グループ ポリシーを使用してルールを構成する
この記事では、セキュリティが強化された Windows ファイアウォール コンソールを使用して Windows ファイアウォール 規則を構成する方法の例について説明します。
高度なセキュリティ コンソールを使用して Windows ファイアウォールにアクセスする
Active Directory ドメインに参加しているデバイスを構成する場合は、これらの手順を完了するには、ドメイン管理者グループのメンバーであるか、ドメイン内の GPO を変更するための委任されたアクセス許可が必要です。 セキュリティが強化された Windows ファイアウォール コンソールにアクセスするには、グループ ポリシー オブジェクト (GPO) を作成または編集し、[コンピューターの構成>ポリシー>][Windows 設定][セキュリティ設定>>] [セキュリティ] の順に展開します。
1 つのデバイスを構成する場合は、デバイスの管理者権限が必要です。 その場合、セキュリティが強化された Windows ファイアウォール コンソールにアクセスするには、[ スタート] を選択し、「」と入力 wf.mscし、 Enter キーを押します。
受信 ICMP 規則を作成する
この種類の規則を使用すると、ICMP 要求と応答をネットワーク上のデバイスで受信できます。 受信 ICMP 規則を作成するには:
- セキュリティが 強化された Windows ファイアウォール コンソールを 開く
- ナビゲーション ウィンドウで、[受信規則] を選択します
- [アクション] を選択し、[新しいルール] を選択します
- 新しい受信規則ウィザードの [規則の種類] ページで、[カスタム] を選択し、[次へ] を選択します。
- [プログラム] ページで、[すべてのプログラム] を選択し、[次へ] を選択します。
- [プロトコルとポート] ページで、[プロトコルの種類] の一覧から [ICMPv4] または [ICMPv6] を選択します。 ネットワークで IPv4 と IPv6 の両方を使用する場合は、それぞれに個別の ICMP 規則を作成する必要があります。
- [カスタマイズ] を選択します
- [ ICMP 設定のカスタマイズ] ダイアログ ボックスで、次のいずれかの操作を行います。
- すべての ICMP ネットワーク トラフィックを許可するには、[ すべての ICMP の種類] を選択し、[ OK] を選択します
- 定義済みの ICMP の種類のいずれかを選択するには、[特定の ICMP の種類] を選択し、許可する一覧の各種類を選択します。 [ OK] を選択します
- 一覧に表示されない ICMP の種類を選択するには、[特定の ICMP の種類] を選択し、一覧から [種類 ] 番号を選択し、一覧から [コード 番号] を選択し、[ 追加] を選択し、一覧から新しく作成したエントリを選択します。 [ OK] を選択します
- [次へ] を選択します
- [ スコープ ] ページで、このページで入力した IP アドレスとの間のネットワーク トラフィックにのみルールを適用するように指定できます。 設計に適した構成を行い、[次へ] を選択します
- [アクション] ページで、[接続を許可する] を選択し、[次へ] を選択します。
- [プロファイル] ページで、このルールが適用されるネットワークの場所の種類を選択し、[次へ] を選択します。
- [名前] ページで、ルールの名前と説明を入力し、[完了] を選択します。
受信ポートの規則を作成する
この種類の規則を使用すると、指定した TCP または UDP ポートでリッスンするすべてのプログラムが、そのポートに送信されたネットワーク トラフィックを受信できます。 受信ポート規則を作成するには:
- セキュリティが 強化された Windows ファイアウォール コンソールを 開く
- ナビゲーション ウィンドウで、[受信規則] を選択します
- [アクション] を選択し、[新しいルール] を選択します
- 新しい受信規則ウィザードの [規則の種類] ページで、[カスタム] を選択し、[次へ] を選択します。
注
[ プログラム ] または [ ポート] を選択してルールを作成できますが、これらの選択によってウィザードによって表示されるページ数が制限されます。 [カスタム] を選択すると、すべてのページが表示され、ルールを作成する際に最も柔軟性が高まります。
- [プログラム] ページで、[すべてのプログラム] を選択し、[次へ] を選択します。
注
この種類の規則は、多くの場合、プログラムまたはサービスルールと組み合わされます。 規則の種類を組み合わせると、指定したポートにトラフィックを制限し、指定したプログラムが実行されている場合にのみトラフィックを許可するファイアウォール規則を取得します。 指定されたプログラムは、他のポートでネットワーク トラフィックを受信できず、他のプログラムは、指定したポートでネットワーク トラフィックを受信できません。 これを行う場合は、この手順の手順に加えて、「 受信プログラムまたはサービス ルールの作成 」の手順に従って、プログラムとポートの両方の条件を使用してネットワーク トラフィックをフィルター処理する 1 つのルールを作成します。
- [ プロトコルとポート] ページで、許可するプロトコルの種類を選択します。 規則を指定したポート番号に制限するには、 TCP または UDP のいずれかを選択する必要があります。 これは受信規則であるため、通常はローカル ポート番号のみを構成します。別のプロトコルを選択した場合、IP ヘッダーのプロトコル フィールドがこの規則と一致するパケットのみがファイアウォール経由で許可されます。
プロトコルを番号で選択するには、一覧から [ カスタム ] を選択し、[ プロトコル番号 ] ボックスに番号を入力します。
プロトコルとポートを構成したら、[ 次へ] を選択します。 - [ スコープ ] ページで、このページで入力した IP アドレスとの間のネットワーク トラフィックにのみルールを適用するように指定できます。 設計に適した構成を行い、[次へ] を選択します
- [アクション] ページで、[接続を許可する] を選択し、[次へ] を選択します。
- [プロファイル] ページで、このルールが適用されるネットワークの場所の種類を選択し、[次へ] を選択します。
注
この GPO が、移動しない Windows Server 2008 を実行しているサーバー コンピューターを対象としている場合は、すべてのネットワークの場所の種類のプロファイルに適用するように規則を変更することを検討してください。 これにより、新しいネットワーク カードのインストールまたは既存のネットワーク カードのケーブルの切断によってネットワークの場所の種類が変更された場合に、適用される規則の予期しない変更が回避されます。 切断されたネットワーク カードは、パブリック ネットワークの場所の種類に自動的に割り当てられます。
- [名前] ページで、ルールの名前と説明を入力し、[完了] を選択します。
送信ポートの規則を作成する
既定では、Windows ファイアウォールは、トラフィックを禁止する規則と一致しない限り、すべての送信ネットワーク トラフィックを許可します。 この種類の規則は、指定された TCP または UDP ポート番号に一致する送信ネットワーク トラフィックをブロックします。 送信ポート規則を作成するには:
- セキュリティが 強化された Windows ファイアウォール コンソールを 開く
- ナビゲーション ウィンドウで、[送信規則] を選択します
- [アクション] を選択し、[新しいルール] を選択します
- 新しい送信規則ウィザードの [規則の種類] ページで、[カスタム] を選択し、[次へ] を選択します。
注
[ プログラム ] または [ ポート] を選択してルールを作成できますが、これらの選択によってウィザードによって表示されるページ数が制限されます。 [カスタム] を選択すると、すべてのページが表示され、ルールを作成する際に最も柔軟性が高まります。
- [プログラム] ページで、[すべてのプログラム] を選択し、[次へ] を選択します。
- [ プロトコルとポート] ページで、ブロックするプロトコルの種類を選択します。 規則を指定したポート番号に制限するには、 TCP または UDP のいずれかを選択する必要があります。 この規則は送信規則であるため、通常はリモート ポート番号のみを構成します。別のプロトコルを選択した場合、IP ヘッダーのプロトコル フィールドがこの規則と一致するパケットのみが、Windows Defender ファイアウォールによってブロックされます。 プロトコルのネットワーク トラフィックは、一致する他のルールでブロックされない限り許可されます。 プロトコルを番号で選択するには、一覧から [ カスタム ] を選択し、[ プロトコル番号 ] ボックスに番号を入力します。 プロトコルとポートを構成したら、[次へ] を選択します
- [ スコープ ] ページで、このページで入力した IP アドレスとの間のネットワーク トラフィックにのみルールを適用するように指定できます。 設計に適した構成を行い、[次へ] を選択します
- [アクション] ページで、[接続のブロック] を選択し、[次へ] を選択します。
- [プロファイル] ページで、このルールが適用されるネットワークの場所の種類を選択し、[次へ] を選択します。
- [名前] ページで、ルールの名前と説明を入力し、[完了] を選択します。
受信プログラムまたは受信サービスの規則を作成する
この種類の規則により、プログラムは任意のポートで受信ネットワーク トラフィックをリッスンおよび受信できます。
注
この種類の規則は、多くの場合、プログラムまたはサービスルールと組み合わされます。 規則の種類を組み合わせると、指定したポートにトラフィックを制限し、指定したプログラムが実行されている場合にのみトラフィックを許可するファイアウォール規則を取得します。 プログラムは他のポートでネットワーク トラフィックを受信できず、他のプログラムは指定されたポートでネットワーク トラフィックを受信できません。 プログラム規則とポート規則の種類を 1 つの規則に結合するには、この手順の手順に加えて、「 受信ポート規則の作成」 の手順に従います。
プログラムまたはサービスの受信ファイアウォール規則を作成するには:
セキュリティが 強化された Windows ファイアウォール コンソールを 開く
ナビゲーション ウィンドウで、[受信規則] を選択します
[アクション] を選択し、[新しいルール] を選択します
新しい受信規則ウィザードの [規則の種類] ページで、[カスタム] を選択し、[次へ] を選択します。
注
skimming でもユーザーが確認する必要がある情報 プログラム または ポートを選択してルールを作成できる限り、これらの選択肢によってウィザードによって表示されるページ数が制限されます。 [カスタム] を選択すると、すべてのページが表示され、ルールを作成する際に最も柔軟性が高まります。
[プログラム] ページで、[このプログラム パス] を選択します
テキスト ボックスにプログラムへのパスを入力します。 環境変数 (該当する場合) を使用して、異なるコンピューター上の別の場所にインストールされているプログラムが正しく動作することを確認します。
次のいずれかの操作を行います。
- 実行可能ファイルに 1 つのプログラムが含まれている場合は、[次へ] を選択します。
- 実行可能ファイルが、受信ネットワーク トラフィックの受信を許可する必要がある複数のサービスのコンテナーである場合は、[カスタマイズ] を選択し、[サービスにのみ適用] を選択し、[OK] を選択して、[次へ] を選択します。
- 実行可能ファイルが 1 つのサービスのコンテナーであるか、複数のサービスが含まれているが、ルールがいずれかのみ適用される場合は、[ カスタマイズ] を選択し、[ このサービスに適用] を選択し、一覧からサービスを選択します。 サービスが一覧に表示されない場合は、 このサービスの短い名前で [サービスに適用] を選択し、テキスト ボックスにサービスの短い名前を入力します。 [OK] を選択し、[次へ] を選択します。
重要
このサービスに適用するオプションまたはこのサービスに適用する短い名前のオプションを使用するには、制限付きまたは無制限の種類のセキュリティ識別子 (SID) でサービスを構成する必要があります。 サービスの SID の種類をチェックするには、次のコマンドを実行します。
sc qsidtype <ServiceName>結果が の場合、
NONEファイアウォール規則をそのサービスに適用することはできません。サービスで SID の種類を設定するには、次のコマンドを実行します。
sc sidtype <ServiceName> <Type>上記のコマンドでは、 の
<Type>値は またはRESTRICTEDにすることができますUNRESTRICTED。 コマンドでは の値NONEも許可されますが、この設定は、ここで説明するようにサービスをファイアウォール規則で使用できないことを意味します。 既定では、Windows のほとんどのサービスは としてUNRESTRICTED構成されます。 SID の種類を にRESTRICTED変更すると、サービスの開始に失敗する可能性があります。 SID の種類は、ファイアウォール規則で使用するサービスでのみ変更し、SID の種類を にUNRESTRICTED変更することをお勧めします。プログラムのファイアウォール規則を、動作する必要があるポートのみに制限することをお勧めします。 [ プロトコルとポート] ページで、許可されるトラフィックのポート番号を指定できます。 プログラムがここで指定したポートとは異なるポートでリッスンしようとすると、ブロックされます。 プロトコルとポートのオプションの詳細については、「 受信ポート規則の作成」を参照してください。 プロトコルとポートのオプションを構成したら、[次へ] を選択します。
[ スコープ ] ページで、このページで入力した IP アドレスとの間のネットワーク トラフィックにのみルールを適用するように指定できます。 設計に適した構成を行い、[次へ] を選択します
[アクション] ページで、[接続を許可する] を選択し、[次へ] を選択します。
[プロファイル] ページで、このルールが適用されるネットワークの場所の種類を選択し、[次へ] を選択します。
[名前] ページで、ルールの名前と説明を入力し、[完了] を選択します。
送信プログラムまたは送信サービスの規則を作成する
既定では、Windows Defender ファイアウォールは、トラフィックを禁止する規則と一致しない限り、すべての送信ネットワーク トラフィックを許可します。 この種類の規則により、プログラムが任意のポートで送信ネットワーク トラフィックを送信できなくなります。 プログラムまたはサービスの送信ファイアウォール規則を作成するには:
- セキュリティが 強化された Windows ファイアウォール コンソールを 開く
- ナビゲーション ウィンドウで、[送信規則] を選択します
- [アクション] を選択し、[新しいルール] を選択します
- 新しい送信規則ウィザードの [規則の種類] ページで、[カスタム] を選択し、[次へ] を選択します。
注
[ プログラム ] または [ ポート] を選択することで多数のルールを作成できますが、これらの選択によってウィザードによって表示されるページ数が制限されます。 [カスタム] を選択すると、すべてのページが表示され、ルールを作成する際に最も柔軟性が高まります。
- [プログラム] ページで、[このプログラム パス] を選択します
- テキスト ボックスにプログラムへのパスを入力します。 必要に応じて環境変数を使用して、異なるコンピューター上の別の場所にインストールされたプログラムが正しく動作することを確認します
- 次のいずれかの操作を行います。
- 実行可能ファイルに 1 つのプログラムが含まれている場合は、[次へ] を選択します。
- 実行可能ファイルが、送信ネットワーク トラフィックの送信をブロックする必要がある複数のサービスのコンテナーである場合は、[カスタマイズ] を選択し、[サービスにのみ適用] を選択し、[OK] を選択して、[次へ] を選択します。
- 実行可能ファイルが 1 つのサービスのコンテナーであるか、複数のサービスが含まれているが、ルールがいずれかのみ適用される場合は、[ カスタマイズ] を選択し、[ このサービスに適用] を選択し、一覧からサービスを選択します。 サービスが一覧に表示されない場合は、 このサービスの短い名前で [サービスに適用] を選択し、テキスト ボックスにサービスの短い名前を入力します。 [OK] を選択し、[次へ] を選択します。
- プログラムを一部のポートで送信することを許可するが、他のポートでの送信をブロックする場合は、指定したポートまたはプロトコルのみをブロックするようにファイアウォール規則を制限できます。 [ プロトコルとポート] ページで、ブロックされたトラフィックのポート番号またはプロトコル番号を指定できます。 プログラムがここで指定したポート番号とは異なるポート番号との間で送受信を試みる場合、またはここで指定したプロトコル番号とは異なるプロトコル番号を使用しようとすると、既定の送信ファイアウォール動作によってトラフィックが許可されます。 プロトコルとポートのオプションの詳細については、「 送信ポート規則の作成」を参照してください。 プロトコルとポートのオプションを構成したら、[次へ] を選択します。
- [ スコープ ] ページで、このページで入力した IP アドレスとの間のネットワーク トラフィックにのみルールを適用するように指定できます。 設計に適した構成を行い、[次へ] を選択します
- [アクション] ページで、[接続のブロック] を選択し、[次へ] を選択します。
- [プロファイル] ページで、このルールが適用されるネットワークの場所の種類を選択し、[次へ] を選択します。
- [名前] ページで、ルールの名前と説明を入力し、[完了] を選択します。
RPC をサポートする受信の規則を作成する
受信リモート プロシージャ コール (RPC) ネットワーク トラフィックを許可するには、次の 2 つのファイアウォール規則を作成する必要があります。
- 最初の規則では、TCP ポート 135 の受信ネットワーク パケットを RPC エンドポイント マッパー サービスに許可します。 受信トラフィックは、指定されたネットワーク サービスと通信するための要求で構成されます。 RPC エンドポイント マッパーは、クライアントがサービスとの通信に使用する必要がある動的に割り当てられたポート番号で応答します
- 2 番目の規則では、動的に割り当てられたポート番号に送信されるネットワーク トラフィックを許可します
このトピックで説明するように構成された 2 つの規則を使用すると、RPC 動的ポート リダイレクトを受け取ったデバイスからのみネットワーク トラフィックを許可し、RPC エンドポイント マッパーによって割り当てられた TCP ポート番号のみにネットワーク トラフィックを許可することで、デバイスを保護できます。
RPC エンドポイント マッパー サービス
- セキュリティが 強化された Windows ファイアウォール コンソールを 開く
- ナビゲーション ウィンドウで、[受信規則] を選択します
- [アクション] を選択し、[新しいルール] を選択します
- 新しい受信規則ウィザードの [規則の種類] ページで、[カスタム] を選択し、[次へ] を選択します。
- [ プログラム ] ページで、[ このプログラム パス] を選択し、「」と入力します。
%systemroot%\system32\svchost.exe - [ カスタマイズ] を選択します。
- [サービス設定のカスタマイズ] ダイアログ ボックスで、[このサービスに適用する] を選択し、RpcSs の短い名前のリモート プロシージャ コール (RPC) を選択し、[OK] を選択し、[次へ] を選択します。
- Windows サービスの強化規則に関する警告で、[はい] を選択します
- [プロトコルとポート] ダイアログ ボックスの [プロトコルの種類] で、[TCP] を選択します
- [ローカル ポート] で [RPC エンドポイント マッパー] を選択し、[次へ] を選択します。
- [ スコープ ] ページで、このページで入力した IP アドレスとの間のネットワーク トラフィックにのみルールを適用するように指定できます。 設計に適した構成を行い、[次へ] を選択します
- [アクション] ページで、[接続を許可する] を選択し、[次へ] を選択します。
- [プロファイル] ページで、このルールが適用されるネットワークの場所の種類を選択し、[次へ] を選択します。
- [名前] ページで、ルールの名前と説明を入力し、[完了] を選択します。
RPC 対応ネットワーク サービス
- 前の手順で編集したのと同じ GPO で、[アクション] を選択し、[新しい規則] を選択します。
- 新しい受信規則ウィザードの [規則の種類] ページで、[カスタム] を選択し、[次へ] を選択します。
- [ プログラム ] ページで、[ このプログラム パス] を選択し、ネットワーク サービスをホストする実行可能ファイルへのパスを入力します。 [カスタマイズ] を選択します
- [ サービス設定のカスタマイズ] ダイアログ ボックスで、[ このサービスに適用] を選択し、許可するサービスを選択します。 サービスが一覧に表示されない場合は、 このサービスの短い名前で [サービスに適用] を選択し、テキスト ボックスにサービスの短い名前を入力します
- [OK] を選択し、[次へ] を選択します。
- [プロトコルとポート] ダイアログ ボックスの [プロトコルの種類] で、[TCP] を選択します
- [ローカル ポート] で [RPC 動的ポート] を選択し、[次へ] を選択します。
- [ スコープ ] ページで、このページで入力した IP アドレスとの間のネットワーク トラフィックにのみルールを適用するように指定できます。 設計に適した構成を行い、[次へ] を選択します
- [アクション] ページで、[接続を許可する] を選択し、[次へ] を選択します。
- [プロファイル] ページで、このルールが適用されるネットワークの場所の種類を選択し、[次へ] を選択します。
- [名前] ページで、ルールの名前と説明を入力し、[完了] を選択します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示