Windows Defender ファイアウォール

Windows > Windowsのセキュリティ機能 > Windows Defender ファイアウォール

Windows Defender ファイアウォール（英語: Windows Defender Firewall）はMicrosoft Windowsのソフトウェアコンポーネントで、パケットフィルタリングによるパーソナルファイアウォールを提供する。Windows XPおよびWindows Server 2003で最初に搭載された。Windows XP Service Pack 2がリリースされるまでインターネット接続ファイアウォール (Internet Connection Firewall ; ICF) という名称であり、Windows 10のver.1709 (Fall Creators Update) まではWindows ファイアウォールという名称であった。

概要

2001年10月にWindows XPが出荷された時点では「インターネット接続ファイアウォール」として限定的なファイアウォール機能が搭載されていた。これは後方互換性のため既定では無効に設定されていた。その設定項目はネットワーク設定画面の中にあり、多くのユーザーにとって見つけにくい場所にあった。2003年中頃、Blaster（英語版）ワームがRPC Windowsサービスの欠陥を悪用して多くのWindowsマシンに攻撃を仕掛けた^{[注釈 1]}。数ヶ月後、Sasserも同様にして猛威を振るった。2004年にかけて蔓延したこれらのワームは、パッチを適用していないマシンに数分ほどで感染していった^[1]。このような事態およびマイクロソフトが脅威からユーザーを保護する施策が不十分であったことに対する批判から、マイクロソフトはWindows XP標準ファイアウォールの機能とインターフェイスを改善し、「Windows ファイアウォール」に改名してWindows XP SP2より既定で有効になった^[2]。

各ネットワークインタフェースについて3つのうちから1つのプロファイルが自動で選択される。^[3]

• パブリック - ネットワークはインターネットと共有された状態にある。最も制限されるプロファイル。
• プライベート - ネットワークはインターネットから隔離されており、パブリックよりも内部接続の制限が緩い。ローカルの管理者でないとネットワークをプライベートプロファイルに設定することはできない。
• ドメイン - 最も制限の緩いプロファイル。ファイル共有などの内部接続を許可する。ドメインプロファイルはローカルコンピューターで信頼されるドメインネットワークに接続されたときに自動で選択される。

Windows ファイアウォール機能はCOMオブジェクト指向APIを通して制御・設定できる。また、netshコマンド^[4]、GUI管理ツール^[5]、グループポリシーからも設定できる^[6]。

バージョン

Windows Neptune

未発売のWindows Neptuneにおいて、ファイアウォール機能が搭載された。これはWindows XPのものと似ていた。^[7]

Windows XP

Windows ファイアウォールは最初にWindows XP Service Pack 2の一部として追加された。有線、無線、VPN、FireWireといったいずれの種類のネットワーク接続も、既定ではファイアウォールが有効になっており、あらかじめローカルネットワーク上のマシンからの接続を許可する例外がいくつか登録されている。また、ウィンドウの脆弱性である、ネットワーク接続作成後の数秒間ファイアウォールポリシーが有効にならない問題が修正されている^[8]。数多くの項目がグループポリシーに追加され、Windowsのシステム管理者は企業大レベルでWindows ファイアウォールを設定できるようになった。XPのファイアウォールは外部への接続はブロックできず、内部への接続をブロックする機能しか持たない。また、IPv6通信のフィルター機能はない^[9]。

Windows Vista

Windows Vistaでは企業環境でのWindows ファイアウォールの柔軟性に関する多くの懸念に対処した改善が行われている。^[10]

• Windows Filtering Platform（英語版） (WFP) に基づくファイアウォール。
• 多くの詳細設定やリモート管理ができる、新しいスナップイン管理コンソール「セキュリティが強化された Windows ファイアウォール」。
• 電話を掛けさせるスパイウェアやウイルスの増加を受けて実装された、外部へのパケットのフィルタリング。
• 発信元、送信先IPアドレスやポートの範囲といったルールを指定できる、強化されたパケットフィルター。
• 完全なファイルパスを指定しなくても、一覧からサービス名を選ぶだけでルールを設定できるようになった。
• IPsecを完全に統合。セキュリティ証明書、ケルベロス認証などに基づく接続の許可・拒否。あらゆる種類の接続で暗号化を必須にすることができるようになった。
• ファイアウォールプロファイルの管理インターフェイスを改善。ネットワーク接続ごとにパブリック、プライベート、ドメインの3つのファイアウォールプロファイルを指定するようになった。
• IPv6接続のフィルタリング。

Windows Server 2008およびWindows 7

複数のアクティブなプロファイルやトンネル認証の強制など、いくつかの機能強化^[11]。

脚注

[脚注の使い方]

注釈

1. ^ これらの脆弱性は数ヶ月後に修正されている。詳細は次のマイクロソフト セキュリティ情報を参照 MS03-026, MS03-039, MS04-012

出典

1. ^ Study: Unpatched PCs compromised in 20 minutes | CNET News.com
2. ^ “Troubleshooting Windows Firewall settings in Windows XP Service Pack 2 for advanced users” (2010年2月18日). 2016年7月6日閲覧。
3. ^ “Network Location Awareness”. Microsoft TechNet (2007年11月2日). 2016年7月6日閲覧。
4. ^ “Netsh Command Syntax for the Netsh Firewall Context”. Microsoft (2004年12月17日). 2016年7月6日閲覧。
5. ^ “User Interface: Windows Firewall with Advanced Security”. Microsoft (2009年1月20日). 2016年7月6日閲覧。
6. ^ “Deploying Windows Firewall Settings With Group Policy”. Microsoft (2004年12月17日). 2016年7月6日閲覧。
7. ^ “Windows Firewall”. microsoft.com. 2015年11月30日閲覧。
8. ^ “The Cable Guy - January 2006 : The New Windows Firewall in Windows Vista and Windows Server 2008”. Microsoft. 2016年7月6日閲覧。
9. ^ “Internet Connection Firewall and Basic Firewall do not block Internet Protocol Version 6 traffic”. Microsoft. 2016年7月6日閲覧。
10. ^ “The Cable Guy - January 2006 : The New Windows Firewall in Windows Vista and Windows Server 2008”. Microsoft. 2016年7月6日閲覧。
11. ^ “What's New in Windows Firewall with Advanced Security”. Microsoft (2009年10月26日). 2016年7月6日閲覧。

関連項目

• Microsoft Security Essentials

外部リンク

• セキュリティが強化された Windows ファイアウォール Microsoft TechNet