● Windowsファイアウォール機能で445ポート・あるいはその他のポートを閉じる設定(ランサムウェアその他のウィルス対策として)
※まだ書きかけです。すみません。
※間違ってたらすみません。
目次
★(01)受信側TCP設定(外部から内向きへの通信のTCP設定)
★(02)受信側UDP設定(外部から内向きへの通信のUDP設定)
★(03)送信側TCP設定(内部から外向きへの通信のTCP設定)
★(04)送信側UDP設定(内部から外向きへの通信のUDP設定)
★Windows10とそれ以前のOSの違い
★設定の無効化・無効化
★(01)~(04)すべてで、ローカルポート、リモートポートの445番を遮断してしまうとどうなるか?
★実際にちゃんと閉じられているかのチェック方法
※Shift+TABキー、もしくは、Homeキー、Homeキー+TAB数回、を押すと、目次付近に戻れます。
市販のセキュリティソフトでは一回の設定で終わる場合もありますが、Windowsファイアウォールの場合は、受信側(内向き通信)、送信側(外向き通信)、TCP、UDP、について設定します。
(01)受信側(内向き通信)TCP
(02)受信側(内向き通信)UDP
(03)送信側(外向き通信)TDP
(04)送信側(外向き通信)UDP
の4つを設定します。
まず、コントロールパネル→Windows ファイアウォール にて、設定の準備をします。(「セキュリティが強化されたWindows ファイアウォール」というタイトルのウィンドウが開きます。)
そのあと、(01)~(04)の設定をします。
★(01)受信側TCP設定(外部から内向きへの通信のTCP設定)
(a)画面の左ペイン(ペイン=区画)の「受信の規則」をクリック。
(b)画面の右ペインの「新しい規則」をクリック。ウィザード画面が出ます。
(c)「ポート」に丸ポチを入れて、次へ、を押します。
(d)「TCP」と「特定のローカルポート」に丸ポチが入っていることを確認して「特定のローカルポート」に半角英数で「445」と入れます。入れたら 次へ。
(e)「接続をブロックする」に丸ポチを入れて、次へ。
(f)「ドメイン」「プライベート」「パブリック」のすべてにチェックマークが入ってることを確認して次へ。
(g)「名前」に「445受信TCP-遮断」と入れて「完了」
ウィザード画面が消えて、もとの画面の中央のペインの一番上に、「445受信TCP-遮断」と、今作った設定が出ます。
「操作」の列がに「ブロック」
「プロトコル」の列が「TCP」
「ローカルポート」の列が「445」
となっていることを確認し、大丈夫だったらOKです。
★(02)受信側UDP設定(外部から内向きへの通信のUDP設定)
基本的には前項の手順と同じで、
(d)のところで、「TCP」を「UDP」に選び変えるだけです。
(g)の名前決めも「445受信UDP-遮断」と入れればOKです。
「プロトコル」の列が「UDP」になっていることを確認します。
★(03)送信側TCP設定(内部から外向きへの通信のTCP設定)
(a)画面の左ペイン(ペイン=区画)の「送信の規則」をクリック。
(b)画面の右ペインの「新しい規則」をクリック。ウィザード画面が出ます。
(c)「ポート」に丸ポチを入れて、次へ、を押します。
(d)「TCP」と「特定のローカルポート」に丸ポチが入っていることを確認して「特定のリモートポート」に半角英数で「445」と入れます。入れたら 次へ。
※内向きの時は「ローカルポート」ですが、外向きのときは「リモートポート」になります。
「ローカルパソコン」は自分のことで、「リモートパソコン」は外部のパソコンのことです。
(e)「接続をブロックする」に丸ポチを入れて、次へ。
(f)「ドメイン」「プライベート」「パブリック」のすべてにチェックマークが入ってることを確認して次へ。
(g)「名前」に「445送信TCP-遮断」と入れて「完了」
ウィザード画面が消えて、もとの画面の中央のペインの一番上に、「445送信TCP-遮断」と、今作った設定が出ます。
「操作」の列がに「ブロック」
「プロトコル」の列が「TCP」
「リモートポート」の列が「445」(「ローカルポート」の列ではないので注意してください。)
となっていることを確認し、大丈夫だったらOKです。
★(04)送信側UDP設定(内部から外向きへの通信のUDP設定)
基本的には前項の手順と同じで、
(d)のところで、「TCP」を「UDP」に選び変えるだけです。
(g)の名前決めも「445送信UDP-遮断」と入れればOKです。
「プロトコル」の列が「UDP」になっていることを確認します。
ひとまず以上です。
基本的には、(01)と(02)の受信側の設定をするだけで、直前までフォルダ共有できていたものが瞬時にできなくなります。
ただ、念のために送信側の(03)(04)もやっておきます。
Windows10同士の場合は、この445ポートをこのように遮断するだけで、瞬時にフォルダ共有ができなくなります。
LAN内では他のパソコンから自分のパソコンのアイコンだけは見えますが、中を見ようとすると「アクセスできません。」となります。
Windows10ではフォルダ共有に「445」ポートを使っているらしいので・・・。
なお、Windows8や7でもフォルダ共有に445は使うらしいのですが、445が遮断されたときは、自動的に古い「13×」系のポート(137,138,139)が使われるかもしれないので、フォルダ共有できてしまうかもしれません。
なのでその場合は(ご自分でもテストしてほしいのですが)、Windows10以前のOSでは、フォルダ共有を遮断するのに、「13×」系のポートも445と同じように閉じておきます。
以下のWebページもご参考にしてください。
参考Webページ
「なぜポート137,138,139(NetBIOS,便利な機能)を、フィルタするんですか? 」
http://www.rtpro.yamaha.co.jp/RT/FAQ/Windows/NetBIOS-Filter.html
WindowsVista~8.1くらいまではだいたい同じような設定の方法だと思いますので、多少ご参考になるかと思います。
WindowsXP以前は、ちゃんとした遮断ができないので、セキュリティソフトを入れて、そちら側で遮断する・・・、ということになります。
Windows10の場合は、フォルダ共有に「13×」系のポートを使っていないみたいで、445ポートしか使ってないらしいです。(定かではないのですみません)
なので、Windows10同士だと445ポートを閉じるだけでフォルダ共有ができなくなりますが、他のOSがLAN内に混ざっているとそうではないかもしれません。
なので、どのOSの場合、どのポートを閉じるとフォルダ共有ができなくなるか、ということを色々とチェックしなければならなくなると思います。
また、ランサムウェアは、「445ポートが開いている」かつ「そこから何らかの脆弱性が見つかる」となれば、「フォルダ共有しているしていない、に関わらず」、ワーム感染でLAN内に拡散していき、文書が暗号がされてしまうようです。
世界的に流行した「WanaCry」などはそんな動きをするらしいです。
僕の認識間違いだったとしても、今後、そういう動きをするウィルスは出るはずなので、もしフォルダ共有が必要ない環境なら、445ポートを閉じておけば万がいちWindows Update し忘れても、感染しないケースも半分くらいはあるとおもうので、対策としては有効な気がします。
もちろん、ランサムウェアだけでなく、他のウィルスにも有効な場合もあります。
ちなみに、Windows8や7の場合、
もしテストで「445を閉じてもフォルダ共有ができる」ということなら逆に、
「445を閉じてWindowsUpdateで脆弱性を無くしておけば、フォルダ共有しながらでもランサムウェア感染がLAN内に拡散しない」
という可能性が出てくるので、LAN内の全マシンをWindows8や7にするほうが管理しやすい、というケースも出てくるかもしれません。(未来も含めた全ランサムウェアを防げるわけではないので推奨はしませんが・・・)
もしテストで7でも8でも、445を閉じたらフォルダ共有できなくなった、ということなら、Windows10と同じなので、7や8は混在してもあまり負担にはならないかもしれません。
繰り返しになりますが、以上のことから、今回はWindows10同士のLANが前提での説明でしたので、たまたま
「445ポート遮断=フォルダ共有停止=ランサムウェア・半・拡散防止」、
という図式・イメージになりましたが、Windows10以前のOSは、そういう図式にはまったくならないかもしれないので、そういうパソコンがLAN内に一台でも混ざっていたら、
「445ポート遮断もフォルダ共有停止もランサムウェア・半・拡散防止、も全部分けて考えないといけない」、
ということになります。
その意味では、LAN内の全部のパソコンをWindows10にしてしまうか、もしくは(繰り返しになりますが)、逆に、全部をWindows10をやめて、Windows8や7にしてしまうか、ということを考えるほうが管理自体はラクになるケースもあるかもしれません。(もちろん古いOSを推奨するわけではありませんが・・・)
★設定の無効化・無効化
(01)~(04)の設定を残したまま無効化するには、画面中央の目的の設定をクリックして、右側ペインの「規則の無効化」を押します。
無効化されると、中央のペインの規則の行の先頭の「一方通行」のような絵のアイコンが消えます。ここにそのアイコンがあれば、有効化されている(ここでは「ブロック」されている)ということになります。
複数の規則をCtrl+クリックや、Shift+クリック、などで同時に選択して「規則の無効化」をすれば一括で無効化できます。
有効化に戻すときも同じです。
★(01)~(04)すべてで、ローカルポート、リモートポートの445番を遮断してしまうとどうなるか?
フォルダ共有できるようになってしまいます(^^)
★実際にちゃんと閉じられているかのチェック方法
445番ポートを閉じると、LAN内のパソコンのアイコンがエラーで開けなくなるのでなんとなく安心ですが、本当に遮断されているかを「ポートスキャン」でチェックしてみたいと思います。
ポートスキャンをかけるソフトはいくつかありますが、ここでは、CUIの「Portqry」(マイクロソフト社配布のもの)や、「NetEnum」などを使いたいと思います。
★参考ページ
・ESETのファイアウォール機能で445ポートを閉じる設定(ランサムウェアその他のウィルス対策として)
https://euc-access-excel-db.com/tips/ct07_se/ct071101_security/break-445port