グループポリシーでwindowsファイアウォール制御 120602
TRANSCRIPT
Active Directory・グループポリシーを使った Windows ファイアウォールの統合管理
アイティデザイン株式会社
知北直宏 Copyright 2012 ITdesign Corporation , All Rights Reserved
‘12/06/02 @ セキュ鉄
1
Copyright 2012 ITdesign Corporation , All Rights Reserved
知北直宏(ちきたなおひろ)の自己紹介 • 福岡でアイティデザイン株式会社という会社の代表取締役をやってます。
• 2010年1月に次の書籍を執筆、発売しました。
標準テキスト Windows Server 2008 R2 構築・運用・管理パーフェクトガイド
著者:知北直宏、出版社:ソフトバンク クリエイティブ
(2012年3月末に第七版を発行。総発行部数は13000部!!!) • 2011年1月に、マイクロソフトさんより
「Microsoft MVP (Directory Services Jan2011 - Dec2011) 」を受賞させていただきました。
• 2012年3月にマイクロソフト系ITProコミュニティ「Win.tech.q」を立ち上げました。
2
Copyright 2012 ITdesign Corporation , All Rights Reserved
Win.tech.q の紹介
• 2012年3月に立ち上げた、マイクロソフト系ITProコミュニティです。
• 3月に「第0回勉強会・準備会」を、5月に「第1回勉強会」を日本マイクロソフト九州支店セミナールームで開催しました。
• マイクロソフトのエバンジェリスト・高添さんや安納さんにお越しいただきました。
• そして、来週土曜日・6月9日に、 「Community Open Day 2012(COD2012)」の九州会場として勉強会を開催します!
http://cod.ms/ • 会場でしか聞くことができないWindows 8 や Windows Server 2012
に関するセッションなど、盛りだくさんです。
• じゃんけん大会ではKinectなど豪華景品があたります!
• ぜひご参加ください!
3
Copyright 2012 ITdesign Corporation , All Rights Reserved
アジェンダ
• Windows ファイアウォールの概要
• グループポリシーの概要
• グループポリシーの簡単な例
• グループポリシーによるWindowsファイアウォールの制御
• まとめ
4
Copyright 2012 ITdesign Corporation , All Rights Reserved
Windows ファイアウォールの概要
5
Copyright 2012 ITdesign Corporation , All Rights Reserved
Windowsファイアウォールとは
• Windows 7 などの標準搭載のファイアウォールです。
• 受信と送信で別箇にファイアウォールルール(規則)を設定することができます。
• ポートだけでなく、プログラムを指定してファイアウォールルールを設定することができます。
• ネットワークの接続形態、場所によって、次の3つの「プロファイル」を指定することができ、それぞれにファイアウォールルールを設定することができます。
ドメインプロファイル
プライベートプロファイル
パブリックプロファイル
• IPsecの設定も可能です。
6
Copyright 2012 ITdesign Corporation , All Rights Reserved
Windowsファイアウォールの基本的な管理方法
• 「セキュリティが強化されたWindowsファイアウォール」で管理します。
7
6月1日にリリースされたばかりの Windows 8 Release Preview !
Copyright 2012 ITdesign Corporation , All Rights Reserved
グループポリシーの概要
8
Copyright 2012 ITdesign Corporation , All Rights Reserved
グループポリシーってナニ?
9
• 次のようなことができます。 • セキュリティ関連の設定を一括して行う • コントロールパネルなどOS環境を一括して制御する • IEやOfficeなどの環境を一括して制御する • レジストリーやiniファイルを一括して制御する • ソフトウェアの展開、配布を行う • その他いろいろ
• Active Directory 環境のコンピューターアカウントや ユーザーアカウントを集中管理、集中制御する仕組みです。
ドメインコントローラー Active Directory ドメイン
コンピューターアカウントや ユーザーアカウント
グループポリシーで集中管理、集中制御
Copyright 2012 ITdesign Corporation , All Rights Reserved
グループポリシーを構成するもの
• グループポリシーの実体は「GPO(グループポリシーオブジェクト)」と呼ばれるものです。
10
• GPOは多数の「ポリシー設定」によって構成されています。
• Windows Server 2008 R2/Windows 7 では、約3000個のポリシー設定が定義されています。
• ポリシー設定には、コンピューターに適用されるものと、 ユーザーに適用されるものの、2種類があります。
• グループポリシーの設定、つまり、GPOの編集などは、「GPMC(グループポリシー管理エディター)」を用います。
Copyright 2012 ITdesign Corporation , All Rights Reserved
ご注意
11
• Active Directory に参加していないコンピューターにも 「ローカルグループポリシー」という仕組みがありますが、 本セッションでは Active Directory 環境におけるものを 「グループポリシー」として説明しています。
ローカルグループポリシーは、MMC(マイクロソフトマネージメントコンソール)に「グループポリシーオブジェクトエディター」プラグインを追加して利用します。
Copyright 2012 ITdesign Corporation , All Rights Reserved
グループポリシーを使うには
• グループポリシーを使うには、Active Directoryが構築されている必要があります。
• グループポリシーで制御するWinodwsコンピューターが、Active Diretoryに参加している必要があります。
12
Copyright 2012 ITdesign Corporation , All Rights Reserved
グループポリシーの簡単な例
13
Copyright 2012 ITdesign Corporation , All Rights Reserved
よくある話
14
管理者がユーザーにPCを配布したときには
こんなにキレイなデスクトップだったのに。。。
数週間経つとこのありさま!
なんとかしたい!
☛ グループポリシーで解決!
Copyright 2012 ITdesign Corporation , All Rights Reserved
やること
15
GPMC(グループポリシー管理エディター)を使って、
ユーザーがコントロールパネルを開くことができないような
グループポリシー設定にしてみます。
Copyright 2012 ITdesign Corporation , All Rights Reserved
グループポリシーの設定1・GPOの作成
16
GPMCを使って、GPO(グループポリシーオブジェクト)を作成、編集します。 ①GPOを作成 ②編集、ポリシー設定を探す ③開く ④有効化
グループポリシーの設定2・GPOを割当てる GPMCを使って、GPOをOU(組織単位)に割り当てます。
Copyright 2012 ITdesign Corporation , All Rights Reserved
ドラッグ&ドロップでも割り当てることができます。
17
グループポリシーの設定3・GPOを利用する
クライアントコンピューターにGPOが
適用されるのを待ちます。
Copyright 2012 ITdesign Corporation , All Rights Reserved 18
結果の確認 デフォルト状態ではコントロールパネルを開くことができたのに。。。
開くことができなくなった!! Copyright 2012 ITdesign Corporation , All Rights Reserved 19
Copyright 2012 ITdesign Corporation , All Rights Reserved
グループポリシーによる Windowsファイアウォールの制御
20
Copyright 2012 ITdesign Corporation , All Rights Reserved
グループポリシーによる管理方法
• GPMCを使ってGPOを作成する
• ポリシーを編集する
• GPOをOUなどに割り当てる
21
Copyright 2012 ITdesign Corporation , All Rights Reserved
GPMCを使ってGPOを作成する
• GPMCを開いて、「グループポリシーオブジェクト」を右クリックして「新規」を開いて、新しいGPOを作成します。
22
6月1日にリリースされたばかりの Windows Server 2012 RC !
Copyright 2012 ITdesign Corporation , All Rights Reserved
ポリシーを編集する
新しいGPOの次の階層を開いて編集します。
「コンピューターの構成」
「ポリシー」
「Windowsの設定」
「セキュリティの設定」
「セキュリティが強化されたWindowsファイアウォール」
23
Copyright 2012 ITdesign Corporation , All Rights Reserved
例)新規の受信ルールを作成する
24
「受信の規則」を右クリックして、「新しい規則」を開きます。
Copyright 2012 ITdesign Corporation , All Rights Reserved
例)新規の受信ルールを作成する
「新規の受信の規則ウィザード」が実行されます。
「規則の種類」を選択します。(この例では「ポート」を選択しています)
25
Copyright 2012 ITdesign Corporation , All Rights Reserved
例)新規の受信ルールを作成する
26
「プロトコルおよびポート」を指定します。
Copyright 2012 ITdesign Corporation , All Rights Reserved
例)新規の受信ルールを作成する
27
「操作」を指定します。
Copyright 2012 ITdesign Corporation , All Rights Reserved
例)新規の受信ルールを作成する
28
「プロファイル」を指定します。
Copyright 2012 ITdesign Corporation , All Rights Reserved
例)新規の受信ルールを作成する
29
「名前」を設定して、「完了」します。
Copyright 2012 ITdesign Corporation , All Rights Reserved
例)新規の受信ルールを作成する
30
新しい受信ルールが作成されました。
プロパティを開いて詳細設定を行うこともできます。
Copyright 2012 ITdesign Corporation , All Rights Reserved
例)新規の受信ルールを作成する
31
Copyright 2012 ITdesign Corporation , All Rights Reserved
例)新規の受信ルールを作成する
32
Copyright 2012 ITdesign Corporation , All Rights Reserved
例)新規の受信ルールを作成する
33
Copyright 2012 ITdesign Corporation , All Rights Reserved
例)新規の受信ルールを作成する
34
Copyright 2012 ITdesign Corporation , All Rights Reserved
例)新規の受信ルールを作成する
35
Copyright 2012 ITdesign Corporation , All Rights Reserved
例)新規の受信ルールを作成する
36
Copyright 2012 ITdesign Corporation , All Rights Reserved
例)新規の受信ルールを作成する
37
Copyright 2012 ITdesign Corporation , All Rights Reserved
例)新規の受信ルールを作成する
38
Copyright 2012 ITdesign Corporation , All Rights Reserved
例)Windowsファイアウォールの基本設定を変更する
39
「セキュリティが強化されたWindowsファイアウォール」を右クリックして、「プロパティ」を開きます。
Copyright 2012 ITdesign Corporation , All Rights Reserved
例)Windowsファイアウォールの基本設定を変更する
ログの設定を変更する場合は、「ログ」の「カスタマイズ」をクリックします。
40
Copyright 2012 ITdesign Corporation , All Rights Reserved
例)Windowsファイアウォールの基本設定を変更する
「名前」の「未構成」のチェックをオフにしてから、ログのファイル名設定などを行います。
41
Copyright 2012 ITdesign Corporation , All Rights Reserved
GPOをOUなどに割り当てる
作成したGPOをOUなどに割り当てます。
42
Copyright 2012 ITdesign Corporation , All Rights Reserved
クライアントコンピューターにGPOが適用される
しばらくすると、作成したGPOがクライアントコンピューターに適用されます。
43
Copyright 2012 ITdesign Corporation , All Rights Reserved
まとめ
• Windows 7 のWindowsファイアウォールを使えば、よりセキュアな環境が構築できます。
• ただし、Windowsコンピューターの台数が増えてくると、集中管理が困難になってきます。
• そこで、Active Directoryを構築して、グループポリシーを使ってWindowsファイアウォールなどを集中管理しましょう!
44
おしまい
Copyright 2011 ITdesign Corporation , All Rights Reserved
45