受信プログラムまたは受信サービスの規則を作成する

• 適用対象:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

指定したプログラムまたはサービスへの受信ネットワーク トラフィックを許可するには、グループ ポリシー管理 MMC スナップインの advanced Securitynode を使用してファイアウォール規則を作成するWindows Defenderファイアウォールを使用します。 この種類の規則により、プログラムは任意のポートで受信ネットワーク トラフィックをリッスンおよび受信できます。

メモ： この種類の規則は、多くの場合、プログラムまたはサービスルールと組み合わされます。 規則の種類を組み合わせると、指定したポートにトラフィックを制限し、指定したプログラムが実行されている場合にのみトラフィックを許可するファイアウォール規則を取得します。 プログラムは他のポートでネットワーク トラフィックを受信できず、他のプログラムは指定されたポートでネットワーク トラフィックを受信できません。 プログラム規則とポート規則の種類を 1 つの規則に結合するには、この手順の手順に加えて、「 受信ポート規則の作成」 の手順に従います。

管理資格情報

これらの手順を完了するには、ドメイン管理者グループのメンバーであるか、GPO を変更するための委任されたアクセス許可が必要です。

プログラムまたはサービスの受信ファイアウォール規則を作成するには

1. グループ ポリシー管理コンソールを開き、セキュリティが強化されたファイアウォールをWindows Defenderします。

2. ナビゲーション ウィンドウで、[ 受信規則] をクリックします。

3. [ アクション] をクリックし、[ 新しいルール] をクリックします。

4. 新しい受信規則ウィザードの [ 規則の種類 ] ページで、[ カスタム] をクリックし、[ 次へ] をクリックします。

   メモ： [ プログラム ] または [ ポート] を選択してルールを作成できますが、これらの選択によってウィザードによって表示されるページ数が制限されます。 [カスタム] を選択すると、すべてのページが表示され、ルールを作成する際に最も柔軟性が高まります。

5. [ プログラム ] ページで、[ このプログラム パス] をクリックします。

6. テキスト ボックスにプログラムへのパスを入力します。 環境変数 (該当する場合) を使用して、異なるコンピューター上の別の場所にインストールされているプログラムが正しく動作することを確認します。

7. 次のいずれかの操作を行います。

   • 実行可能ファイルに 1 つのプログラムが含まれている場合は、[ 次へ] をクリックします。

   • 実行可能ファイルが、受信ネットワーク トラフィックの受信を許可する必要がある複数のサービスのコンテナーである場合は、[ カスタマイズ] をクリックし、[ サービスにのみ適用] を選択し、[ OK] をクリックして、[ 次へ] をクリックします。

   • 実行可能ファイルが 1 つのサービスのコンテナーであるか、複数のサービスが含まれているが、ルールがいずれかのみ適用される場合は、[ カスタマイズ] をクリックし、[ このサービスに適用] を選択し、一覧からサービスを選択します。 サービスが一覧に表示されない場合は、[ このサービスの短い名前のサービスに適用] をクリックし、テキスト ボックスにサービスの短い名前を入力します。 [ OK] をクリックし、[ 次へ] をクリックします。

   大事なこのサービスに適用するオプションまたはこのサービスに適用する短い名前のオプションを使用するには、制限付きまたは無制限の種類のセキュリティ識別子 (SID) でサービスを構成する必要があります。 サービスの SID の種類をチェックするには、次のコマンドを実行します。

   scqsidtype<ServiceName>

   結果が NONE の場合、ファイアウォール規則をそのサービスに適用することはできません。

   サービスで SID の種類を設定するには、次のコマンドを実行します。

   scsidtype<ServiceName><型>

   前のコマンドでは、Type> の<値は UNRESTRICTED または RESTRICTED にすることができます。 コマンドでは NONE の値も許可されますが、この設定は、ここで説明するようにサービスをファイアウォール規則で使用できないことを意味します。 既定では、Windows のほとんどのサービスは 無制限として構成されます。 SID の種類を RESTRICTED に変更すると、サービスの開始に失敗する可能性があります。 SID の種類は、ファイアウォール規則で使用するサービスでのみ変更し、SID の種類を UNRESTRICTED に変更することをお勧めします。

8. プログラムのファイアウォール規則を、動作する必要があるポートのみに制限することをお勧めします。 [ プロトコルとポート] ページで、許可されるトラフィックのポート番号を指定できます。 プログラムがここで指定したポートとは異なるポートでリッスンしようとすると、ブロックされます。 プロトコルとポートのオプションの詳細については、「 受信ポート規則の作成」を参照してください。 プロトコルとポートのオプションを構成したら、[ 次へ] をクリックします。

9. [ スコープ ] ページで、このページで入力した IP アドレスとの間のネットワーク トラフィックにのみルールを適用するように指定できます。 デザインに合わせて構成し、[ 次へ] をクリックします。

10. [ アクション ] ページで、[ 接続を許可する] を選択し、[ 次へ] をクリックします。

11. [ プロファイル ] ページで、このルールが適用されるネットワークの場所の種類を選択し、[ 次へ] をクリックします。

12. [ 名前 ] ページで、ルールの名前と説明を入力し、[完了] をクリック します。