Windows
TIPS
| [System
Environment] |
リモート・ログオン・ユーザーからのファイル・アクセスを制限する
→ 解説をスキップして操作方法を読む
デジタルアドバンテージ 小川誉久
2006/01/28 |
|
| 対象ソフトウェア |
| Windows XP |
| Windows Server 2003 |
|
|
 |
| ■ |
リモート・デスクトップは便利な機能だが、万一悪用されるとコンピュータが完全に支配されてしまうという問題がある。 |
| ■ |
このため機密性の高い一部のファイルについて、リモート・デスクトップなどで遠隔地からリモート・ログオンした場合には、アクセスを禁止したいケースがある。 |
| ■ |
リモート・デスクトップでログオンしたユーザーにはREMOTE
INTERACTIVE LOGONというローカル・グループが自動的に割り当てられるので、このグループに対してアクセス設定を行えば、リモート・ユーザーにのみ適用されるアクセス制御を実現できる。 |
|
|
リモート・デスクトップ機能(ターミナル・サービス機能)を使えば、ネットワークを経由して遠隔地にあるコンピュータに接続し、接続先のデスクトップを手元のウィンドウに表示して操作できる。複数のサーバを1台のコンピュータからリモート管理したり、出先や自宅などから、あたかも会社にいるようにして会社のコンピュータを操作したり(あるいは逆に、会社から自宅のコンピュータを操作したり)できるという非常に便利な機能だ。
しかし利便性の影には注意すべきこともある。
いま述べたとおり、リモート・デスクトップの利点は、あたかも操作対象のコンピュータの前にいるようにして、遠隔地からこれを自由自在に操作できることだ。ソフトウェアのインストールからファイル・アクセス、コンピュータの再起動に至るまで、ほぼどんな操作も可能だ。だからこそ便利なのだが、万一何らかの理由から、不正なユーザーがリモート・デスクトップ接続に成功した場合、コンピュータは完全に乗っ取られてしまう。
このため同一ユーザーであっても、ローカル・ログオンした場合と、リモートからリモート・デスクトップでログオンした場合で、ファイルへのアクセス制御を切り替えたいということもあるだろう。例えば、機密性の高い情報ファイル(例えば経理や財務、人事情報など)には、たとえ本来アクセス権を持つユーザーであっても、リモート・デスクトップ経由の接続ではアクセスを禁止するなどだ。こうしておけば、万一不正攻撃によって攻撃者によるリモート・デスクトップ接続ができたとしても、重要ファイルへのアクセスは禁止できることになる。
Windows XP/Windows Server 2003では、リモート・デスクトップやターミナル・サービス、リモート・アシスタンス機能を利用してログオンしたユーザーには、REMOTE
INTERACTIVE LOGONというセキュリティID(SID)が自動的に割り当てられ、そのユーザーはREMOTE INTERACTIVE
LOGONグループに属するものとしてアクセス制御が実施されるようになっている。従って前述のようなアクセス制御を実施したければ、当該ファイルのプロパティを設定し、REMOTE
INTERACTIVE LOGONグループのユーザーに対してアクセス制御を行えばよい。
 |
| リモート・デスクトップ・ユーザーに対してのみアクセス制御を加える |
| Windows XP/Windows Server 2003では、リモート・デスクトップでログオンしたユーザーは、自動的にREMOTE
INTERACTIVE LOGONというグループに自動的に属する。このグループに対してアクセス制限をかければ、リモート接続したユーザーにのみアクセス制御を行える。 |
リモート・デスクトップでリモート・ログオンしたユーザーに対し、REMOTE INTERACTIVE LOGONグループを割り当てられるのは、リモート接続先コンピュータ(リリモート接続される側のコンピュータ)がWindows
XPまたはWindows Server 2003の場合のみである。Windows 2000では、以下で紹介する方法は使えないので注意すること。また、Remote
Desktop UsersやTERMINAL SERVER USERという一見似ているグループも存在するが、これらはまったく別の用途に用いられるので混同しないようにしていただきたい。
なお、ファイルのプロパティでREMOTE INTERACTIVE LOGONを設定するためにSIDを一覧したとき、REMOTE INTERACTIVE
LOGONの選択肢が表示されるのはWindows Server 2003のみだった。テストしたところでは、Windows XPでもREMOTE
INTERACTIVE LOGONグループは存在し機能するが、グループの選択ダイアログでは選択できないようだ。caclsコマンドなどでREMOTE
INTERACTIVE LOGONというグループを直接指定すれば、アクセス制限をかけること自体は可能なようだ。
それではさっそく、設定を行ってみよう。今回は、Windows Server 2003コンピュータのハードディスク上にある“access_test.txt”というテキスト・ファイルを、リモート・ログオン・ユーザーからアクセス不可にしてみる。
まずはエクスプローラで対象となるファイル(access_test.txt)を表示し、マウスで右クリックして[プロパティ]メニューを実行し、ファイルのプロパティ・ダイアログを表示、[セキュリティ]タブをクリックする。以下のように、最初は、REMOTE
INTERACTIVE LOGONグループは選択肢としては表示されない。
 |
| ファイルのプロパティ・ダイアログ |
| 最初はREMOTE INTERACTIVE LOGONグループは選択肢として表示されない。 |
そこで次にREMOTE INTERACTIVE LOGONグループを追加する。これには上記ダイアログの[詳細設定]ボタンをクリックし、表示される「セキュリティの詳細設定」ダイログの[アクセス許可]タブで[追加]ボタンをクリックする。次のダイアログが表示される。
 |
| [ユーザー または グループ の選択]ダイアログ |
| [詳細設定]ボタンをクリックしてREMOTE INTERACTIVE LOGONグループを追加する。 |
| |
 |
オブジェクトの種類としてはこれを選択する(デフォルト)。 |
| |
 |
これをクリックする。 |
|
[詳細設定]ボタンをクリックすると次のダイアログが表示される。REMOTE INTERACTIVE LOGONはローカル・コンピュータでのみ設定可能な属性なので、「場所」としてはドメインではなく、設定を行うローカル・コンピュータを選択する。
 |
| [ユーザー または グループ の選択]ダイアログ(詳細) |
| ローカル・コンピュータ・グループからREMOTE INTERACTIVE LOGONを検索して追加する。 |
| |
 |
ドメインではなく、ローカル・コンピュータを選択する。 |
| |
 |
中央右の[今すぐ検索]ボタンをクリックすると、このようにグループ一覧が表示されるので、“REMOTE
INTERACTIVE LOGON”をクリックして選択する。 |
| |
 |
これをクリックしてREMOTE INTERACTIVE LOGONを追加する。 |
|
こうしてREMOTE INTERACTIVE LOGONグループを追加すると、前出のファイルのプロパティ・ダイアログでREMOTE
INTERACTIVE LOGONグループが指定可能になる。
 |
| ファイルのプロパティ・ダイアログ(REMOTE INTERACTIVE LOGON追加後) |
| 追加されたREMOTE INTERACTIVE LOGONグループを指定して、ファイルのアクセス権を設定する。今回はすべてを「拒否」にしてみた。 |
| |
|
これをクリックして選択する。 |
| |
|
リモート・ユーザーに対するアクセス権設定を行う。 |
|
今回は、リモート・ユーザーのファイルへのアクセスを全面的に禁止するために、すべてのアクセス許可で「拒否」を指定してみた([拒否]の下にある[フル コントロール]を選択する)。
設定終了後、リモート・デスクトップでログオンし、当該ファイル(access_test.txt)にアクセスしたところ、次のようにアクセスが拒否されるようになった。
 |
アクセス権設定後、リモート・デスクトップでログオンし、ファイルにアクセスしたところ
設定どおり、ファイルを開こうとしたところ、アクセスが拒否された。 |
同じユーザーでも、コンソールでログオンした場合にはREMOTE INTERACTIVE LOGONグループには属さないので、このaccess_test.txtファイルに従来どおりアクセスすることができる。
このようにREMOTE INTERACTIVE LOGONは、リモート・デスクトップでログオンしたユーザーを動的に識別できるグループだが、ユーザーがこのグループに所属するかどうかはログオン時に決まる。従って、すでにログオン済みのコンソール・セッションにリモート・デスクトップで接続した場合には、このグループには所属しない。そのセッションのユーザーは、すでにコンソールでログオンを済ませているからだ(逆に、リモート・デスクトップ接続でログオンしたセッションにコンソールで接続した場合は、REMOTE
INTERACTIVE LOGONグループに所属したままになる)。
セキュリティを重視する環境では、ログオンしたセッションを放置せず、移動時にはログオフしておくよう心がけたい。もしくは、一定時間操作しなかったり、ある時間が過ぎると強制的にログオフしたりするようにサーバ側で設定しておくのがよいだろう。
Windows Server Insider フォーラム 新着記事
