詳細フィルタリングオプション

ファイアウォールおよびネットワーク攻撃保護セクションでは、詳細フィルタリングオプションを設定し、コンピューターに対して実行される可能性があるさまざまな種類の攻撃および脆弱性を検出できます。


note

ブロックされた通信についての脅威の通知を受け取らないことがあります。ファイアウォールログでブロックされたすべての通信を表示する手順については、「ロギングとログからのルールまたは例外の作成」を参照してください。


important

詳細設定(F5) > ネットワーク保護 > ファイアウォールおよび詳細設定(F5) > ネットワーク保護 > ネットワーク攻撃保護で使用可能な特定のオプションは、ファイアウォールモジュールのタイプとバージョン、およびオペレーティングシステムのバージョンによって異なる場合があります。

icon_section 許可するサービス

このグループの設定は、信頼ゾーンからこのコンピュータのサービスにアクセスするための構成を簡素化するためのものです。ほとんどが定義済みファイアウォールルールを有効または無効にします。

信頼ゾーンでファイルとプリンタの共有を許可 - 信頼済みゾーン内のリモートコンピュータに共有ファイルおよび共有プリンタへのアクセスを許可します。

信頼ゾーンでのシステムサービスに対するUPNPを許可 - システムサービスに関して受信および送信されるUPnPプロトコルの要求を許可します。UPnP(ユニバーサルプラグアンドプレイ。Microsoft Network Discoveryとも呼びます)は、Windows Vista以降のオペレーティングシステムで使用されています。

信頼ゾーンでの内向きのRPC通信を許可 - 信頼ゾーンからのTCP接続を有効にして、MS RPC PortmapperおよびRPC/DCOMサービスへのアクセスを許可します。

信頼ゾーンでのリモートデスクトップを許可 - Microsoft Remote Desktop Protocol (RDP)プロトコル経由の接続を有効にし、RDPを利用するプログラム(リモートデスクトップ接続など)を信頼ゾーン内のコンピューターで使用して、お使いのコンピューターにアクセスすることを許可します。信頼できるゾーン外データベースRDP接続を許可する方法も参照してください。

IGMP経由でのマルチキャストグループへのログインの有効化 - IGMPプロトコル(インターネットグループ管理プロトコル)を使用するプログラムによって生成されたビデオストリーミングなど、内向きおよび外向きのIGMPおよび内向きUDPマルチキャストストリームを許可します。

ブリッジ接続の通信を許可する – ブリッジ接続を終了しないようにするには、このオプションを選択します。ブリッジされたネットワークは、ホストコンピューターのイーサネットアダプターを使用して、ネットワークに仮想マシンを接続します。ブリッジされたネットワークを使用すると、仮想マシンは、ネットワーク上の物理コンピューターであるかのように、ネットワーク上の他のデバイスにアクセスでき、その逆も可能です。

信頼ゾーンでのシステムサービスに対する自動Webサービス探索(WSD)を許可 - 信頼ゾーンからファイアウォールを通じてWebサービス探索要求の送受信を行うことを許可します。WSDは、ローカルネットワーク上でサービスを見つけるために使用されるプロトコルです。

信頼ゾーンでマルチキャストアドレスの解決を許可(LLMNR) - LLMNR(リンクローカルマルチキャスト名前解決)とは、DNSサーバーやDNSクライアントを設定しなくてもIPv4とIPv6の両方のホストで同じローカルリンク上のホストの名前解決が可能な、DNSパケットベースのプロトコルです。このオプションでは、信頼ゾーンからファイアウォールを通じたDNS要求の受信が許可されます。

Windows 7ホームグループサポート - Windows 7以降のオペレーティングシステムのホームグループサポートを有効にします。ホームグループは、ホームネットワーク上のファイルやプリンタを共有できます。ホームグループを構成するには、[スタート] > [コントロール パネル] > [ネットワークとインターネット] > [ホームグループ]に移動します。

icon_section 侵入検出

[プロトコル SMB]- SMBプロトコルのさまざまなセキュリティの問題を検出してブロックします。

不正サーバーチャレンジ攻撃認証を検出 - 認証の際にユーザー認証を取得しようとして不正なチャレンジを使用する攻撃から保護します。

名前付きパイプを開くときのIDS回避を検出 - SMBプロトコルでMSRPC名前付きパイプを開くために使用される既知の回避方法を検出します。

CVE検出 (Common Vulnerabilities and Exposures) - SMBプロトコルでのさまざまな攻撃、フォーム、セキュリティホール、悪用に関する実装済みの検出方法です。CVE識別子(CVEs)に関する詳細については、cve.mitre.orgのCVE Webサイトを参照してください。

プロトコルRPC - 分散コンピューティング環境(DCE)のために開発されたリモートプロシージャコールシステムでのCVEを検出してブロックします。

プロトコルRDP - RDPプロトコルでさまざまなCVEを検出してブロックします(前記を参照)。

ARPポイズニング攻撃を検出 - 中間者攻撃によるARPポイズニング攻撃の検出、またはネットワークスイッチにおける盗聴の検出。ARP(アドレス解決プロトコル)は、Ethernetアドレスを決定するためにネットワークアプリケーションまたはデバイスによって使用されます。

TCPポートスキャニング攻撃を検出 - ポートスキャニングソフトウェア、すなわち、アクティブなポートを見つけてサービスの脆弱性を悪用することを目的として、広い範囲のポートアドレスにクライアント要求を送信し、ホストの開いているポートを調べるように設計されたソフトウェアによる攻撃を検出します。この攻撃の詳細については、「用語集」を参照してください。

攻撃を検出したら安全ではないアドレスを遮断 - 攻撃の元であると検出されたIPアドレスは、一定の時間、接続を遮断するためにブラックリストに追加されます。

攻撃の検出後に通知を表示 - 画面の右下にあるシステムトレイ通知が無効になります。

セキュリティホールに対する受信攻撃の通知も表示 - セキュリティホールに対する攻撃が検出された場合や、脅威によってこの方法でシステムに侵入する試みが行われた場合に通知します。

icon_section パケットのチェック

SMBプロトコルでの管理用共有への内向き接続を許可 - 管理用共有は、既定のネットワーク共有で、システム内のハードドライブのパーティション(C$D$、...)をシステムフォルダ(ADMIN$)と共有します。管理用要求への接続を無効にすると、多くのセキュリティリスクが低下します。たとえば、Confickerワームは管理用共有に接続するためにディクショナリアタックを行います。

古い(サポート対象外) SMBダイアレクトを遮断 - IDSによってサポートされていない古いSMBダイアレクトを使用するSMBセッションを遮断します。最近のWindowsオペレーティングシステムは、Windows 95などの古いオペレーティングシステムとの後方互換性を確保するために、古いSMBダイアレクトをサポートしています。攻撃者は、SMBセッションで古いダイアレクトで使用することにより、トラフィック検査を逃れることができます。お使いのコンピュータで古いバージョンのWindowsを搭載したコンピュータとファイルを共有する必要がない場合は(または通常のSMB通信を使用)、古いSMBダイアレクトを遮断してください。

拡張セキュリティのないSMBセキュリティを遮断 - SMBセッションネゴシエーションの際、LAN Managerチャレンジ/レスポンス(LM)認証よりも安全な認証メカニズムを提供するために、拡張セキュリティを使用できます。LMスキームは、脆弱であると考えられ、使用は推奨されません。

SMBプロトコルで信頼ゾーンの外部にあるサーバ上の実行可能ファイルをオープンすることを遮断 - ファイアウォールの信頼ゾーンに属していないサーバー上の共有フォルダにある実行可能ファイル(.exe、.dll)を開こうとすると、接続がドロップされます。信頼できるソースから実行ファイルをコピーすることは合法ですが、この検出によって不審なファイルが悪意のあるサーバーで開かれるリスクを低減します(共有された悪意のある実行ファイルへのハイパーリンクをクリックして開くファイルなど)。

信頼ゾーン内にあるサーバーへの接続に対するSMBプロトコルでのNTLM認証を遮断 - NTLM (両方のバージョン)認証スキームを使用するプロトコルは、資格情報転送攻撃(SMBプロトコルではSMBリレー)攻撃の対象になります。信頼ゾーンの外側にあるサーバーでのNTLM認証を遮断すると、信頼ゾーンの外側にある悪意のあるサーバーによって資格情報が転送されるリスクが軽減されます。同様に、信頼ゾーン内のサーバーによるNTLM認証を遮断することも考えられます。

セキュリティアカウントマネージャー(SAM)サービスとの通信を許可 - このサービスの詳細については、[MS-SAMR]を参照してください。

ローカルセキュリティ機関(LSA)サービスとの通信を許可 - このサービスの詳細については、[MS-LSAD][MS-LSAT]を参照してください。

リモートレジストリサービスとの通信を許可 - このサービスの詳細については、[MS-RRP]を参照してください。

サービスコントロールマネージャサービスとの通信を許可 - このサービスの詳細については、[MS-SCMR]を参照してください。

サーバーサービスとの通信を許可 - このサービスの詳細については、[MS-SRVS]を参照してください。

他のサービスとの通信を許可 - MSRPCは、MicrosoftによるDCE RPCメカニズムの実装です。また、MSRPCでは、転送(ncacn_np転送)のためにSMB(ネットワークファイル共有)プロトコルで名前付きパイプを使用できます。MSRPCサービスには、Windowsシステムをリモートからアクセスして管理するためのインタフェースが用意されています。Windows MSRPCシステムに関しては、いくつかのセキュリティ上の脆弱性が発見、悪用されてきました(Confickerワーム、Sasserワームなど)。多くのセキュリティリスク(リモートコード実行、サービス拒否攻撃など)低下させるために、提供する必要がないMSRPCサービスとの通信は無効にしてください。