セキュリティが強化された Windows ファイアウォールのトラブルシューティング ガイダンス

この記事は、セキュリティが強化された Windows ファイアウォールに関連する問題のトラブルシューティングに役立ちます。

トラブルシューティングのチェックリスト

ファイアウォール ルールに関する考慮事項

ネットワーク パケットが許可されるか削除されるかを判断するために使用されるファイアウォール ルールは 1 つだけです。 ネットワーク パケットが複数の規則と一致する場合、使用される規則は次の優先順位を使用して選択されます。

1. アクションを指定するルールは、[Allow if Secure]\(セキュリティで保護されている場合に許可する\) とオプション [Block Override]\(上書きのブロック\) を指定します。
2. アクションのブロックを指定するルール
3. アクションの許可を指定するルール

監視ノードには、現在アクティブなルールのみが表示されます。 次の場合、ルールはリストに表示されない可能性があります。

1. ルールが無効になっている場合。
2. 既定の受信または送信のファイアウォールの動作が、規則によってブロックされていないトラフィックを許可するように構成されている場合、指定された方向の許可ルールは表示されません。

既定では、次のリストに示されているグループのファイアウォール ルールは有効になっています。 特定の Windows 機能またはプログラムをインストールすると、追加のルールが有効になる場合があります。

1. コア ネットワーク - すべてのプロファイル
2. リモート アシスタンス – ドメイン プロファイル専用の DCOM および RA サーバー TCP ルール、ドメイン プロファイルとプライベート プロファイルの両方に対するその他のルール
3. ネットワーク探索 – プライベート プロファイルのみ

監査イベントを有効にする

auditpol.exeを使用して、ローカル コンピューターの監査ポリシーを変更します。 auditpol コマンドライン ツールを使用して、イベントのさまざまなカテゴリとサブカテゴリを有効または無効にし、イベント ビューアー スナップインでイベントを表示できます。

• auditpol ツールによって認識されるイベント カテゴリの一覧を取得するには、コマンド プロンプトで次のコマンドを実行します。

  auditpol.exe /list /category
  

• カテゴリの下にあるサブカテゴリの一覧を取得するには (この例では、カテゴリ ポリシーの変更を使用)、コマンド プロンプトで次のコマンドを実行します。

  auditpol.exe /list /category:"Policy Change"
  

• 有効にするカテゴリとサブカテゴリを設定するには、コマンド プロンプトで次のように入力します。

  auditpol.exe /set /category:"CategoryName" /SubCategory:"SubcategoryName"
  

プロファイルのファイアウォール ログ ファイルを構成する

1. セキュリティが強化された Windows ファイアウォール スナップインのコンソール ツリーで、セキュリティが強化された Windows ファイアウォール選択し、Actions ウィンドウで Properties を選択します。
2. ログ記録を構成するプロファイルのタブ (ドメイン、プライベート、またはパブリック) を選択し、 Customizeを選択します。
3. 名前と場所を指定します。
4. ログ ファイルのサイズ制限 (1 ～ 32767 KB) を指定します。
5. [ Yes を選択して、ドロップされたパケットをログに記録します。
6. [成功した接続をログに記録 Yes] を選択し、[OK] を選択します。

ネットワーク統計情報とタスク リストのテキスト ファイルを作成する

1. コマンド プロンプトに netstat -ano > netstat.txt と入力し、Enter キーを押します。
2. コマンド プロンプトに tasklist > tasklist.txt と入力し、Enter キーを押します。
   プログラムではなくサービス用のテキスト ファイルを作成する場合は、コマンド プロンプトで「 tasklist /svc > tasklist.txt」と入力します。
3. tasklist.txt と netstat.txt ファイルを開きます。
4. tasklist.txt ファイルで、トラブルシューティングを行うプロセスのプロセス識別子 (PID) を書き留めます。 PID と Netstat.txt ファイル内のものを比較します。 使用されているプロトコルを書き留めます。 使用されているプロトコルに関する情報は、ファイアウォール ログ ファイル内の情報を確認するときに役立ちます。

ファイアウォールと IPsec サービスが動作していることを確認する

セキュリティが強化された Windows ファイアウォールを正しく動作させるには、次のサービスを開始する必要があります。

• ベース フィルター エンジン
• グループ ポリシー クライアント
• IKE および AuthIP IPsec のキー モジュール
• IP ヘルパー
• IPSec ポリシー エージェント
• Network Location Awareness
• Network List Service
• Windows ファイアウォール

一般的な問題と解決方法

• Windows ファイアウォールがプログラムをブロックしている
• マイ コンピューターを起動するたびに Windows ファイアウォールがオフになる
• Windows ファイアウォールを無効にする必要がある
• セキュリティが強化された Windows ファイアウォールを構成できない
• 誰もマイコンピューターに Ping を実行できない
• ローカルのファイルとプリンターの共有にアクセスできない
• Windows ファイアウォールをリモートで管理できない
• Windows アップグレード後のファイアウォール設定のトラブルシューティング

データ収集

Microsoft サポートに問い合わせる前に、問題に関する情報を収集できます。

前提条件

1. TSS は、ローカル システムの管理者特権を持つアカウントで実行する必要があり、EULA を受け入れる必要があります (EULA が承認されると、TSS は再度プロンプトを表示しません)。
2. PowerShell 実行ポリシー RemoteSigned ローカル コンピューターをお勧めします。

Note

現在の PowerShell 実行ポリシーで TSS の実行が許可されていない場合は、次のアクションを実行します。

• コマンドレット PS C:\> Set-ExecutionPolicy -scope Process -ExecutionPolicy RemoteSignedを実行して、プロセス レベルのRemoteSigned実行ポリシーを設定します。
• 変更が有効かどうかを確認するには、コマンドレット PS C:\> Get-ExecutionPolicy -Listを実行します。
• プロセス レベルのアクセス許可は現在の PowerShell セッションにのみ適用されるため、TSS を実行する特定の PowerShell ウィンドウが閉じられると、プロセス レベルに割り当てられたアクセス許可も以前に構成された状態に戻ります。

Microsoft サポートに連絡する前に重要な情報を収集する

1. すべてのノードで TSS をダウンロードし、 C:\tss フォルダーに解凍します。

2. 管理者特権の PowerShell コマンド プロンプトから C:\tss フォルダーを開きます。

3. 次のコマンドレットを使用してトレースを開始します。

   TSS.ps1 -Scenario NET_WFP
   

4. トレースがコンピューターで初めて実行される場合は、EULA に同意します。

5. 記録を許可する (PSR またはビデオ)。

6. Yに入る前に問題を再現してください。

   Note

   クライアントとサーバーの両方でログを収集する場合は、両方のノードでこのメッセージを待ってから問題を再現してください。

7. Y を入力して、問題の再現後にログ収集を完了します。

トレースは、 C:\MS_DATA フォルダー内の zip ファイルに格納されます。これは、分析のためにワークスペースにアップロードできます。

リファレンス

• イベント ビューアーのセキュリティが強化された Windows ファイアウォールのイベント
• Windows Defender ファイアウォールを構成するためのベスト プラクティス
• フィルターオリジンの監査ログの機能強化
• netsh advfirewall firewall の使用