社内SEの日常

Windows Defenderファイアウォールで特定のWebサイト以外のアクセスをできなくする

更新日:

こんにちは、こんばんは。
KEIです。
先日急に思い立って実行したんですが、
社内のPCを特定のWEBサイトや社内の基幹システム以外アクセスできなくしたら社内SEの私にとって結構安心する環境になるんじゃないかと思いまして色々試したので備忘録踏まえて残しておきます。

さて、思い立ってから調べてみると方法はこんな感じ。

 1.UTMのポリシーでアクセス制御を行う
  IPアドレスやURLベースで通信制限を設けるポリシー設定が可能。

  1. Windows側でのグループポリシー設定
    Windows の「Windows Firewall with Advanced Security」を利用して、特定のポートやIPアドレスのみにアクセスを許可するように、ローカルファイアウォールルールを設定する方法もあります。ただし、この方法はPCごとに設定が必要となるため、規模が大きい場合は手間がかかる。
  2. VLANでのセグメント分離
    もしネットワークがVLAN環境を構築している場合、特定のPCを隔離されたVLANに所属させ、UTMでそのVLANからのアクセス制御を行うことで、他のPCと分離しつつ、厳密なアクセス管理が可能。
  3. DNSベースの制御
    社内のDNSサーバーでアクセス可能なFQDNのみ名前解決できるように設定する方法もあります。ただし、これ単体では十分な制御とは言えないため…

…というような感じのアドバイスを頂戴しました。
当然取りまとめになっているUTMやプロキシサーバで制限をかけるのは綺麗に整いそうだなとも思っていましたが、まず制御かけたいPCもそんなに多くない想定として今回は個々で設定していく方法で試してみようと思いました。

というわけで「Windows Defender ファイアウォール」を利用して制御していきたいと思います。

あくまで思いつきなのでね。
私個人の環境下で行います。(Windows11 Home環境)

「Windows Defender ファイアウォール」を利用して特定のWEBサイトのみ閲覧させるPCにする

まずはコントロールパネルや設定から[システムとセキュリティ] → [Windows Defender ファイアウォール]を探しましょう。

[Windows Defender ファイアウォール]を開いたら [詳細設定] です。

プロファイルの送信接続を全てブロック

① Windows Defender ファイアウォールのプロパティを開く。

② ドメインプロファイル / プライベートプロファイル / パブリックプロファイル 3つの送信接続を許可(既定)→ [ブロック] に変更。

3つともブロックに切り替えるとネットワークへの接続ができなくなるので注意してください。

※同じようにそれぞれ [ブロック] → [許可] に切り替えると復活するのでご安心を

送信の規則で特定のWEBサイトに制限しましょう

①左のサイドバーから [送信の規則] から [新しい規則] で作成していきます。

② [規則の種類] はカスタムを選択、[プログラム] 、[プロトコル及びポート] は今回のWEBサイトの制限では設定しませんので 次へ で飛ばしましょう。

③ スコープでアクセス可能にするIPアドレスを設定していきます。ローカルIPアドレスとリモートIPアドレスの2つがありますが、設定するのは [リモートIPアドレス] 。

[リモートIPアドレス] を [これらのIPアドレス] に変更。

④ [追加] からWEBサイトのIPアドレスを設定。

※今回はGitHubへのアクセスのみを許可しようと思います。

[このIPアドレスまたはサブネット] にGitHubのIPアドレスをサブネット付で入力していきましょう。

勿論、ここに共有サーバーなど社内で許可したいIPアドレスを入力すると制限することができます。

各サイトのIPアドレスの調べ方

コマンドプロンプトより

nslookup github.com

「nslookup WEBサイトのドメイン」

完成です

① 今回はGitHubへの接続を許可するので、[接続を許可する] に切り替えて 次へ

プロファイルの送信接続を全て許可した状態で、ここで [接続をブロックする] を選択すると

GitHubだけを接続できなくすることもできますね。

② 最後に規則の名前を決めて完成です。

↓GitHubのみアクセスできて、他のWEBサイトにはアクセスできない↓

以上が「Windows Defender ファイアウォール」を利用して特定のWEBサイトのみ閲覧させるPCにする 方法でした。

余談

社内でも特定の作業に特化しているようなPCなどが数少ない場合に限ってですが、

設定してしまえば誤った悪意のあるWEBサイトへのアクセスを減らすことができると思います。

プライベートでもお子様が使用するようなPCでしたら、例えば「YouTube」のIPアドレスを調べて設定すればYouTubeのみのアクセスしかできなくなるPCにすることも可能ですね。

因みに下記のプロトコルおよびポート部分で445ポートのみを許可するとSMBのみにアクセス可能にしたり、80、443でhttpポートを遮断したりなどもできます。

特定のWEBサイトのみへのアクセス以外を禁止する方法についてもっと良い方法があれば教えてください。

Please follow and like us:
fb-share-icon
Tweet

おすすめ

Facebook
fb-share-icon
Twitter
Tweet