(質問)
「windows server2008 se sp2」へのIPアドレスによるアクセス制御について
初めて質問させて頂きます。
社内LANで使用している「windows server2008 standard edition sp2」への社内PC(WindowsXP、Windows7)からのアクセスを、IPアドレスによりアクセス制御し、サーバ側で登録されているIPアドレスからのみアクセスを可能としたいと考えています。
市販本等で見る限り、「セキュリティが強化されたWindowsファイアウォール」の受信の規則の設定により制御が可能と感じましたが、’受信の規則’のスコープタブで通信させたいIPアドレスを設定しましたが、未設定のPCからも通信が可能となってしまいます。そこで、次の内容について、アドバイスをお願いいたします。
1.対象のLANは、ワークグループでの運用で、サーバもドメインコントローラではありませんが、上記の設定でIPアドレスによるアクセス制御は可能でしょうか。
2.上記の設定および方向性に誤りが有るようでしたら、どのような手順・方法が適切でしょうか。
お手数ですが、ご助言のほどどうぞよろしくお願いします。
(回答)
[セキュリティが強化されたファイアウォール]の標準設定では、
・規則に一致しない受信接続はブロック
・規則に一致しない送信接続は許可
となっています(変更は可能です)。
今回ルールをどのように設定されたのかよく分からないのですが、この基本設定を変更していないのであれば受信規則の[スコープ]タブのリモートアドレスに許可したいIPアドレスのみ設定することで、それ以外の通信を拒否することは可能です。
例としてファイル共有であれば、以下の2つのルールが対象になります。
・ファイルとプリンターの共有(NB セッション受信) 139/TCP
・ファイルとプリンターの共有(SMB 受信) 445/TCP
あと、ファイアウォールは[ドメイン][プライベート][パブリック]ごとの設定になりますので、サーバーのネットワークの種類に合わせて設定する必要があります。
http://technet.microsoft.com/ja-jp/library/cc772353%28v=ws.10%29.aspx
(参考資料)
http://www.atmarkit.co.jp/ait/articles/1003/18/news097_4.html
http://news.mynavi.jp/special/2009/windows7/066.html
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/89afb7de-9890-42e5-a8a3-32896724711f/#66fced06-4e0f-487b-97be-bc5bdcb281ab
[0回]
PR
