Windows Defender ファイアウォールを構成するためのベスト プラクティス (2023)

高度なセキュリティを備えた Windows Defender ファイアウォールは、ホストベースの双方向ネットワーク トラフィック フィルタリングを提供し、ローカル デバイスに出入りする未承認のネットワーク トラフィックをブロックします。次のベスト プラクティスに基づいて Windows ファイアウォールを構成すると、ネットワーク内のデバイスの保護を最適化することができます。これらの推奨事項は、ホームネットワークや企業のデスクトップ/サーバー システムを含む幅広い展開をカバーしています。

Windows ファイアウォールを開くには、始めるメニュー、選択走る、タイプWF.mscを選択し、OK。こちらも参照Windows ファイアウォールを開く。

デフォルト設定を維持する

Windows Defender ファイアウォールを初めて開くと、ローカル コンピューターに適用される既定の設定が表示されます。 [概要] パネルには、デバイスが接続できるネットワークの種類ごとのセキュリティ設定が表示されます。

図 1: Windows Defender ファイアウォール

1. ドメインプロファイル: Active Directory ドメイン コントローラーに対するアカウント認証システムがあるネットワークに使用されます。
2. プライベートプロフィール: ホーム ネットワークなどのプライベート ネットワーク向けに設計されており、そこでの使用に最適です。
3. 公開プロフィール: Wi-Fi ホットスポット、コーヒーショップ、空港、ホテル、店舗などの公共ネットワーク向けのより高いセキュリティを念頭に設計されています。

最上位のプロファイルを右クリックして、各プロファイルの詳細設定を表示します。高度なセキュリティを備えた Windows Defender ファイアウォール左側のペインでノードを選択し、プロパティ。

可能な限り、Windows DefenderFirewall のデフォルト設定を維持してください。これらの設定は、ほとんどのネットワーク シナリオで使用できるようにデバイスを保護するように設計されています。重要な例の 1 つは、受信接続のデフォルトのブロック動作です。

図 2: デフォルトの受信/送信設定

基本的なファイアウォール設定の詳細については、次を参照してください。Windows ファイアウォールをオンにしてデフォルトの動作を構成するとチェックリスト: 基本的なファイアウォール設定の構成。

受信ルールのルールの優先順位を理解する

多くの場合、管理者の次のステップは、ルール (フィルターと呼ばれることもあります) を使用してこれらのプロファイルをカスタマイズし、ユーザー アプリや他の種類のソフトウェアと連携できるようにすることです。たとえば、管理者またはユーザーは、プログラムに対応するためのルールを追加したり、ポートやプロトコルを開いたり、事前定義されたタイプのトラフィックを許可したりすることを選択できます。

このルール追加タスクは、次のいずれかを右クリックして実行できます。インバウンドルールまたアウトバウンドルールを選択し、新しいルール。新しいルールを追加するためのインターフェイスは次のようになります。

図 3: ルール作成ウィザード

多くの場合、アプリケーションがネットワーク内で機能するには、特定の種類の受信トラフィックを許可する必要があります。管理者は、これらの受信例外を許可する場合、次のルールの優先順位の動作に留意する必要があります。

1. 明示的に定義された許可ルールは、デフォルトのブロック設定よりも優先されます。
2. 明示的なブロック ルールは、競合する許可ルールよりも優先されます。
3. 2 で説明した明示的なブロック ルールがある場合を除き、より具体的なルールがより具体的でないルールより優先されます。 (たとえば、ルール 1 のパラメータに IP アドレス範囲が含まれているのに対し、ルール 2 のパラメータに単一の IP ホストが含まれている場合)アドレスの場合、ルール 2 が優先されます。)

1 と 2 のため、一連のポリシーを設計するときは、意図せず重複して許可したいトラフィック フローを妨げる可能性のある他の明示的なブロック ルールが設定されていないことを確認することが重要です。

受信ルールを作成するときの一般的なセキュリティのベスト プラクティスは、できるだけ具体的にすることです。ただし、ポートまたは IP アドレスを使用する新しいルールを作成する必要がある場合は、可能な限り個別のアドレスまたはポートの代わりに連続した範囲またはサブネットを使用することを検討してください。このアプローチにより、内部で複数のフィルターを作成することが回避され、複雑さが軽減され、パフォーマンスの低下が回避されます。

最初の起動前に新しいアプリケーションのルールを作成する

インバウンド許可ルール

最初にインストールされると、ネットワーク化されたアプリケーションとサービスは、適切に機能するために必要なプロトコル/ポート情報を指定するリッスン呼び出しを発行します。 Windows Defender ファイアウォールには既定のブロック アクションがあるため、このトラフィックを許可する受信例外ルールを作成する必要があります。アプリまたはアプリのインストーラー自体がこのファイアウォール ルールを追加するのが一般的です。それ以外の場合は、ユーザー (またはユーザーに代わってファイアウォール管理者) がルールを手動で作成する必要があります。

アクティブなアプリケーションがない場合、または管理者が定義した許可ルールがない場合は、アプリが初めて起動されるとき、またはネットワーク内で通信を試みるときに、ダイアログ ボックスがユーザーにアプリケーションのパケットを許可またはブロックするよう求めます。

• ユーザーが管理者権限を持っている場合は、プロンプトが表示されます。彼らが反応したらいいえまたはプロンプトをキャンセルすると、ブロック ルールが作成されます。通常、TCP トラフィックと UDP トラフィックに 1 つずつ、合計 2 つのルールが作成されます。

• ユーザーがローカル管理者ではない場合、プロンプトは表示されません。ほとんどの場合、ブロック ルールが作成されます。

上記のいずれのシナリオでも、これらのルールを追加したら、プロンプトを再度生成するにはルールを削除する必要があります。そうでない場合、トラフィックは引き続きブロックされます。

自動ルール作成に関する既知の問題

ネットワーク用の一連のファイアウォール ポリシーを設計するときは、ホスト上に展開されているネットワーク アプリケーションに対して許可ルールを構成することがベスト プラクティスです。ユーザーが最初にアプリケーションを起動する前にこれらのルールを設定しておくと、シームレスなエクスペリエンスが保証されます。

これらの段階的なルールがないからといって、最終的にアプリケーションがネットワーク上で通信できなくなるわけではありません。ただし、実行時のアプリケーション ルールの自動作成に関連する動作には、ユーザーの操作と管理者権限が必要です。デバイスが管理者以外のユーザーによって使用されることが予想される場合は、予期しないネットワークの問題を回避するために、ベスト プラクティスに従い、アプリケーションの最初の起動前にこれらのルールを提供する必要があります。

一部のアプリケーションがネットワーク内での通信をブロックされている理由を特定するには、次の状況を確認してください。

1. 十分な権限を持つユーザーは、アプリケーションがファイアウォール ポリシーを変更する必要があることを通知するクエリ通知を受け取ります。ユーザーはプロンプトを完全に理解していないため、プロンプトをキャンセルまたは無視します。
2. ユーザーには十分な権限がないため、アプリケーションによる適切なポリシー変更の許可を求めるメッセージは表示されません。
3. ローカル ポリシー マージが無効になっているため、アプリケーションまたはネットワーク サービスはローカル ルールを作成できません。

実行時のアプリケーション ルールの作成は、管理者が設定アプリまたはグループ ポリシーを使用して禁止することもできます。

図 4: アクセスを許可するダイアログ ボックス

こちらも参照チェックリスト: インバウンドファイアウォールルールの作成。

ローカルポリシーのマージと適用ルールを確立する

ファイアウォール ルールは次のように展開できます。

1. ローカルでファイアウォール スナップインを使用して (WF.msc)
2. ローカルで PowerShell を使用する
3. デバイスが Active Directory 名、System Center Configuration Manager、または Intune のメンバーである場合、グループ ポリシーをリモートで使用する (ワークプレイス参加を使用)

ルール結合設定は、さまざまなポリシー ソースからのルールをどのように結合できるかを制御します。管理者は、ドメイン、プライベート、パブリック プロファイルに対してさまざまなマージ動作を構成できます。

ルール結合設定では、ローカル管理者がグループ ポリシーから取得したルールに加えて独自のファイアウォール ルールを作成することを許可または禁止します。

図 5: ルール結合設定

ローカル ポリシーの結合が無効になっている場合、受信接続を必要とするアプリにはルールを一元的に展開する必要があります。

管理者は無効にすることができますローカルポリシーマージ高セキュリティ環境では、エンドポイントに対するより厳密な制御を維持します。この設定は、上で説明したように、インストール時にローカル ファイアウォール ポリシーを自動的に生成する一部のアプリケーションやサービスに影響を与える可能性があります。これらの種類のアプリやサービスが機能するには、管理者はグループ ポリシー (GP)、モバイル デバイス管理 (MDM)、またはその両方 (ハイブリッド環境または共同管理環境の場合) を介してルールを一元的にプッシュする必要があります。

ファイアウォール CSPとポリシーCSPルールの結合に影響を与える可能性のある設定もあります。

ベスト プラクティスとして、通信に使用されるネットワーク ポートを含め、そのようなアプリを一覧表示して記録することが重要です。通常、特定のサービスに対してどのポートを開く必要があるかは、アプリの Web サイトで確認できます。より複雑なアプリケーションや顧客アプリケーションの展開の場合は、ネットワーク パケット キャプチャ ツールを使用して、より徹底的な分析が必要になる場合があります。

一般に、最大限のセキュリティを維持するために、管理者は正当な目的を果たすと判断されたアプリとサービスに対してのみファイアウォール例外をプッシュする必要があります。

アクティブな攻撃に「シールドアップ」モードを使用する方法を理解する

アクティブな攻撃中の被害を軽減するために使用できる重要なファイアウォール機能は、「シールドアップ」モードです。これは、アクティブな攻撃に直面したときにファイアウォール管理者が一時的にセキュリティを強化するために使用できる簡単な方法を指す非公式の用語です。

シールドアップはチェックすることで達成できます許可されたアプリのリストにあるものも含め、すべての受信接続をブロックしますWindows 設定アプリまたは従来のファイルのいずれかにある設定ファイアウォール.cpl。

図 6: Windows 設定アプリ/Windows セキュリティ/ファイアウォール保護/ネットワークの種類

図 7: 従来の firewall.cpl

既定では、例外ルールが作成されない限り、Windows Defender ファイアウォールはすべてをブロックします。この設定は例外をオーバーライドします。

たとえば、リモート デスクトップ機能を有効にすると、ファイアウォール ルールが自動的に作成されます。ただし、ホスト上で複数のポートとサービスを使用するアクティブなエクスプロイトがある場合は、個々のルールを無効にする代わりに、シールドアップ モードを使用してすべての受信接続をブロックし、リモート デスクトップのルールを含む以前の例外をオーバーライドできます。リモート デスクトップ ルールはそのまま残りますが、シールドがアクティブ化されている限りリモート アクセスは機能しません。

緊急事態が終わったら、設定のチェックを外して通常のネットワーク トラフィックを復元します。

アウトバウンドルールを作成する

以下に、送信ルールを構成するための一般的なガイドラインをいくつか示します。

• 送信をブロックするルールのデフォルト構成は、特定の非常に安全な環境を考慮することができます。ただし、デフォルトでトラフィックを許可するように受信ルール構成を変更しないでください。
• 企業が使いやすさよりも厳格なセキュリティ制御を好む場合を除き、アプリのデプロイメントを簡素化するために、ほとんどのデプロイメントではデフォルトでアウトバウンドを許可することをお勧めします。
• 高度なセキュリティ環境では、管理者がエンタープライズにまたがるすべてのアプリのインベントリを作成し、記録する必要があります。記録には、使用するアプリにネットワーク接続が必要かどうかを含める必要があります。管理者は、ネットワーク接続を必要とする各アプリに固有の新しいルールを作成し、グループ ポリシー (GP)、モバイル デバイス管理 (MDM)、またはその両方 (ハイブリッドまたは共同管理環境の場合) を介してそれらのルールを一元的にプッシュする必要があります。

送信ルールの作成に関連するタスクについては、を参照してください。チェックリスト: 送信ファイアウォール ルールの作成。

変更を文書化する

受信ルールまたは送信ルールを作成するときは、アプリ自体、使用するポート範囲、作成日などの重要なメモに関する詳細を指定する必要があります。あなたと他の管理者の両方が簡単に確認できるように、ルールを十分に文書化する必要があります。時間をかけて、後でファイアウォール ルールを確認する作業を容易にすることを強くお勧めします。と一度もないファイアウォールに不要な穴をあけてしまいます。