弊社Computer Protectionにはファイヤーウォールは搭載されておりませんが、Windowsファイヤーウォールをコントロールする機能が搭載されております。 当記事ではこの機能を利用してWindowsファイヤーウォールにルールを追加する手法を解説いたします。
※当シナリオでは、「暗黙のDeny」("許可条件に合致しない通信は全ブロック")をWindowsファイヤーウォールに担当させ、PSBポータルから許可ルールのみ登録する手法を採用しております。
[Windowsファイアウォールの特徴]
Windowsファイアウォールは、設定されたルールの順序(上下)を考慮せず、全てのルールをチェックします。全てのルールチェックが終わり、複数ルールが一致した場合、拒否が優先されます。その為、ルール最下部の「全ての通信を拒否」(暗黙のdeny)や、Windows ファイヤーウォールに設定されている既存の拒否ルールが存在している場合、RDP通信施行は失敗します。
[既存Windowファイヤーウォールルール無効化手順]
1.PSBポータルにログインし、コントロールしたいデバイスに適用中の「プロフィール」を開きます。
2.Windows ファイヤーウォールをComputer Protectionでコントロールする設定にします。
・「Windows ファイヤーウォールにプロフィールを追加」を有効
・「F-Secure ファイアウォール プロフィールを追加」を有効
3.PSBポータルのファイヤーウォールプロフィールで許可している以外は、通信を拒否する設定にします。
・「不明な受信接続を許可」を無効
・「不明な送信接続を許可」を無効
4.既存のWindows ファイヤーウォールルールをすべて無効化する設定にします。
・「他のルールを許可する」を無効
※GPOや監査ソフト等で強制的に設定されているルールは無効化できません。
[PSBプロフィールへのファイヤーウォールルール追加手順]
1.変更するプロフィールを選択します。
※ここではNormal Workstaionを選択します。
2.「ルールを追加」からルールを追加します。
3.ルールに必要な項目を入力します。
※当記事ではRemoteDesktop(TCP)許可ルールを設定します。
・プロフィールを追加 :RemoteDeskTop
・ 説明を追加 :説明を入力します
・許可/ブロック :許可
・着信/発信 :着信
・プロトコル :TCP
・ローカルポート :3389
・ローカルIPアドレス : 0.0.0.0-255.255.255.255(入力なしでも動作します。)
・リモートIPアドレス:0.0.0.0-255.255.255.255(入力なしでも動作します。)
4.入力後は右側のチェックをクリックし、ルールの設定を確定します。
5.「保存して発行」をクリックし、プロフィールを確定します。
6.Computer Protectionクライアントの「コントロールパネル」→「Windows ファイアウォール」→「詳細設定」→「受信の規則」にルールが追加された事を確認します。
[補足情報]
(補足事項1)当手法を行うことで既存のWindowsファイヤーウォールルールを上書きし、既存のアプリケーション通信に影響を与える可能性がございます。あらかじめお使いのコンピュータに必要な通信(IPアドレス/ポート番号/etc)を把握した上で当手法をお試しください。
(補足事項2)Windowsファイヤーウォールはポリシーのインポート/エクスポート、既定のポリシーの復元機能を備えております。Computer Protectionでの設定変更前のポリシーをエクスポートしておく事で設定ミスが発生した場合でも設定の復元が可能です。