Windows 10 / Windows Server 2016 以降で、Windows ファイアウォールが意図せず有効化される原因と対処方法

Last Update: feedback 共有

本記事は 2020 年 6 月 29 日に公開された記事を本ブログに移行した記事になります。

こんにちは。日本マイクロソフトサポートです。

Windows 標準のセキュリティ機能である Windows (Defender) ファイアウォールは、既定で有効の状態になっており、弊社では有効の状態でご利用いただくことをおすすめしておりますが、お客様の環境に応じて無効に変更した状態でご利用いただいている場合があります。

この状態でご利用いただいているお客様から、「意図せずファイアウォールが有効化された」とのお問い合わせをいただくケースがあります。

この記事では、なぜファイアウォールが有効化される場合があるのか、有効化を事前に抑止する方法の 2 点についてご案内します。

—- (1) Windows ファイアウォールが意図せず有効化される動作についての弊社ナレッジについて

Windows ファイアウォールが有効化された原因を厳密に特定するには、事象が発生したときのシステム内部動作の情報を採取して解析することが必要なため、有効化がすでに発生してしまった時点からさかのぼって調査することは困難です。

他方、過去の弊社調査事例から、どのような場合にお客様から見て「Windows ファイアウォールの設定が意図せず有効化された」と状態になるのかは、ナレッジとして把握できているため、それらの既知のナレッジと、Windows ファイアウォールのイベント ログをあわせて参照することで、なぜ有効化されたのか、事後的にも一定程度の状況把握が可能です。

具体的な既知のシナリオとしては以下の 2 つがあります。これらは、システムの動作としてはセキュリティ面を考慮して意図されたものですが、直接 Windows ファイアウォールの有効化を実行する操作ではないため、お客様から見て「意図しない」変更になっている場合があります。

(A) 新しいネットワークに接続したときに表示されたネットワークの場所の選択ダイアログで、ユーザーが「いいえ」を選択したときに、「パブリック」のプロファイルでファイアウォールが有効化される
(B) ユーザーがコントロール パネルから [共有の詳細設定] で [ネットワーク探索] または [ファイルとプリンターの共有] を変更したときに、該当の操作を行ったプロファイルのファイアウォールが有効化される

(A) の場合に表示される選択ダイアログの例

Windows ファイアウォールのイベント ログには、以下のように、ファイアウォールが有効化された日時と変更したアプリケーション名が記録されます。
これにより、有効化が発生したときのある程度の状況が把握できます。

<イベント ログの場所>
[アプリケーションとサービス ログ] - [Microsoft] - [Windows] - [Windows Firewall With Advanced Security] - [Firewall]

<記録例>
情報 2020/xx/xx xx:xx:xx Windows Firewall With Advanced Security 2003 なし
パブリック プロファイルの Windows Defender ファイアウォールの設定が変更されました。
新しい設定:
種類: Windows Defender ファイアウォール を有効にします
値: はい
変更したユーザー: S-1-5-21-xxx
変更したアプリケーション: C:\Windows\System32\dllhost.exe

上記 2 つの既知シナリオでは、ファイアウォールの有効化を実行したプログラム名として、”dllhost.exe” が記録されることが把握されています。
加えて、(A) では、ファイアウォールが有効化されるのは「パブリック」プロファイルのみであり、同時に、新しいネットワークが認識されたことを示すログが同じ時刻の別のイベント ログに記録されるため、これらを参照することで、該当の状況になっていたか、一定の確度で判断することができます。

<イベント ログの場所>
[アプリケーションとサービス ログ] - [Microsoft] - [Windows] - [NetworkProfile] - [Operational]

<記録例>
情報 2020/xx/xx xx:xx:xx NetworkProfile 4002 識別の待機
次の状態に移行中です: ネットワークを識別しました インターフェイス GUID: {xxxx}

情報 2020/xx/xx xx:xx:xx NetworkProfile 10000 なし
ネットワークが接続されました
名前: ネットワーク 3 // この部分が通常と異なるネットワーク名になっている
説明: ネットワーク
種類: 管理されていない
状態: 接続済み,IPV4 (ローカル)
カテゴリ: パブリック

—- (2) 意図せずファイアウォールが有効化される動作の抑止方法について

グループ ポリシーで以下を設定いただくことにより、弊社で把握している 2 つの既知のシナリオについては、Windowsファイアウォールが意図せず有効化される動作が抑止できることが確認されております。
(ドメイン/ローカル いずれのポリシーでも設定可能です。)
ファイアウォールが有効化される動作の発生を防ぐ観点からは、こちらの対応をまずご検討ください。

<設定方法>
グループ ポリシー エディターで以下の項目を参照し、設定対象のプロファイル タブの Windows ファイアウォールの状態を [無効] に設定します。

項目:[コンピューターの構成] - [Windows の設定] - [セキュリティの設定] - [セキュリティが強化されたWindows ファイアウォール] - [セキュリティが強化されたWindows ファイアウォール - xxxx] - [プロパティ]

併せて、以下の設定も実施いただくことで、新しいネットワークに接続した際、ユーザーに確認を求めるダイアログを非表示にすることも可能です。併せてご検討ください。

項目:[コンピューターの構成] - [セキュリティの設定] - [ネットワーク リスト マネージャー ポリシー]
設定:「すべてのネットワーク」を選択し、「ユーザーのアクセス許可」の「ネットワークの場所」を「ユーザーは場所を変更できない」に設定

—- (3) (参考)新しいネットワークが接続されたと認識されるタイミング

Windows では、Network Location Awareness (NLA) というサービスが動作することで、現在接続されている種類を自動判別しています。

以下の条件で動作し、ネットワークの場所の判定が行われます。

A. OS 起動後、ユーザーがログオンした
B. 異なるネットワークに接続した
C. LAN ケーブルの切断と接続、または、無線接続の切断と接続を行った
D. NIC を無効から有効の状態に変更した
E. NLA サービスを再起動した
F. 端末が認証を必要とするホット スポットなどのネットワーク環境に移動された
G. 端末のルーティング構成が変更された

[特記事項]
本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。