リモートデスクトップは便利な機能だが、万一不正アクセスを許すと影響が大きい。企業のクライアントコンピュータなど、リモート接続が不要なら、システムのプロパティから接続を不許可にできる。さらにグループポリシーを使えば、ユーザーによるリモートデスクトップの設定変更を禁止できる。
対象OS:Windows XP Professional、Windows Server 2003
Windows XP Professional/Windows Server 2003で標準搭載されたリモートデスクトップ接続機能を利用すれば、リモートからそのコンピュータに接続し、あたかもそのコンピュータそのものを操作しているように使うことができる。
例えば自宅のデスクトップPCでリモートデスクトップを有効にしておけば、会社から自宅のコンピュータに接続し、Windows OS環境を自由自在に使える(リモートデスクトップの詳細については「Windows XPの正体 リモート デスクトップで遠隔操作する」を参照)。
しかしこれは逆にいえば、万一、第三者がリモートデスクトップへの不正接続に成功すると、そのコンピュータに保存された情報がそっくり悪用される危険があるということだ。情報漏えいも怖いが、例えばオンラインバンキングのユーザー名とパスワードなどをブラウザのキャッシュに保存して使っているとか、ファイルにメモしていると、コンピュータだけでなく、預金口座にまで不正にアクセスされてしまう。利便性とリスクは常に隣り合わせだ。
リモートから接続する必要のない企業のクライアントコンピュータなら、リモートデスクトップは無効にしておきたいと考える管理者は多いだろう。
リモートデスクトップ機能の有効化/無効化は、コントロールパネルの[システム]をダブルクリックし、表示される[システムのプロパティ]ダイアログの[リモート]タブ、[このコンピュータにユーザーがリモートで接続することを許可する]チェックボックスをオン(有効)、またはオフ(無効)にすることで設定できる([システムのプロパティ]ダイアログは、[スタート]メニューにある[マイ コンピュータ]アイコンのプロパティとしても表示可能)。
ちなみにリモートデスクトップはデフォルトではオフになっている。またこの設定を変更するには、設定するコンピュータに対する管理者権限が必要だ。
しかしこの方法では、クライアントユーザーが、[システムのプロパティ]ダイアログから簡単に設定を変更して有効化してしまう可能性がある。
この場合には、グループポリシーを利用して、前出の[このコンピュータにユーザーがリモートで接続することを許可する]チェックボックス自体をグレー表示にして、ユーザーが設定を変更できなくすることができる。Active Directory環境でなくても、ローカルグループポリシーを使えば同様の設定が行える。
ここでは、ローカルグループポリシーでの設定方法を説明する。グループポリシーを利用する場合には、同様の設定項目があるので、適切なポリシーエディタを使ってグループポリシーオブジェクトを編集すればよい。
なお、ローカルグループポリシーは、グループポリシーの内容で上書きされるので、グループポリシーが適用されるクライアントでは、ローカルグループポリシーで設定を変えても意味はない。
ローカルグループポリシーを編集するには、グループポリシーエディタを起動する。これには[スタート]メニューの[ファイル名を指定して実行]から「gpedit.msc」と入力して[OK]をクリックする。
グループポリシーエディタでの設定項目は、[コンピュータの構成]→[管理用テンプレート]→[Windowsコンポーネント]→[ターミナル サービス]にある[ユーザーがターミナル サービスを使ってリモート接続することを許可する]である。
[ユーザーがターミナル サービスを使ってリモート接続することを許可する]を「有効」にすればターミナル接続は有効に、「無効」にすれば[システムのプロパティ]ダイアログの[このコンピュータにユーザーがリモートで接続することを許可する]チェックボックスがグレー表示になり、ユーザーは設定変更が不可能になる。
■この記事と関連性の高い別の記事
Copyright© Digital Advantage Corp. All Rights Reserved.