はじめに
弊社で運用しているWindowsインスタンスでは、稀にFirewallが有効になり、サービスが利用できなくなる事象が発生します。
原因を確認してみました。
前提
弊社ではセキュリティグループ・NACLでの制御を行っており、OS上のFirewallは設定せずに無効としています。そのため、Firewallが有効になってしまうと意図しない通信をブロックしてしまいます。作業ログなどから発生日の作業者に確認しても、Firewallの設定の操作は行っていないことが確認されています。
原因
確認すると以下の事象が発生していました。
以下が表記されます。(スクリーンショット参照)
結果として、「いいえ」を選択していました。
「いいえ」を選択すると、パブリックプロファイルのファイアウォールの状態が有効になります。有効化されたタイミングが、ユーザがログオンし操作を開始した時間とほぼ同じなので、これが原因と判断しました。
対処方法
この選択ダイアログですが、案内される設定を拒否することが多い「いいえ」を選択することで、Firewallが有効になるため、作業するメンバーへの周知は難しいです。そのため、設定で対応を行います。
Case1
通常の設定で
「コントールパネル」>「すべてのコントロールパネル」>「管理ツール」
にて、セキュリティが強化されたWindows Defenderファイアウォールを開き、プロパティを確認します。すると、ファイアウォール状態は無効となっていることが分かります。
ローカルグループポリシーエディタを起動し、
「コンピュータの構成」>「Windowsの設定」>「セキュリティの設定」>「セキュリティが強化されたWindows Defenderファイアウォール」>「セキュリティが強化されたWindows Defenderファイアウォール - ローカルグループポリシーオブジェクト」を選択し、プロパティを確認します(スクリーンショット参照)。
前述のコントロールパネルの設定では、「有効」と「無効」の選択肢がありますが、グループポリシーエディタからの場合には、「未構成」という選択肢が存在します。未構成とすると無効で動作しますが、今回の事象では有効化されてしまいます。したがって、未構成で設定されている場合でも、グループポリシーエディタ上で無効としてしまえば、有効化はされません。
Case2
この選択ダイアログの表示を抑止することも可能です。ローカルグループポリシーエディタを起動し、
「コンピュータの構成」>「Windowsの設定」>「セキュリティの設定」>「ネットワークリストマネージャーポリシー」を選択し、すべてのネットワークを開きます。その中でネットワークの場所を「ユーザは場所を変更できない」を選択することで抑止することが可能です(スクリーンショット参照)。
おわりに
Windowsでは、Network Location Awareness (NLA) というサービスが動作することで、現在接続されている種類を自動判別しているようです。以下の状況で選択ダイアログが表示される場合があるようです。
・OS 起動後、ユーザーがログオンした
・異なるネットワークに接続した
・LAN ケーブルの切断と接続、または、無線接続の切断と接続を行った
・NIC を無効から有効の状態に変更した
・NLA サービスを再起動した
・端末が認証を必要とするホット スポットなどのネットワーク環境に移動された
・端末のルーティング構成が変更された
の様ですが、弊社で見かけるのは圧倒的にOSが起動後、ユーザがログオンした時が多いです。
弊社では、圧倒的にOSが起動後、ユーザがログオンした時にこの現象が見られます。
意図せずWindowsのFirewallが有効になる場合は、確認してみてください。