Windows TIPS
[System Environment]
  Windows TIPS TOPへ
Windows TIPS全リストへ

リモート・デスクトップ接続でパスワード入力を強制する

解説をスキップして操作方法を読む

デジタルアドバンテージ
2004/08/21
 
対象OS
Windows XP Professional
Windows 2000 Server
Windows Server 2003
リモート・デスクトップ接続のためのログイン情報をプロファイルに保存しておけば、クリック1つで簡単にサーバに接続することができる。
だがこのプロファイルさえあれば誰でも簡単にサーバに接続できるようになるので、非常に危険である。
これを避けるためには、常にパスワードの入力を強制するようにサーバ側で設定しておけばよい。
 
解説

 Windows 2000/Windows Server 2003のターミナル・サービスやWindows XPのリモート・デスクトップ接続は(以下まとめて「リモート・デスクトップ接続」とする)、リモートからサーバ・システムをメンテナンスしたり、いつも使用しているデスクトップ環境をそのままリモートから利用するために便利なツールである。

 リモート・デスクトップ接続を利用するには、クライアント側のソフトウェアを起動して、接続先やユーザー名、パスワードなどを入力すればよいが、いちいちこれらを毎回入力するのはわずらわしい。そこで、これらの項目や、画面サイズなどの属性を設定プロファイルとして保存しておき、例えばデスクトップなどにプロファイルを置いておけば、クリック1つでリモート・デスクトップ接続を行うことができる。

 だがこれは便利な半面、その接続プロファイルを使えば、だれでも自由にリモートのサーバへ接続できてしまう可能性があるので、危険でもある(注:実際には、プロファイルをほかのマシンにコピーして実行すると、パスワードは無効になるようであるが、そのコンピュータ上で実行されるとそのまま利用できてしまう)。

 セキュリティのことを考えると、サーバ側の設定を変更して、リモート・デスクトップ接続のたびにパスワード入力を強制させるようにするのがよいだろう。パスワードを毎回入力するのは面倒かもしれないが、たとえユーザーがパスワードをプロファイルに保存していてもそれは無視されるので、ある程度のセキュリティは確保することができる。


操作方法

 リモート・デスクトップ・サービスにおいて、常にパスワード入力を求めるように設定するには、グループ・ポリシーを利用する方法と、「ターミナル サービス構成」ツールを利用する方法の2通りがある。Windows XP Professionalでは前者のグループ・ポリシーを利用する方法しか使えないが、Windows 2000 Serverでは管理ツールの「ターミナル サービス構成」も利用することができるし、Windows Server 2003では両方の手法を利用することができる。

グループ・ポリシーによる設定(Windows XP Professional/Windows Server 2003の場合)

 グループ・ポリシーで設定を変更するには、まず[スタート]メニューの[ファイル名を指定して実行]ダイアログで、「gpedit.msc」を実行し、グループ・ポリシー・エディタを起動する。そして、[ローカル コンピュータ ポリシー]の[コンピュータの構成]にある[管理用テンプレート]−[Windows コンポーネント]−[ターミナル サービス]−[暗号化とセキュリティ]を開く。

リモート・デスクトップ・サービスのセキュリティ・ポリシー
リモート・デスクトップ接続でパスワード入力を強制するには、セキュリティ・ポリシーを選択する。
  これを選択する。
  この項目を設定する。→

 右側に表示された設定項目のうち、[クライアントが接続するたびにパスワードを要求する]の値をデフォルトの[未構成]から[有効]に変更する。

パスワード入力を強制するための設定
パスワード入力を強制するためには、この項目のプロパティを[有効]にする。
  デフォルトの設定状態。
  これを選択する。

「ターミナル サービス構成」ツールによる設定(Windows Server OSの場合)

 Server OSの場合は、[スタート]メニューの[管理プログラム]−[ターミナル サービス構成]を起動し、[RDP-Tcp]接続のプロパティを変更する。

接続のプロパティの表示
パスワードの強制を設定するには、[ターミナル サービス構成]ツールでリモート・デスクトップ接続(ターミナル・サービス)のプロパティを表示させる。
  これを選択して、接続のプロパティを表示させる。
  デフォルトの接続設定。接続の種類(プロトコル)ごとに作成される。
  これを選択する。

 [プロパティ]画面では、暗号化のレベルやセッションの最大接続時間といった、さまざまな設定を行うことができる。パスワード入力を強制するには、この中の[ログオン設定]を利用する。End of Article

接続プロパティの設定
パスワード入力を強制するには、この中の[ログオン設定]を利用する。
  このタブを選択する。
  このチェック・ボックスをオンにすると、ユーザーがパスワードを保存していてもそれは無視され、ユーザーが手動で入力しなければならなくなる。
 
  関連リンク
  [HOWTO] グループ ポリシーを使用して Windows Server 2003 ターミナル サービスで自動ログオンを構成する方法(マイクロソフト サポート技術情報)
  ターミナル サービスのグループ ポリシー オブジェクト(マイクロソフト サポート技術情報)
  Hotfix that lets you control whether a user can save a password for Remote Desktop Connection sessions to a terminal server in Windows XP or in Windows 2000[英文](マイクロソフト サポート技術情報)
  http://support.microsoft.com/default.aspx?scid=kb;EN-US;247174[英文](マイクロソフト サポート技術情報)
  Cannot Automatically Log on Remotely to Terminal Server with Long User Name or Password[英文](マイクロソフト サポート技術情報)
  You cannot reconnect to a disconnected Windows 2000 Terminal Services client session when the user password contains more than 14 characters[英文](マイクロソフト サポート技術情報)
     
「Windows TIPS」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間