Windows ファイアウォール規則
多くの場合、管理者の最初の手順は、 ファイアウォール規則を使用してファイアウォール プロファイルをカスタマイズして、アプリケーションやその他の種類のソフトウェアと連携できるようにすることです。 たとえば、管理者またはユーザーは、プログラムに対応するルールを追加するか、ポートまたはプロトコルを開くか、定義済みの種類のトラフィックを許可することを選択できます。
この記事では、ファイアウォール規則を作成および管理するための概念と推奨事項について説明します。
受信規則の規則の優先順位
多くの場合、アプリケーションがネットワークで機能するためには、特定の種類の受信トラフィックを許可する必要があります。 管理者は、受信例外を構成するときに、次の規則の優先順位の動作に留意する必要があります。
- 明示的に定義された許可ルールは、既定のブロック設定よりも優先されます
- 明示的なブロック規則は、競合する許可規則よりも優先されます
- 2 で説明したように明示的なブロック規則がある場合を除き、より具体的なルールが、より具体的なルールよりも優先されます。 たとえば、規則 1 のパラメーターに IP アドレス範囲が含まれている場合、規則 2 のパラメーターに 1 つの IP ホスト アドレスが含まれている場合、規則 2 が優先されます
1 と 2 が原因で、一連のポリシーを設計するときは、誤って重複する可能性がある他の明示的なブロック 規則がないことを確認する必要があるため、許可するトラフィック フローが妨げられます。
注
Windows ファイアウォールでは、重み付けされた管理者割り当てルールの順序はサポートされていません。 予想される動作を持つ有効なポリシー セットは、説明に従って、いくつかの一貫性のある論理ルールの動作を念頭に置いて作成できます。
アプリケーションルール
最初にインストールすると、ネットワーク アプリケーションとサービスは、適切に機能するために必要なプロトコル/ポート情報を指定する リッスン呼び出し を発行します。 Windows ファイアウォールには既定の ブロック アクションがあるため、トラフィックを許可する受信例外ルールを作成する必要があります。 アプリまたはアプリ インストーラー自体が、このファイアウォール規則を追加するのが一般的です。 それ以外の場合は、ユーザー (またはユーザーの代わりにファイアウォール管理者) が手動でルールを作成する必要があります。
アクティブなアプリケーションまたは管理者が定義した許可規則がない場合は、アプリの初回起動時またはネットワーク内での通信を試行するときに、アプリケーションのパケットを許可またはブロックするようにユーザーに求めるダイアログ ボックスが表示されます。
- ユーザーに管理者権限がある場合は、メッセージが表示されます。 [いいえ] と応答するか、プロンプトを取り消すと、ブロック ルールが作成されます。 通常、2 つのルールが作成され、それぞれ TCP トラフィックと UDP トラフィックに対して 1 つ作成されます
- ユーザーがローカル管理者ではなく、ユーザーにプロンプトが表示された場合は、ブロック ルールが作成されます。 選択されているオプションは関係ありません
通知プロンプトを無効にするには、 コマンド ライン または Windows ファイアウォールと Advanced Security コンソールを使用できます。
これらのシナリオでは、ルールが追加されたら、プロンプトを再度生成するために削除する必要があります。 そうでない場合、トラフィックは引き続きブロックされます。
注
ファイアウォールの既定の設定は、セキュリティ用に設計されています。 既定ですべての受信接続を許可すると、さまざまな脅威にネットワークが導入されます。 そのため、Microsoft 以外のソフトウェアからの受信接続に対する例外の作成は、信頼されたアプリ開発者、ユーザー、または管理者がユーザーに代わって決定する必要があります。
アプリコントロールのタグ付けポリシー
Windows ファイアウォールでは、ファイアウォール規則での App Control for Business Application ID (AppID) タグの使用がサポートされています。 この機能を使用すると、絶対パスを使用したりセキュリティを損なったりすることなく、プロセス タグを参照することで、Windows ファイアウォール規則をアプリケーションまたはアプリケーションのグループにスコープを設定できます。 この構成には、次の 2 つの手順があります。
- App Control AppId タグ付けポリシーの展開: App Control for Business ポリシーを展開する必要があります。これは、個々のアプリケーションまたはアプリケーションのグループを指定して、PolicyAppId タグをプロセス トークンに適用することを指定します。 次に、管理者は、一致する PolicyAppId でタグ付けされたすべてのプロセスにスコープを設定するファイアウォール規則を定義できます。 詳細については、「 App Control AppId タグ付けガイド 」を参照して、AppID ポリシーを作成、デプロイ、テストしてアプリケーションにタグを付けます。
- 次の 2 つの方法のいずれかを使用して 、PolicyAppId タグ を使用してファイアウォール規則を構成します。
- Microsoft Intuneなどの MDM ソリューションでファイアウォール CSP の PolicyAppId ノードを使用する。 Microsoft Intuneを使用する場合は、パス Endpoint security>Firewall>Create policy>Windows 10、Windows 11、Windows Serverの下Microsoft Intune 管理センターからルールをデプロイできます。>Windows ファイアウォール規則。 ルールを作成するときは、[ポリシー アプリ ID] 設定で AppId タグを指定します
- PowerShell を使用してローカル ファイアウォール規則を作成する:
New-NetFirewallRule
コマンドレットを使用し、-PolicyAppId
パラメーターを指定します。 ファイアウォール規則の作成時に、一度に 1 つのタグを指定できます。 複数のユーザー ID がサポートされています
ローカル ポリシーのマージとアプリケーション ルール
ルールのマージ ポリシー設定は、 さまざまなポリシー ソースのルールを組み合わせる方法を制御します。 管理者は、 ドメイン、 プライベート、 およびパブリック プロファイルに対してさまざまなマージ動作を構成できます。
ルールマージ ポリシー設定では、CSP または GPO から取得したルールに加えて、ローカル管理者が独自のファイアウォール規則を作成することを許可または禁止します。
パス | |
---|---|
CSP | ドメイン プロファイル: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/ AllowLocalPolicyMerge プライベート プロファイル ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/ AllowLocalPolicyMerge パブリック プロファイル ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/ AllowLocalPolicyMerge |
GPO | コンピューターの構成>Windows 設定>セキュリティ設定>セキュリティが強化された Windows Defender ファイアウォール |
管理者は、セキュリティの高い環境で LocalPolicyMerge を 無効にして、エンドポイントをより厳密に制御できます。 この設定は、インストール時にローカル ファイアウォール ポリシーを自動的に生成する一部のアプリケーションとサービスに影響を与える可能性があります。
重要
ローカル ポリシーのマージが無効になっている場合は、受信接続を必要とするすべてのアプリにルールの一元的なデプロイが必要です。
通信に使用されるネットワーク ポートなど、このようなアプリの一覧を作成して管理することが重要です。 通常、アプリの Web サイトでは、特定のサービスに対して開く必要があるポートを確認できます。 より複雑なデプロイでは、ネットワーク パケット キャプチャ ツールを使用して徹底的な分析が必要になる場合があります。
一般に、最大限のセキュリティを維持するために、管理者は正当な目的を果たすと判断されたアプリとサービスのファイアウォール例外のみをデプロイする必要があります。
注
C:\*\teams.exe
などのワイルドカード パターンの使用は、アプリケーション ルールではサポートされていません。 ルールは、アプリケーションへの完全なパスを使用してのみ作成できます。
ファイアウォール規則に関する推奨事項
ファイアウォール規則を設計するときの推奨事項の一覧を次に示します。
- 可能な限り、既定の Windows ファイアウォール設定を維持します。 この設定は、ほとんどのネットワーク シナリオで使用できるようにデバイスをセキュリティで保護するように設計されています。 1 つの重要な例は、受信接続の既定の ブロック動作 です。
- 3 つのプロファイルすべてにルールを作成しますが、シナリオに合ったプロファイルでのみファイアウォール規則グループを有効にします。 たとえば、プライベート ネットワークでのみ使用される共有アプリケーションをインストールする場合は、3 つのプロファイルすべてにファイアウォール規則を作成することをお勧めしますが、プライベート プロファイルでルールを含むファイアウォール規則グループのみを有効にすることをお勧めします。
- ルールが適用されるプロファイルに応じて、ファイアウォール規則に対する制限を構成します。 自宅または小規模のビジネス ネットワーク内のデバイスのみがアクセスするように設計されたアプリケーションとサービスの場合は、リモート アドレス制限を変更して ローカル サブネット のみを指定することをお勧めします。 エンタープライズ環境で使用する場合、同じアプリケーションまたはサービスにこの制限はありません。 これを行うには、プライベート プロファイルとパブリック プロファイルに追加されるルールにリモート アドレス制限を追加し、ドメイン プロファイルに無制限のままにします。 このリモート アドレス制限は、グローバル インターネット接続を必要とするアプリケーションまたはサービスには適用されません。
- 受信規則を作成する際に推奨される一般的なセキュリティプラクティスは、可能な限り具体的にすることです。 ただし、ポートまたは IP アドレスを使用する新しいルールを作成する必要がある場合は、可能な場合は、個々のアドレスまたはポートではなく、連続する範囲またはサブネットを使用することを検討してください。 この方法では、内部で複数のフィルターを作成することを回避し、複雑さを軽減し、パフォーマンスの低下を回避するのに役立ちます。
- 受信または送信ルールを作成するときは、アプリ自体、使用されるポート範囲、作成日などの重要なメモに関する詳細を指定する必要があります。 ルールは、ユーザーと他の管理者の両方が簡単に確認できるように、十分に文書化されている必要があります。
- 最大限のセキュリティを維持するために、管理者は正当な目的を果たすと判断されたアプリとサービスのファイアウォール例外のみをデプロイする必要があります。
ルールの自動作成に関する既知の問題
ネットワークのファイアウォール ポリシーのセットを設計する場合は、ホストに展開されているネットワークアプリケーションの 許可規則 を構成することをお勧めします。 ユーザーが最初にアプリケーションを起動する前にルールを設定しておくと、シームレスなエクスペリエンスを確保するのに役立ちます。
これらの段階的なルールが存在しないということは、必ずしも最終的にアプリケーションがネットワーク上で通信できないことを意味するものではありません。 ただし、実行時のアプリケーション ルールの自動作成に関連する動作には、ユーザー操作と管理特権が必要です。 デバイスが管理者以外のユーザーによって使用されることが予想される場合は、予期しないネットワークの問題を回避するために、アプリケーションの最初の起動前にベスト プラクティスに従い、これらのルールを指定する必要があります。
一部のアプリケーションがネットワーク内での通信をブロックされる理由を判断するには、次のインスタンスについてチェックします。
- 十分な特権を持つユーザーは、アプリケーションがファイアウォール ポリシーを変更する必要があることを通知するクエリ通知を受け取ります。 プロンプトが完全に理解されていない場合、ユーザーはプロンプトを取り消すか無視します
- ユーザーには十分な特権がないため、アプリケーションが適切なポリシー変更を行うことを許可するように求められない
- ローカル ポリシーのマージ が無効になっているので、アプリケーションまたはネットワーク サービスでローカル ルールが作成されるのを防ぎます
また、設定アプリまたはポリシー設定を使用して、実行時のアプリケーション ルールの作成を管理者が禁止することもできます。
送信規則に関する考慮事項
送信規則を構成するための一般的なガイドラインをいくつか次に示します。
- 送信規則を ブロック に変更することは、セキュリティの高い特定の環境で考慮できます。 ただし、受信規則の構成は、既定ですべてのトラフィックを許可する方法で変更しないでください
- organizationが使いやすさよりも厳しいセキュリティ制御を好む場合を除き、アプリのデプロイを簡略化するために、ほとんどのデプロイで既定で送信を許可することをお勧めします
- 高セキュリティ環境では、すべてのアプリのインベントリをログに記録して管理する必要があります。 レコードには、使用するアプリにネットワーク接続が必要かどうかを含める必要があります。 管理者は、ネットワーク接続を必要とする各アプリに固有の新しいルールを作成し、GPO または CSP を使用してそれらのルールを一元的にプッシュする必要があります
次のステップ
Windows ファイアウォールとファイアウォール規則を構成するためのツールについて説明します。