none
セキュリティが強化されたWindowsファイアウォールについて RRS feed

  • 質問

  • セキュリティが強化されたWindowsファイアウォールについて勉強させてください。

    (1) サーバ
      Windows Server 2008 Foundation
      NIC-1はインターネット
      NIC-2は内部lan
      サーバは1台しかないので、AD、IIS等、必要な役割・機能は全てこれへインストールしています。

    (2) 質問その1
      ドメインプロファイルとパブリックプロファイルとでは、セキュリティ的にどちらが強固なの?
      NIC-1のケーブルを外して電源ONすると、ドメインプロファイルがアクティブになり、その後
      ケーブルを接続してしばらく待つと、今度は、パブリックプロファイルがアクティブになります。
      一方、NIC-1のケーブルを接続して電源ONすると、ドメインプロファイルがアクティブになるようです。
      名前から想像するとパブリックプロファイルの方がより強固に思えますが、実際にはどちらが強固なのでしょうか?
      もし、想像とおりにパブリックプロファイルの方がより強固である場合は、強制的にそのプロファイルを選択させる方法が
      あるのでしょうか?
      
    (3) 質問その2
      仮にドメインプロファイルがアクティブでリモートデスクトップを利用したいとします。
      このとき、リモートデスクトップは内部LANのみでインターネットからは禁止にしたいと思います。
      このような設定をドメインプロファイルに設定するにはどうすればよいでしょうか?
      少し設定しようと試みましたが、各プロファイル毎には設定できそうですが、各NICに対してはできないようです。

    以上、よろしくお願いします。

    2009年10月26日 6:08

回答

  • 阿部です。

    もしかしたら、DCだからLANカードが2枚でも「ドメイン」になっているかもしれませんね。私がメンバーサーバーで検証した時は「パブリック」になりました。

    それでしたら、ドメインのプロファイルの受信の規則よりリモートデスクトップのスコープを変更すればいいと思われます。多分現在はリモート側が任意になっている
    と思われますので、そこを社内のIPアドレス範囲に変更すれば、そのアドレス以外からはできませんよね。

    以上
    • 回答としてマーク 服部清次 2009年11月6日 4:02
    2009年10月27日 1:07
    モデレータ
  • 阿部です

    これはNetwork Location Awarenessによって働く機能になります。

    どれが一番セキュリティが高いか?というよりも、各プロファイルごとにセキュリティ設定を変化させるために作られた機能になります。そしてターゲットはノートPCになります。
    デスクトップPCはネットワーク環境の変化はあまりないですが、ノートPCは持ち運びができるのでネットワーク環境は変化することが想定されます。そんなときに外部ネットワ
    ークにおいてドメイン環境と同じセキュリティ設定だと都合が悪いですよね。こんなときにプロファイルが変化してセキュリティ設定が変わることを想定しています。

    プライベートおよびパブリックは自分で変更できますが(この際パブリックのほうがセキュリティレベルが高い)ドメインは手動での変更はできません。

    ドメインに参加しているコンピューターは自動的にドメインプロファイルになります。ただし、LANカードが複数ある場合など、たとえば1枚はドメイン、1枚はインターネットなどの
    環境ではよりセキュリティレベルが高いほうに統一されます。よってこの場合はパブリックになります。

    ですので、社内だけで使用する環境においては全てのプロファイルに同一設定を行うことが推奨です(仮に変更が起こっても影響がないので)

    質問2に関してはドメインプロファイルではリモートデスクトップを有効として、パブリックおよびプライベートで禁止にすればいいはずです

    Network Location Awareness
    http://technet.microsoft.com/ja-jp/library/cc753545(WS.10).aspx

    こちらが参考になります。
    • 回答としてマーク 服部清次 2009年11月6日 4:02
    2009年10月26日 7:38
    モデレータ

すべての返信

  • 阿部です

    これはNetwork Location Awarenessによって働く機能になります。

    どれが一番セキュリティが高いか?というよりも、各プロファイルごとにセキュリティ設定を変化させるために作られた機能になります。そしてターゲットはノートPCになります。
    デスクトップPCはネットワーク環境の変化はあまりないですが、ノートPCは持ち運びができるのでネットワーク環境は変化することが想定されます。そんなときに外部ネットワ
    ークにおいてドメイン環境と同じセキュリティ設定だと都合が悪いですよね。こんなときにプロファイルが変化してセキュリティ設定が変わることを想定しています。

    プライベートおよびパブリックは自分で変更できますが(この際パブリックのほうがセキュリティレベルが高い)ドメインは手動での変更はできません。

    ドメインに参加しているコンピューターは自動的にドメインプロファイルになります。ただし、LANカードが複数ある場合など、たとえば1枚はドメイン、1枚はインターネットなどの
    環境ではよりセキュリティレベルが高いほうに統一されます。よってこの場合はパブリックになります。

    ですので、社内だけで使用する環境においては全てのプロファイルに同一設定を行うことが推奨です(仮に変更が起こっても影響がないので)

    質問2に関してはドメインプロファイルではリモートデスクトップを有効として、パブリックおよびプライベートで禁止にすればいいはずです

    Network Location Awareness
    http://technet.microsoft.com/ja-jp/library/cc753545(WS.10).aspx

    こちらが参考になります。
    • 回答としてマーク 服部清次 2009年11月6日 4:02
    2009年10月26日 7:38
    モデレータ
  • 阿部様、回答をありがとうございます。

    一部不明点がありますので返信させて頂きます。
    先ずは、
    > LANカードが複数ある場合など、たとえば1枚はドメイン、1枚はインターネットなどの
    > 環境ではよりセキュリティレベルが高いほうに統一されます。よってこの場合はパブリックになります。 
     とご回答頂きましたが、当方の環境は正にその環境にあるのですが、ドメインになります...?
     この『ドメインになる』はセキュリティが強化されたWindowsファイアウォール画面でアクティブと 
     表示されているプロファイルです。一方、アクティブでないプロファイルは作用していないものと 
     認識しています。

    また、
    > 質問2に関してはドメインプロファイルではリモートデスクトップを有効として、
    > パブリックおよびプライベートで禁止にすればいいはずです
     についてですが、今回の質問はサーバ機についてでした。(言葉足りずで失礼しました)
     ですので、プロファイルが切り替わる事はないので、常にドメイン(またはパブリック?)だと思っています。
     この様な状況下で、外部は禁止、内部はOK と設定したいのですが、アドバイスをお願いしたいです。

    よろしくお願いします。

    2009年10月26日 8:44
  • 阿部です。

    もしかしたら、DCだからLANカードが2枚でも「ドメイン」になっているかもしれませんね。私がメンバーサーバーで検証した時は「パブリック」になりました。

    それでしたら、ドメインのプロファイルの受信の規則よりリモートデスクトップのスコープを変更すればいいと思われます。多分現在はリモート側が任意になっている
    と思われますので、そこを社内のIPアドレス範囲に変更すれば、そのアドレス以外からはできませんよね。

    以上
    • 回答としてマーク 服部清次 2009年11月6日 4:02
    2009年10月27日 1:07
    モデレータ
  • 阿部様、回答をありがとうございます。

    大変参考になりました。
    2009年10月27日 4:21
  • そば肉玉 さん、

    こんにちは!
    フォーラム オペレーターの服部 清次です。

    今回、ABE NAOKI さんの回答が参考になったようですので、勝手ながら、私の方で [回答としてマーク] のチェックを付けさせていただきました。
    また、すでにご存じかとは思いますが、こちらのスレッドを見られた方に参照していただくためにも、[セキュリティが強化された Windows ファイアウォール] に関する説明が記載されているページを紹介させていただきたいと思います。 (^^)

    ● 「セキュリティが強化された Windows ファイアウォール」: http://technet.microsoft.com/ja-jp/library/cc772589(WS.10).aspx
    ● 「セキュリティが強化された Windows ファイアウォール ファースト ステップ ガイド」: http://technet.microsoft.com/ja-jp/library/cc748991(WS.10).aspx

    また何か困ったことがありましたら、ぜひ TechNet フォーラムをご利用ください。
    今後とも、よろしくお願いします。
    それでは、また! (^_^)/


    __________________________________________________
    マイクロソフト株式会社 フォーラム オペレーター 服部 清次

    2009年11月6日 4:04