はじめに
Azure初心者軍団にて「Azure VMでWindows Defenderファイアウォールのポリシーを規定値に戻したらBastionからもRDPファイルからもリモアクできなかったんだけれど」との申告を、こちらの記事を参照しながら一緒に解決している中で
・そもそもWindows Defenderファイアウォールってなに??
・なんだか「プライベートネットワーク」と「パブリックネットワーク」っていう文言がちらちら見えるけれどなにがどうなったらどっちのネットワークに決まるの?何が違いなの?
ということがふと疑問に上がってきたので、ちょろちょろっと調べた内容を備忘します。
機能説明
Windows Defender
Windows10に標準で搭載されているマルウェア対策機能で、アンチウイルス機能やファイアウォール機能が含まれています。
こちらの本によると、セキュリティの基本的な考え方(怪しげなメールのURLをクリックしないなど)が徹底されている場面であれば、OSとの互換性問題が起こらない分安定性に富み、市販のセキュリティソフトを導入するよりも好ましい場合があるとのこと。
ファイアウォール機能に加えてIPsecを張ったりもできるようですが、(こちらより)今回書きたいことからそれるのでまた今度。
(AzureのVMだかVPN GWだかで遊んでいたときに使った記憶があるようなないような、、)
Windows Defenderファイアウォール
機能の一つであるWindows Defenderファイアウォール。
下の図の順序で設定画面を開き、有効化/無効化できます。(こちらより)
例えば「パブリックネットワーク」にてファイアウォールを切りたかったら、上図の「パブリックネットワーク」をクリックした後のこちらの画面で無効化設定を施します。
ファイアウォールポリシーのカスタム
こちらを参照。
コントロールパネルからWindows Defenderファイアウォールを選択します。左側の「詳細設計」から自分でファイアーウォールのポリシーをカスタムできます。
試しに上記記事を参照しながらEdgeからのInternet通信を遮断してみます。
「送信の規則」の追加から、「プログラム」にてEdgeの実行ファイルのパスを選択し、接続をブロックしました。
ポリシー追加前はインターネットサイトアクセスできていましたが、
ポリシー追加後は遮断されました。あからさますぎて楽しい。
こちらが追加されたルールです。ちなみに、Edgeの実行ファイルのパスは、こちらを参考に、タスクマネージャから漁りました。
ルールを削除したら復旧しました。
ついでに、ping疎通を遮断するポリシーを追加してみました。(「送信の規則」の追加)
本当は「受信の規則」を追加したかったのですが、pingしてくれる端末がないので送信側を。同じ感じで「受信の規則」に追加すれば、pingが届かなくなるはずです。
1回目のpingがルール追加前、2回目のpingがルール追加後です。成功していますね。
キャプチャし忘れましたが、ルールを削除したら復旧しました。
ちなみに、「カスタム」にて「全てのプログラム」から「ICMPv4」プロトコルを用いる「任意のIPアドレス」からの「接続をブロックする」ルールを「ドメイン」「プライベート」「パブリック」に割り当てています。
規定値
一覧を見るのがマジでだるいので、今回必要なRDPのみをみてみると、デフォルトでは許可ルールは存在するものの有効化されていないようです。
AzureのVMの場合
Azure VMは作り立てほやほやの時はRDPファイルを用いた接続もBastionを経由しての接続も成功するので、firewallの規定値としてRDPやSSH接続は許可されていると思っていたのですが、規定値に戻すとコネクションが途切れてしまいます。ここで、RDPは規定値で許可されていなかったと知る。。
冒頭でも紹介しましたが、VMを作成しなおすという手間をかけずとも復旧できる方法はこちらによくまとまっています。
ちなみに
Azure Bastionについての説明はこちら。ユーザPCからはTLSで、VNEAT内でRDPでリモアクしているみたいですね。これならRDPの利用を禁じられたオフィス環境にいる人でもバッチリVMを触れます。
超ちなみに
Azure Bastionの作り方について昔記事にしたのでよろしければ。。こちら
市販アンチウイルスソフトとの共存
McAfeeなど市販アンチウイルスソフトをインストールしている場合、Windows Defenderファイアウォールの設定はそれらのソフトに一任され、ユーザがカスタム等できなくなっている場合があります。設定内容の競合を避けるためでしょうか。
プライベートネットワークとパブリックネットワークとドメイン
ではWindowsにてしれっと登場している3パターンについてです。
「ネットワークと共有センター」から現在接続しているネットワークの種別がわかります。
「Wi-Fi」や「イーサネット」から接続中のSSID等を選択すると、パブリックにするかプライベートにするか選択できます。(PCがドメインに参加していない場合)
プライベートネットワークとパブリックネットワークの違い
こちらの記事を参考にまとめております。
プライベートネットワークとパブリックネットワークで、適用されるWindowsファイアウォールの設定内容が変わってきます。原則として、プライベートネットワークでは同一LAN内での通信が許可されている一方、パブリックネットワークでは禁止されています。
確かに設定内容を確認してみると、「プライベート」のみにてプリンターとの通信が許可されております。
ちなみに
端末をLANに接続したタイミングでこういう画面が出てきたときに「はい」を押すとプライベートネットワークに、「いいえ」を押すとパブリックネットワークに属することになります。
ドメイン
上記のプライベートネットワークとパブリックネットワークは、ワークグループに属する端末でのお話であり、ドメインに属する端末は「ドメイン」ネットワークに属することになります。ドメインのセキュリティポリシーに従ったWindows Defenderファイアウォールのポリシーが適用されています。
おしまい
Azure VMにリモアクできないんだけれどというところからだいぶ派生してしまいましたが、いまさら人に聞けないなということを知るいい機会になりました。
リモアクできない場合、ping疎通ができない場合には、途中の経路だけではなく終端機器に備え付けられているファイアウォールの設定も確認する必要がありますね。
参考
Azure上のWindows仮想マシンにRDP接続できなくなった場合(Firewallを規定値に戻してしまった場合の対処方法)
先輩がやさしく教えるシステム管理者の知識と実務, 橋本和則, 翔泳社, 2019年
Windows10のIPsecの設定
Microsoft Defender ファイアウォールを有効または無効にする
Windowsファイアウォールで高度なファイアウォールルールを作成する方法
Microsoft Edgeの場所
Azure Bastion とは
Azure VMにリモアクするためのjump server(bastion)を作ってみた
プライベート? パブリック? ネットワークの種類の違いと切り替え方