リモートデスクトップ接続でクリップボード共有を禁止する：Tech TIPS

リモートデスクトップ接続を利用すると、別のマシンにリモートからログオンして作業できる。リモートデスクトップでは、リモートデスクトップ内の環境（サーバ）と、ローカルコンピュータ（クライアント）の間でクリップボードを共有し、データを交換できるが、セキュリティ上の理由からこれを禁止したい場合もある。グループポリシーエディタを利用すれば、リモートデスクトップ接続のリダイレクト機能を禁止できる。

[デジタルアドバンテージ，著]

連載目次

対象：Windows XP、Windows Server 2003

解説

　リモートデスクトップ接続（Terminal Services）は、ネットワーク経由で別のPCを操作する方法としてよく使われている。この場合、操作される側のサーバPCと、操作する側のクライアントPCは、デフォルト設定ではお互いのクリップボードを共有している。そのため、例えばローカルのPC上でデータをコピーし、それをサーバ側（リモート側）のPCで貼り付けるといった作業ができる（逆も可能）。これを「クリップボードのリダイレクト」といい、2台のコンピュータ間でシームレスに作業を行えるようにする、大変便利な機能である。

　リダイレクト機能は便利だが、セキュリティ面で問題になることもある。サーバ上では扱ってよいが、クライアントPCなどへの持ち出しを禁止したい、という機密レベルのデータがある場合だ。例えば顧客情報データベースなどは、安易にコピーすることにより流出させたくないはずだ。この種のデータを扱うシステムでは、リモートデスクトップのクリップボードを経由したコピー／ペーストも禁止したいと考えるかもしれない。このような場合には、リモートデスクトップ接続のリダイレクト機能を無効化することができる。

操作方法

グループポリシーエディタでリダイレクトを禁止する

　グループポリシーエディタを利用すれば、リモートデスクトップ接続の各種設定を変更できる。

　これにはまず、グループポリシーエディタを起動し（［スタート］−［ファイル名を指定して実行］で「gpedit.msc」と入力して実行する）、左側のペインから［ローカル コンピュータ ポリシー］−［コンピュータの構成］−［管理者用テンプレート］−［ターミナル サービス］−［クライアント/サーバー データ リダイレクト］を開く。

リモートデスクトップのリダイレクト設定
クリップボードだけでなく、オーディオやタイムゾーンなど、サーバとクライアントで行われる各種リダイレクトを許可／停止できる。右ペインに表示される項目から、［クリップボードのリダイレクトを許可しない］を選択し、ダブルクリックするか右クリックしてプロパティを表示する。
　 （1）［ローカル コンピュータ ポリシー］−［コンピュータの構成］−［管理者用テンプレート］−［ターミナル サービス］−［クライアント/サーバー データ リダイレクト］を開く。
　 （2）ここをダブルクリックしてプロパティを開く。

　次に右側のペインから、「クリップボードのリダイレクトを許可しない」をダブルクリックして次のプロパティダイアログを表示する。

クリップボードのリダイレクト禁止の設定
デフォルトでは［未構成］が選択されているので、［有効］を選んでクリップボードをネットワーク転送しないように設定する。
　 （1）［有効］を選択する。
　 （2）ここをクリックする。

　以上で設定は完了である。設定したポリシーが適用されれば、そのクライアントは、リモートデスクトップ接続ではクリップボードのリダイレクト機能が使えなくなる。

■この記事と関連性の高い別の記事

• Windowsでリモートから「リモート デスクトップ」を許可する（TIPS）
• コマンドラインからクリップボードへコピーする（TIPS）
• リモートデスクトップでサウンド機能を利用する（TIPS）
• リモートデスクトップ接続を無効にする（TIPS）
• リモートデスクトップ接続でパスワード入力を強制する（TIPS）

「Tech TIPS」