Windowsでリモートデスクトップを有効にして保護する方法
多くの選択肢がありますが、Microsoftのリモートデスクトップは他のコンピュータにアクセスするための完全に実行可能なオプションですが、正しく保護する必要があります。推奨されるセキュリティ対策が講じられた後は、Remote Desktopはオタクが使うべき強力なツールであり、このような機能のためにサードパーティのアプリをインストールするのを避けることができます。.
このガイドとそれに付随するスクリーンショットは、Windows 8.1またはWindows 10用に作成されています。ただし、次のエディションのWindowsのいずれかを使用している限り、このガイドに従うことができるはずです。
- Windows 10 Professional
- Windows 8.1 Pro
- Windows 8.1エンタープライズ
- Windows 8エンタープライズ
- Windows 8 Pro
- Windows 7 Professional
- Windows 7エンタープライズ
- ウィンドウズ7アルティメイト
- ウィンドウズビスタビジネス
- Windows Vista Ultimate
- Windows Vistaエンタープライズ
- Windows XP Professional
リモートデスクトップを有効にする
まず、リモートデスクトップを有効にして、どのユーザーがコンピュータにリモートアクセスできるかを選択する必要があります。 Windowsのキーを押しながらRキーを押してファイル名を指定して実行プロンプトを表示し、「sysdm.cpl」と入力します。
同じメニューに移動するもう1つの方法は、スタートメニューに「このPC」と入力し、「このPC」を右クリックして、「プロパティ」に移動することです。
どちらの方法でもこのメニューが表示されます。ここでRemoteタブをクリックする必要があります。
「このコンピュータへのリモート接続を許可する」とその下のオプション「ネットワークレベル認証を使用してリモートデスクトップを実行しているコンピュータからの接続のみを許可する」を選択します。
ネットワークレベル認証を要求する必要はありませんが、そうすることでMan in the Middle攻撃からあなたを保護することによってあなたのコンピュータをより安全にします。 Windows XPと同じくらい古いシステムでもネットワークレベル認証を使ってホストに接続できるので、それを使用しない理由はありません。.
リモートデスクトップを有効にすると、電源オプションについて警告が表示される場合があります。
その場合は、必ず[電源オプション]へのリンクをクリックして、コンピュータがスリープまたは休止状態にならないように設定してください。手助けが必要な場合は、電源設定の管理に関する記事を参照してください。.
次に、「ユーザーの選択」をクリックします。
Administratorsグループのすべてのアカウントは既にアクセス権を持っています。他のユーザーにリモートデスクトップアクセスを許可する必要がある場合は、[追加]をクリックしてユーザー名を入力してください。.
[名前の確認]をクリックしてユーザー名が正しく入力されていることを確認し、[OK]をクリックします。 [システムのプロパティ]ウィンドウでも[OK]をクリックします.
リモートデスクトップを保護する
お使いのコンピュータは現在リモートデスクトップ経由で接続可能です(ルータの内側にある場合はローカルネットワーク上のみ)が、最大限のセキュリティを実現するために設定が必要な設定がいくつかあります。.
最初に、明白なものに取り組みましょう。リモートデスクトップアクセスを許可したすべてのユーザーは、強力なパスワードを持っている必要があります。 Remote Desktopを実行している脆弱なPCをインターネット上でスキャンしているボットがたくさんあるため、強力なパスワードの重要性を過小評価しないでください。数字、小文字と大文字、および特殊文字と一緒に8文字以上(12+を推奨)を使用する.
[スタート]メニューに移動するか、[ファイル名を指定して実行]プロンプト(Windowsキー+ R)を開き、「secpol.msc」と入力して[ローカルセキュリティポリシー]メニューを開きます。.
そこに来たら、「ローカルポリシー」を展開して「ユーザー権利の割り当て」をクリックします。
右側に表示されている[リモートデスクトップサービスを介したログオンを許可する]ポリシーをダブルクリックします。.
このウィンドウに既に表示されている両方のグループ、AdministratorsとRemote Desktop Usersを削除することをお勧めします。その後、[ユーザーまたはグループの追加]をクリックして、リモートデスクトップアクセスを許可するユーザーを手動で追加します。これは必須の手順ではありませんが、どのアカウントでリモートデスクトップを使用するかをより強力に制御できます。将来、何らかの理由で新しいAdministratorアカウントを作成し、そのアカウントに強力なパスワードを設定するのを忘れた場合、この画面から "Administrators"グループを削除することに煩わされない限り、コンピュータは世界中のハッカーに開かれます。.
[ローカルセキュリティポリシー]ウィンドウを閉じ、[実行]プロンプトまたは[スタート]メニューに「gpedit.msc」と入力してローカルグループポリシーエディタを開きます。.
ローカルグループポリシーエディタが開いたら、[コンピュータポリシー]、[管理用テンプレート]、[Windowsコンポーネント]、[リモートデスクトップサービス]、[リモートデスクトップセッションホスト]の順に展開し、[セキュリティ]をクリックします。.
このメニューの設定をダブルクリックして値を変更します。変更をお勧めするものは次のとおりです。
クライアント接続の暗号化レベルを設定する - これを高レベルに設定すると、リモートデスクトップセッションは128ビット暗号化で保護されます。.
セキュアなRPC通信を要求する - これを有効に設定します。.
リモート(RDP)接続に特定のセキュリティ層を使用する - SSLに設定する(TLS 1.0).
ネットワークレベル認証を使用してリモート接続にユーザー認証を要求する - これを有効に設定します。.
これらの変更を加えたら、ローカルグループポリシーエディタを閉じることができます。最後に推奨されるセキュリティ対策は、リモートデスクトップが待機する既定のポートを変更することです。これはオプションの手順であり、あいまいさを防ぐためのセキュリティと見なされていますが、実際のところ、デフォルトのポート番号を変更すると、コンピュータが受ける悪意のある接続の試行回数が大幅に減少します。あなたのパスワードとセキュリティ設定は、それがどのポートを使用していてもリモートデスクトップを無防備にする必要がありますが、可能であれば接続試行の回数を減らすこともできます。.
曖昧さによるセキュリティ:デフォルトのRDPポートの変更
デフォルトでは、リモートデスクトップはポート3389をリッスンします。カスタムリモートデスクトップのポート番号に使用する65535未満の5桁の番号を選択してください。この番号を念頭に置いて、実行プロンプトまたは[スタート]メニューに「regedit」と入力してレジストリエディタを開きます。.
レジストリエディタが開いたら、HKEY LOCAL MACHINE> SYSTEM> CurrentControlSet> Control> Terminal Server> WinStations> RDP-Tcp>を展開し、右側のウィンドウで「PortNumber」をダブルクリックします。.
PortNumberレジストリキーを開いた状態で、ウィンドウの右側にある「10進数」を選択し、左側の「値のデータ」の下に5桁の数字を入力します。.
[OK]をクリックしてからレジストリエディタを閉じます。.
リモートデスクトップが使用する既定のポートを変更したので、そのポートで着信接続を受け付けるようにWindowsファイアウォールを構成する必要があります。スタート画面に移動し、「Windowsファイアウォール」を検索してクリックします.
Windowsファイアウォールが開いたら、ウィンドウの左側にある[詳細設定]をクリックします。次に、[受信の規則]を右クリックして[新しい規則]を選択します。
[新しい受信ルールウィザード]がポップアップ表示されたら、[ポート]を選択して[次へ]をクリックします。次の画面で、[TCP]が選択されていることを確認し、先に選択したポート番号を入力して、[次へ]をクリックします。次の2、3ページのデフォルト値は問題ないので、さらに2回クリックします。最後のページで、この新しいルールの名前(「Custom RDP port」など)を選択し、[Finish]をクリックします。.
最後のステップ
これで、コンピュータはローカルネットワーク上でアクセス可能になります。マシンのIPアドレスまたは名前のどちらかを指定し、その後にコロンとポート番号を続けて指定します。
ネットワーク外からコンピュータにアクセスするには、おそらくルータのポートを転送する必要があります。それ以降は、リモートデスクトップクライアントを搭載しているデバイスからPCにリモートアクセスできるようになります。.
だれがあなたのPCに(そしてどこから)ログインしているかをどうやって追跡できるか疑問に思っているなら、あなたは見るためにEvent Viewerを開くことができます。.
Event Viewerを開いたら、[アプリケーションとサービスのログ]> [Microsoft]> [Windows]> [TerminalServices-LocalSessionManger]の順に展開し、[Operational]をクリックします。.
ログイン情報を表示するには、右側のペインのいずれかのイベントをクリックしてください。.