グループ ポリシーを使用して セキュリティが強化された Windows ファイアウォールのポリシーを変更する場合の注意事項

  • Article

セキュリティが強化された Windows ファイアウォールの設定を配布する場合の注意点を紹介致します。

 

グループ ポリシーの管理 (gpmc.msc) から GPO の [編集] を選択し、グループ ポリシー管理エディターを起動、「図 1. セキュリティが強化された Windows ファイアウォール配下」のツリー配下の項目を編集することで、セキュリティが強化された Windows ファイアウォールの設定を変更・配布することが可能です。

gpo

  図 1. セキュリティが強化された Windows ファイアウォール配下

 

しかし、エディターを閉じずに続けて 「図 2. 管理用テンプレート配下」 のツリー配下の項目を続けて編集すると、「図 1. セキュリティが強化された Windows ファイアウォール配下」のツリー配下の項目の変更内容が削除されます。

gpo2

          図 2. 管理用テンプレート配下

 

これは、セキュリティが強化された Windows ファイアウォールの ポリシー編集内容の一時保存領域が、管理用テンプレートのポリシー編集によって初期化されることにより発生致します。

 

セキュリティが強化された Windows ファイアウォールの ポリシー編集内容は、レジストリ上に一時的な GUID として格納されます。

その後、管理用テンプレートのポリシー編集内容を保存する際に、新たに別の GUID を使用して保存を行いますが、このタイミングで前の GUID とのハンドルは削除され、編集内容も初期化されます。

これは、セキュリティが強化された Windows ファイアウォールの ポリシー編集内容を保護するセキュリティ強化の観点から発生する、仕様の動作となっております。

 

回避策について

セキュリティが強化された Windows ファイアウォールの ポリシーを最後に編集するか、またはセキュリティが強化された Windows ファイアウォールの ポリシーを別の GPO として作成いただくことで、上記の現象を回避できます。

恐れ入りますが、上記のご検討をよろしくお願い申し上げます。