップデートをテストします。

また、Windows Serverセキュリティベストプラクティス:Windows Server環境をセキュアにする

また、InfraSOS Active Directory GPOレポートツールを試す

CLIを使用してWindowsファイアウォールを構成する

ほとんどの場合、Windows GUI機能にはコマンドラインによる同等の機能があります。コマンドラインインターフェース(CLI)を使用すると、GUIオプションを使用して異なるWindowsの場所に移動するよりも速くなることがあります。さらに、コマンドラインオプションを使用すると、タスクをスクリプト化または自動化することができます。以下にいくつかの例を示します:

Netshコマンドを使用したWindowsファイアウォールの管理

A legacy but valuable handy utility called netsh is useful to manage network configurations on a computer or, in this case, disable the Windows Firewall. Using netsh advfirewall set, we manage Windows Firewall individually on each location or all network profiles.

  • netsh advfirewall set currentprofile state – このコマンドは現在アクティブなネットワークプロファイルのファイアウォールを管理します。
  • netsh advfirewall set domainprofile state – ドメインプロファイルのファイアウォールを管理します。ネットワークプロファイルのみ。
  • netsh advfirewall set privateprofile state – プライベートネットワークプロファイルのファイアウォールを管理します。ネットワークプロファイルのみ。
  • netsh advfirewall set publicprofile state – このコマンドは公開ネットワークプロファイルのファイアウォールのみを管理します
  • netsh advfirewall set all profiles state – このコマンドはすべてのネットワークプロファイルを同時に管理します。

経験豊富なユーザー向けに細かい制御を求めるため、netshコマンドを統合することで、正確なファイアウォール構成と管理の機会が増え、サーバーのサイバー脅威に対する抵抗力が強化されます。

Set-NetFirewallProfile PowerShell Cmdletの使用

ザ・ネットセキュリティ・パワーシェルモジュールは、ネットワークとネットワークセキュリティの設定に関連するコマンドレットを含んでいます。このパワーシェルモジュールは、Windows Server 2012以降で組み込みです。これらのコマンドレットの1つがSet-NetFirewallProfileで、これを使用してWindows Firewallを管理します。

Set-NetFirewallProfile -All -Enabled True
Set-NetFirewallProfile -Profile  -Enabled False

以下のコマンドは、パブリック、プライベート、およびドメインネットワークプロファイルでのファイアウォールをオフにします。

Set-NetFirewallProfile -Profile Domain,Private,Public -Enabled False

プロファイル名を指定せずに、-Allパラメータースイッチを使用してすべてのネットワークプロファイルでWindows Firewallを無効にする方法を以下に示します。

PowerShellを使用したリモートでのWindows Firewallの管理

多くのコンピューターでファイアウォールを管理する必要がある場合、各コンピューターにログインしてコマンドを手動で実行するのは非効率です。特にネットワーク環境では、PowerShellを使用してリモートで無効にします。

注意: この手順には、対象のコンピューターでWindowsリモート管理またはWinRMを有効にする必要があります。ほとんどの場合、WinRMはドメインに参加したコンピューターでリモート管理目的で利用できます。

1つずつリモートコンピューターのWindowsファイアウォールを無効にする予定がある場合、Enter-PsSession cmdletを使用してリモートコンピューターにコマンドを発行します。

Enter-PsSession -ComputerName WINSRV01
Set-NetFirewallProfile -All -Enabled False

上記のプロセスは、わずかなリモートコンピュータで作業する場合にのみ適しています。しかし、多くのコンピュータをオフにする必要がある場合は、スクリプトに適したアプローチが必要です。そのために、 Invoke-Command cmdlet

$computers = @('WINSRV01','WINSRV02')
$computers | ForEach-Object {
	Invoke-Command -ComputerName $_ {
		Set-NetFirewallProfile -All -Enabled False
	}
}

を使用します。上記のスニペットからわかるように、リモートコンピュータの名前を$computers変数に配列として格納します。その後、PowerShellは各リモートコンピュータをループしてInvoke-Command cmdletを実行し、Set-NetFirewallProfile -All -Enabled Falseコマンドを発行します。

また、Azure Firewall & Security GroupsでAzureネットワークをセキュアにする方法

Windowsファイアウォール with Advanced Security

WindowsファイアウォールとWindowsファイアウォールとの違いは、その複雑さと機能にあります。Windowsファイアウォールは、事前に定義されたルールを使用して、受信および送信ネットワークトラフィックを制御する主要なユーザーフレンドリーなファイアウォールとして機能しますが、Windowsファイアウォールとは異なり、高度なセキュリティを備えたWindowsファイアウォールは、高度なユーザーや管理者により複雑なツールセットを提供し、IPアドレス、プロトコル、ユーザー、サービスなどの基準を包括的にカスタマイズした構成を可能にし、特に複雑なネットワーク環境に適しています。

Windowsの3つのバージョンすべてで、Windows Defenderファイアウォールの実行可能ファイルを検索するには、それを起動する最も簡単な方法です。Windows検索ボックスにを入力し、その結果をクリックまたは押します。

コントロールパネルで、 Windows Defenderファイアウォールと高度なセキュリティ にアクセスするには、 システムとセキュリティ -> Windows Defenderファイアウォールをクリックして、詳細設定をクリックまたはタップします。

Windowsのオペレーティングシステム内で、Windows Defenderファイアウォールと高度なセキュリティにアクセスするためのショートカットは、スタートメニューから便利に利用できます。この経路に従います:スタートメニューWindows管理ツールWindows Defenderファイアウォールと高度なセキュリティ

また読むInfraSOS Office 365 Reporting Toolをお試しください

Windowsファイアウォールの高度なセキュリティの利点

このツールはWindows Defenderファイアウォール内のすべての機能にアクセスできます。その利用にはいくつかの利点があります:

  • ネットワークベースのセキュリティ侵害への脆弱性を減少させます。 包括的なセキュリティソリューションではありませんが、Windows Defenderファイアウォールは成功したネットワーク攻撃の可能性を減らします。 
  • IPsec(Internet Protocol Security)を使用してデバイスへのアクセスを検証しますIPsec データの整合性と機密性を確保するために。
  • 追加費用なしでファイアウォール機能を提供します。 Windows DefenderファイアウォールはWindowsの重要なコンポーネントとして、追加の費用や追加のソフトウェアのインストールが不要なままファイアウォール機能を提供します。

Windows Defenderファイアウォールの高度なセキュリティは、これらの利点を提供します。

  • インバウンドとアウトバウンドのルール:これらのルールにより、ポート番号、プログラム、およびIPアドレスに基づいてカスタマイズされた入出力ネットワークトラフィックの厳密な制御が可能になります。
  • 接続セキュリティルール:これらのルールは、暗号化パラメーターと認証方法を定義することで、安全な通信チャンネルを確立し、ネットワークセキュリティを向上させます。
  • 監視:ファイアウォールは、ルール一致や接続試行などのイベントを追跡する包括的な監視ツールを提供し、タイムリーな脅威の検出と対応を支援します。

Windows ServerのWindowsファイアウォールの構成と管理方法をお読みいただきありがとうございます。続きはこちら、

こちらも読むAzureでのコンプライアンスとガバナンスポリシーの実装方法

Windows ServerのWindowsファイアウォールの構成と管理の結論

結論として、Windows Server上のWindowsファイアウォールの構成と管理をマスターすることは、安全で最適なサーバー環境を維持する上で極めて重要です。Windows Defenderファイアウォールコントロールパネルは、コミュニケーションの整合性を保護し、潜在的な脆弱性を排除するためのアクセス可能なゲートウェイを提供します。さらに、コントロール度を高めたい場合には、netshコマンドを統合することで、ファイアウォール設定を微調整するための高度な手段が提供され、サーバーの防御を強化し、動的なデジタル環境に対抗する包括的なアプローチが実現されます。

Source:
https://infrasos.com/configure-and-manage-windows-firewall-for-your-windows-server/