VPS(Virtual Private Server)で Windows マシンをレンタルした際、セキュリティ対策として絶対にやっておきたい Windowsファイアウォールの設定についての記事です。
ゲームのマルチプレイ用サーバーなどの用途でマシンをレンタルした場合、該当のマシンはインターネット上で不特定多数からアクセスできる状態になっていると思います。
また、初期設定では複数のポートが通信可能な状態となっています。
万が一、通信可能なポートを使っている Windows 上のサービスで脆弱性が見つかったり、パスワードがばれてリモートデスクトップでログインされたりすると、悪意のある第三者から攻撃をされたり、他者への攻撃に使われる恐れもあります。
必要のないポートは通信不可とするために全て閉じ、通信に必要なポートはなるべく通信相手を制限するようにしましょう。
目次
すべての[受信の規則]の無効化
初期設定では複数のポートやサービスの通信を許可するようになっています。
まずは全ての通信を拒否した上で必要な通信のみを許可していきます。
Windowsファイアウォールの設定画面を開く
「Windowsキー」+「Rキー」のショートカットキーで [ファイル名を指定して実行] ダイアログを表示します。
その後、テキストボックスに「wf.msc」と入力し、 [OK] を選択します。
[受信の規則] を選択する
すべての[受信の規則]を無効化する
「Ctrl」+「A」キーを入力し、全ての受信の規則を選択状態にします。
その後、右クリックしてコンテキストメニューから [規則の無効化] を選択します。
以上で全ての通信を拒否する状態になります。
以降の手順で、今度は必要な通信を許可していきます。
リモートデスクトップで接続して作業している場合、すべての受信の規則を無効化すると、リモートデスクトップの接続も遮断されてしまいます。
その場合、以下の受信の規則については、「Ctrl」キーを押しながらクリックして選択を外した上で [規則の無効化] をコンテキストメニューから選択してください。
- リモート デスクトップ - シャドウ (TCP 受信)
- リモート デスクトップ - ユーザー モード (TCP 受信)
- リモート デスクトップ - ユーザー モード (UDP 受信)
「リモートデスクトップって何?」という方は気にせず無効化してしまって大丈夫です。
リモートデスクトップの接続制限
リモートデスクトップを使うと、VPSサービス標準のコンソールと比較して画面を広く使えたり、文字列やファイルのコピー&ペーストなども行えるため便利ですが、パスワードがばれて第三者にログオンされると厄介です。
リモートデスクトップを利用する場合は、自宅の IPアドレスからのみ接続を許可するなど、接続元の IPアドレスを制限するようにしましょう。
VPS標準のコンソールを使うなど、リモートデスクトップは使わないという場合は本手順は不要です。
接続元のグローバルIPアドレスの確認
レンタルしたマシンにリモートデスクトップで接続する PC のグローバルIPアドレスを確認してください。
分からない場合、以下のサイトにアクセスすると、グローバルIPアドレスを確認することもできます。
[受信の規則] の有効化と接続元IPアドレスの制限
Windowsファイアウォールの [受信の規則] で以下の規則に対して設定を行っていきます。
- リモート デスクトップ - シャドウ (TCP 受信)
- リモート デスクトップ - ユーザー モード (TCP 受信)
- リモート デスクトップ - ユーザー モード (UDP 受信)
スクリーンショットでは 1つの規則のみを操作していますが、それぞれの規則に対して設定を行います。
プロパティを開く
規則を右クリックして、コンテキストメニューから [プロパティ] を選択します。
もしこの時点で受信の規則が有効になっていない場合、リモートデスクトップ機能自体が無効になっている可能性があります。
リモートデスクトップが有効になっているか確認してください。
[リモートIPアドレス]を設定する
[スコープ]タブを選択し、[リモートIPアドレス]⇒[これらのIPアドレス] を選択し、[追加] をクリックします。
先ほど確認したグローバルIPアドレスを入力し、[OK] をクリックします。
複数人でサーバーを管理していたり、複数の場所からリモートデスクトップで接続するなど、接続する可能性のあるグローバルIPアドレスが複数ある場合は、それぞれグローバルIPアドレスを追加してください。
プロパティを閉じる
[OK] をクリックして、プロパティを閉じます。
必要なポートの許可
ゲーム用のポートなど、レンタルしたマシンの用途に応じて、通信に使用するポートを許可していきます。
以下のスクリーンショットは、マインクラフト(Java版)の許可設定の例です。
TCP の 25565番ポートの通信を許可しています。
[受信の規則] で [新しい規則] を選択する
ポートの通信許可設定を追加する
[ポート] を選択し、[次へ] をクリックします。
許可したい通信プロトコル(TCP/UDP)を選択し、許可したいポート番号を入力後、[次へ] をクリックします。
[接続を許可する] を選択し、[次へ] をクリックします。
ドメイン、プライベート、パブリックが選択されている状態で [次へ] をクリックします。
自分が分かりやすいように受信の規則の名前を入力し、[完了] をクリックします。
皮脂や唾、手垢、汗などで表面は見えない雑菌だらけです。 衛生上も問題ですし、気持ち良く使うためにも、こまめに拭きとってキレイにしましょう。