Windows Defender ファイアウォールを構成するためのベスト プラクティス

セキュリティが強化されたWindows Defenderファイアウォールは、ホストベースの双方向ネットワーク トラフィック フィルタリングを提供し、ローカル デバイスとの間で送受信される未承認のネットワーク トラフィックをブロックします。 次のベスト プラクティスに基づいて Windows ファイアウォールを構成すると、ネットワーク内のデバイスの保護を最適化するのに役立ちます。 これらの推奨事項は、ホーム ネットワークやエンタープライズ デスクトップ/サーバー システムなど、幅広い展開に対応しています。

Windows ファイアウォールを開くには、[ スタート ] メニューの [ 実行] を選択し、「 WF.msc」と入力して、[ OK] を選択します。 「 Windows ファイアウォールを開く」も参照してください。

既定の設定を保持する

Windows Defender ファイアウォールを初めて開くと、ローカル コンピューターに適用される既定の設定が表示されます。 [概要] パネルには、デバイスが接続できるネットワークの種類ごとにセキュリティ設定が表示されます。

Windows Defenderセキュリティが強化されたファイアウォールを初めて開きます。

図 1: Windows Defender ファイアウォール

  1. ドメイン プロファイル: Active Directory ドメイン コントローラーに対するアカウント認証のシステムがあるネットワークに使用されます
  2. プライベート プロファイル: ホーム ネットワークなどのプライベート ネットワーク用に設計され、最適に使用されます
  3. パブリック プロファイル: Wi-Fi ホットスポット、コーヒーショップ、空港、ホテル、店舗などのパブリック ネットワークに対して高いセキュリティを念頭に置いて設計されています

各プロファイルの詳細な設定を表示するには、左側のウィンドウで最上位Windows Defender [セキュリティが強化されたファイアウォール] ノードを右クリックし、[プロパティ] を選択します。

可能な限り、Windows Defenderファイアウォールの既定の設定を維持します。 これらの設定は、ほとんどのネットワーク シナリオで使用できるようにデバイスをセキュリティで保護するように設計されています。 1 つの重要な例は、受信接続の既定のブロック動作です。

携帯電話の説明が自動的に生成されたスクリーンショット。

図 2: 既定の受信/送信設定

重要

最大のセキュリティを維持するには、受信接続の既定の [ブロック] 設定を変更しないでください。

基本的なファイアウォール設定の構成の詳細については、「 Windows ファイアウォールを有効にする」および「既定の動作と チェックリストの構成 : 基本的なファイアウォール設定の構成」を参照してください。

受信規則の規則の優先順位を理解する

多くの場合、管理者の次の手順は、ユーザー アプリやその他の種類のソフトウェアを操作できるように、ルール (フィルターとも呼ばれます) を使用してこれらのプロファイルをカスタマイズすることです。 たとえば、管理者またはユーザーは、プログラムに対応するルールを追加するか、ポートまたはプロトコルを開くか、定義済みの種類のトラフィックを許可することを選択できます。

このルール追加タスクは、[ 受信規則 ] または [ 送信規則] を右クリックし、[ 新しい規則] を選択することで実行できます。 新しいルールを追加するためのインターフェイスは次のようになります。

ルール作成ウィザード。

図 3: ルール作成ウィザード

この記事では、詳細な規則の構成については説明しません。 ポリシーの作成に関する一般的なガイダンスについては、「 セキュリティが強化された Windows ファイアウォール展開ガイド 」を参照してください。

多くの場合、アプリケーションがネットワークで機能するためには、特定の種類の受信トラフィックを許可する必要があります。 管理者は、これらの受信例外を許可する場合は、次の規則の優先順位の動作に留意する必要があります。

  1. 明示的に定義された許可ルールは、既定のブロック設定よりも優先されます。
  2. 明示的なブロック規則は、競合する許可規則よりも優先されます。
  3. より具体的なルールは、2 で説明したように明示的なブロック規則がある場合を除き、より具体的なルールよりも優先されます。 (たとえば、規則 1 のパラメーターに IP アドレス範囲が含まれている場合、規則 2 のパラメーターに 1 つの IP ホスト アドレスが含まれている場合、規則 2 が優先されます)。

1 と 2 が原因で、一連のポリシーを設計する際に、誤って重複する可能性がある他の明示的なブロック 規則がないことを確認し、許可するトラフィック フローを防ぐことが重要です。

受信規則を作成する際の一般的なセキュリティのベスト プラクティスは、できるだけ具体的にすることです。 ただし、ポートまたは IP アドレスを使用する新しいルールを作成する必要がある場合は、可能な場合は、個々のアドレスまたはポートではなく、連続する範囲またはサブネットを使用することを検討してください。 この方法では、内部で複数のフィルターを作成することを回避し、複雑さを軽減し、パフォーマンスの低下を回避するのに役立ちます。

Windows Defenderファイアウォールでは、従来の重み付けされた管理者割り当てルールの順序はサポートされていません。 予想される動作を持つ有効なポリシー セットは、上記のいくつかの一貫性のある論理ルールの動作を念頭に置いて作成できます。

最初の起動前に新しいアプリケーションのルールを作成する

受信許可ルール

最初にインストールされると、ネットワークアプリケーションとサービスは、適切に機能するために必要なプロトコル/ポート情報を指定するリッスン呼び出しを発行します。 Windows Defender ファイアウォールには既定のブロック アクションがあるため、このトラフィックを許可するには受信例外ルールを作成する必要があります。 アプリまたはアプリ インストーラー自体が、このファイアウォール規則を追加するのが一般的です。 それ以外の場合は、ユーザー (またはユーザーの代わりにファイアウォール管理者) が手動でルールを作成する必要があります。

アクティブなアプリケーションまたは管理者が定義した許可規則がない場合は、アプリの初回起動時またはネットワーク内での通信を試行するときに、アプリケーションのパケットを許可またはブロックするようにユーザーに求めるダイアログ ボックスが表示されます。

  • ユーザーに管理者権限がある場合は、メッセージが表示されます。 [いいえ] と応答するか、プロンプトを取り消すと、ブロック ルールが作成されます。 通常、2 つのルールが作成され、それぞれ TCP トラフィックと UDP トラフィックに対して 1 つ作成されます。

  • ユーザーがローカル管理者でない場合は、プロンプトは表示されません。 ほとんどの場合、ブロック ルールが作成されます。

上記のいずれかのシナリオでは、これらのルールが追加されたら、プロンプトを再度生成するために削除する必要があります。 そうでない場合、トラフィックは引き続きブロックされます。

ファイアウォールの既定の設定は、セキュリティ用に設計されています。 既定ですべての受信接続を許可すると、さまざまな脅威にネットワークが導入されます。 そのため、サード パーティ製ソフトウェアからの受信接続の例外の作成は、信頼されたアプリ開発者、ユーザー、またはユーザーの代わりに管理者によって決定される必要があります。

ルールの自動作成に関する既知の問題

ネットワークのファイアウォール ポリシーのセットを設計する場合は、ホストに展開されているネットワークアプリケーションの許可規則を構成することをお勧めします。 ユーザーが最初にアプリケーションを起動する前にこれらのルールを設定すると、シームレスなエクスペリエンスを確保するのに役立ちます。

これらの段階的なルールが存在しないということは、必ずしも最終的にアプリケーションがネットワーク上で通信できないことを意味するものではありません。 ただし、実行時のアプリケーション ルールの自動作成に関連する動作には、ユーザー操作と管理特権が必要です。 デバイスが管理者以外のユーザーによって使用されることが予想される場合は、予期しないネットワークの問題を回避するために、アプリケーションの最初の起動前にベスト プラクティスに従い、これらのルールを指定する必要があります。

一部のアプリケーションがネットワーク内での通信をブロックされる理由を判断するには、次のインスタンスについてチェックします。

  1. 十分な特権を持つユーザーは、アプリケーションがファイアウォール ポリシーを変更する必要があることを通知するクエリ通知を受け取ります。 プロンプトが完全に理解されていないと、ユーザーはプロンプトを取り消すか無視します。
  2. ユーザーには十分な特権がないため、アプリケーションが適切なポリシー変更を行うことを許可するように求められるわけではありません。
  3. ローカル ポリシーのマージが無効になっているので、アプリケーションまたはネットワーク サービスでローカル ルールが作成されなくなります。

実行時のアプリケーション ルールの作成は、管理者が設定アプリまたはグループ ポリシーを使用して禁止することもできます。

Windows ファイアウォール プロンプト。

図 4: アクセスを許可するダイアログ ボックス

チェックリスト: 受信ファイアウォール規則の作成」も参照してください。

ローカル ポリシーのマージルールとアプリケーションルールを確立する

ファイアウォール規則は、次の方法で展開できます。

  1. ファイアウォール スナップイン (WF.msc) を使用してローカルに
  2. PowerShell を使用してローカルに
  3. デバイスが Active Directory 名、System Center Configuration Manager、またはIntuneのメンバーである場合にグループ ポリシーをリモートで使用する (職場参加を使用)

ルールのマージ設定は、さまざまなポリシー ソースのルールを組み合わせる方法を制御します。 管理者は、ドメイン、プライベート、およびパブリック プロファイルに対してさまざまなマージ動作を構成できます。

ルールのマージ設定では、ローカル管理者が、グループ ポリシーから取得したルールに加えて、独自のファイアウォール規則を作成することを許可または禁止します。

設定をカスタマイズします。

図 5: ルールのマージ設定

ヒント

ファイアウォール 構成サービス プロバイダーでは、同等の設定は AllowLocalPolicyMerge です。 この設定は、それぞれのプロファイル ノード、 DomainProfile、PrivateProfilePublicProfile の下 にあります

ローカル ポリシーのマージが無効になっている場合は、受信接続を必要とするすべてのアプリにルールの一元的なデプロイが必要です。

管理者は、セキュリティの高い環境で LocalPolicyMerge を 無効にして、エンドポイントをより厳密に制御できます。 この設定は、上で説明したように、インストール時にローカル ファイアウォール ポリシーを自動的に生成する一部のアプリケーションとサービスに影響を与える可能性があります。 これらの種類のアプリとサービスを機能させるには、管理者はグループ ポリシー (GP)、モバイル デバイス管理 (MDM)、またはその両方 (ハイブリッド環境または共同管理環境の場合) を使用してルールを一元的にプッシュする必要があります。

ファイアウォール CSPポリシー CSP には、ルールのマージに影響を与える可能性のある設定もあります。

ベスト プラクティスとして、通信に使用されるネットワーク ポートなど、このようなアプリを一覧表示してログに記録することが重要です。 通常、アプリの Web サイトでは、特定のサービスに対して開く必要があるポートを確認できます。 より複雑なアプリケーションまたは顧客のアプリケーションのデプロイでは、ネットワーク パケット キャプチャ ツールを使用して、より詳細な分析が必要になる場合があります。

一般に、最大限のセキュリティを維持するために、管理者は正当な目的を果たすと判断されたアプリとサービスのファイアウォール例外のみをプッシュする必要があります。

C:*\teams.exe などのワイルドカード パターンの使用は、アプリケーション 規則ではサポートされていません。 現時点では、アプリケーションへの完全なパスを使用して作成されたルールのみがサポートされています。

アクティブな攻撃に "シールドアップ" モードを使用する方法を知る

アクティブな攻撃中の損傷を軽減するために使用できる重要なファイアウォール機能は、"シールドアップ" モードです。 これは、ファイアウォール管理者がアクティブな攻撃に直面して一時的にセキュリティを強化するために使用できる簡単な方法を指す非公式の用語です。

[すべての受信接続をブロックする] をオンにすることで、シールドを実現できます。これには、Windows 設定アプリまたはレガシ ファイルfirewall.cplにある許可されているアプリ設定の一覧に含まれる接続が含まれます

受信接続。

図 6: Windows 設定アプリ/Windows セキュリティ/ファイアウォール保護/ネットワークの種類

ファイアウォール cpl。

図 7: レガシ firewall.cpl

既定では、例外ルールが作成されていない限り、Windows Defender ファイアウォールによってすべての処理がブロックされます。 この設定は例外をオーバーライドします。

たとえば、リモート デスクトップ機能を有効にすると、ファイアウォール規則が自動的に作成されます。 ただし、ホスト上の複数のポートとサービスを使用するアクティブな悪用がある場合は、個々のルールを無効にする代わりに、シールドアップ モードを使用してすべての受信接続をブロックし、リモート デスクトップのルールを含む以前の例外をオーバーライドできます。 リモート デスクトップルールはそのまま残りますが、シールドがアクティブ化されている限り、リモート アクセスは機能しません。

緊急が終了したら、設定をオフにして、通常のネットワーク トラフィックを復元します。

送信規則を作成する

送信規則を構成するための一般的なガイドラインをいくつか次に示します。

  • 送信規則のブロックの既定の構成は、セキュリティが高い特定の環境で考慮できます。 ただし、既定でトラフィックを許可する方法で受信規則の構成を変更しないでください
  • 企業が使いやすさよりも厳しいセキュリティ制御を好む場合を除き、アプリのデプロイを簡略化するために、ほとんどのデプロイで既定で送信を許可することをお勧めします
  • 高セキュリティ環境では、すべてのエンタープライズにまたがるアプリのインベントリを管理者または管理者が取得してログに記録する必要があります。 レコードには、使用するアプリにネットワーク接続が必要かどうかを含める必要があります。 管理者は、ネットワーク接続を必要とする各アプリに固有の新しいルールを作成し、グループ ポリシー (GP)、モバイル デバイス管理 (MDM)、またはその両方 (ハイブリッド環境または共同管理環境の場合) を使用して、それらのルールを一元的にプッシュする必要があります。

送信規則の作成に関連するタスクについては、「 チェックリスト: 送信ファイアウォール規則の作成」を参照してください。

変更を文書化する

受信または送信ルールを作成するときは、アプリ自体、使用されるポート範囲、作成日などの重要なメモに関する詳細を指定する必要があります。 ルールは、ユーザーと他の管理者の両方が簡単に確認できるように、十分に文書化されている必要があります。 後でファイアウォール規則を確認する作業を容易にするために時間を取ることを強くお勧めします。 ファイアウォールに不要な穴を作成 しないでください