Active Directory・グループポリシーを使った Windows ファイアウォールの統合管理

アイティデザイン株式会社

知北直宏 Copyright 2012 ITdesign Corporation , All Rights Reserved

‘12/06/02 @ セキュ鉄

1

Copyright 2012 ITdesign Corporation , All Rights Reserved

知北直宏（ちきたなおひろ）の自己紹介 • 福岡でアイティデザイン株式会社という会社の代表取締役をやってます。

• 2010年1月に次の書籍を執筆、発売しました。

標準テキスト Windows Server 2008 R2 構築・運用・管理パーフェクトガイド

著者：知北直宏、出版社：ソフトバンク クリエイティブ

（2012年3月末に第七版を発行。総発行部数は13000部！！！） • 2011年1月に、マイクロソフトさんより

「Microsoft MVP (Directory Services Jan2011 - Dec2011) 」を受賞させていただきました。

• 2012年3月にマイクロソフト系ITProコミュニティ「Win.tech.q」を立ち上げました。

2

Copyright 2012 ITdesign Corporation , All Rights Reserved

Win.tech.q の紹介

• 2012年3月に立ち上げた、マイクロソフト系ITProコミュニティです。

• 3月に「第0回勉強会・準備会」を、5月に「第1回勉強会」を日本マイクロソフト九州支店セミナールームで開催しました。

• マイクロソフトのエバンジェリスト・高添さんや安納さんにお越しいただきました。

• そして、来週土曜日・6月9日に、 「Community Open Day 2012（COD2012）」の九州会場として勉強会を開催します！

http://cod.ms/ • 会場でしか聞くことができないWindows 8 や Windows Server 2012

に関するセッションなど、盛りだくさんです。

• じゃんけん大会ではKinectなど豪華景品があたります！

• ぜひご参加ください！

3

Copyright 2012 ITdesign Corporation , All Rights Reserved

アジェンダ

• Windows ファイアウォールの概要

• グループポリシーの概要

• グループポリシーの簡単な例

• グループポリシーによるWindowsファイアウォールの制御

• まとめ

4

Copyright 2012 ITdesign Corporation , All Rights Reserved

Windows ファイアウォールの概要

5

Copyright 2012 ITdesign Corporation , All Rights Reserved

Windowsファイアウォールとは

• Windows 7 などの標準搭載のファイアウォールです。

• 受信と送信で別箇にファイアウォールルール（規則）を設定することができます。

• ポートだけでなく、プログラムを指定してファイアウォールルールを設定することができます。

• ネットワークの接続形態、場所によって、次の3つの「プロファイル」を指定することができ、それぞれにファイアウォールルールを設定することができます。

ドメインプロファイル

プライベートプロファイル

パブリックプロファイル

• IPsecの設定も可能です。

6

Copyright 2012 ITdesign Corporation , All Rights Reserved

Windowsファイアウォールの基本的な管理方法

• 「セキュリティが強化されたWindowsファイアウォール」で管理します。

7

6月1日にリリースされたばかりの Windows 8 Release Preview ！

Copyright 2012 ITdesign Corporation , All Rights Reserved

グループポリシーの概要

8

Copyright 2012 ITdesign Corporation , All Rights Reserved

グループポリシーってナニ？

9

• 次のようなことができます。 • セキュリティ関連の設定を一括して行う • コントロールパネルなどOS環境を一括して制御する • IEやOfficeなどの環境を一括して制御する • レジストリーやiniファイルを一括して制御する • ソフトウェアの展開、配布を行う • その他いろいろ

• Active Directory 環境のコンピューターアカウントや ユーザーアカウントを集中管理、集中制御する仕組みです。

ドメインコントローラー Active Directory ドメイン

コンピューターアカウントや ユーザーアカウント

グループポリシーで集中管理、集中制御

Copyright 2012 ITdesign Corporation , All Rights Reserved

グループポリシーを構成するもの

• グループポリシーの実体は「GPO（グループポリシーオブジェクト）」と呼ばれるものです。

10

• GPOは多数の「ポリシー設定」によって構成されています。

• Windows Server 2008 R2/Windows 7 では、約3000個のポリシー設定が定義されています。

• ポリシー設定には、コンピューターに適用されるものと、 ユーザーに適用されるものの、2種類があります。

• グループポリシーの設定、つまり、GPOの編集などは、「GPMC（グループポリシー管理エディター）」を用います。

Copyright 2012 ITdesign Corporation , All Rights Reserved

ご注意

11

• Active Directory に参加していないコンピューターにも 「ローカルグループポリシー」という仕組みがありますが、 本セッションでは Active Directory 環境におけるものを 「グループポリシー」として説明しています。

ローカルグループポリシーは、MMC（マイクロソフトマネージメントコンソール）に「グループポリシーオブジェクトエディター」プラグインを追加して利用します。

Copyright 2012 ITdesign Corporation , All Rights Reserved

グループポリシーを使うには

• グループポリシーを使うには、Active Directoryが構築されている必要があります。

• グループポリシーで制御するWinodwsコンピューターが、Active Diretoryに参加している必要があります。

12

Copyright 2012 ITdesign Corporation , All Rights Reserved

グループポリシーの簡単な例

13

Copyright 2012 ITdesign Corporation , All Rights Reserved

よくある話

14

管理者がユーザーにPCを配布したときには

こんなにキレイなデスクトップだったのに。。。

数週間経つとこのありさま！

なんとかしたい！

☛ グループポリシーで解決！

Copyright 2012 ITdesign Corporation , All Rights Reserved

やること

15

GPMC（グループポリシー管理エディター）を使って、

ユーザーがコントロールパネルを開くことができないような

グループポリシー設定にしてみます。

Copyright 2012 ITdesign Corporation , All Rights Reserved

グループポリシーの設定１・GPOの作成

16

GPMCを使って、GPO（グループポリシーオブジェクト）を作成、編集します。 ①GPOを作成 ②編集、ポリシー設定を探す ③開く ④有効化

グループポリシーの設定２・GPOを割当てる GPMCを使って、GPOをOU（組織単位）に割り当てます。

Copyright 2012 ITdesign Corporation , All Rights Reserved

ドラッグ＆ドロップでも割り当てることができます。

17

グループポリシーの設定３・GPOを利用する

クライアントコンピューターにGPOが

適用されるのを待ちます。

Copyright 2012 ITdesign Corporation , All Rights Reserved 18

結果の確認 デフォルト状態ではコントロールパネルを開くことができたのに。。。

開くことができなくなった！！ Copyright 2012 ITdesign Corporation , All Rights Reserved 19

Copyright 2012 ITdesign Corporation , All Rights Reserved

グループポリシーによる Windowsファイアウォールの制御

20

Copyright 2012 ITdesign Corporation , All Rights Reserved

グループポリシーによる管理方法

• GPMCを使ってGPOを作成する

• ポリシーを編集する

• GPOをOUなどに割り当てる

21

Copyright 2012 ITdesign Corporation , All Rights Reserved

GPMCを使ってGPOを作成する

• GPMCを開いて、「グループポリシーオブジェクト」を右クリックして「新規」を開いて、新しいGPOを作成します。

22

6月1日にリリースされたばかりの Windows Server 2012 RC ！

Copyright 2012 ITdesign Corporation , All Rights Reserved

ポリシーを編集する

新しいGPOの次の階層を開いて編集します。

「コンピューターの構成」

「ポリシー」

「Windowsの設定」

「セキュリティの設定」

「セキュリティが強化されたWindowsファイアウォール」

23

Copyright 2012 ITdesign Corporation , All Rights Reserved

例）新規の受信ルールを作成する

24

「受信の規則」を右クリックして、「新しい規則」を開きます。

Copyright 2012 ITdesign Corporation , All Rights Reserved

例）新規の受信ルールを作成する

「新規の受信の規則ウィザード」が実行されます。

「規則の種類」を選択します。（この例では「ポート」を選択しています）

25

Copyright 2012 ITdesign Corporation , All Rights Reserved

例）新規の受信ルールを作成する

26

「プロトコルおよびポート」を指定します。

Copyright 2012 ITdesign Corporation , All Rights Reserved

例）新規の受信ルールを作成する

27

「操作」を指定します。

Copyright 2012 ITdesign Corporation , All Rights Reserved

例）新規の受信ルールを作成する

28

「プロファイル」を指定します。

Copyright 2012 ITdesign Corporation , All Rights Reserved

例）新規の受信ルールを作成する

29

「名前」を設定して、「完了」します。

Copyright 2012 ITdesign Corporation , All Rights Reserved

例）新規の受信ルールを作成する

30

新しい受信ルールが作成されました。

プロパティを開いて詳細設定を行うこともできます。

Copyright 2012 ITdesign Corporation , All Rights Reserved

例）新規の受信ルールを作成する

31

Copyright 2012 ITdesign Corporation , All Rights Reserved

例）新規の受信ルールを作成する

32

Copyright 2012 ITdesign Corporation , All Rights Reserved

例）新規の受信ルールを作成する

33

Copyright 2012 ITdesign Corporation , All Rights Reserved

例）新規の受信ルールを作成する

34

Copyright 2012 ITdesign Corporation , All Rights Reserved

例）新規の受信ルールを作成する

35

Copyright 2012 ITdesign Corporation , All Rights Reserved

例）新規の受信ルールを作成する

36

Copyright 2012 ITdesign Corporation , All Rights Reserved

例）新規の受信ルールを作成する

37

Copyright 2012 ITdesign Corporation , All Rights Reserved

例）新規の受信ルールを作成する

38

Copyright 2012 ITdesign Corporation , All Rights Reserved

例）Windowsファイアウォールの基本設定を変更する

39

「セキュリティが強化されたWindowsファイアウォール」を右クリックして、「プロパティ」を開きます。

Copyright 2012 ITdesign Corporation , All Rights Reserved

例）Windowsファイアウォールの基本設定を変更する

ログの設定を変更する場合は、「ログ」の「カスタマイズ」をクリックします。

40

Copyright 2012 ITdesign Corporation , All Rights Reserved

例）Windowsファイアウォールの基本設定を変更する

「名前」の「未構成」のチェックをオフにしてから、ログのファイル名設定などを行います。

41

Copyright 2012 ITdesign Corporation , All Rights Reserved

GPOをOUなどに割り当てる

作成したGPOをOUなどに割り当てます。

42

Copyright 2012 ITdesign Corporation , All Rights Reserved

クライアントコンピューターにGPOが適用される

しばらくすると、作成したGPOがクライアントコンピューターに適用されます。

43

Copyright 2012 ITdesign Corporation , All Rights Reserved

まとめ

• Windows 7 のWindowsファイアウォールを使えば、よりセキュアな環境が構築できます。

• ただし、Windowsコンピューターの台数が増えてくると、集中管理が困難になってきます。

• そこで、Active Directoryを構築して、グループポリシーを使ってWindowsファイアウォールなどを集中管理しましょう！

44

おしまい

Copyright 2011 ITdesign Corporation , All Rights Reserved

45