■XP SP2の新機能の中で,ユーザーに最も影響がある「Windowsファイアウオール」の技術を解説する。既存環境との互換性を保ちつつ,ネットワーク攻撃からOSを保護する仕組みが導入された。 ■従来の「インターネット接続ファイアウオール」に比べ,デフォルトで設定が有効になっており,Windowsファイアウオールの利用はユーザーの常識になった。ユーザー・インターフェースも改良されて,アプリケーション単位で通信を制御できる。 ■後半では,GPO(グループ・ポリシー・オブジェクト)を使ってクライアントのWindowsファイアウオールの設定を制御する話を紹介し,DCOMとRPCの制限にも触れる。 (本連載は『日経Windowsプロ』2004年8月号に掲載された特集「緊急報告!Windows XP SP2の全貌」に最新の情報を反映させたものです) (中田 敦)
|
2003年8月に大流行したBlasterワームのように,Windowsを外部から攻撃するのはワームの常とう手段である。これを防ぐには,Windows自身がネットワークを経由する外部からの攻撃に強くなる必要がある。 そこでWindows XP SP2には,ネットワーク攻撃からOSやアプリケーションを保護する仕組みが大きく2つ実装される。1つはネットワーク経由でコンピュータに接続できないようにする「Windowsファイアウオール」である。Windows XPには元々「インターネット接続ファイアウオール(ICF)」というパーソナル・ファイアウオールが標準装備されていた。WindowsファイアウオールはこのICFの機能を大幅に強化したもの。XP SP2をインストールすると,それまでICFを使っていなかったユーザーでもデフォルトで有効になる。 もう1つは,従来ワームや攻撃者が悪用してきたOS上の危険な入り口を封鎖することだ。Windows XPはデフォルトで様々なサービスを外部に公開しており,そのいくつかは外部からOSやプログラムを乗っ取る攻撃の「入り口」となっていた。そこでXP SP2では,危険なサービスについて匿名でアクセスできないようにしたり,無効にしたりしている。
エンドユーザーへの影響は軽微 しかしWindowsファイアウオールの仕様を詳細に調べたところ,ユーザーを混乱させない配慮が随所に盛り込まれていることが明らかになった。企業ユーザーであっても,Windowsファイアウオールによる混乱は軽微だと思われる。
原則としてWindowsファイアウオールは,コンピュータから外部への通信はすべて許可し,外部のコンピュータからの通信はすべて禁止する(図3)。外部からの通信が認められるのは,(1)接続要求を送信したIPアドレスからの応答である場合,(2)アプリケーションやポートが外部からの通信を許可するよう「例外リスト」に登録されている場合――だけである。
市販のパーソナル・ファイアウオールの多くは,外部への通信と外部からの通信の両方を規制する。しかし外部への通信まで規制すると,Webブラウザや電子メール・クライアントの動作まで制限される。Windowsファイアウオールは外部への通信は一切禁止しないので,エンドユーザーの操作で違和感はほとんどない。 |