受信プログラムまたは受信サービスの規則を作成する

指定したプログラムまたはサービスへの受信ネットワーク トラフィックを許可するには、グループ ポリシー管理 MMC スナップインの Advanced Securitynode を使用してファイアウォール規則を作成するWindows Defenderファイアウォールを使用します。 この種類の規則を使用すると、プログラムは任意のポートで受信ネットワーク トラフィックをリッスンおよび受信できます。

メモ: この種類のルールは、多くの場合、プログラムまたはサービスルールと組み合わされます。 ルールの種類を組み合わせると、トラフィックを指定されたポートに制限し、指定したプログラムが実行されている場合にのみトラフィックを許可するファイアウォール規則が取得されます。 プログラムは他のポートでネットワーク トラフィックを受信できず、他のプログラムは指定したポートでネットワーク トラフィックを受信できません。 プログラムとポートの規則の種類を 1 つの規則に結合するには、この手順の手順に加えて、 受信ポート規則の作成 手順の手順に従います。

管理者資格情報

これらの手順を完了するには、ドメイン管理者グループのメンバーであるか、GPO を変更するためのアクセス許可を委任する必要があります。

プログラムまたはサービスの受信ファイアウォール規則を作成するには

  1. グループ ポリシー管理コンソールを開き、高度なセキュリティでファイアウォールをWindows Defenderします。

  2. ナビゲーション ウィンドウで、[ 受信規則] をクリックします。

  3. [ アクション] をクリックし、[ 新しいルール] をクリックします。

  4. 新しい受信規則ウィザードの [ 規則の種類 ] ページで、[ カスタム] をクリックし、[ 次へ] をクリックします。

    メモ: [プログラム ] または [ ポート] を選択してルールを作成できますが、ウィザードで表示されるページ数は制限されます。 [カスタム] を選択すると、すべてのページが表示され、ルールの作成に最も柔軟に対応できます。

  5. [ プログラム ] ページで、[ このプログラム パス] をクリックします。

  6. テキスト ボックスにプログラムへのパスを入力します。 環境変数 (該当する場合) を使用して、異なるコンピューター上の異なる場所にインストールされているプログラムが正しく動作することを確認します。

  7. 次のいずれかの操作を行います。

    • 実行可能ファイルに 1 つのプログラムが含まれている場合は、[ 次へ] をクリックします。

    • 実行可能ファイルが、受信ネットワーク トラフィックの受信を許可する必要がある複数のサービスのコンテナーである場合は、[ カスタマイズ] をクリックし、[ サービスのみに適用] を選択 して、[OK] をクリックし、[ 次へ] をクリックします。

    • 実行可能ファイルが 1 つのサービスのコンテナーであるか、複数のサービスが含まれているが、ルールがそれらの 1 つに適用される場合は、[ カスタマイズ] をクリックし、[ このサービスに適用] を選択し、一覧からサービスを選択します。 サービスが一覧に表示されない場合は、 このサービスの短い名前で [サービスに適用] をクリックし、テキスト ボックスにサービスの短い名前を入力します。 [ OK] をクリックし、[ 次へ] をクリックします。

    重要
    このサービスに適用するオプションまたはこのサービスに適用するサービスの短い名前オプションを使用するには、サービスの種類が RESTRICTED または UNRESTRICTED のセキュリティ識別子 (SID) 構成されている必要があります。 サービスの SID の種類を確認するには、次のコマンドを実行します。

    sc qsidtype <ServiceName>

    結果が NONE の場合、ファイアウォール規則をそのサービスに適用することはできません。

    サービスで SID の種類を設定するには、次のコマンドを実行します。

    sc sidtype <ServiceName> <型>

    上記のコマンドでは、Type> の< 値を UNRESTRICTED または RESTRICTED にすることができます。 このコマンドでは NONE の値も許可されますが、この設定は、ここで説明するように、ファイアウォール規則でサービスを使用できないことを意味します。 既定では、Windows のほとんどのサービスは UNRESTRICTED として構成されます。 SID の種類を RESTRICTED に変更すると、サービスの開始に失敗する可能性があります。 SID の種類は、ファイアウォール規則で使用するサービスでのみ変更し、SID の種類を UNRESTRICTED に変更することをお勧めします。

  8. プログラムのファイアウォール規則を、動作に必要なポートのみに制限することをお勧めします。 [ プロトコルとポート] ページで、許可されるトラフィックのポート番号を指定できます。 プログラムがここで指定したポートとは異なるポートでリッスンしようとすると、ブロックされます。 プロトコルとポートのオプションの詳細については、「 受信ポート規則の作成」を参照してください。 プロトコルとポートのオプションを構成したら、[ 次へ] をクリックします。

  9. [スコープ] ページで、このページに入力した IP アドレスとの間のネットワーク トラフィックにのみルールを適用するように指定できます。 デザインに適した構成を行い、[ 次へ] をクリックします。

  10. [ アクション] ページで、[ 接続を許可する] を選択し、[ 次へ] をクリックします。

  11. [ プロファイル] ページで、この規則が適用されるネットワークの場所の種類を選択し、[ 次へ] をクリックします。

  12. [ 名前] ページで、ルールの名前と説明を入力し、[完了] をクリック します