● Windows10にて、セキュリティソフトが無く、Windowsファイアーウォール のみで「Free Spot」などの公衆WiFiスポットに接続したい場合の侵入防止対策
※まだ書きかけです。すみません。
※間違ってたらすみません。
目次
★ Windowsファイアーウォールの設定
★ 外部からの不正侵入アクセスをブロックする設定(侵入防止設定)
★ 念のため「ゲストアカウント」や「Administrator」が無効になっているかを確認
★ 実際に無線スポットに接続
★ 無線接続後のプライベートネットワークからパブリックネットワークへの変更(必要に応じて)
★ やっといたほうが無難かもしれないチェックと設定
※Shift+TABキー、もしくは、Homeキー、Homeキー+TAB数回、を押すと、目次付近に戻れます。
※この記事は、「ワークグループ」LANとしての説明です。ホームグループに関する説明はしていません。
例えば 旅先などで、WiFiのポケットルーターを忘れてしまった際に、ホテルなどで「Free Spot(バッファローの)」やその他の公衆WiFiスポットに接続したい場合の、不正侵入防止対策についてです。
バッファローさんがやっている「Free Spot」の場合は、接続したパソコン間での通信ができないようになっている無線親機の場合もあるそうですが、そうじゃない場合もあるそうです。また、「Free Spot」になりすました公衆WiFi回線も無いとは言えずやはり危険なので、対策はしておいたほうが無難かと思います。
(「パソコン間のセキュリティがちゃんとしている Free Spot の親機 を使っているかどうか?」は、親機の設置店舗のオーナーさんに直接聞いたほうが確実ですので必ず聞くようにします。「わかってない」かもしれないのでもしそうだったら必ず以降のセキュリティ設定を全部やります。)
一般的には、公衆WiFi回線につながったパソコン同士の通信を禁止する機能は無いのが普通だと思いますので・・・、また、悪意を持った人間が データを覗き見したりぬ盗んだりするために、わざと設置した公衆WiFi回線もありますので、かなりの注意が必要です。
では以降、『 Windows10にて、セキュリティソフトが無く、Windowsファイアーウォール のみで Free Spot などの公衆WiFiスポットに接続したい場合の侵入防止対策 』についてお話をさせて頂きます。ただ、不足する設定もあるかもしれませんので、ここに書いてある以外のことも、ご自分でも調べてみてください。
★ Windowsファイアーウォールの設定
ここでは Windowsファイアーウォール は既定(デフォルト)の設定になっていて特にいじってないことが前提です。
とくにいじってなければ既定値に戻す必要はありませんが、動作チェックの目的等々で既定値にしたい場合は次のように操作します。
コントロールパネル
→Windowsファイアウォール
→画面左側の「既定値に戻す」
→「既定の設定に復元」にて「既定値に戻す」ボタンを押す
→もとのWindowsファイアウォールの画面に戻るのでそれで完了です。
これですべての設定が消えてなくなり、すべて初期設定に戻ります。
※セキュリティソフトは入ってないという想定ですので、「Windowsファイアーウォールが不正侵入防止用のソフト」・・・、ということになります。
★ 外部からの不正侵入アクセスをブロックする設定(侵入防止設定)
この設定をしておくと、「たとえ共有フォルダ設定がしてあったとしても、また、他のパソコンから自分のパソコンのアイコンが見えていたとしても」、「アクセスできません」という旨のエラーで自分のパソコンは開けない上に、もちろん共有フォルダ自体も見られない、という状態にできます。
バッファローの「Free Spot」、その他の公衆WiFiに接続する前には、必ずやっておかないといけない設定です。
では、以降、やりかたです。
「コントロールパネル」→「ネットワークと共有センター」→「共有の詳細設定」にて。
まず、「プライベート」、「ゲストまたはパブリック」、「すべてのネットワーク」の現在の設定を全部メモします。(画面キャプチャでのメモでももちろんOKです)
その後、以下の項目にチェックを入れます。
「プライベート」
ネットワーク探索を無効にする
ファイルとプリンタの共有を無効にする
「ゲストまたはパブリック」
同上
「すべてのネットワーク」
パスワード保護共有を有効にする(「無効」だと、基本的にはパスワード無しで共有フォルダが見れてしまうので)
以上の設定項目にすべて丸ポチを入れて、最後に、「変更の保存」ボタンを押します。
以上です。
基本的には、前述のように 探索と共有を無効にすれば、PCアイコンは表示されても中に入ろうとすると「アクセスできません」、とブロックしてくれます。
※ 補足
本当は、「プライベート」と「ゲストまたはパブリック」のいずれか(現在使っているほうのモード)だけで 探索と共有を無効にすればいいのですが、このあと実際に無線につないだときに、本当にはパブリックにしたいのに間違ってプライベートにしてしまった時のことを考えて、一応、両方とも探索と共有を無効にしておきます。
もし「パスワード保護共有を無効にする」がOFFになってしまっていることに気づけていない場合、探索と共有が有効になっているだけで、パスワード無しでも共有フォルダを他人に全部見られてしまいますので…。
ワークグループ名の設定が違っていても、同じネットワーク上にあるパソコンを調べてそれにアクセスするのはクリック2、3回でできるくらい超簡単なので、かなり危険ですので、探索と共有は「プライベート」も「ゲストまたはパブリック」も無効にしておいてください。
無線スポットから切り離してしばらくは使わないとなったときだけ、探索と共有の設定をもとに戻します。
★ 念のため「ゲストアカウント」や「Administrator」が無効になっているかを確認
まず、必ず、コントロールパネルのネットワークの共有設定で「パスワード保護共有を有効にする」に設定します。Guestアカウントが勝手に復活しないようにするためです。
そして Pro以上のエディションでは以下の通りにします。
コントロール パネル→管理ツール→コンピュータの管理、にて。
ローカルユーザーとグループ→ユーザー→「Guest」をダブルクリックします。
もし「アカウントを無効にする」にチェックが入っていなかったら、入れて、OK します。
「Administrator」も同様に、もし「アカウントを無効にする」にチェックが入っていなかったら、入れて、OK します。
HOMEエディションでは、以下のとおりにします。(Pro以上でも使える方法です。)
・Windows10のHome エディションでもPro以上エディションでも「Guest」アカウントを無効にしておく方法(公衆WiFi回線に接続するときやランサムウェア等の対策として)
https://euc-access-excel-db.com/tips/ct07_se/ct071101_security/guest-invalid
接続直後に「このネットワーク上の他のPCやデバイスが、このPCを検出できるようにしますか?」と聞かれたら、「いいえ」を選ぶ。
これでセキュリティが若干だけ厳しめの「パブリックネットワーク」のモードになります。
※もし「このネットワーク上の他のPCやデバイスが、このPCを検出できるようにしますか?」と出なかったら次項へ。
★ 無線接続後のプライベートネットワークからパブリックネットワーク(ゲストまたはパブリック)への変更(必要に応じて)
前項でどっちになったか分からなくなってしまったときや、再度、チェックをしたい場合は、手動でパブリックネットワークの確認と設定をすることができます。
まず確認方法は以下です。
「コントロールパネル」→「ネットワークと共有センター」→「共有の詳細設定」にて。
「プライベート」と「ゲストまたはパブリック」のいずれかのうち「現在のプロファイル」と表示されたほうが、今現在のモードです。
もし「プライベート」が「現在のプロファイル」になってしまっていた場合は、「ゲストまたはパブリック」のほうを「現在のプロファイル」に手動で変えます。
そうすることで「パブリックネットワーク」のモードになります。
再設定の仕方は以下をご参考に。プライベートネットワークとパブリックネットワークの違いについても書かれています。
【設定方法】
Windows 10では、「設定」で簡単に切り替えることができます。 現在のモードは、「設定」や「コントロールパネル」で確認できます。
1607や1703での変え方は以下の通りです。
1. 「スタートボタン」をクリックします。
2. 「設定」をクリックします。
3. 「ネットワークとインターネット」をクリックします。
4. 「イーサネット」をクリックします。(無線の場合は「WiFi」をクリックします。)
5. 「ネットワーク名の書かれたアイコン」をクリックします。
(「接続済み」と表示されたパソコンのアイコンです。「未接続」は違います。もし「未接続」だったら、イーサネットならWiFiを、WiFiならイーサネットのほうで「接続済み」と表示されたアイコンが無いかを探します。)
6. 「このPCを検出可能にする」の検索にあるスイッチをクリックします。
スイッチの意味は以下の通りです。
オン:プライベートモード(=「プライベート」)
オフ:パブリックモード(=「ゲストまたはパブリック」)
・ゲストアカウントを無効にします。
https://euc-access-excel-db.com/tips/ct07_se/ct071101_security/free-spot-security#lbl_61
https://euc-access-excel-db.com/tips/ct07_se/ct071101_security/guest-invalid
※「ゲストまたはパブリック」から「プライベート」に変えたいときの別の方法
コントロールパネル→ホームグループ→ネットワークの場所の変更→いいえ、でも設定変更できます。
ただ、「プライベート」から「ゲストまたはパブリック」にはここからは戻せないようです。
これまでの設定をしておけば、まず自分のパソコンの中には入り込まれないとは思いますが、無線への接続が成功したら、いったん接続を切って、念のために以降の設定をしたのち、それから再度、無線に接続してインターネットなどを利用します。
(01)念のために、Cドライブの「ユーザー」フォルダやその中の「パブリック」フォルダの共有のOFF
「ユーザー」フォルダ(C:\Usersフォルダ)の中の「パブリック」フォルダは、デフォルトで「共有される設定」になっています。
つまり、このことを知らないと、無料のWiFiスポット(FreeSpotなど)に接続したときに、運悪く、侵入防止の設定をしてなかった場合、パブリックフォルダのデータが盗み放題になってしまいます。ですので、万が一、中に入られても何もデータを見えなくするために、この設定をしておきます。
まったく使った覚えがないのならいいのですが、他の従業員やご家族など、誰かが知らないうちに勝手に使っていた、ということもあるかもしれないので現状だけでも必ずチェックしておきます。
ここでは「セキュリティソフトが無い」という想定ですので面倒かもしれませんが、以降の共有設定をすべてOFFにしておいたほうが安心です。
(ESETなど、市販のセキュリティソフトを入れておくと、これらの設定をOFFにしなくても、コンピュータにアクセスできないようにできるのでラクです。)
まず、「パブリック」フォルダのおせっかい共有のOFFをします。次の手順です。
コントロール パネル→すべてのコントロール パネル項目→ネットワークと共有センター→共有の詳細設定 にて。
「すべてのネットワーク」をクリック
「パブリックフォルダーの共有」のところに着目します。
「パブリックフォルダーの共有を無効にする(・・・)」にチェックが入っていなかったら入れます。
また、念のために、「パスワード保護共有を有効にする」にもチェックを入れておきます。
「変更の保存」ボタンを押します。
これで1つめは完了です。
で、これだけだと・・・、こちらも 何かの間違いで誰かが勝手に「USERS」フォルダや「パブリック」フォルダを、別のルートから「共有」設定してしまっていたときにそれが解除できず、同じく丸見えになってしまうので、それも必ずチェックしてOFFにしておきます。(危険度としてはこちらのほうが高いです。特に「USERS」フォルダが共有設定になっていると、すべてのユーザーアカウントのデータが丸見えになってしまいますので・・・。前述の1つめの設定をOFFにしてあっても、こちらの設定がONになっているとデータは丸見えになってしまいます。)
チェックと設定設定は以下の通りです。
まずCドライブの「USERS(=「ユーザー」)」フォルダからです。
Cドライブの「USERS(=「ユーザー」)」フォルダを右クリック
→「プロパティ」
→「共有」タブ
→「詳細な共有」ボタン
→「このフォルダーを共有する」にもしチェックが入っていたらはずす
→OKします。
「USERS(=「ユーザー」)」フォルダの中の「パブリック」フォルダも、同様に右クリックし、「共有」タブを確認して、「このフォルダーを共有する」にもしチェックが入っていたらはずします。
(02)念のために その他の共有フォルダのOFF
こちらもご自分は共有設定なんてした覚えがないけど、でも実際には「他の従業員やご家族など 誰かが知らないうちに勝手に使っていた・・・」、ということもあるかもしれないので必ずチェックしておきます。
手動、または、バッチファイルなどで共有フォルダのOFFを実施します。
※FreeSpotから切り離したあとは、また共有をONにします。
※共有フォルダのON/OFFの仕方はこちらをご参考にしてください。--------------------------
(03)念のために445ポートを閉じておく
WiFi FreeSpot に接続している他人のパソコンが運悪くランサムウェアなどに感染していると、445ポート経由でうつってしまうことがあります。
ランサムウェア以外にも445ポートを狙うウィルスがあるそうなので、そういうものに対する対策としても445ポートを閉じておきます。
Windowsファイアウォールでのやり方は少しお待ちください。
ここでのTipsとしてはふさわしくないですが、一応、ESETセキュリティのバージョン10でのやりかたはこちらです。
● ESETのファイアウォール機能で445ポートを閉じる設定(ランサムウェアその他のウィルス対策として)
https://euc-access-excel-db.com/tips/ct07_se/ct071101_security/break-445port
★ 関連記事
● Win10にて、セキュリティソフト「ESET」での、パスワードの無いWiFiのFreeSpotに接続するときの設定
https://euc-access-excel-db.com/tips/ct07_se/ct071101_security/eset-free-spot
