昨日、福島市に出張し、ノートパソコンを納品してきました。
WindowsLiveMailではなく、Windows10標準のメールで、お使いになっていたので本文、アドレス帳、アカウントを移設せずに済みました。
だいぶ便利になったんだと感心しました。
ただし、WindowsLiveMailを既存でお使いになっているPCの場合、データ移行が出ないなど課題がありそうです。
さて、システムを運用開始するとき、セキュリティのレベルをどのようにすべきか。気になります。
以前にIT点呼の仕組み、クラウドサーバーの構築を実施した経験があります。
安定運用したにも関わらず、予期せぬトラブルに出くわす時がありませんか。
最近、OS標準のファイアーウォールを無効にして運用してるにも関わらず、勝手に有効になってシステム停止に至ったという事例がありました。
IT点呼システム(Win7)、クラウドサーバーシステム(WinServer2012R2)ともです。
ある担当者は2週間連続して、月曜日に限って、その症状に出くわした状況です。
関係者の皆様には長時間に亘るシステム停止に至ってしまい、大変ご迷惑をお掛けすることになりました。
この場をお借りしてお詫び申し上げます。
申し訳ございませんでした。
何故、勝手にファイアーウォールが有効になったのか原因は不明です。
念のためファイアーウォールに関係するコマンドを調べてみました。
「netsh advfirewall」というコマンドネットでヒットしました。
すべてのプロファイルのファイアウォールを無効にします:
netsh advfirewall set allprofiles state off
ということは
netsh advfirewall set allprofiles state on
とすれば、ファイアーウォールが有効になる
と解釈できます。
一命令文で実行できるという事はOSや他のPGMが勝手に実行したとしか思えません。
勝手に有効になっても良いように通過できるパケットはファイアーウォールに特定して設定したいと思いました。
何かの時のため・・・
自分のPC(Winows10)で調査した「netsh advfirewall」コマンドの一部を載せておきます。
C:\>netsh advfirewall /?
使用できるコマンドは次のとおりです:
このコンテキストのコマンド:
? - コマンドの一覧を表示します。
consec - 'netsh advfirewall consec' コンテキストに変更します。
dump - 構成スクリプトを表示します。
export - ファイルに現在のポリシーをエクスポートします。
firewall - 'netsh advfirewall firewall' コンテキストに変更します。
help - コマンドの一覧を表示します。
import - 現在のポリシー ストアにポリシー ファイルをインポートします。
mainmode - 'netsh advfirewall mainmode' コンテキストに変更します。
monitor - 'netsh advfirewall monitor' コンテキストに変更します。
reset - ポリシーを既定のポリシーにリセットします。
set - プロファイルごとの設定またはグローバルな設定を行います。
show - プロファイルまたはグローバル プロパティを表示します。
利用できるサブコンテキストは次のとおりです:
consec firewall mainmode monitor
コマンドのヘルプを表示するには、コマンドの後にスペースを入れ、
? と入力してください。
C:\>netsh advfirewall set /?
使用できるコマンドは次のとおりです:
このコンテキストのコマンド:
set allprofiles - すべてのプロファイルにあるプロパティを設定します。
set currentprofile - アクティブなプロファイルにあるプロパティを設定します。
set domainprofile - ドメイン プロファイルにあるプロパティを設定します。
set global - グローバル プロパティを設定します。
set privateprofile - プライベート プロファイルにあるプロパティを設定します。
set publicprofile - パブリック プロファイルにプロパティを設定します。
C:\>netsh advfirewall set allprofiles /?
使用法: set allprofiles (パラメーター) (値)
パラメーター:
state - ファイアウォールの状態を構成します。
使用法: state on|off|notconfigured
firewallpolicy - 既定の受信および送信の動作を構成します。
使用法: firewallpolicy (受信の動作),(送信の動作)
受信の動作:
blockinbound - 受信規則に一致しない受信接続を
ブロックします。
blockinboundalways - 接続が受信規則に一致する場合も、
すべての受信接続をブロックします。
allowinbound - 受信規則に一致しない受信接続を
許可します。
notconfigured - 構成されていない状態に値を戻します。
送信の動作:
allowoutbound - 送信規則に一致しない送信接続を
許可します。
blockoutbound - 送信規則に一致しない送信接続を
ブロックします。
notconfigured - 構成されていない状態に値を戻します。
settings - ファイアウォールの動作設定を構成します。
使用法: settings (パラメーター) enable|disable|notconfigured
パラメーター:
localfirewallrules - ローカル ファイアウォールの規則をグループ ポリシー
の規則にマージします。グループ ポリシー ストアの
構成時に有効です。
localconsecrules - ローカル接続のセキュリティ規則をグループ ポリシー
の規則にマージします。グループ ポリシー ストアの
構成時に有効です。
inboundusernotification - プログラムが受信接続をリッスンしたときに
ユーザーに通知します。
remotemanagement - Windows ファイアウォールのリモート管理を
許可します。
unicastresponsetomulticast - マルチキャスト要求に対するステートフル
ユニキャスト応答を制御します。
logging - ログの設定を構成します。
使用法: logging (パラメーター) (値)
パラメーター:
allowedconnections - 許可された接続をログします。
値: enable|disable|notconfigured
droppedconnections - 破棄された接続をログします。
値: enable|disable|notconfigured
filename - ファイアウォール ログの名前と場所を構成します。
値: <文字列>|notconfigured
maxfilesize - 最大ログ ファイル サイズを KB 単位で構成します。
値: 1-32767|notconfigured
注釈:
- すべてのプロファイルの設定を構成します。
- "notconfigured" の値は、グループ ポリシー ストアに対してのみ有効です。
例:
すべてのプロファイルのファイアウォールを無効にします:
netsh advfirewall set allprofiles state off
すべてのプロファイルで、受信接続をブロックし送信接続を許可するように
既定の動作を設定します:
netsh advfirewall set allprofiles firewallpolicy
blockinbound,allowoutbound
すべてのプロファイルで、リモート管理をオンにします:
netsh advfirewall set allprofiles settings remotemanagement enable
すべてのプロファイルで、破棄された接続をログします:
netsh advfirewall set allprofiles logging droppedconnections enable
C:\>