Windowsファイアウォールは、システム管理者が構成する最大の悪夢の1つになる可能性があり、グループポリシーの優先順位を追加すると、頭痛の種になります。ここでは、グループポリシーを使用してWindowsファイアウォールを簡単に構成する方法を最初から最後まで説明し、ボーナスとして、最大の問題の1つを修正する方法を示します。
我々の使命
多くのユーザーがSkypeをマシンにインストールしていて、生産性が低下していることに気づきました。ユーザーが職場でSkypeを使用できないようにするタスクが与えられていますが、Skypeをラップトップにインストールしたまま、自宅で、または3G / 4G接続での昼休みに使用できます。この情報を考慮して、Windowsファイアウォールとグループポリシーを利用することにしました。
メソッド
グループポリシーを使用してWindowsファイアウォールの制御を開始する最も簡単な方法は、参照PCをセットアップし、Windows 7を使用してルールを作成し、そのポリシーをエクスポートしてグループポリシーにインポートすることです。これを行うことにより、すべてのクライアントマシンに展開する前に、すべてのルールが設定され、希望どおりに機能しているかどうかを確認できるという追加の利点があります。
ファイアウォールテンプレートの作成
Windowsファイアウォールのテンプレートを作成するには、ネットワークと共有センターを起動する必要があります。これを行う最も簡単な方法は、ネットワークアイコンを右クリックし、コンテキストメニューから[ネットワークと共有センターを開く]を選択することです。
ネットワークと共有センターが開いたら、左下隅にある[Windowsファイアウォール]リンクをクリックします。
Windowsファイアウォールのテンプレートを作成するときは、セキュリティが強化されたWindowsファイアウォールコンソールを使用して作成するのが最適です。これを起動するには、左側の[詳細設定]をクリックします。
注:この時点で、Skype固有のルールを編集しますが、ポートやアプリケーションに独自のルールを追加することもできます。ファイアウォールに加える必要のある変更はすべて、ここで行う必要があります。
ここからファイアウォールルールの編集を開始できます。この場合、Skypeアプリケーションがインストールされると、skype.exeがドメイン、プライベート、およびパブリックネットワークプロファイルで通信できるようにする独自のファイアウォール例外が作成されます。
次に、ファイアウォールルールを編集する必要があります。編集するには、ルールをダブルクリックします。これにより、Skypeルールのプロパティが表示されます。
[詳細設定]タブに切り替えて、[ドメイン]チェックボックスをオフにします。
今すぐSkypeを起動しようとすると、ドメインネットワークプロファイルで通信できるかどうかを確認するメッセージが表示されます。チェックボックスをオフにして、[アクセスを許可する]をクリックします。
インバウンドファイアウォールルールに戻ると、2つの新しいルールがあることがわかります。これは、プロンプトが表示されたときに、インバウンドSkypeトラフィックを許可しないことを選択したためです。プロファイル列を見ると、両方ともドメインネットワークプロファイル用であることがわかります。
注:2つのルールがある理由は、TCPとUDPに別々のルールがあるためです。
これまでのところすべてが順調ですが、Skypeを起動してもログインできます。
skype.exeのインバウンドトラフィックをブロックするようにルールを変更し、任意のプロトコルを使用してトラフィックをブロックするように設定した場合でも、なんらかの方法で元に戻すことができます。修正は簡単です。そもそも通信できないようにします。これを行うには、アウトバウンドルールに切り替えて、新しいルールの作成を開始します。
Skypeプログラムのルールを作成するため、[次へ]をクリックし、Skype実行可能ファイルを参照して[次へ]をクリックします。
アクションをデフォルトのままにして、接続をブロックし、[次へ]をクリックすることができます。
[プライベート]チェックボックスと[パブリック]チェックボックスの選択を解除し、[次へ]をクリックして続行します。
ルールに名前を付けて、[完了]をクリックします
ドメインネットワークに接続しているときにSkypeを起動しようとすると、機能しなくなります。
しかし、彼らが家に帰ったときに接続しようとすると、うまく接続できるようになります
これから作成するファイアウォールルールは以上です。Skypeの場合と同じようにルールをテストすることを忘れないでください。
ポリシーのエクスポート
ポリシーをエクスポートするには、左側のペインで、[セキュリティが強化されたWindowsファイアウォール]と表示されているツリーのルートをクリックします。次に、[アクション]をクリックし、メニューから[ポリシーのエクスポート]を選択します。
これは、ネットワーク共有、またはサーバーに物理的にアクセスできる場合はUSBに保存する必要があります。ネットワーク共有を使用します。
注:USBを使用するときはウイルスに注意してください。最後にやりたいことは、サーバーをウイルスに感染させることです。
ポリシーをグループポリシーにインポートする
ファイアウォールポリシーをインポートするには、既存のGPOを開くか、新しいGPOを作成して、コンピューターアカウントを含むOUにリンクする必要があります。 GeekComputersというOUにリンクされているFirewallPolicyというGPOがあります。このOUには、すべてのコンピューターが含まれています。先に進み、このポリシーを使用します。
次に移動します:
コンピューターの構成\ポリシー\ Windowsの設定\セキュリティの設定\セキュリティが強化されたWindowsファイアウォールを開きます
セキュリティが強化されたWindowsファイアウォールをクリックしてから、[アクションとインポートポリシー]をクリックします
ポリシーをインポートすると、既存のすべての設定が上書きされることが通知されます。[はい]をクリックして続行し、この記事の前のセクションでエクスポートしたポリシーを参照してください。ポリシーのインポートが完了すると、通知されます。
ルールを見てみると、私が作成したSkypeルールがまだ残っていることがわかります。
テスト
注:記事の次のセクションを完了する前に、テストを実行しないでください。これを行うと、ローカルで構成されたルールが順守されます。私が今いくつかのテストを行った唯一の理由は、いくつかのことを指摘することでした。
ファイアウォールルールがクライアントに展開されているかどうかを確認するには、クライアントマシンに切り替えて、Windowsファイアウォール設定を再度開く必要があります。ご覧のとおり、一部のファイアウォールルールはシステム管理者によって管理されているというメッセージが表示されます。
左側の[Windowsファイアウォールを介したプログラムまたは機能の許可]リンクをクリックします。
ご覧のとおり、グループポリシーによって適用されるルールと、ローカルで作成されたルールの両方があります。
ここで何が起こっているのか、どうすれば修正できますか?
既定では、ルールのマージは、Windows 7コンピューターのローカルファイアウォールポリシーと、それらのコンピューターを対象とするグループポリシーで指定されたファイアウォールポリシーの間で有効になっています。これは、ローカル管理者が独自のファイアウォールルールを作成できることを意味し、これらのルールはグループポリシーを通じて取得されたルールとマージされます。これを修正するには、セキュリティが強化されたWindowsファイアウォールを右クリックし、コンテキストメニューからプロパティを選択します。ダイアログボックスが開いたら、設定セクションの下にある[カスタマイズ]ボタンをクリックします。
[ローカルファイアウォールルールの適用]オプションを[未構成]から[いいえ]に変更します。
[OK]をクリックしたら、プライベートプロファイルとパブリックプロファイルに切り替えて、両方に対して同じことを行います。
これですべてです。ファイアウォールを楽しんでください。
