次の方法で共有

Windows ファイアウォール ツール

Windows には、状態を表示し、Windows ファイアウォールを構成するためのさまざまなツールが用意されています。 すべてのツールは、同じ基になるサービスと対話しますが、これらのサービスに対してさまざまなレベルの制御を提供します。

デバイス上の Windows ファイアウォールの構成を変更するには、管理者権限が必要です。

Windows セキュリティ

Windows セキュリティ アプリを使用して、Windows ファイアウォールの状態を表示し、高度なツールにアクセスして構成できます。 [ START] を選択し、「」と入力 Windows Securityし、 Enter キーを押します。 Windows セキュリティが開いたら、[ファイアウォール & ネットワーク保護] タブを選択します。 または、次のショートカットを使用します。

ファイアウォール & ネットワーク保護を開く

Windows セキュリティ アプリを示すスクリーンショット。

コントロール パネル

Windows Defender ファイアウォール コントロール パネル アプレットには、Windows ファイアウォールを構成するための基本的な機能が用意されています。 [ START] を選択し、「」と入力 firewall.cplし、 Enter キーを押します。

[ファイアウォール] コントロール パネルアプレットWindows Defender示すスクリーンショット。

セキュリティが強化されたファイアウォールのWindows Defender

セキュリティが強化されたWindows Defender ファイアウォール (WFAS) は、高度な構成機能を提供する Microsoft 管理コンソール (MMC) スナップインです。 ローカルおよびグループ ポリシー (GPO) の実装で使用できます。

  • 1 つのデバイスを構成する場合は、START を選択し、「」と入力wf.mscし、Enter キーを押します。
  • Active Directory ドメインに参加しているデバイスを構成する場合は、グループ ポリシー オブジェクト (GPO) を作成または編集し、[コンピューターの構成>ポリシー>][Windows 設定][セキュリティ設定>] [セキュリティ] > [セキュリティ] [Windows ファイアウォール] の順に展開します。

セキュリティ強化 MMC スナップインを使用したWindows Defender ファイアウォールのスクリーンショット。

構成サービス プロバイダー (CSP)

ファイアウォール CSP には、Windows ファイアウォールの状態を構成してクエリを実行するためのインターフェイスが用意されています。これは、Microsoft Intuneなどのモバイル デバイス管理 (MDM) ソリューションで使用できます。

コマンド ライン ツール

NetSecurity PowerShell モジュールと Network Command Shell (netsh.exe) は、状態の照会と Windows ファイアウォールの構成に使用できるコマンド ライン ユーティリティです。

グループ ポリシー処理に関する考慮事項

Windows ファイアウォール ポリシー設定はレジストリに格納されます。 既定では、グループ ポリシーはバックグラウンドで 90 分ごとに更新され、ランダムなオフセットは 0 ~ 30 分です。

Windows ファイアウォールはレジストリの変更を監視し、何かがレジストリに書き込まれた場合は、次のアクションを実行する Windows フィルター プラットフォーム (WFP) に通知します。

  1. すべてのファイアウォール規則と設定を読み取ります
  2. 新しいフィルターを適用します
  3. 古いフィルターを削除します

アクションは、何かが書き込まれたり、レジストリの場所から削除されたりするたびにトリガーされます。実際に構成が変更されているかどうかに関係なく、GPO 設定が格納されます。 プロセス中、IPsec 接続は切断されます。

多くのポリシー実装では、変更されたときにのみ更新されるように指定されています。 ただし、ユーザーがポリシー設定を変更した場合に備えて、必要なポリシー設定を再適用するなど、変更されていないポリシーを更新したい場合があります。 レジストリ グループ ポリシー処理の動作を制御するには、コンピューター構成>の管理用テンプレート>システム>グループ ポリシー>レジストリ ポリシー処理の構成に関するポリシーを使用します。 グループ ポリシー オブジェクトが変更されていない場合でも、プロセスは更新され、ポリシーが変更されていなくてもポリシーが再び適用されます。 このオプションは、既定では無効になっています。

グループ ポリシー オブジェクトが変更されていない場合でも、[プロセス] オプションを有効にすると、バックグラウンド更新のたびに WFP フィルターが再適用されます。 グループ ポリシーが 10 個ある場合、WFP フィルターは更新間隔中に 10 回再適用されます。 ポリシー処理中にエラーが発生した場合、適用された設定が不完全であり、次のような問題が発生する可能性があります。

  • Windows ファイアウォールは、グループ ポリシーによって許可される受信または送信トラフィックをブロックします
  • グループ ポリシー設定の代わりにローカル ファイアウォール設定が適用される
  • IPsec 接続を確立できない

一時的な解決策は、 コマンド gpupdate.exe /forceを使用してグループ ポリシー設定を更新することです。これには、ドメイン コントローラーへの接続が必要です。

この問題を回避するには、[ レジストリ ポリシー処理の構成] ポリシーを既定値の [未構成] のままにするか、既に構成されている場合は無効に構成 します

重要

グループ ポリシー オブジェクトが変更されていない場合でも、[プロセス] の横にあるチェック ボックスをオフにする必要があります。 オフのままにすると、構成が変更された場合にのみ WFP フィルターが書き込まれます。

レジストリの削除と書き換えを強制する必要がある場合は、[定期的なバックグラウンド処理中に適用しない] の横にあるチェック ボックスをオンにして 、バックグラウンド処理を無効にします。

アクティブな攻撃のシールド アップ モード

アクティブな攻撃中の損傷を軽減するために使用できる重要な Windows ファイアウォール機能は、 シールドアップ モードです。 これは、ファイアウォール管理者がアクティブな攻撃に直面して一時的にセキュリティを強化するために使用できる簡単な方法を指す非公式の用語です。

[すべての受信接続をブロックする] をオンにすることで、シールドを実現できます。これには、Windows 設定アプリまたはコントロール パネルで見つかった許可されたアプリ設定の一覧に含まれる接続が含まれます

受信接続を示すWindows セキュリティ アプリのスクリーンショット。

コントロール パネル ファイアウォール アプレットのスクリーンショット。

既定では、例外ルールが作成されていない限り、Windows ファイアウォールはすべてブロックされます。 シールドアップ オプションは、例外をオーバーライドします。 たとえば、リモート デスクトップ機能を有効にすると、ファイアウォール規則が自動的に作成されます。 ただし、ホスト上の複数のポートとサービスを使用するアクティブな悪用がある場合は、個々のルールを無効にする代わりに、シールドアップ モードを使用してすべての受信接続をブロックし、リモート デスクトップのルールを含む以前の例外をオーバーライドできます。 リモート デスクトップルールはそのまま残りますが、シールドがアクティブである限り、リモート アクセスは機能しません。

緊急が終了したら、設定をオフにして、通常のネットワーク トラフィックを復元します。

次のステップ

次のドロップダウンから、いずれかのツールを選択して、Windows ファイアウォールを構成する方法を確認します。