Client Security 14 以降 Server Protectionのファイアウォール機能について
Client Security(CS)14/15、Server Protection(security)に搭載されるファイアウォール機能は、Windowsファイアウォール機能をコントロールする「管理機能」となります。例えば、Windowsファイアウォールを有効/無効化したり、ルールを追加/削除/無効化する等です。その為、独自のファイアウォールが搭載されていたCS 13 以前とはファイアウォールルールの適用順が異なります。CS13からCS14/CS15にアップグレードを行う際も、既存のファイアウォールルールは引き継がれませんので、PolicyManagerへのルール移設が必要となります。
[ファイヤーウォール適用順の違いについての解説]
Client Security13以前は、上から下へ順番にルールを適用します。例えば下図のようにルールを設定した場合、RDP通信(TCP:3389使用)は、最上段のRDP許可ルールに一致し、通信が許可されます。それ以降のルールはチェックされません。その為、ルール最下部の「全ての通信を拒否」(暗黙のdeny)にも引っかからず、リモートデスクトップ通信は成功します。
・CS13以前(f-secureファイアウォール)
一方、CS14が利用するWindowsファイアウォールは設定されたルール順を考慮せず、全てのルールをチェックします。全てのルールチェックが終わり、複数ルールが一致した場合、拒否が優先されます。下図の場合、ルール最下部の「全ての通信を拒否」(暗黙のdeny)に引っかかり、リモートデスクトップ通信は失敗します。
・Windowsファイアウォール
つまり、CS13のルールをそのままCS14/15に設定しても狙った動作は見込めません。
[対処方法]
下記手順で、WindowファイヤーウォールのルールをPolicy Manager 経由で行うように設定してください。
[Windowファイヤーウォールのルール無効化手順]
1.ポリシーマネージャコンソールで「受信接続をブロック」に設定してください。
※ この設定が「全ての通信を拒否」(暗黙のdeny)として機能します。
※ポリシーマネージャコンソール→設定→ファイアウォール→デフォルトルール
2. Policy Mangerで「プロフィールにないファイアウォールルールをすべて無視する」を有効(チェックを入れる)にしてください。この変更により、Window Firewallに設定されている既存のルールが無効化されます。
3.下記の[Policy Mangerでのファイアルール追加手順]を実施してください。
[Policy Mangerでのファイアルール追加手順]
1.ポリシーマネージャコンソールの左ベインで設定したいドメインを選択します。
2.右ベインの「設定」→「ファイアウォール」に移動し、「クローン」をクリックして自由にカスタムできる新しいロフィールを作成します。
3.「編集中のプロフィール」で、先程作成したプロフィール「f-secure Office(範囲)」に切り替えます。
4.「ネットワークサービスを設定する」をクリックします。
5.「ネットワークサービス」が開きます。「追加」をクリックします。
6.「サービス名」を入力します。
※RemoteDeskTopと入力しています。
7.プロトコルを選択し、「次へ」をクリックします。
※一般的にはTCPかUDPとなります。
8.「イニシエータポート」を入力し、「次へ」をクリックします。
※イニシエータポートは送信(開始)ポートとなります。
※指定されていない場合、0-65535を入力してください。
7.「リスポンダポート」を入力し、「完了」をクリックします。
※リスポンダポートは受信ポートとなります。
8.「ネットワークサービス」にサービスが追加された事を確認し、この画面を閉じます。
8.「ファイアウォールルール」の画面で、「ルールを追加」をクリックします。
9.「名前」「タイプ」を入力し、「次へ」をクリックします。
10.「追加」をクリックします。
11.空白のサービスが追加されます。
12.「サービス」フィールドをダブルクリックし、追加したいサービスを選択します。
※先程追加したサービスを選びます。
※プリセットされたサービスも表示されます。
13.「方向」フィールドで着信/発信/両方のどれかを選択し、「次へ」をクリックします。
14.「全てのリモートアドレス」を選択し、「次へ」をクリックします。
15.デフォルト設定のまま、「完了」をクリックします。
16.「ファイアウォールルール」にルールが追加された事を確認します。
17.ファイヤーウォールプロフィールを切り替えます。
※今回作成した「F-secure Office」を選んでいます。既に切り替わっている場合は不要です。
18.ポリシーを配布します。
19.CSクライアントのWindowファイヤーウォール管理画面-詳細設定-受信の規則に、RemoteDeskTop(Remote Desktop in)が存在している事を確認してください。
20.グループが「F-Secure Firewall」以外が無効化、緑色のチェックが無い状態である事を確認してください。
補足事項
(補足事項1)当手法を行うことで既存のWindowsファイアウォールルールの設定を変更し、既存のアプリケーション通信に影響を与える可能性がございます。あらかじめお使いのコンピュータに必要な通信(IPアドレス/ポート番号/etc)を把握した上で当手法をお試しください。
(補足事項2) Windowsファイヤーウォールはポリシーのインポート/エクスポート、既定のポリシーの復元機能を備えております。Computer Protectionでの設定変更前のポリシーをエクスポートしておく事で設定ミスが発生した場合でも設定の復元が可能です。
※コントロールパネル→ファイヤーウォール→詳細設定→ポリシーのエクスポート/インポート
(補足事項3) Windows FirewallはMicrosoft 社製品のコンポーネントとなります。詳細なご案内についてはMicrosoft様でのサポートを受けていただくようお願いいたします。
(補足事項4) Active DirectotryのグループポリシーやWindowsのローカルポリシーでWindowsファイアウォールを無効に設定している場合、Client SecurityはWindows ファイアウォールを有効化できません。ActiveDirectoryやローカルポリシーでの有効化をお願いします。