キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

PSB Computer Protection Windows でのファイヤーウォールコントロール

 弊社Computer Protectionにはファイヤーウォールは搭載されておりませんが、Windowsファイヤーウォールをコントロールする機能が搭載されております。 当記事ではこの機能を利用してWindowsファイヤーウォールにルールを追加する手法を解説いたします。

※当シナリオでは、「暗黙のDeny」(許可条件に合致しない通信は全ブロック)をWindowsファイヤーウォールに担当させ、ComputerProtectionには許可ルールのみ登録する手法を採用しております。

  1. PSBポータルにログインし、コントロールしたいデバイスに適用中の「プロフィール」を開きます。
    001.png

  2. Windows ファイヤーウォールをComputerProtectionでコントロールする設定にします。
    ※「Windows ファイヤーウォールにプロフィールを追加」を有効
     「F-Secure ファイアウォール プロフィールを追加」を有効
    002.png

    ※Windowsファイヤーウォールは既定で下記のように設定されております。
    ・受信 :「受信の規則」の許可以外は全ブロック
    ・送信 :「送信の規則」のブロック以外は全許可*1

    (*1)「F-Secure ファイアウォール プロフィールを追加」を有効にすると全ブロックに切り替わります。
    003.png→ 004.png

    また、この全ブロックの設定はプロフィール内の下記設定で変更できます。
    005.png

 

 

  1. 変更するプロフィールを選択します。
    ※ここではNormal Workstaionを選択します。
    006.png

  2. 「ルールを追加」からルールを追加します。
    007.png

  3. ルールに必要な項目を入力します。
    ※当記事ではRemoteDesktop(TCP)許可ルールを設定します。
    008.png
    プロフィールを追加 :RemoteDeskTop
    説明を追加                     :説明
    許可/ブロック               :許可
    着信/発信                        :着信
    プロトコル                     :TCP
    ローカルポート            :3389

  4. 入力後は右側のチェックをクリックし確定します。
    009.png

  5. 送信にについてはデフォルトのルールに「Allow outbound TCP traffic」あり、既定で全ての送信先に対して許可許可が設定されております。送信許可ルールは追加不要となります。*2
    (*2) プロフィール「CriticalWorkstation」では「Allow outbound TCP traffic」が無効となっております。
  6. 「保存して発行」をクリックし、プロフィールを確定します。
    010.png

  7. Windowsクライアントに受信許可ルールが追加された事を確認します。
    011.png

  8. Windowsクライアントに追加されたルールは、ファイヤーウォールプロフィールの該当ルール右側のバツボタンをクリックすると削除できます。もしくは、無効状態に変更します。
     012.pngもしくは、013.png014.png015.png

 

 

(補足事項1)当手法を行うことで既存のWindowsファイヤーウォールルールを上書きし、既存のアプリケーション通信に影響を与える可能性がございます。あらかじめお使いのコンピュータに必要な通信(IPアドレス/ポート番号/etc)を把握した上で当手法をお試しください。

(補足事項2)Windowsファイヤーウォールは、許可ルールとブロックルールに共に該当する送受信が発生した場合、ブロックが優先されます。

(補足事項3)Windowsファイヤーウォールはポリシーのインポート/エクスポート、既定のポリシーの復元機能を備えております。Computer Protectionでの設定変更前のポリシーをエクスポートしておく事で設定ミスが発生した場合でも設定の復元が可能です。

「コントロールパネル」→「ファイヤーウォール」→「詳細設定」→「ポリシーのエクスポート/インポート」
 016.png →  017.png


(補足事項4)Windowsクライアントに反映されないルールが存在する場合、IPアドレスを明示的に指定してください。0.0.0.0-255.255.255.255を指定する事で任意のIPアドレスを指定可能です。
018.png

(補足事項5)Windows FirewallはMicrosoft 社製品のコンポーネントとなります。詳細なご案内についてはMicrosoft様でのサポートを受けていただくようお願いいたします。

 

 

PSBCPマイグレーション時にコンフリクトが予想される、スケジュールスキャンについては下記の記事をご参照ください。

https://community.f-secure.com/t5/ビジネスセキュリティ/PSB-ComputerProtectio-CP/ta-p/111529

Pricing & Product Info

For product info and pricing please go to the F-Secure product page

バージョン履歴
改訂番号
5/5
最終更新:
‎05-10-2018 01:31 PM
更新者: