Windows Server 2008 R2ネットワークセキュリティ設定

ネットワークの場所

初めてネットワークに接続するときは、ネットワークの場所を選択する必要があります。これにより、接続しているネットワークの種類に適したファイアウォールとセキュリティ設定が自動的に設定されます。ユーザーが別の場所（自宅、地元の喫茶店、オフィスなど）でネットワークに接続している場合、ネットワークの場所を選択すると、ユーザーのコンピュータが常に適切なセキュリティレベルに設定されるようにするのに役立ちます。

Windows Server 2008には、4つのネットワーク上の場所があります。

ホームネットワーク：

ホームネットワークの場合、またはユーザーがネットワーク上の個人やデバイスを認識して信頼する場合。 [ホームネットワーク]を選択してください。ホームネットワーク内のコンピュータは、ファミリーグループに属することができます。ホームネットワークの場合、「ネットワークディスカバリ」が有効になり、これにより、ユーザはネットワーク上の他のコンピュータおよびデバイスを閲覧することができ、他のネットワークユーザはユーザのコンピュータを閲覧することができる。

職場ネットワーク：

小規模オフィスのネットワークやその他のワークスペースネットワークの場合は、[職場ネットワーク]を選択します。デフォルトでは、 "ネットワーク探索"が有効になっているため、ユーザーはネットワーク上の他のコンピュータやデバイスを表示したり、他のネットワークユーザーが自分のコンピュータを表示したりできますが、ホームグループを作成または参加できません。

パブリックネットワーク：

公共の場所（たとえば、コーヒーショップや空港）のネットワークには[パブリックネットワーク]を選択します。この場所は、ユーザーのコンピュータを周囲のコンピュータから見えないようにし、インターネットからのマルウェアからコンピュータを保護するのに役立ちます。ホームグループはパブリックネットワークでは利用できず、ネットワーク検出も無効になっています。ユーザーがインターネットへの直接接続にルーターを使用していない場合、またはモバイルブロードバンド接続を使用している場合も、このオプションを選択する必要があります。

ドメインネットワーク：

'ドメイン"ネットワークの場所は、ドメインネットワーク（エンタープライズワークスペース内のネットワークなど）に使用されます。この種類のネットワークの場所はネットワーク管理者によって制御され、選択や変更はできません。

Windowsファイアウォールがネットワークの場所に与える影響

公共の場所でネットワークに接続すると、 "パブリックネットワーク"の場所によって特定のプログラムやサービスの実行が妨げられ、コンピュータが不正に使用されないように保護できます。許可されたアクセス"パブリックネットワーク"に接続し、Windowsファイアウォールが有効になっている場合、一部のプログラムまたはサービスでは、これらのプログラムまたはサービスが機能するためにユーザーがファイアウォールを介して通信できるようにする必要があります。

ユーザーがプログラムによるファイアウォール経由の通信を許可されると、プログラムは現在接続しているネットワークと同じ場所にある各ネットワークに対して通信することも許可されます。たとえば、ユーザーが喫茶店のネットワークに接続し、場所として「パブリックネットワーク」を選択してから、インスタントメッセージングプログラムのブロックを解除し、接続しているすべてのパブリックネットワークのプログラムをブロックするとします。持ち上げられます。

公衆ネットワークに接続するときに複数のプログラムのブロックを解除する予定の場合は、ネットワークの場所を "国内"または "勤務先"ネットワークに変更することを検討してください。この観点から、この変更は、ユーザーが接続しているすべてのパブリックネットワークに影響を与えるよりも安全性が高い場合があります。ただし、この変更を行うと、ユーザーのコンピュータがネットワーク上の他のユーザーから見えてしまい、セキュリティ上のリスクが生じることに注意してください。

Windowsファイアゾーンの基本設定

システムをインストールすると、ファイアウォール機能がデフォルトで有効になりますこの場合、ネットワークの場所が設定されている限り、このコンピュータから他のコンピュータはブロックされます。コミュニケーションファイアウォールの動作状態を表示するには、コントロールパネルの[システムとセキュリティ]をクリックし、そこからWindowsファイアウォールを開くと、次のようにステータスが表示されます。

Windowsファイアウォールを有効または無効にする場合「ファイアウォールを開くまたは閉じる」の左側をクリックすると、次に示すようにインターフェイスが表示されます。

この図から、プライベートネットワークのホームネットワークと職場ネットワークが一致していることがわかります。ファイアウォール機能がオンになり、すべての着信接続がブロックされます。

実用的なアプリケーションでは、すべての着信接続をブロックすることはできませんこの場合、ファイアウォールをクリックして接続を解放するように対応する「ホワイトリスト」を設定できます。ステータス画面の左側にある[プログラムまたは機能によるWindowsファイアウォールの通過を許可する]には、次のインターフェイスが表示されます。

ファイアウォールで許可されているプログラムのリストにプログラムを追加するか、ファイアウォールポートを開きます。特定のプログラムがあなたのコンピュータとあなたのコンピュータの間で情報を送受信できるようにする。プログラムがファイアウォールを介して通信すること（ブロック解除とも呼ばれる）を許可することは、ファイアウォールに穴を開けることに似ています。

ポートを開いたり、プログラムがファイアウォールを介して通信できるようにするたびに、コンピュータのセキュリティが低下します。ファイアウォールが許可しているポート数が多いほど、または開いているポート数が多いほど、ハッカーやマルウェアがこれらのチャネルを使用してワームを拡散したり、ファイルにアクセスしたり、コンピュータを使用してマルウェアを他のコンピュータに広める可能性が高くなります。

ファイアウォールの高度なセキュリティ設定

基本設定は簡単ですが、機能も簡単ですWindowsファイアウォールのルールをさらに設定する必要がある場合は、「高度なセキュリティのWindowsファイアウォール」機能を通過させる必要があります。 。開くには、[管理ツール]の[セキュリティの強化]をクリックするか、以前のファイアウォールの状態で[詳細設定]をクリックします。以下に示すように、右側に表示されているインターフェイスを見ることができます。

拡張セキュリティWindowsファイアウォールとは何ですか：

拡張セキュリティWindowsファイアウォールを使用すると、ユーザーはネットワーク上のコンピュータを保護できます。このファイアウォールを使用すると、コンピュータとネットワークの間を通過することが許可されているネットワークトラフィックの量を特定できます。また、ネットワーク間で伝送されるトラフィックを保護するためにインターネットプロトコルセキュリティ（IPsec）を使用する接続セキュリティ規則も含まれています。

高度なセキュリティWindowsファイアウォールは、IPバージョン4（IPv4）およびIPバージョン6（IPv6）のトラフィック用にすべてのパケットをチェックおよびフィルタリングするステートフルファイアウォールです。これに関連して、フィルタリングとは、ネットワークトラフィックを許可またはブロックするために、管理者が定義した規則に従ってネットワークトラフィックを処理することを意味します。着信トラフィックは、ホスト要求への応答（要求されたトラフィック）である場合、または特に許可されている場合（つまり、このトラフィックを許可するファイアウォールルールが作成されている場合）を除き、既定でブロックされます。高度なセキュリティWindowsファイアウォールは、ポート番号、アプリケーション名、サービス名、またはその他の基準を指定して、トラフィックを明示的に許可するように構成できます。

ファイアウォールルールを作成する：

このコンピュータからプログラム、システムサービス、コンピュータ、またはユーザーにトラフィックを送信したり、プログラム、システムサービス、コンピュータ、またはユーザーからトラフィックを受信するためのファイアウォールルールを作成できます。ユーザーの接続がすべてのルールの標準に一致すると、次の3つの操作すべてが実行されます。接続を許可する、インターネットプロトコルセキュリティ（IPSec）によって保護されている接続のみを許可する、および接続をブロックする。

受信通信または送信通信用のルールを作成できます。規則は、コンピュータまたはユーザー、プログラム、サービス、またはポートとプロトコルを指定するように構成できます。ルールを適用するネットワークアダプタの種類（ローカルエリアネットワーク（LAN）、ワイヤレス、仮想プライベートネットワーク（VPN）接続などのリモートアクセス）、またはすべての種類を指定できます。プロファイルを使用するとき、またはプロファイルを指定するときにのみ使用するルールを設定することもできます。また、IT環境が変わったときにルールを変更、作成、無効化、または削除する必要がある場合もあります。

接続セキュリティの実装：

接続セキュリティでは、通信を開始する前に2台のコンピュータを認証し、2台のコンピュータ間で送信される情報のセキュリティを確保します。高度なセキュリティWindowsファイアウォールは、キー交換、認証、データの整合性、およびデータの暗号化（オプション）を使用して、接続セキュリティにインターネットプロトコルセキュリティ（IPsec）を使用します。接続セキュリティルールは、IPsecを使用してトラフィックがネットワークを通過するときにトラフィックを保護します。接続セキュリティ規則を使用して、2台のコンピュータ間の接続を認証または暗号化する必要があることを指定します。接続セキュリティ規則によって保護されているネットワークトラフィックを許可するためのファイアウォール規則を作成することも必要な場合があります。