PSB Computer Protection Windows でのファイヤーウォールコントロール-firewall

PSB Computer Protection Windows でのファイヤーウォールコントロール-firewall - F-Secure Community

弊社Computer Protectionにはファイヤーウォールは搭載されておりませんが、Windowsファイヤーウォールをコントロールする機能が搭載されております。当記事ではこの機能を利用してWindowsファイヤーウォールにルールを追加する手法を解説いたします。

※当シナリオでは、「暗黙のDeny」("許可条件に合致しない通信は全ブロック")をWindowsファイヤーウォールに担当させ、ComputerProtectionには許可ルールのみ登録する手法を採用しております。

［PSBファイヤーウォールとWindowsファイヤーウォールの違いについて］

PSBworkstationでは、登録されたFWルールを上から下へ順番にルールを適用します。例えば下図のようにルールを設定した場合、RDP通信(TCP:3389使用)は、最上段のRDP許可ルールに一致し、通信が許可されます。それ以降のルールはチェックされません。その為、ルール最下部の「全ての通信を拒否」(暗黙のdeny)にも引っかからず、RDP通信は成功します。

・PSBworkstation(f-secureファイアウォール)

一方、Windowsファイアウォールは設定されたルール順序を考慮せず、全てのルールをチェックします。全てのルールチェックが終わり、複数ルールが一致した場合、拒否が優先されます。その為、ルール最下部の「全ての通信を拒否」(暗黙のdeny)に引っかかり、RDP通信は失敗します。

・Windowsファイアウォール

つまり、PSBworkstationのルールをそのままComputer Protectionに設定しても、狙った動作は見込めません。

Computer Protectionでのファイヤーウォールコントロール方法

PSBポータルにログインし、コントロールしたいデバイスに適用中の「プロフィール」を開きます。
Windows ファイヤーウォールをComputerProtectionでコントロールする設定にします。
※「Windows ファイヤーウォールにプロフィールを追加」を有効
　「F-Secure ファイアウォールプロフィールを追加」を有効

※Windowsファイヤーウォールは既定で下記のように設定されております。
・受信 :「受信の規則」の許可以外は全ブロック
・送信 :「送信の規則」のブロック以外は全許可*1

(*1)「F-Secure ファイアウォールプロフィールを追加」を有効にすると全ブロックに切り替わります。
→　

また、この全ブロックの設定はプロフィール内の下記設定で変更できます。

変更するプロフィールを選択します。
※ここではNormal Workstaionを選択します。
「ルールを追加」からルールを追加します。
ルールに必要な項目を入力します。
※当記事ではRemoteDesktop(TCP)許可ルールを設定します。

プロフィールを追加 :RemoteDeskTop
説明を追加                     :説明
許可/ブロック               :許可
着信/発信                        :着信
プロトコル                     :TCP
ローカルポート            :3389
入力後は右側のチェックをクリックし確定します。
送信にについてはデフォルトのルールに「Allow outbound TCP traffic」あり、既定で全ての送信先に対して許可許可が設定されております。送信許可ルールは追加不要となります。*2
(*2) プロフィール「CriticalWorkstation」では「Allow outbound TCP traffic」が無効となっております。
「保存して発行」をクリックし、プロフィールを確定します。
Windowsクライアントに受信許可ルールが追加された事を確認します。
Windowsクライアントに追加されたルールは、ファイヤーウォールプロフィールの該当ルール右側のバツボタンをクリックすると削除できます。もしくは、無効状態に変更します。
　もしくは、 → →

(補足事項1)当手法を行うことで既存のWindowsファイヤーウォールルールを上書きし、既存のアプリケーション通信に影響を与える可能性がございます。あらかじめお使いのコンピュータに必要な通信(IPアドレス/ポート番号/etc)を把握した上で当手法をお試しください。

(補足事項2)Windowsファイヤーウォールは、許可ルールとブロックルールに共に該当する送受信が発生した場合、ブロックが優先されます。Windows ファイヤーウォールにブロックルールが存在する場合は、その設定を無効化してください。

(補足事項3)Windowsファイヤーウォールはポリシーのインポート/エクスポート、既定のポリシーの復元機能を備えております。Computer Protectionでの設定変更前のポリシーをエクスポートしておく事で設定ミスが発生した場合でも設定の復元が可能です。

「コントロールパネル」→「ファイヤーウォール」→「詳細設定」→「ポリシーのエクスポート/インポート」
　→　

また、Windowsファイヤーウォールのルールが把握できなくなってしまった場合、下記から「規定値に戻す」を実行する事でデフォルトの状態にロールバックが可能です。

(補足事項4)Windowsクライアントに反映されないルールが存在する場合、IPアドレスを明示的に指定してください。0.0.0.0-255.255.255.255を指定する事で任意のIPアドレスを指定可能です。

(補足事項5)Windowsファイヤーウォールのルールを無効化する機能がPSBポータルに追加されました。「他のルールを許可する」というスイッチを無効化するとPSB CPのFWルール以外はすべて無効化されます。Windowsのファイヤーウォールが管理されておらず、デフォルト設定でもFWルールのコントロールが難しい場合にご利用ください。

(補足事項6)Windows FirewallはMicrosoft 社製品のコンポーネントとなります。詳細なご案内についてはMicrosoft様でのサポートを受けていただくようお願いいたします。

PSBCPマイグレーション時にコンフリクトが予想される、スケジュールスキャンについては下記の記事をご参照ください。

https://community.f-secure.com/t5/ビジネスセキュリティ/PSB-ComputerProtectio-CP/ta-p/111529