Windows Defender ファイヤーウォールの備忘録
Windows Defender ファイアウォールこと
セキュリティが強化された Windows Defender ファイヤーウォールに1日苦しめられたので備忘録を残す
Windowsファイヤーウォールは参考サイトが全然ないのだ…/(^o^)\
WindowsXP SP2あたりから”セキュリティが強化された”が常についている気がするが、気にしないでおこう
アプライアンス入れろよ…とかは言っちゃいけない。
- Windows Defender ファイアウォールでできること
- Windows Defender ファイヤーウォールのポリシー適用優先度について
- PowerShellで特定のTCP/UDPポートを許可する
- Denyより強いAnyルールの作り方(要ActiveDirectory環境)
- 参考サイト
1.Windows Defender ファイアウォールでできること
・プログラム/サービス指定したポリシーの作成(必須)
すべてのプログラムに適用するか or 特定のアプリケーションの選択するか
・ポートを指定したポリシーの作成(必須)
すべて(任意)のポート か プロトコルを指定する。
ローカル=自分、リモート=相手
・スコープ(IPアドレスまたはサブネット)を指定したポリシーの作成(必須)
すべて(任意)のポート か 特定のIPアドレスorサブネットを指定する。
・該当のポリシーに該当した時の制御の動き(接続の許可/セキュリティで保護されてる場合のみ許可/ブロック)(必須)
接続の許可:言葉の意味の通り
セキュリティで保護されてる場合のみ許可:ADに属しているコンピュータやユーザーを指定した制御が可能
ブロック:言葉の意味の通り
・ポリシーの適用タイミング(必須)
この規則は”いつ”適用しますか
トラブルポイントNo1!!!!! (個人調べ)
ネットワークアダプタが属している指定したネットワークプロファイルに属している場合を指す
・ドメインに属しているネットワークからの通信に制御をかけたければドメインにチェックを入れる。
・パブリックに属しているネットワークからの通信に制御をかけたければドメインにチェックを入れる。
といった感じ。 複数NICを搭載しているマシンやVMの場合ここでうまく適用できていない場合が多い。
私たちがそうだった。
2.Windows Defender ファイヤーウォールのポリシー適用優先度について(自己調べ)
0 | ネットワークプロファイルルールに合致しているかどうか |
1 | ブロックの規則より優先するオプションを付けたルール |
2 | ブロック |
3 | 許可 |
間違っていたら教えてください…
3.特定のポートを許可するPowerShell
192.168.11.0/24からTCP 80に対してのアクセス許可をする例
New-NetFirewallRule ` -Name 'hogehoge_vlan100-192.168.11.0/24-allow' ` -DisplayName 'hogehoge_vlan100-192.168.11.0/24-allow' ` -Description 'hogehoge_vlan100-192.168.11.0/24-allow' ` -Enabled True ` -Profile Any ` -Direction Inbound ` -Action Allow ` -LocalAddress Any ` -RemoteAddress 192.168.11.0/24 ` -Protocol tcp ` -LocalPort 80 ` -RemotePort Any ` -LocalUser Any ` -RemoteUser Any
CIDR表記ではなく、特定のIP指定でも問題ない。
Porotocol指定の箇所でtcp , udpが指定できる。
4.Denyより強いAnyルールの作り方(要ActiveDirectory環境)
5.参考サイト
- RemoteMachine "D:(A;;CC;;;SIDforMachineGroupAccount)" をSIDではなくコンピューター名で指定する方法ご存知の方いませんか…GUIはできるんだけどorz