各ネットワーク プロファイルの基本的なファイアウォール プロパティを構成するには、このダイアログ ボックスを使用します。[IPsec の設定] タブを使用して、いくつかの IPsec 構成オプションの既定値を構成することもできます。
 | このダイアログ ボックスを表示するには |
セキュリティが強化された Windows ファイアウォール MMC スナップインで、次のいずれかの手順を実行します。
- ナビゲーション ウィンドウで、[セキュリティが強化された Windows ファイアウォール] を右クリックし、[プロパティ] をクリックします。
- ナビゲーション ウィンドウの一番上のノードを選択し、中央のウィンドウの [概要] セクションで [Windows ファイアウォールのプロパティ] をクリックします。
- ナビゲーション ウィンドウの一番上のノードを選択し、[操作] ウィンドウで [プロパティ] をクリックします。
- ナビゲーション ウィンドウで、[セキュリティが強化された Windows ファイアウォール] を右クリックし、[プロパティ] をクリックします。
[ドメイン] タブ、[プライベート] タブ、および [パブリック プロファイル] タブ
現在適用されていないものも含めて、任意のプロファイルを構成できます。プロファイル設定を変更しない場合は、セキュリティが強化された Windows ファイアウォールがプロファイルを使用するたびに既定の値が適用されます。3 つのプロファイルすべてに対して、セキュリティが強化された Windows ファイアウォールを有効にすることをお勧めします。
各プロファイル タブで次の設定を構成できます。
状態
状態の選択により、セキュリティが強化された Windows ファイアウォールでプロファイル設定を使用するかどうか、およびプロファイルで受信および送信ネットワーク メッセージをどのように処理するかが決まります。
ファイアウォールの状態
Windows ファイアウォールでこのプロファイルの設定を使用して、ネットワーク トラフィックをフィルター処理するには、[オン (推奨)] を選択します。[オフ] を選択すると、Windows ファイアウォールでは、このプロファイルのファイアウォール規則も接続セキュリティの規則も使用されません。
 | 重要 |
グループ ポリシーを使用して Windows ファイアウォールを無効にする場合、またはすべての受信ネットワーク トラフィックを許可する規則で Windows ファイアウォールを構成する場合、Windows セキュリティ センターは、修正する必要があるセキュリティ上の問題があることをユーザーに警告します。ユーザーが Windows セキュリティ センターで [有効にする] をクリックして、報告された問題の修正を試みた場合は、エラーが表示されます。これは、Windows セキュリティ センターでは Windows ファイアウォールを有効にできないためです。これによって、ヘルプ デスクに対する不必要なサポート要求が発生する場合があります。組織内のコンピューターのセキュリティを管理していて、Windows セキュリティ センターがセキュリティ上の問題についてユーザーに警告しないようにする場合は、[セキュリティ センターをオンにする (ドメイン上のコンピューターのみ)] グループ ポリシー設定を使用して、Windows セキュリティ センターを無効にすることができます。このグループ ポリシー設定は、ローカル コンピューター ポリシー\コンピューターの構成\管理用テンプレート\Windows コンポーネント\セキュリティ センターにあります。 |
受信接続
この設定により、受信ファイアウォール規則に一致しない受信接続に対する動作が決まります。既定の動作では、接続を許可するファイアウォール規則が存在しない限り、接続がブロックされます。受信接続に対して次の動作を選択できます。
| 選択項目 | 説明 |
|---|---|
ブロック (既定) |
明示的に接続を許可するファイアウォール規則が存在しない接続をすべてブロックします。 |
すべての接続をブロック |
明示的に接続を許可するファイアウォール規則の有無にかかわらず、接続をすべてブロックします。 |
許可 |
明示的に接続をブロックするファイアウォール規則が存在しない限り、接続を許可します。 |
送信接続
この設定により、送信ファイアウォール規則に一致しない送信接続に対する動作が決まります。既定の動作では、接続をブロックするファイアウォール規則が存在しない限り、接続が許可されます。送信接続に対して次の動作を選択できます。
| 選択項目 | 説明 |
|---|---|
ブロック |
明示的に接続を許可するファイアウォール規則が存在しない接続をすべてブロックします。 |
許可 (既定) |
明示的に接続をブロックするファイアウォール規則が存在しない限り、接続を許可します。 |
 | 注意 |
[送信接続] を [ブロック] に設定してから、グループ ポリシー オブジェクト (GPO) を使用してファイアウォール ポリシーを展開する場合、そのポリシーを受信したコンピューターが以降のグループ ポリシーの更新を受信できるようにするには、グループ ポリシーが動作するための送信規則を最初に作成して展開する必要があります。コア ネットワーク用の事前定義された規則には、グループ ポリシーが動作できるようにする送信規則が含まれています。これらの送信規則がアクティブであることを確認し、ポリシーを展開する前に、ファイアウォール プロファイルを十分にテストしてください。 |
保護されているネットワーク接続
このプロファイルの構成の対象となるネットワーク アダプターを指定するには、これらの設定を使用します。[カスタマイズ] をクリックして、ファイアウォールのプロファイルへの保護されているネットワーク接続をカスタマイズするためのダイアログ ボックスを表示します。
設定
通知の設定、マルチキャストまたはブロードキャスト トラフィックに対するユニキャスト応答、およびグループ ポリシー規則のマージを構成するには、これらの設定を使用します。[カスタマイズ] をクリックして、[ファイアウォール プロファイルの設定のカスタマイズ] ダイアログ ボックスを表示します。
ログ
セキュリティが強化された Windows ファイアウォールによるイベントのログ記録方法、ログ ファイルの最大ファイル サイズ、およびログ ファイルの保存場所を構成するには、これらの設定を使用します。[カスタマイズ] をクリックして、[ファイアウォール プロファイルのログ設定のカスタマイズ] ダイアログ ボックスを表示します。
[IPsec の設定] タブ
IPsec の既定の設定およびシステム全体の設定を構成するには、このタブを使用します。
IPsec 既定
ネットワーク トラフィックの保護に役立てるため IPsec が使用するキー交換、データ保護、および認証方法を構成するには、これらの設定を使用します。[カスタマイズ] をクリックして、[IPsec の設定のカスタマイズ] ダイアログ ボックスを表示します。
IPsec の除外
インターネット制御メッセージ プロトコル (ICMP) メッセージを含むネットワーク トラフィックが IPsec で保護されるかどうかを判断するには、このオプションを使用します。
ICMP は、ネットワーク トラブルシューティングのツールおよび手順で一般的に使用されます。ネットワーク管理者の多くは、これらのメッセージがブロックされないように、ICMP パケットを IPsec による保護から除外します。
| 重要 |
この設定は、セキュリティが強化された Windows ファイアウォールの IPsec 部分からのみ、ICMP を除外します。ICMP パケットが Windows ファイアウォールを確実に通過できるようにするには、受信規則を作成し、有効にする必要があります。 |
 | 注 |
ネットワークと共有センターでファイルとプリンターの共有を有効にすると、セキュリティが強化された Windows ファイアウォールは、一般的に使用される ICMP パケットの種類を許可するファイアウォール規則を自動的に有効にします。ただし、これによって、ICMP に関連しないネットワーク機能も有効になります。ICMP のみを有効にする場合は、受信 ICMP ネットワーク パケットを許可するように、Windows ファイアウォールに規則を作成し、有効にします。 |
IPsec トンネルの承認
リモート コンピューターからローカル コンピューターへの IPsec トンネル モード接続を作成する接続セキュリティの規則が存在する場合に、そのトンネルを経由したローカル コンピューターへのアクセスを許可または拒否するユーザーやコンピューターを指定するには、このオプションを使用します。[詳細設定] を選択し、[カスタマイズ] をクリックして [IPsec トンネルの承認のカスタマイズ] ダイアログ ボックスを表示します。
ここで指定する承認は、[IPsec トンネリング設定のカスタマイズ] ダイアログ ボックスで [承認を適用する] が選択されているトンネル規則にのみ適用されます。