ブラウジングがデフォルトで有効
　Windowsのファイル共有に関しては，Windows ファイアウオールで外部からの通信をすべて禁止した状態であっても「ブラウザ・サービス」が使えるようになっている。

　ブラウザ・サービスは，ネットワーク内に存在するマシンの一覧情報を取得するための機能である。［マイネットワーク］で表示する一覧もこのブラウザ・サービスを利用している。

　Windowsマシンは，ネットワーク内に存在するマシンの一覧をマスター・ブラウザと呼ぶマシンから取得する。そのため，マシンは起動時や一定時間おきにマスター・ブラウザを探すブロードキャストのパケットを送信する。そのパケットを受け取ったマスター・ブラウザはこれに応答して自分の存在を通知する。

　ブロードキャストのパケットは相手のIPアドレスを指定していない。そのため，それに対する応答は，一般のパーソナル・ファイアウオールでは「未知のコンピュータからの通信」として拒否されてしまう。

　ところがWindowsファイアウオールには「ブロードキャスト・パケットの送信後3秒間は，同一のサブネットにあるすべてのアドレスからの通信を許可する」という特例がある。そのため，マスター・ブラウザからのパケットが受信可能となる（図7）。

図7●ブロードキャスト送信時におけるWindowsファイアウオールの例外的な動作 Windowsファイアウオールは通常，接続要求をしていないアドレスからの通信をすべて拒否する。ただし，自身がブロードキャストを送信した直後の3秒間だけは，同一サブネット内にあるコンピュータからのインバウンドは，接続要求をしていなくても許可する。

GPOやコマンドで一括設定可能
　Windowsファイアウオールは，グループ・ポリシーを使って設定を効率的に管理可能である。

　グループ・ポリシーでは，Windowsファイアウオールの例外について「例外をすべて許可しない」「ファイルとプリンタ共有を許可する」「特定のポートを開く」といった設定ができる。これによって，ドメインやOUに所属するマシンすべてに同じ設定が施せる。

△　図をクリックすると拡大されます 図8●グループ・ポリシーでWindowsファイアウオールのルールを決める画面 △　図をクリックすると拡大されます 図9●グループ・ポリシーが反映されている画面

　また1台のマシンについて，Active Directory（AD）参加時に適用される「ドメイン・プロファイル」と，非参加時に適用される「標準プロファイル」という2つのルールが設定可能だ（図8）。グループ・ポリシーで設定した項目は，管理者権限のないユーザーが勝手に変更することはできない（図9）。

　ADに参加するデスクトップ・パソコンを管理するのなら，ドメイン・プロファイルだけを設定すればいい。もしユーザーが社外にノート・パソコンを持ち出すような環境なら，両方を設定しておくと，社内ではドメイン・プロファイル，社外では標準プロファイルが適用されるようになる。

　例えば，ドメイン・プロファイルで「ファイルとプリンタ共有を許可する」ようにし，標準プロファイルではそれを禁止しておく。こうすると，社内ではそのマシンの共有フォルダが利用できるが，もしユーザーがホットスポットなどからインターネットに接続した場合は，ファイルとプリンタ共有は禁止されるようになる。

　netshコマンドを使ってもWindowsファイアウオールは設定可能である。例えばアプリケーションを例外リストに追加する場合は「netsh firewall add allowedprogram（プログラムのパス）」である。

　もし複数のパソコンの例外リストに一括してアプリケーションを登録したいのなら，netsh firewallコマンドを含むバッチ・ファイルを利用する。netsh firewallコマンドの詳細は，マイクロソフトがWebで公開する「Windows XP Service Pack 2向けWindowsファイアウォール設定の導入」（該当サイト）を参照してほしい。

危険なサービスを公開停止
　ネットワーク保護強化のもう1点である危険なサービスの無効化に関しては，DCOMとRPCという2つのネットワーク機能について，厳しい制限が加えられることになった。

　まずDCOMについては，プログラムを外部からDCOM経由で利用させる際の認証が厳しくなった。ただし，クライアントOSであるWindows XPでDCOMを使っていることはあまりないので，これが大きな問題になることはあまりないだろう。

　RPCに関しては，原則として全RPCインターフェースに対する匿名アクセスが禁止されたことが評価できる。大流行したBlasterはRPCインターフェースのバッファ・オーバーフローを悪用しているが，RPCインターフェースへの匿名アクセスは禁止され，NTLM認証が必要になった。

　またRPCエンドポイント・マッパーという，そのマシンにおいてRPCで公開されているサービスとポートを他のマシンに教えるサービスへも，匿名でアクセスできなくなった（図10）。同機能は，攻撃者がマシンへの侵入口の探すのに悪用可能だったのだ。

図10●RPCエンドポイント・マッパーへの匿名コールを禁止 Windows上において，RPCのサービスがどのポート（エンドポイント）で公開されているのか，他のマシンに対して情報を提供する「RPCエンドポイント・マッパー」が，匿名では利用できなくなる。

　このほかXP SP2では「Messengerサービス」と「Alerterサービス」がデフォルトで無効（オフ）になった。Messengerサービスは，「net send」コマンドを使用して，他のマシンにメッセージを送信する機能である。Alerterサービスは，Messengerサービスを利用して，コンピュータで発生した管理用の警告を通知する機能である。

　Messengerサービスは，最近インターネット上でのスパム・メッセージの温床になっており，インターネットに直接接続するユーザーの元に，突然メッセージが送られてくることすらあった。Messengerサービスや，これを利用するAlerterサービスは社内で使う分には便利な機能だが，こういった事情からXP SP2ではデフォルトでサービスが無効になったようだ。

【用語解説】

＊ブラウザ・サービス
[マイネットワーク]にコンピュータ名が表示される仕組みを支えている機能。あるWindowsネットワーク（ドメインまたはワークグループ）に参加しているコンピュータ名のリストは，「マスター・ブラウザ」上の「ブラウズ・リスト」に保持されており各マシンはこれを参照したり，自分のコンピュータ名を登録したりして利用している。Back

＊ブロードキャスト
ネットワーク上につながっているすべてのマシンにメッセージなどを同報すること。使用している通信プロトコルや、ネットワーク機器の設定でメッセージの到達範囲が決まる。Back

＊netshコマンド
ネットワーク経由で１Windowsを構成・監視するコマンド。snetshコマンドでWindowsファイアウォールを設定するための資料。Back

＊DCOM
Microsoftが策定したソフトウェアのコンポーネント技術COM（Componet Object Nodel）を分散コンピュータ環境に対応させたもの。ネットワーク上の別のコンピュータからCOMを呼び出せる。Back

＊RPC
Remote Procedure Call。分散システムで複数のプログラムが連携する仕組みの1つ。MicrosoftのRPCは，OSF（Open Software Foundation）が開発したRPCのソースコードを基に互換性があるように独自開発したもの。Back