やさしい講座 〜第49回 Vista の機能をもっと深く知る ファイアウォール機能〜

Vistaの機能をもっと深く知る ファイアウォール機能

目次

◆Windows ファイアウォールの基本設定
  ■「全般」タブの設定
  ■「例外」タブの設定
   ●「自動で例外のエントリーが作成されないようにするには」
   ●「プログラムの追加」
   ●「ポートの追加」
  ■ 「詳細設定」タブの設定
◆「セキュリティが強化されたWinows ファイアウォール」を使用する
   ●「セキュリティが強化された Windows ファイアウォール」を起動する
   ●「セキュリティが強化された Windows ファイアウォール」画面
  ■「受信の規則」を使用する
   ●表示項目を絞り込む
   ●「各項目の詳細」を表示する
  ■「送信の規則」使用する
    (1)許可したプログラム
    (2)表1.許可したポート
    (3)アンチウイルスソフトのアップデートができるようにする
    (4)Windows Update が実行できるようにする
   ●「送信接続」をブロックする
   ●送信を許可するための「送信規制」を作成する
    (1)Internet Explorer(プログラム)の「送信規制」を
      作成する
    (2)Webブラウザ用ポートの「送信規制」を作成する
   ●「送信の規則」を既定値に戻す
      ◆ログを記録する
  ●ログが記録できるようにする
  ●「メモ帳」でログファイルを見る
  ●「WFログビュアー」でログファイルを見る
◆動作しているソフトの確認方法
  ●サービス プログラムから探す
  ●実行しているプログラムから探す


 WindowsXP SP2の Windows ファイアウォールでは、インターネット側からパソコン側への「着信方向」の接続(インバウンド)のブロックは行えたが、パソコン側からインターネット側への「送信方向」の接続(アウトバンド)をブロックすることができなかった。それに対し、Windows Vista では、双方向の接続をブロックできるようになった。
 分かりやすく言うと、何かの操作で、私のパソコンに仕掛けられたマルウェア(ウィルス)が、私のパソコンの中身(データ)を持ち出そう(パソコンからインターネット側に)とすると、防御してくれるようになったことです。しかし、Vistav を購入したままの状態(デフォルト)では、送信方向は、すべてOKの状態です。このままでは、折角の機能が働きません。この機能を有効にするためには、「セキュリティが強化された Windows ファイアウォール」を使わなくてはならない。
 また、Windows Vista では、Windows ファイアウォールの例外ルールが「ネットワークの場所」ごとに作成され、自動で切り替わる仕組みになった。そのため、プライベートネット ワークではファイル共有を許可したり、パブリックネット ワークではWeb ブラウジングやメールの送受信だけを許可するなど、状態に応じて設定を簡単に行えるようになっている。これらの点を踏まえて Windows ファイアウォールの設定を強固に使いやすくカスタマイズする。

 「ネットワークの場所ごとに」、とあるが、またその話は別の機会を設けるとして、私の場合は、自宅のみで使用するデスクトップ型パソコンなので、ネットワークは、「プライベートネット ワーク」で、話を進めます。

◆Windows ファイアウォールの基本設定

 「Windows ファイアウォールの設定」画面を表示するには、以下の手順です。

1.「コントロールパネル」→「セキュリティ」をクリックする。
2.「Windowsファイアウォールの有効/無効」をクリックする。
3.「Windows ファイアウォールの設定」画面が表示される。
                        (目次へ)

■ 「全般」タブの設定

 Windows ファイアウォールの「有効/無効」のを切り換えや「すべての着信接続をブロックする」設定ができる。

1.「全般」タブをクリックする。
2.Windows ファイアウォールの有効/無効を切り換えられる。
3.「すべての着信接続をブロックする」にチェックを入れれば、
「例外」タブに追加されたプログラムを含め、すべての着信を許可
しない(外部からの接続をすべてブロックする)設定にすることができる。
4.すべての設定が終了すれば「OK」ボタンをクリックする。
                        (目次へ)

「例外」タブの設定

 ここでは、着信接続をプログラム単位やポート単位で許可することができる。着信接続とは、外部から開始された通信のことで、デフォルトでは、「コアネットワーク」のように必要最低限の通信を除き、すべての着信接続がブロックされている。
 着信接続を受け入れる(受信用にポートを開く)プログラムを初めて実行すると、対応するエントリーが自動的に作成される。それと同時に「Windows セキュリティの重要な警告」画面が開き、プログラムをブロック解除するかどうかを選べる。ここで、「ブロックを解除する」をクリックすると、 追加されたエントリーのチェックボックスが「On」になる。
 基本的に例外のエントリーは自動で作成されるが、中にはあらかじめポートを開いておかなければ通信できないプログラムもある。その場合は、 「プログラムの追加」から該当するプログラムを選択する。「スコープの変更」をクリックすると、 ブロック解除するIPアドレスの範囲を指定することも化のである。ポート単位での例外をルールを追加するには、「ポートの追加」で設定する。

1.「例外」タブをクリックする。
2.表示されている一覧のチェックボックスを「On」にすると着信接続を
「許可」することとなる。
3.すべての設定が終了したならば「OK」ボタンをクリックする。
                        (目次へ)

●「自動で例外のエントリーが作成されないようにするには」

 基本的に例外のエントリーは自動で作成されるが、自動で作成されないようにするためには、「Windows ファイアウォールによる新しいプログラムのブロック時に通知を 受け取る」のチェックを外せばよい。
                        (目次へ)

●「プログラムの追加」

 新しく「プログラム」を追加したい場合は、

1.「プログラム追加」のボタンをクリックする。
2.プログラムの一覧から追加したい「プログラム」をクリックする。
3.「スコープの変更」をする場合は、5.項に進む。
4.「OK」ボタンをクリックする。
5.「プログラム追加」の画面で、「スコープの変更」ボタンをクリックする。
6.「スコープの変更」画面で、ブロックを解除するIPアドレスの範囲も指定可能。
7.「OK」ボタンをクリックする。
                        (目次へ)

●「ポートの追加」

 ポート単位での例外ルールを追加するには、

1.「ポートの追加」ボタンをクリックする。
2.「ポート番号」と「プロトコル」を指定する。「名前」は、設定
内容の分かる名前を付ける。
3.「OK」ボタンをクリックする。
                        (目次へ)

■ 「詳細設定」タブの設定

 「詳細設定」タブでは、ネットワーク接続ごとにファイアウォールの有効/無効を切り換えることができる。 また、「既定値に戻す」ボタンをクリックすれば、 「セキュリティが強化された Windows ファイアウォール」での設定変更を含め、すべての設定をデフォルトに戻すことができる。
                        (目次へ)

◆「セキュリティが強化されたWinows ファイアウォール」を使用する

  Windows ファイアウォールの「例外」タブでは、プログラム単位またはポート単位のみ例外ルールを作成できるが、 特定のプログラムに特定のポートで通信を許可する、といった細かい設定はできない。 そこで、「セキュリティが強化された Windows ファイアウォール」を使って、より細かい例外ルールを設定する。

●「セキュリティが強化された Windows ファイアウォール」を起動する

 「セキュリティが強化された Windows ファイアウォール」は、以下の手順で起動する。

1.「コントロールパネル」→「システムとメンテナンス」→「管理ツール」を
クリックする。
2.「セキュリティが強化された Windows ファイアウォール」をクリックする。
                        (目次へ)

●「セキュリティが強化された Windows ファイアウォール」画面

 下図が「セキュリティが強化された Windows ファイアウォール」の画面です。左側画面の「ローカルコンピュータのセキュリティが強化された Windows ファイアウォール」をクリックすると、現在のセキュリティの状態が分かる。
  ネットワークは、ドメイン、プライベート、パブリックの3つあり、別々にセキュリティを設定することができる。ここで、一般家庭用のパソコンは、プライベート プロファイルに注目する。ここで、デフォルトでは、「規則に一致しない送信接続は許可されています」に設定されている。ようするに、 「すべてのデータは、パソコンからインタネットに送信される。」状態にあるということです。
                        (目次へ)

■「受信の規則」を使用する

 画面左にある「受信の規則」を選択すると、着信方向の例外ルールを確認したり設定することができる。先の「Windows ファイアウォールの設定」画面では、 グループ単位でのみ設定変更が可能だったが、この「受信の規則」では個別のルールを確認したり、設定の変更ができる。

1.画面左にある「受信の規則」をクリックする。
2.すべてのプロファイルに対応する通信の規則がまとめて表示される。
                        (目次へ)

●表示項目を絞り込む

 表示項目が多すぎて分かりずらいときは、画面右の「操作」から「フィルタ」をクリックして、表示したい項目を絞り込む。

1.画面右 の「操作」から「フィルタ」をクリックする。
2.表示されたメニューから表示したい「フィルタ」をクリックする。
3.表示したい項目が絞り込まれる。
                        (目次へ)

●「各項目の詳細」を表示する

 受信の規則」の項目が一覧表示されたところで、各項目をダブルクリくもしくは、項目をクリックして画面右の「操作」から「プロパティ」をクリックすると 、プロパティ画面が表示され、規則の詳細を確認することができる。また変更することができる。

1.確認した項目をダブルクリックする。または、項目をクリックして、画面右の
「操作」から「プロパティ」をクリックする。
2.「プロパティ」がめんが表示される。
3.変更した場合は、「OK」ボタンをクリックする。
                        (目次へ)

■「送信の規則」使用する

 さて、いよいよ本題に入ります。先ずは、「送信接続をブロック」するところから始まりますが、これを設定すると、 インターネットを使用するプログラムは、すべて使えなくなります。書庫では、「使いたいプログラムを許可すればよい。」とあるが、 なかなかそう簡単に行くものではない。そこで、次のWeb を参考にした。
 一つは、「Vistaの地平 第14回 進化したWindows Vistaの ファイアウォール機能(前編) 4.送信フィルタの使い方 」で、ファイアウォールの機能を詳細に説明しているが、「送信をブロック」して、 使うソフトを許可するのではなく、あるソフトをブロックする手順を説明している。
 もう一つは、「してみる」の「Windows VistaのFireWall を設定して見る(その2)」 である。 これは、どちらかと言うと私が探している手順に近いが、詳細なところが省略されているので途中で分からなくなる。ともあれこれを基に、私なりの考えで設定した。 間違っているかもしれないが、一応動作している。
 私のパソコン環境でインターネット使うソフトは、Webブラウザ、メーラー、そしてFTPです。
 分かり易くするために例を挙げて説明します。先ず、Web ブラウザを使えるようにする。私が使っているブラウザは、IE (Internet Explorer) と Mozilla Firefox を使用している。ここでは、IE (Internet Explorer)が使えるように Internet Explorerの「送信規制」を作成した。 しかし、これだけでは IE は動作してくれなかった。ほかのソフトも許可しなければいけないのかもしれないが、そのプログラムが分からない。 そこで、ポートは「80」のみとし、すべてのプログラムを許可するとして、 Webブラウザ用ポートの「送信規制」を作成した。これで IE は使えるようになった。そこで、Mozilla Firefox を起動してみた。 インターネットには繋がるが、ログイン等で入力した情報が伝わらない。同様に Mozilla Firefox の「送信規制」を作成すると、Mozilla Firefox も使えるようになった。結局、ポートを許可しても、実際に使用するプログラムも個別に 許可する必要があることが分かった。それと、すべてのプログラムに対して許可するポートが分かった(表1)。
 現在、表1.のポートと下記のプログラムの対して、「送信規制」を作成して、実際にプログラムを実行して問題なく動作している。
 「送信規制」を作成する場合は、必ずプログラムの実行形式ファイル(拡張子がexe)のパスを指定しなければならない。そのパスを探す方法は、 「動作しているソフトの確認方法」を参照して下さい。また、いろいろと「送信規制」を作成しているうちに、間違えて通信ができなくなったら、「送信規制を既定値に戻す」を参照してください。

(1)許可したプログラム

   Internet Explorer
   Mozilla Firefox
   Windows メール
   Mozilla Thunderbird
   FFFTP

(2)表1.許可したポート

送信規制の名前 プロトコル ポート
Webwブラウザ TCP 80
メーラー SMTP TCP 25
POP3 TCP 110
FTP TCP 21

※送信規制の名前は、自由に付けられる。

(3)アンチウイルスソフトのアップデ―トができるようにする

 この他に、アンチウイルスのソフトやパターンの更新ができるように、あるソフトを許可する必要がある。私の場合は、「avast! Antivirus」を使っている。さて、どのプログラムを許可するばよいかを、いろいろと試した結果、
     avast! iAVS4 Control Service (aswUpdsv.exe) と
     avast! Antivirus Update (ashUpdsv.exe) である。
 この2つプログラムに対して「送信規制」を作成したところ、自動的にアップデートすることができた。

(4)Windows Update が実行できるようする

 問題は、Windows Update が実行できるようすることである。これは、Web の「してみる」が参考になったが、どのように「送信規制」 を作成すればよいのか分からなかった。 当てずっぽに作ってみた。

@すべて手動で、Windows apdate を実行することができた

 Web「してみる」で、言っているように、「Backgrannd Inlligent Transfer Service」(BITTS)のサービスのポート80、443 に送信許可を与えるとWindows Update が行えるようになった。とある。そこで、「Backgrannd Inlligent Transfer Service」の実行ファイル名(プログラム)を探した。 その実行ファイル名は、svchost.exe だった。そのプログラムに対して、「プログラムおよびサービス」の「サービス設定」で、「このサービスに適用する」を選択して「Windows Update」を指定して 、名前を「BITTS(Windows Upadate)」と付けて、「送信規制」を作成した(図2)が、下記の警告が表示されたが「はい」をクリックした。

警告が表示されたが「はい」をクリックする。
図2.BITTS(Windows Upadate)」の「送信規制」の作成
「プログラムおよびサービス」の「サービス設定」で、「このサービスに適用する」を
選択して「Windows Update」を指定した。

A通知領域にWindows Update アイコンが表示するようになった

 手動で、Windows Update が実行できるようになったので、少し頑張って、次のプログラムに対して、「送信規制」を作成した。その結果、タスクバーの右端にある通知領域(タスクトレイ)にEindows Update アイコンが表示するようになった。と言うことは、自動的に更新プログラムの確認ができたことである。後は、このアイコンをクリックして、「Windows Update」画面で、ダウンロードとインストールを実行すればよい。
 「送信規制」を作成したプログラムは、以下の通り。
      wuapp.exe
      wuauclt.exe
 最終的に、最後まで自動的に実行させる方法を実現しようと思ったがは、これ以上実力がないので、諦めました。

 現在、@〜Cの「送信規制」を作成して、パソコンを使用している。この設定で正しいかどうかは分からないが、一応すべてを許可していないので、自分なりに「良し」としている。

●「送信接続」をブロックする

 デフォルトの状態ではすべての送信方向の通信が許可されているので、一度すべてのプログラムの荘子をブロックし、 指定したプログラムだけを許可するように設定する。「送信接続」をブロックする手順は、次の通り。

1.「セキュリティが強化された Windows ファイアウォール」画面で、「ローカル
コンピュータのセキュリティが強化された Windows ファイアウォール」をクリックする。
2.「セキュリティが強化された Windows ファイアウォール」画面右の「操作」から
「プロパティ」をクリックする。
3.「ローカルコンピュータのセキュリティが強化された Windows ファイアウォール」
画面が表示されるので、「プライベートプロファイル」タブをクリックする。
4.送信接続の「許可(既定)」を「ブロック」に変える。
5.「OK」ボタンをクリックする。
               (リンク元に戻る)  (目次へ)

●送信を許可するための「送信規制」を作成する

 送信ができるようにするための規制を作成する。ここでは、Internet Explorer が利用できるように設定して行く。手順は次の通り。

(1)Internet Explorer(プログラム)の「送信規制」を作成する

 Internet Explorer を設定する。

1.「セキュリティが強化された Windows ファイアウォール」画面左の「送信の規則」
をクリックする。
2.送信規制の一覧が表示されたら、画面右の「さおうさ」から「新規の規則」をクリックする。
2.「新規の送信の規則ウイザード」画面が表示される
3.「次へ」ボタンをクリックする。
4.「このプログラムのパス」のラジオボタンが「On」であることを確認して、
「参照」ボタンをクリックする。
5.「Internet Explorer」の実行ファイル「iexplorer.exe」をクリックして、「開く」ボタン
をクリックする。
6.「Internet Explorer」の実行ファイル「iexplorer.exe」のパスが表示されたことを
確認して、「次へ」ボタンをクリックする。
7.「接続を許可する」のラジオボタンを「On」にして、「次へ」ボタンをクリックする。
8.規則を適用するプロファイルのチェックボックスを「On」して、「次へ」ボタンを
クリックする。(ここでは、プライベートのみでよい。)
9.プログラムと同じ名前を付けて、「完了」ボタンをクリックする。
ここでは「Internet Explorer」と名付けた。
10.「送信の規則」の一覧に「Internet Explorer」が新規に追加されたことを
確認する。
             (リンク元に戻る)  (目次へ)

(2)Webブラウザ用ポートの「送信規制」を作成する

 次に、Internet Explorer が使用するポートを設定する。プログラムだけ設定して、このポートを設定しないと、Internet Explorer は使用することができない。

1.「セキュリティが強化された Windows ファイアウォール」画面左の
「送信の規則」をクリックする。
2.送信規制の一覧が表示されたら、画面右の「さおうさ」から「新規の規則」を
クリックする。
3.今度は、「カスタム」のラジオボタンを「On」にして、「次へ」ボタンを
クリックする。
4.「すべてのプログラム」のラジオボタンを「On」にして、「次へ」ボタンを
クリックする。
5.プロトコルの種類を「すべて」から「TCP」に変更する。
6.リもートポートを「すべてのポート」から「特定のポート」に変更する。そして、
下の枠内に「80」を入力して、「次へ」ボタンをクリックする。
7.各々「任意のIPアドレス」のラジオボタンが「On」であることを確認して、
「次へ」ボタンをクリックする。
8.「接続を許可する」のラジオボタンを「On」こして、「次へ」ボタンをクリックする。
9.規則を適用するプロファイルのチェックボックスを「On」して、「次へ」ボタンを
クリックする。(ここでは、プライベートのみでよい。)
10.分かり易い名前を付けて、「完了」ボタンをクリックする。
ここでは「IWebブラウザ」と名付けた。
11.「送信の規則」の一覧に「Webブラウザ」が新規に追加されたことを確認する。
             (リンク元に戻る)  (目次へ)

●「送信の規則」を既定値に戻す

 いろいろと「送信規制」を作成しているうちに、間違えて通信ができなくなったら、次の手順を実行すると、すべて「既定値に戻る」ので、安心して作業ができる。

1.「セキュリティが強化されたWindows ファイアウォール」画面で、画面左の
「ローカルコンピュータのセキュリティが強化されたWindows ファイアウォール」
をクリックする。
2.画面右の「ポリシーのエクスポート」の下にある「既定値に戻す」をクリックする。
             (リンク元に戻る)  (目次へ)

■ログを記録する

 Windows ファイアウォールの設定を変更したことで正常に通信が行えなくなった場合、通信ログを参照すれば原因が分かることもある。Windows ファイアウォールの通信ログを記録する手順は、次の通り。

●ログが記録できるようにする

1.「セキュリティが強化された Windows ファイアウォール」画面で、「ローカル
コンピュータのセキュリティが強化された Windows ファイアウォール」をクリックする。
2.「セキュリティが強化された Windows ファイアウォール」画面右の「操作」から
「プロパティ」をクリックする。
3.「ローカルコンピュータのセキュリティが強化された
Windows ファイアウォール」画面が表示される。
4.「プリベートプロファイル」タブをクリックする。
5.「ログ」欄の「カスタマイズ」ボタンをクリックする。
6.「破棄されたパケットをログに記録する」の
「いいえ(既定)」を「はい」に変更する。
7.「OK」ボタンをクリックする。
                        (目次へ)

●「メモ帳」でログファイルを見る

 ログファイルの保存場所は、「C:\Windows\system32\LogFiles\Firewall\pfirewall.log」となっている。「メモ帳」を「管理者として実行する」で起動して、 上記の「pfirewall.log]ファイルを開くとよい。

1.「メモ帳」を右クリックして、表示されたメニューの「管理者と
して実行をクリックする。
2.「メモ帳」の「ファイル」から「開く」をクリックする。
3.「ファイル名」は「すべてのファイル」に設定しておく。
4.「pfirewall.log」ファイルを選択して、「開く」をクリックする。
5.ログファイルの内容が表示される。
                        (目次へ)

●「WFログビュアー」でログファイルを見る

 「メモ帳」で、ログファイルを見ても、各フィールドがスペースで区切られただけなので、内容が少し分かりにくい。そこで、「WFログビューア」を使用すれば、ログファイルを読み込んで、破壊されたパケットの情報を表形式で表示してくれる。一部のポートに関しては、ウイルス情報や使用目的などの情報も表示される。なお、WFロブビューアはWindows Vista に正式に対応していないが、ログファイルの形式が変更されていないため問題なく利用できる。ただし、WFログビューあの実行にはVB6ランタイムが必要となる。また、WFログビューアは管理者として実行する必要もある。
WFログビューあは、下記URLカラ入手できる。

1.「WFlView.exe」アイコンを右クリックして、表示された
メニューの「管理者と
して実行をクリックする。
2.ログファイルの内容が表示される。
                        (目次へ)

■動作しているソフトの確認方法

 プログラムに対して、「送信規制」を作成する場合は、必ず実行形式ファイル(拡張子がexe)のパスを指定しなければならない。そのパスを見つける手段として、次の方法がある。

●サービス プロゴラムで探す

 例えば、アンチウイルス関係のプログラムを探すとする。

1.「コントロール パネル」から「システムとメンテナンス」→「管理ツール」を
クリックする。
2.「サービス」をクリックする。
3.一覧が表示されるので、アンチウイルス関係を探す。
4.らしきもの見つけたら、その項目をクリックする。
5.左のペインに説明が表示される。
6.これは間違いないと思えば、その項目をダブルクリックする。
7.「プロパティ」画面が表示されるので、「全般」タブをクリックする。
8.中ごろに実行ファイルのパスが表示されている。これをメモする。
             (リンク元に戻る)  (目次へ)

●実行しているプログラムから探す

先ず最初に、「送信接続を許可」にして、すべてのプログラムが動作できる状態にして、「Windows Defender」を利用する。

1.タスクトレイにある「Windows Defender」の
アイコンを右クリックする。
2.表示されたメニューの「開く」をクリックする。
3.「ツール」をクリックして、「ソフトウェア エクスプローラ」をクリックする。
4.「現在実行中のプログラム」を選択する。
5.「すべてのユーザーについて」をクリックする。
6.アンチウイルスを探して、クリックする。
7.右側のペインに、実行形式ファイルのパスが表示される。
                    (リンク元に戻る) 
                   このページのトップへ

 皆さんも是非、Vista のファイアウォールの「送信接続のブロック」機能を活用してください。

  このページは、下記の書庫を参照しました。
   月刊誌「PCJapan」 発行 ソフトバンク クリエイティブ株式会社


inserted by FC2 system