GPOでWindowsのファイアウォールを設定したり、有効化を強制する方法

複数のWindows PCにまとめてファイアウォールの設定を行いたい！

オフィスなどで複数のWindows PCを管理・使用している場合、それぞれに対して個別にファイアウォールの設定を行うのは、手間がかかって面倒です。
そのため、『まとめて一括でファイアウォールの設定を行うことができたら良いのになぁ』と思うことがあります。

これはActive Directoryを使用しているドメイン環境であれば、GPOを使うことで対応可能です。

そこで今回は、GPOを使ってWindowsの標準機能のファイアウォールの設定を行う方法や、ファイアウォールの有効化を強制する方法をご紹介します！

はじめに

Windows OSでは、Windowsの標準機能のファイアウォール機能である『Windows Defender ファイアウォール』や、『セキュリティが強化されたWindowsファイアウォール』の他に、サードパーティー※が作成しているウイルス対策ソフトウェアに付属するファイアウォールも使用可能です。

※シマンテックさんやカスペルスキーさんなど。

しかし本エントリーでこれからご紹介するのは、Windowsの標準機能のファイアウォールの設定方法であり、サードパーティー製品のファイアウォール機能の設定はできません。

あらかじめご了承ください。

尚、現在使っているファイアウォールが法人向けサードパーティー製品の機能であれば、管理サーバーや管理システムなどで一括設定ができる場合があります。
これについての設定方法は、ベンダーさんが公開している技術資料などを確認ください。

GPOでWindowsのファイアウォールの設定を行う方法

GPOを使ってWindowsのファイアウォールの設定を行う場合は、受信と送信のそれぞれについて、個別に規則を設定可能です。

今回はwebサーバーを公開しているケースを想定し、TCPの80番ポートの受信方向の通信を許可する手順を例に、設定方法をご紹介しましょう。

受信の規則を設定する場合は、グループポリシー管理エディターを起動し、以下のように展開・操作してください。

[コンピューターの構成] – [ポリシー] – [Windowsの設定] – [セキュリティの設定] – [セキュリティが強化されたWindowsファイアウォール] – [セキュリティが強化されたWindowsファイアウォール] – [受信の規則を右クリック] – [新しい規則をクリック]

すると『新規の受信の規則ウィザード』が表示されるので、『規則の種類』→『プロトコルおよびポート』→『操作』→『プロファイル』→『名前』という順序で、設定を進めていきましょう。

『規則の種類』設定画面では、設定を行うファイアウォールの規則(プログラムやポートなど)の種類を選択します。

今回はポート番号を使って規則を設定するため、『ポート』を選択します。

尚、『事前定義』にはあらかじめよく使用する設定について、規定の定義が用意されています。
設定したい内容が『事前定義』に用意されている場合には、こちらを使った方が設定が簡単ですし、設定ミスが起こりにくいため、『事前定義』の使用をおすすめします。

『プロトコルおよびポート』では、規則の対象となるプロトコルとポートを指定してください。

今回の例では、TCPの80番ポートの受信方向の通信を許可したいので、『TCP』・『特定のローカルポート』を選択し、『80』と入力しましょう。

『操作』画面では、規則に一致した場合の操作(動作)を定義します。

通信を許可したいときは、『接続を許可する』を選択すればOKです。

『プロファイル』画面では、規則の適用対象となるプロファイルを設定してください。

初期設定では全プロファイルが対象となっています。

そのため、特定のプロファイルのときにのみ規則を適用したい！
ということでなければ、設定を変更せずに『次へ』ボタンをクリックしましょう。

最後に規則の『名前』の設定を求められるので、規則の内容が把握しやすい名前をつけてください。
下記例ではTCPの80番ポートの通信を許可ということで、AllowTCP80という名称としています。

『名前』の入力を終えてから『完了』ボタンをクリックすれば、『受信の規則』の設定は完了です！

あとは作成した『受信の規則』を含むGPOを、対象のコンピューターが属するOUにリンクすれば、設定が自動的に反映されます。

設定後の『受信の規則』は、グループポリシー管理エディターの『受信の規則』の一覧に表示され、ダブルクリックすることでプロパティを開くことができます。
このプロパティ画面上で、より詳細な設定(スコープの設定など)を行うことも可能です。

グループポリシー管理エディターでファイアウォールの設定を行う際の注意点

グループポリシー管理エディターでファイアウォールの設定を行う際に、気をつけてほしい点があります。

それは、『セキュリティが強化されたWindows ファイアウォールのポリシーを最後に編集するか、またはセキュリティが強化されたWindows ファイアウォールのポリシーを別のGPOとして作成』することです。

本件についてはMicrosoftさんのTechNetでも公開されており、グループポリシー管理エディターの仕様により、上記注意点を守らないとWindows ファイアウォールの設定や変更内容が削除されてしまう場合があります。

グループ ポリシーの管理 (gpmc.msc) から GPO の [編集] を選択し、グループ ポリシー管理エディターを起動、「図 1. セキュリティが強化された Windows ファイアウォール配下」のツリー配下の項目を編集することで、セキュリティが強化された Windows ファイアウォールの設定を変更・配布することが可能です。

中略

しかし、エディターを閉じずに続けて 「図 2. 管理用テンプレート配下」 のツリー配下の項目を続けて編集すると、「図 1. セキュリティが強化された Windows ファイアウォール配下」のツリー配下の項目の変更内容が削除されます。

中略

セキュリティが強化された Windows ファイアウォールの ポリシーを最後に編集するか、またはセキュリティが強化された Windows ファイアウォールの ポリシーを別の GPO として作成いただくことで、上記の現象を回避できます。

(Microsoft – TechNet グループ ポリシーを使用して セキュリティが強化された Windows ファイアウォールのポリシーを変更する場合の注意事項より引用)

こういったグループポリシー管理エディターの動作上の要注意ポイントがあるため、ファイアウォールを設定したら『グループポリシーの管理画面』で対象のGPOの『設定』タブを開き、設定内容が正しく保存されているか、確認しておくと安心です。

GPOでWindowsのファイアウォールの有効化を強制する方法

Windowsのファイアウォールの設定をGPOで行う場合は、ファイアウォールの状態を有効に設定。
そして、無効に変更できない(有効化を強制)ようにしたいことが多いと思います。

そこでこの方法についても、ご紹介しておきましょう。

Windowsのファイアウォールの有効化設定を、GPOで強制する場合は、グループポリシー管理エディターを起動し、以下のように展開してください。

[コンピューターの構成] – [ポリシー] – [Windowsの設定] – [セキュリティの設定] – [セキュリティが強化されたWindowsファイアウォール]

そしてその配下の[セキュリティが強化されたWindowsファイアウォール]を右クリックして、プロパティを選択する。
または、[セキュリティが強化されたWindowsファイアウォール]選択時に右側に表示される『Windows ファイアウォールのプロパティ』をクリックします。

すると『Windows ファイアウォールのプロパティ』画面が表示されるので、有効化を強制したいプロファイルのタブをクリックし、『ファイアウォールの状態』を『有効(推奨)』に設定してください。

すべてのプロファイルで有効化を強制したいケースでは、すべてのプロファイルのタブの設定を『有効(推奨)』に変更すればOKです！

以上、参考になさってくださーい！