新しいWindowsファイアウォールWindows XP SP2には、Windows XPに含まれているインターネット接続ファイアウォール(ICF)に代わる新しいWindowsファイアウォールが含まれています。サービスパック1は含まれていません。 。 Windowsファイアウォールは、迷惑な着信トラフィックを切断するステートフルファイアウォールです。これは、コンピュータからの要求に応答して送信されない(通信を要求する)、または許容される迷惑通信として指定される(例外通信)を指します。 Windowsファイアウォールは、悪意のあるユーザーや、迷惑な着信トラフィックに依存してコンピューターを攻撃するプログラムに対する一定レベルの保護を提供します。 SP1が適用され、Service PackがインストールされていないWindows XPでは、ネットワークセットアップウィザードまたはインターネット接続ウィザードを使用して変更を加えない限り、ICFはすべての接続に対してデフォルトで無効になっています。 [Connections Properties]の[Advanced]タブのチェックボックスを使用して、接続ごとにICFを手動で有効にすることができます。このタブから、Transmission Control Protocol(TCP)またはUser Datagram Protocol(UDP)ポートも指定できます。例外通信の集合を構成します。 Windows XP SP2では、Windowsファイアウォールに次のような多くの変更が加えられています。•デフォルトでは、コンピュータへのすべての接続が有効になります。•すべての接続に適用される新しいグローバル設定オプション動作モード•起動時のセキュリティ•スコープによって例外通信を指定することができます•アプリケーションファイル名によって例外通信を指定することができます•IPv6の組み込みサポート•Netshとグループポリシーの新しい設定オプションがデフォルトで有効になっています
Windows XP SP2のWindowsファイアウォールは、デフォルトでグローバルに有効になっています。つまり、既定では、Windows XP SP2を実行しているコンピューターへのすべての接続によって、LAN(有線およびワイヤレス)、ダイヤルアップ、および仮想プライベートネットワーク(VPN)接続を含むWindowsファイアウォールが有効になります。新しい接続により、Windowsファイアウォールも既定で有効になります。この動作はWindows XPベースのコンピュータに追加の保護を提供しますが、この既定の動作は、アプリケーションの互換性と組織のネットワークの情報技術(IT)部門のネットワーク上のコンピュータを管理する機能に悪影響を及ぼす可能性もあります。エンタープライズ環境のWindows XP SP2にWindowsファイアウォールを展開する方法の詳細については、「Service Pack 2を適用したMicrosoft Windows XPのWindowsファイアウォール設定の展開(Service Pack 2を適用したMicrosoft Windows XPのWindowsファイアウォール設定の展開)」を参照してください。すべての接続用の新しいグローバル構成オプション
Windows XP SP2のWindowsファイアウォールでは、コンピュータに適用されているすべての接続用の設定(グローバル構成)を構成できます。 SP1が適用されたWindows XPおよびService Packが適用されていないWindows XPでは、ICF設定は接続ごとに構成されます。つまり、複数の接続に対してWindowsファイアウォールを有効にして例外通信を構成する場合は、それぞれ個別に構成する必要があります。接続Windowsファイアウォールのグローバル設定を変更すると、その変更はすべてのWindowsファイアウォール対応接続に適用されます。 Windows XP SP2のWindowsファイアウォールでは、各接続の設定も可能です。接続固有の設定は、グローバル設定を上書きします。ローカル設定用の新しいダイアログセット
SP1を適用したWindows XPおよびService Packを適用していないWindows XPでは、ICF設定にチェックボックスが含まれています(接続プロパティの[詳細]タブ)インターネットからのこのコンピュータへのアクセスを制限または遮断することで、自分のコンピュータとネットワークを保護し、[設定]ボタンをクリックして、例外通信、ログ設定、および許可されたICMPトラフィックを構成できます。 Windows XP SP2では、チェックボックスはコントロールパネルの新しいWindowsファイアウォールコンポーネントを起動する「設定」ボタンに置き換えられました。新しい[Windowsファイアウォール]ダイアログから、全般設定、プログラムとサービスのアクセス許可、接続固有の設定、ログ設定、および許可されたICMPトラフィックを構成できます。次の図は、新しいWindowsファイアウォールダイアログを示しています。新しい操作モード
Service PackがインストールされていないWindows XP SP1およびWindows XPでは、ICFは有効(要求された通信と例外的な通信の両方を許可)または無効(すべての通信を許可)のいずれかです。 Windows XP SP2では、[Windowsファイアウォール]ダイアログボックスの[全般]タブにある[例外を許可しない]チェックボックスに対応する新しい操作モードを選択できます。 Windowsファイアウォールがこの新しいモードで実行されていると、例外通信を含むすべての迷惑通信が切断されます。このモードは、既知のサイバー攻撃の間、または悪意のあるプログラムが増殖したときに、コンピュータを一時的にロックするために使用できます。サイバー攻撃が終了し、将来の攻撃を防ぐために適切な更新プログラムがインストールされたら、例外的な通信を許可する通常の動作モード([開く(推奨)]オプションに対応)にWindowsファイアウォールを配置します。ブートセキュリティ
SP1が適用されたWindows XPおよびService Packが適用されていないWindows XPでは、インターネット接続ファイアウォール(ICF)/インターネット接続共有(ICS)サービスが正常に開始されると、ICFが有効になります。アクティブです。したがって、Windows XP SP1とService Packを適用していないWindows XPを実行しているコンピュータを起動すると、そのコンピュータがネットワーク上で有効になってからICFが接続の保護を開始するまでに時間がかかります。この遅延により、コンピュータが起動時に迷惑な通信によって攻撃される可能性があります。 Windows XP SP2には、コンピュータが動的ホスト構成プロトコル(DHCP)とドメインネームシステム(DNS)を使用して基本的なネットワークブートタスクを実行し、ドメインコントローラと通信してグループを取得できるようにするステートフルパケットフィルタリングを実行する起動ポリシーがあります。ポリシーの更新Windowsファイアウォール(WF)/インターネット接続の共有(ICS)サービスが起動すると、その設定を使用して起動ポリシーを削除します。起動ポリシー設定は構成できません。例外通信は範囲で指定できます。サービスパックがインストールされていないWindows XP SP1およびWindows XPでは、例外通信は任意のIPアドレスから発生します。 Windows XP SP2では、Windowsファイアウォールを使用して、例外トラフィックが3つの範囲(いずれかのIPアドレス、通信を受信する接続に接続されているローカルサブネットと一致するIPアドレス、または1つ以上のIPv4から発信)のいずれかから発信できるように指定できます。アドレスのリストまたはIPv4アドレスの範囲。これは、ホームネットワークに役立ちます。この場合、ローカルホームネットワークの同じサブネットに接続されているコンピュータからプログラムまたはサービスへのアクセスを許可しますが、悪意のあるインターネットユーザーには許可しないようにします。この場合は、ローカルサブネットに対して例外通信を設定するだけで済みます。例外通信はアプリケーションファイル名で指定できます。サービスパックを適用していないWindows XP SP1およびWindows XPでは、特定のアプリケーションまたはサービス通信に対応するTCPおよびUDPポートセットを指定して手動で設定します。優れたコミュニケーションアプリケーションまたはサービスに設定されているTCPポートまたはUDPポートがわからない、またはそれらを見つける方法がわからないユーザーにとっては、これを構成するのは困難です。また、この設定は、特定のUDPまたはTCPポートセットをリッスンしていないアプリケーションには機能しません。例外通信の指定を容易にするために、Windows XP SP2ではプログラムのファイル名(アプリケーションまたはサービス)を設定できます。プログラムが実行されると、Windowsファイアウォールはプログラムが待機しているポートを監視し、それらを例外通信のリストに自動的に追加します。一般的に許可されている迷惑な着信トラフィックに対する例外をすばやく有効にできるようにするために、Windowsファイアウォールは、ファイルとプリンタの共有やリモートアシスタンスなどの一般的なWindowsコンポーネントとサービス用のプログラムを事前定義します。さらに、Windowsファイアウォールの通知メカニズムにより、ローカル管理者はプロンプトが表示されたときに新しいプログラムを自動的に例外リストに追加することができます。 IPv6の組み込みサポート
Windows XP SP2には、Windows XPのAdvanced Networking Packに含まれているインターネットプロトコルバージョン6(IPv6)が含まれています。 IPv6サポートはWindowsファイアウォールに含まれており、すべてのIPv6接続で自動的に有効になります。 IPv4とIPv6は同じ例外通信設定を共有します。たとえば、ファイルとプリンタの共有通信が例外に設定されている場合、IPv4ベースとIPv6ベースの両方の要求されていない着信ファイルおよびプリンタ共有通信が許可されます。 Netshおよびグループポリシーの新しい構成オプション
Service Packが適用されていないWindows XP SP1およびWindows XPでは、ネットワーク接続フォルダ、ネットワークセットアップウィザード、およびインターネット接続を介してのみICFを有効または無効にすることができます。ウィザード例外通信を設定するには、ネットワーク接続フォルダを使用するか、アプリケーションがICFを認識する必要があります。その場合、実行時に自動的に例外通信が有効になります。 Windows XP SP2では、次の追加の構成オプションがあります。•NetshコマンドNetshは、ネットワークコンポーネントの設定を構成するためのコマンドラインツールです。コンポーネントを設定するには、Netshコンテキストを通じて一連のコマンドをサポートする必要があります。 SP1が適用されたWindows XPおよびService Packが適用されていないWindows XPには、Windowsファイアウォール用のNetshコンテキストはありません。 Windows XP SP2では、 "netsh firewall"コンテキストで一連のコマンドを使用してWindowsファイアウォール設定を構成できるようになりました。 Netshを使用して、TCP /IPおよびIPv6用の一連のWindowsファイアウォール設定を自動的に構成するためのNetshスクリプトを作成できます。詳細については、「Service Pack 2を適用したMicrosoft Windows XP用のWindowsファイアウォール設定の展開」の「Service Pack 2を適用したMicrosoft Windows XP用のWindowsファイアウォール設定の展開」の付録Bを参照してください。 •新しい構成API SP1を適用したWindows XPおよびService Packを適用していないWindows XPには、アプリケーションが例外通信を自動的に構成し、ICF設定を構成するために使用できるAPIがあります。 Windows XP SP2には、Windowsファイアウォールのグローバル設定と、Windowsファイアウォールのコントロールパネルアプレットから利用可能なすべての項目の接続固有の設定を構成できる新しいAPIがあります。これらのAPIを使用して、組織のネットワーク上のユーザーが実行できるカスタムコンフィギュレータを作成できます。新しいWindowsファイアウォールAPIについては、Windowsソフトウェア開発キット(SDK)の「Windowsファイアウォール」を参照してください。グループポリシー構成設定を使用するための幅広いサポートActive Directory®ディレクトリサービスを使用する組織ネットワーク内の多数のコンピュータを集中的に構成するために、コンピュータ構成グループポリシーを通じてWindows XP SP2を実行しているコンピュータに対してWindowsファイアウォール設定を構成できます。新しい一連のコンピュータ構成グループポリシーWindowsファイアウォールの設定により、ネットワーク管理者はグループポリシーオブジェクトを使用してWindowsの防火対策を構成できます。