第2回 続き

ブラウジングがデフォルトで有効
 Windowsのファイル共有に関しては,Windows ファイアウオールで外部からの通信をすべて禁止した状態であっても「
ブラウザ・サービス」が使えるようになっている。

 ブラウザ・サービスは,ネットワーク内に存在するマシンの一覧情報を取得するための機能である。[マイネットワーク]で表示する一覧もこのブラウザ・サービスを利用している。

 Windowsマシンは,ネットワーク内に存在するマシンの一覧をマスター・ブラウザと呼ぶマシンから取得する。そのため,マシンは起動時や一定時間おきにマスター・ブラウザを探すブロードキャストのパケットを送信する。そのパケットを受け取ったマスター・ブラウザはこれに応答して自分の存在を通知する。

 ブロードキャストのパケットは相手のIPアドレスを指定していない。そのため,それに対する応答は,一般のパーソナル・ファイアウオールでは「未知のコンピュータからの通信」として拒否されてしまう。

 ところがWindowsファイアウオールには「ブロードキャスト・パケットの送信後3秒間は,同一のサブネットにあるすべてのアドレスからの通信を許可する」という特例がある。そのため,マスター・ブラウザからのパケットが受信可能となる(図7)。

図7●ブロードキャスト送信時におけるWindowsファイアウオールの例外的な動作
Windowsファイアウオールは通常,接続要求をしていないアドレスからの通信をすべて拒否する。ただし,自身がブロードキャストを送信した直後の3秒間だけは,同一サブネット内にあるコンピュータからのインバウンドは,接続要求をしていなくても許可する。


GPOやコマンドで一括設定可能
 Windowsファイアウオールは,グループ・ポリシーを使って設定を効率的に管理可能である。

 グループ・ポリシーでは,Windowsファイアウオールの例外について「例外をすべて許可しない」「ファイルとプリンタ共有を許可する」「特定のポートを開く」といった設定ができる。これによって,ドメインやOUに所属するマシンすべてに同じ設定が施せる。


△ 図をクリックすると拡大されます
図8●グループ・ポリシーでWindowsファイアウオールのルールを決める画面

△ 図をクリックすると拡大されます
図9●グループ・ポリシーが反映されている画面

 また1台のマシンについて,Active Directory(AD)参加時に適用される「ドメイン・プロファイル」と,非参加時に適用される「標準プロファイル」という2つのルールが設定可能だ(図8)。グループ・ポリシーで設定した項目は,管理者権限のないユーザーが勝手に変更することはできない(図9)。

 ADに参加するデスクトップ・パソコンを管理するのなら,ドメイン・プロファイルだけを設定すればいい。もしユーザーが社外にノート・パソコンを持ち出すような環境なら,両方を設定しておくと,社内ではドメイン・プロファイル,社外では標準プロファイルが適用されるようになる。

 例えば,ドメイン・プロファイルで「ファイルとプリンタ共有を許可する」ようにし,標準プロファイルではそれを禁止しておく。こうすると,社内ではそのマシンの共有フォルダが利用できるが,もしユーザーがホットスポットなどからインターネットに接続した場合は,ファイルとプリンタ共有は禁止されるようになる。

 netshコマンドを使ってもWindowsファイアウオールは設定可能である。例えばアプリケーションを例外リストに追加する場合は「netsh firewall add allowedprogram(プログラムのパス)」である。

 もし複数のパソコンの例外リストに一括してアプリケーションを登録したいのなら,netsh firewallコマンドを含むバッチ・ファイルを利用する。netsh firewallコマンドの詳細は,マイクロソフトがWebで公開する「Windows XP Service Pack 2向けWindowsファイアウォール設定の導入」(該当サイト)を参照してほしい。


危険なサービスを公開停止
 ネットワーク保護強化のもう1点である危険なサービスの無効化に関しては,
DCOMRPCという2つのネットワーク機能について,厳しい制限が加えられることになった。

 まずDCOMについては,プログラムを外部からDCOM経由で利用させる際の認証が厳しくなった。ただし,クライアントOSであるWindows XPでDCOMを使っていることはあまりないので,これが大きな問題になることはあまりないだろう。

 RPCに関しては,原則として全RPCインターフェースに対する匿名アクセスが禁止されたことが評価できる。大流行したBlasterはRPCインターフェースのバッファ・オーバーフローを悪用しているが,RPCインターフェースへの匿名アクセスは禁止され,NTLM認証が必要になった。

 またRPCエンドポイント・マッパーという,そのマシンにおいてRPCで公開されているサービスとポートを他のマシンに教えるサービスへも,匿名でアクセスできなくなった(図10)。同機能は,攻撃者がマシンへの侵入口の探すのに悪用可能だったのだ。

図10●RPCエンドポイント・マッパーへの匿名コールを禁止
Windows上において,RPCのサービスがどのポート(エンドポイント)で公開されているのか,他のマシンに対して情報を提供する「RPCエンドポイント・マッパー」が,匿名では利用できなくなる。

 このほかXP SP2では「Messengerサービス」と「Alerterサービス」がデフォルトで無効(オフ)になった。Messengerサービスは,「net send」コマンドを使用して,他のマシンにメッセージを送信する機能である。Alerterサービスは,Messengerサービスを利用して,コンピュータで発生した管理用の警告を通知する機能である。

 Messengerサービスは,最近インターネット上でのスパム・メッセージの温床になっており,インターネットに直接接続するユーザーの元に,突然メッセージが送られてくることすらあった。Messengerサービスや,これを利用するAlerterサービスは社内で使う分には便利な機能だが,こういった事情からXP SP2ではデフォルトでサービスが無効になったようだ。

 

【用語解説】

ブラウザ・サービス
[マイネットワーク]にコンピュータ名が表示される仕組みを支えている機能。あるWindowsネットワーク(ドメインまたはワークグループ)に参加しているコンピュータ名のリストは,「マスター・ブラウザ」上の「ブラウズ・リスト」に保持されており各マシンはこれを参照したり,自分のコンピュータ名を登録したりして利用している。Back

ブロードキャスト
ネットワーク上につながっているすべてのマシンにメッセージなどを同報すること。使用している通信プロトコルや、ネットワーク機器の設定でメッセージの到達範囲が決まる。Back

netshコマンド
ネットワーク経由で1Windowsを構成・監視するコマンド。snetshコマンドでWindowsファイアウォールを設定するための資料。Back

DCOM
Microsoftが策定したソフトウェアのコンポーネント技術COM(Componet Object Nodel)を分散コンピュータ環境に対応させたもの。ネットワーク上の別のコンピュータからCOMを呼び出せる。Back

RPC
Remote Procedure Call。分散システムで複数のプログラムが連携する仕組みの1つ。MicrosoftのRPCは,OSF(Open Software Foundation)が開発したRPCのソースコードを基に互換性があるように独自開発したもの。Back




連載第1回に戻る
連載第3回に進む

あなたにお薦め

今日のピックアップ

日経クロステック Active注目記事

おすすめのセミナー

セミナー一覧

注目のイベント

おすすめの書籍

書籍一覧

日経BOOKプラスの新着記事

日経クロステック Special

What's New

総合