Windows Update によってファイアウォール ルールが再度有効になるのを防ぐにはどうすればよいですか?

tag-icon tag-icon windows-10 windows-update windows-firewall
Windows Update によってファイアウォール ルールが再度有効になるのを防ぐにはどうすればよいですか?

一部の Windows Update パッケージは、定期的に、受信と送信の両方のファイアウォール ルールをサイレントに再度有効にしますが、ルールを完全に無効にしたり、Windows Update からファイアウォール ルールを変更する権限を削除したりする方法はありますか?

(ルールを削除しても意味がありません。Windows Update によってルールが再作成されます)

自動的に再度有効になり続ける「無意味な」ルールの例: Windows リーディング リスト、MSN スポーツ、ソリティア コレクション、Get Office など。

これは、半パブリック ネットワーク上の Windows 10 マシン用であり、AllJoyn、キャスト サーバー、またはさまざまな XBox ポートは、セキュリティ上の問題以外の何物でもありません。

答え1

(このスレッドは検索エンジンで上位に表示されますが、非常に優れた解決策が見落とされています。少し古い投稿ですが、誰かにとって役立つかもしれません)。

新しいルールを追加するのが簡単すぎるため、通常のように Windows ファイアウォールを使用することは避けてください。これは「ローカル ファイアウォール」と呼ばれ、アプリのテレメトリ、DRM、その他の不要なものをブロックするのに実質的に役に立ちません。これは、プログラムがそれを許可するのが簡単すぎるためです。

代わりに、グループポリシーからWindowsファイアウォールを使用してください。管理者として「gpedit」を実行し、Windows 設定 > セキュリティ設定 > セキュリティが強化された Windows Defender ファイアウォール

これは通常のファイアウォールと同じように見えますが (グループ ポリシー ツールに埋め込まれているだけ)、スクリプト経由で変更することはできません。この時点で、すべてのオプションを注意深く確認し、好みに合わせて設定してください。

最も重要な部分は、各プロファイルの設定をクリックし、ローカルファイアウォールルールを無効にするの中にルールのマージセクション。これらのルールは信頼できないので、ここに含めないでください。

私個人としては、「ローカル ファイアウォール」を完全に無効にして、グループ ポリシー ファイアウォールだけを使用します。率直に言って、両方を管理するのは大変な作業です。サードパーティ製のファイアウォールもそれほど優れているわけではありません。ただし、重要なものについては、専用の Linux または BSD ベースのファイアウォール アプライアンスを使用することをお勧めします。これらは、適切に順序付けられたルールやステートフル ファイアウォールなどを提供します。

答え2

TL;DR: 管理者アクセス権を持つプログラムがファイアウォール ルールを変更するのを阻止することはできません。Windows ファイアウォール制御は、セキュリティ ルール機能を使用して承認しなかった Windows ファイアウォール ルールを自動的に削除または無効にするプログラムです。

問題は、管理者権限で実行されるすべてのプログラムが、Windows ファイアウォールのルールをサイレントに変更できることです。Windows Update には、ユーザーの許可を求めることなくネットワーク トラフィックを送受信できる権利があると考える Firefox、Chrome など多くのプログラムが加わっています。

私が見つけた最良の解決策は、Windows ファイアウォール制御(WFC)はマルウェアバイトに買収2018年現在。Windowsファイアウォールの上に優れたインターフェイスを提供する製品は他にもいくつかありますが、あなたが提起した問題を解決できるのはこれが唯一のものです。この製品には「セキュアルール」と呼ばれる機能があり、特定の承認グループによって作成されていないルールを自動的に無効にします。私はこれを使用して、Windowsファイアウォールコントロールだけがルールを作成できるようにしています。ユーザーガイド仕組みとしては、新しいルールが作成されると Windows ファイアウォール コントロールに通知され、適切なグループに属していない場合は無効になります。

構成は次のようになります

Chrome が更新されると、ルールを追加しようとします。ルールは作成されますが、WFC では自動的に無効になります。 Chromeのアップデートでルールを追加しようとすると、ルールは作成されますが自動的に無効になります

その他の注意事項:

  • WFCは無料ですがオープンソースではありません。私は個人的には喜んでお金を払ってもいいと思っています(競合製品を試すためにそうしたように)が、今後も開発が続けられることを期待しています。
  • 個人的には、新しいプログラムが初めてネットワークにアクセスしようとしたときに通知が表示されるのが気に入っていますが、これは他の類似製品と同様に煩わしいものになると思います。必要な学習モードはありますが、セットアップするにはある程度のネットワーク知識が必要です。
  • Windowsファイアウォールの上に配置されているため、インターネットへのアクセスをブロックするかどうかを確認することができます。これは望ましいことです。
  • パフォーマンス上の問題は一度も感じたことがない

答え3

@Karsten Pedersen の回答への追加: ここに画像の説明を入力してください

そして、実際にローカル FW の現在のルールをファイルにエクスポートし、それをポリシーファイアウォールにインポートすることもできます :-)

答え4

グループ ポリシーでファイアウォール ルールを設定します。これらは機能更新間で保持されます。 GPO を使用して Windows ファイアウォールのポートを開くにはどうすればよいですか?

これらは、次の領域に表示されます: コンピューターの構成 -> 管理用テンプレート -> ネットワーク -> ネットワーク接続 -> Windows ファイアウォール -> ドメイン プロファイル。最近では、icmp (ping) とリモート デスクトップ用の特別なものがあります。

関連情報