はい。ポートは全て「宛先ポート」です。
ポート113はルータのデフォルト動作のままにしてください。通常、デフォルトでルータのポートの状態がClosedの状態になっていて、identを利用する接続方法を使用した場合に接続要求であるSYNパケットを受け取るとRSTパケットで応答することでタイムアウト待ちになることなしにアクセス可能になります。閉鎖しても、タイムアウトになるまでの待ち時間が数秒かかるようになるだけです。
設定した結果が気になるなら、以下のサイトを参考に確認してもいいでしょう。
セキュリティを上げるためにOSの設定を変更する時にはRPC,NetBios,SMB以外に何か設定をすることはありますか。
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 8%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
Anonymous
家のPCのWindows10Homeのセキュリティを設定する時、ネット越しに他人に自分のPCやルーター等に接続されるのを防ぎたいと思います。
MS製品は、今後11が主流になると思いますが、2000の頃から今に至るまでセキュリティの設定はこれらをしておけば問題ないのでしょうか。
WindowsDefenderを使用していますので有料のセキュリティソフトは使用しておりません。
ネット越しにNetBios等のファイル共有などは一切しません。
光ファイバーでネットに接続するときに、NTTのONUとバッファローの2019年製の安いルーターを置いています。
Windows10Homeだと、共有とリモートアシスタンス以外はあまりアクセスされるものがないと思いますから、この場合、やはり、殆ど共有の監視をするのがセキュリティなのでしょうか。
この場合、以下の設定以外にする事はあるのでしょうか。
・RPCは新旧あるようですが、古いのは無効にして、新しいほうは無効にすると問題があるようなのでそのままでRPCのポート135をTCP,UDP共にファイアウォールとルーターでフィルタリングする。
・NetBiosOver-TCP/IPを無効にする。
・SMBv1を削除する。
・SMBv2,v3も停止する。便利なMSのファイル共有は使用しておりませんからSMBは無効にする。
・SMBのポート137,138,139,445をTCP,UDP共にファイアウォールとルーターでフィルタリングする。
・リモートアシスタンスの接続を許可するのチェックを外す。
・リモートデスクトップをプライベートとパブリック共にブロックするために、WindowsFirewallで許可のチェックを外す。
・RemoteRegistoryの設定を無効にする。*実際、標準で無効になっていると思います。
少し疑問に思ったのですが、ルーターや光回線のONUのファイアウォールでポート135,137,138,139,445はOSの設定と共にルーターやONUやOSの設定とも3つフィルタリングしておくべきでしょうか。
ルーターやONUのデフォルトではフィルタリングされていないものもあります。
それとも、OSの設定だけで十分なのでしょうか。
また、本当はファイアウォールの設定でポートのフィルタリングがしっかりされていればRPCやNetBiosOver-TCP/IPやSMBv1(v2やv3も含めて)が稼働していても問題ないのでしょうか。
過去に、誰かにネット越しに直接レジストリの設定を変更されることが何度かあったと思います。
この時は、ルーターを置いてネットをしているので外部から自分のPCは見えないはずですが、直接レジストリの設定を変更されました。
ですが、有料のセキュリティソフトが反応しました。
家庭向け Windows | Windows 10 | セキュリティとプライバシー
ロックされた質問。 この質問は、Microsoft サポート コミュニティから移行されました。 役に立つかどうかに投票することはできますが、コメントの追加、質問への返信やフォローはできません。
質問作成者が受け入れた回答
-
Anonymous
2021-12-21T08:18:12+00:00
質問作成者が受け入れた回答
-
Anonymous
2021-12-20T03:22:10+00:00 UPnPでP2P系のアプリを使うのでなければ、LAN->WAN方向でサーバーに接続しに行くだけになりますので、一番簡単なルーターの構成としては以下のようになります。
WAN->LAN方向のTCPについては、TCPフラグ"SYN"の物は、1-112と114-65535、つまりポート113以外全部破棄しても構わないでしょう。 これで外部からのTCPでの接続要求はすべて拒否することになります。
同様にWAN->LAN方向のUDPについては、1-112と114-1024のポートはまとめて封鎖しても問題ないでしょう。
追加して、念のためUPnPの関係でWAN->LAN方向のポート1900はTCP/UDPともに閉鎖しておいた方がいいです。
LAN->WAN方向については、135-139と445についてはTCP/UDPともに必要がなければ封鎖しておいた方がいいです。
あとは、LAN内の端末で使用するアプリケーションに応じて、追加で調整していくことになるでしょう。
-
Anonymous
2021-12-20T10:02:56+00:00 NTTの物はPR-500MIですが、設定をよく見たらTCPでSYNフラグの設定ができるようになっていました。
失礼いたしました。バッファローのルーターはAirStationWSR-1166DHPLという本当に安いルーターで3000円くらいのルーターです。
今回は回答していただき有難うございました。
-
Anonymous
2021-12-20T08:05:43+00:00 NTTのPR-500KIなどのHGWで提供しているルーターで設定可能なレベルで書いたのですが、環境や機器条件が合わなかったようですね。そこまで行くと個々のルーターの機種が分からないと厳しいです。
-
Anonymous
2021-12-20T07:10:01+00:00 ご回答いただきありがとうございます。
Windows10Homeのファイアウォールだと、SYNフラグのパケットのみをフィルタリングする事は出来ないようです。
また、バッファローの安いルーターだと、IPv6の場合は「Internet側からの接続要求を転送しない 」というアバウトな設定のチェックしか出来ないようですが、回答と比較すると同じことを指していると思いますから、この設定にチェックを入れて、他はルーターやONUやWindowsのファイアウォールのフィルタリングしようと思います。
ルーターをもう少し高性能な物に変えることも検討したいと思います。回答していただき有難うございました。