◆紛らわしいwindowsのパブリックとプライベート◆ | パパケベックの総合ブログ
AmebaAmeba 20th Anniv.ホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

パパケベックの総合ブログ

ブログ記事の内容は、広帯域受信機、ニュース論評、競馬予想と結果、2015年1月からターゲットにされた遠隔テクノロジー犯罪について、パソコン・インターネットの話題、科学技術のニュースなどを書いている。ほかのブログサイトにもブログ開設している。

◆紛らわしいwindowsのパブリックとプライベート◆

◆紛らわしいwindowsのパブリックとプライベート◆


簡単に要約すると以下になる。

プライベート・・・ファイル共有「許可」

パブリック・・・ファイル共有「禁止」


●紛らわしい「パブリック」と「プライベート」、テレワークでのネット設定の落とし穴
安藤 正芳=日経クロステック/日経NETWORK
2021.09.29
https://active.nikkeibp.co.jp/atcl/act/19/00311/082300003/


次の場合、

「社外に持ち出したパソコンをネットワークつなぐときの設定・・・パソコンを家庭ネットワークやホテルの無線LANなどに接続すると、Windowsの画面右に表示される・・・選択画面

「ネットワーク上の他のPCやデバイスが、このPCを検出できるようにしますか?」

「はい」ーーー「Windowsのネットワークプロファイルが「プライベート」として設定」

「いいえ」ーーー「Windowsのネットワークプロファイルが「パブリック」として設定」


この問題は、マイクロソフトの開発者が表示した文言がどの設定がどうなるのか知らないユーザーを相手にしたとき、文言の示すものがわからないためにおこる。

記事の筆者は、「パブリック」と「プライベート」の言葉自体の意味の捉え方を問題にしている。


「一見「プライベート」なネットワークプロファイルになるので、他のパソコンとのファイル共有を禁止できそうだと感じるからだ。」

どうしてマイクロソフトは、「プライベート」でファイル共有を許可する設定の表示にしたのか?


「プライベート」は、個人的なパソコンと言う意味。つまり、企業から貸し与えられたパソコンでもないし、企業の管理するパソコンでもない。

だから、ファイル共有は、プライベートのパソコンが前提で企業のパソコンは、ファイル共有が基本的に禁止、と言うことだろう。

なぜなら、プライベートパソコンは、自宅でパソコン複数使うのが多いからだ。ファイル共有と言うのは、複数のパソコンを一人で使うには重宝する。


少し前、windows10のネットワークプロファイルに「パブリック」と「プライベート」のほかに「社内」と言うのを見たことがあるが、「社内」では、おそらくファイル共有と言うのは、ごく自然の面もあれば、そうじゃない面もあるから、「社内」プロファイルを廃止した時に「プライベート」に「社内」のファイル共有許可をまとめたんじゃないのか?


◆混乱の原因はマイクロソフトの独自仕様のICSとPPPoEとファイル共有にある


SMBは、へぼLinuxのサンバとは異なり、異種間のOSのファイル共有をすんなりとこなせる。

その代わり、PPPoEでパソコンをインターネット直付けにしているパソコンでほかのパソコンにインターネット接続共有させている場合もさせていない場合も、SMBは、インターネットからのアクセス要求にすんなり応じて下手をすると自分のパソコンが世界中のパソコンユーザーの閲覧対象になってしまう危険性がある。

そこでSMBとICSとインターネット接続共有をするパソコンには、ファイアーウォールに特別の設定をする必要がある。それがICMPに応答しない規則とTCP445番ポートへのアクセスを遮断=ポートステルスにする設定である。

その設定は、windows10でも同様。そのため、windows10の新しいバージョンでは、「windowsの機能」のSMB設定には、チェックが入っていない。したがって、「パブリック」と「プライベート」だろうとファイル共有不能状態となる。

つまり、「パブリック」と「プライベート」の区別自体が意味をなさないということだ。

そういうわけでパソコンをほかの場所でネット接続する際の選択画面は、意味がないから標準で「パブリック」でつながるようにしたらいいだけのことだ。

そして、ファイル共有のほうは、その設定を単独で設定可能にしたらいいだけのことだ。

 

◆ファイル共有の大問題


しかし、ファイル共有と言うのは、基本的に、インターネットに対してもローカル内に対しても区別しない!

ファイル共有をローカル内だけに限定したい場合は、ファイアーウォールのSMBの設定プロファイルの「パブリック」を無効に設定するしかない。しかも「プライベート」と「ドメイン」と言うプロファイルの種別があるが、「プライベート」だけのSMB設定を認めてさらに念を入れるために「プライベート」のIPアドレス範囲を指定したほうがいい。


windows10のファイアーウォールの設定プロファイルは、「パブリック」と「プライベート」と「ドメイン」があり、LANデバイスとか接続時に「パブリック」プロファイルを設定しても、ファイアーウォールの設定には、どのプロファイルも有効の状態が多いから、「windowsの機能」のSMBを有効にした途端、そのファイアーウォールが規則通りなら、無関係の第三者がインターネット越しにアクセスして、「デバイスの存在」を確認できる可能性がある。


そういうわけだから、LANデバイスとか接続時に「パブリック」プロファイルを設定しても、ファイル共有自体を有効にすれば、「パブリック」プロファイル=ファイル共有禁止は、否定されるから、

接続時の「ネットワーク上の他のPCやデバイスが、このPCを検出できるようにしますか?」と言う表示は、無意味と言うことだ。

結論的に言えば、接続時に「ネットワーク上の他のPCやデバイスが、このPCを検出できるようにしますか?」の表示とプロファイルの選択自体が必要ないということだ。


◆ファイル共有の設定に必要なこと

それは、ファイアーウォールにインターネットからのアクセスにポートをすべてステルスにすることである。しかもICMPに対してもステルスにしなければならない。

ファイル共有(機能)は、マイクロソフト独自のファイルサーバーと同じことで相手がインターネットでもローカルエリアと区別しない。

つまり、ファイル共有は、インターネットに対しても必要なサービスのポート番号をオープンにする。(相手は、検出可能になる)


小難しい説明は、マイクロソフトのクループポリシーの説明にある。以下に掲載しておく。

+++++++++++++++++++++++

「着信ファイルとプリンターの共有を許可します。このために、UDP ポート 137 および 138、TCP ポート 139 および 445 が Windows Defender ファイアウォールで開かれます。

このポリシー設定を有効にすると、Windows Defender ファイアウォールでこれらのポートが開かれ、印刷ジョブや共有ファイルへのアクセスの要求をこのコンピューターで受信できます。これらの着信メッセージを許可する IP アドレスまたはサブネットを指定する必要があります。コントロール パネルの Windows Defender ファイアウォール コンポーネントで、[ファイルとプリンターの共有] チェック ボックスがオンになり、管理者がこのチェック ボックスをオフにすることはできなくなります。

このポリシー設定を無効にすると、Windows Defender ファイアウォールでこれらのポートがブロックされ、このコンピューターではファイルとプリンターを共有できなくなります。管理者がローカル ポートの例外の一覧に追加することによってポートを開こうとした場合でも、Windows Defender ファイアウォールではポートは開かれません。コントロール パネルの Windows Defender ファイアウォール コンポーネントで、[ファイルとプリンターの共有] チェック ボックスがオフになり、管理者がこのチェック ボックスをオンにすることはできなくなります。

このポリシー設定を未構成にすると、Windows Defender ファイアウォールでは、ポートは開かれません。このため、他のポリシー設定を使用して必要なポートを開かない限り、コンピューターではファイルやプリンターを共有できません。コントロール パネルの Windows Defender ファイアウォール コンポーネントで、[ファイルとプリンターの共有] チェック ボックスがオフになります。管理者はこのチェック ボックスの設定を変更できます。

注: いずれかのポリシー設定によって TCP ポート 445 が開かれる場合、[Windows Defender ファイアウォール: ICMP の例外を許可する] ポリシー設定によってブロックされている場合でも、着信 ICMP エコー要求 (Ping ユーティリティによって送信されるメッセージ) は許可されます。TCP ポート 445 を開くことのできるポリシー設定には、[Windows Defender ファイアウォール: 着信ファイルとプリンターの共有の例外を許可する]、[Windows Defender ファイアウォール: 着信リモート管理の例外を許可する]、および [Windows Defender ファイアウォール: 着信ポートの例外を定義する] があります。」

++++++++++++++++++++++++

上記のマイクロソフトの能書きの最後では、TCP445番ポートについて、ICMPについて重点的に説明がある。

インターネットからは、tcp137などのパケットがやってくるが、パソコンXPは、ステルスになっている。以下の説明では、例外設定でtcp445番ポートだけチェックを外しているが。

 

 


windowsXPでは、「プライベート」「パブリック」「ドメイン」のファイアーウォール設定項目はないが、例外の設定が「スコープ」で設定可能でインターネットからのtcp445に対してステルスに可能。

ICMPについては、別の設定項目で設定する。

 


ちなみに、tcp445ポートをステルスにするとSMBはtcp138とかtcp139などで行われる。その通信は、頻繁に行われる。約10秒ごと。

よくわからないが、tcp445番ポートなしでパソコン間のファイル共有が可能。



============================
パケベックのハンドルネームで以下のブログをやっている。
コメントは、https://ameblo.jp/push-gci/のブログだけで対応することにした。
2019年10月10日。
ameba
https://ameblo.jp/push-gci/
fc2
http://keyhole276p3mhz.blog75.fc2.com/
livedoor
http://blog.livedoor.jp/push_gci/
ameba
https://ameblo.jp/papa-quebeck/
goo
http://blog.goo.ne.jp/push-gci
jugem
http://papa-quebeck.jugem.jp/
cocolog
http://papa-quebeck.cocolog-nifty.com/blog/
hatena
https://papaquebeck.hatenablog.com/
Twiter
https://twitter.com/Target_Quebeck