Windows TIPS
| [Network] |
グループ・ポリシーでリモート・デスクトップからのローカル・ドライブ利用を禁止する
→ 解説をスキップして操作方法を読む
デジタルアドバンテージ 島田 広道
2008/02/22 |
| 対象OS |
| Windows XP |
| Windows Server 2003 |
| Windows Vista |
|
|
 |
| ■ |
リモート・デスクトップ接続クライアント(RDC)の設定を変更すると、リモート・デスクトップからローカル・コンピュータのドライブ(ローカル・ドライブ)を利用できるようになる。 |
| ■ |
しかし、ローカル-リモート間でファイルを容易にやりとり可能になると、ウイルス感染や情報漏えいの危険性も高まってしまう。 |
| ■ |
ユーザーによるRDCの設定に関係なくローカル・ドライブの利用を禁止するには、グループ・ポリシー機能を利用すればよい。 |
|
|
あたかもローカル・コンピュータのようにリモート・コンピュータをGUIベースで操作できるリモート・デスクトップでは、ローカル・コンピュータのハードウェアのうち、デフォルトで画面表示とキーボード/マウスをリモート操作に使用できる。リモート・デスクトップ接続クライアント(RDC)の設定を変更すれば、ローカル・コンピュータのドライブ(ローカル・ドライブ)もリモート・デスクトップからアクセス可能になる(その方法については、関連記事を参照していただきたい)。これでローカル-リモート間のファイルのやりとりが可能になり、リモート・デスクトップの使い勝手が向上することは確かだ。
しかしその一方で、リモート・デスクトップからローカル・ドライブにアクセスできるようにすることは、いくつかのセキュリティ上の危険が生じる可能性が否めない。例えばどちらかのコンピュータにウイルスが感染していた場合、ローカル・ドライブを介して、もう一方のコンピュータに伝染してしまうおそれがある。また、ローカル-リモート間で簡単にファイルがコピーできることから、情報漏えいの危険性も高まる(ただし、リモート・デスクトップに接続されたローカル・ドライブには、リモート・コンピュータ上のほかのユーザーから直接アクセスできるわけではない)。
こういったリスクを低減するには、リモート・デスクトップのサーバ側サービス(ターミナル・サービス)でローカル・ドライブの利用を禁止すればよい。これにより、たとえエンド・ユーザーがRDC側で有効にしても、ローカル・ドライブは利用できなくなる。
ターミナル・サービス側でローカル・ドライブの利用を禁止する手段としては、グループ・ポリシー機能と、「ターミナル サービス構成」というWindows Server標準の管理ツールの2種類が挙げられる。ただし後者はWindows XP/Windows Vistaでは利用できず、また複数のコンピュータの一律設定もできないという欠点がある。そこで本稿ではグループ・ポリシーによる設定方法を解説する。
グループ・ポリシーの設定変更の手段には、グループ・ポリシー・エディタやグループ・ポリシー管理コンソール(GPMC)などいくつかある。どれでも構わないが、本稿ではグループ・ポリシー・エディタの例を説明している。これらのツールの基本的な使い方については、関連記事を参照していただきたい。
さて、グループ・ポリシーによるリモート・デスクトップからのローカル・ドライブ利用の禁止/許可の設定は、リモート・デスクトップのサーバ側サービス(以後ターミナル・サービス)に関する設定に含まれる。その在りかは、次のようにグループ・ポリシー・エディタの起動元のOS(グループ・ポリシー・テンプレート)によって異なる。
- Windows XP/Windows Server 2003
コンピュータの構成\管理用テンプレート\Windows コンポーネント\ターミナル サービス\クライアント/サーバー データ リダイレクト フォルダ
- Windows Vista
コンピュータの構成\管理用テンプレート\Windows コンポーネント\ターミナル サービス\ターミナル サーバー\デバイスとリソースのリダイレクト
以下ではWindows XPの例を説明しているので、Windows Vistaの場合は上記のようにパスを置き換えていただきたい。
次の画面は、グループ・ポリシー・エディタでローカル・ドライブの利用の設定(グループ・ポリシー・オブジェクト:GPO)を編集しようとしているところだ。
 |
| ターミナル・サービスのローカル・ドライブ利用に関する設定の在りか |
| これはWindows XPの例。前述のようにWindows VistaではGPOの在りかが異なるので注意。またターミナル・サービスの設定は[ユーザーの構成]にも存在するので間違えないようにしたい。 |
|
 |
これを開く。 |
|
 |
これをダブル・クリックしてプロパティを開き、ローカル・ドライブの利用の禁止/許可を設定する。→ へ |
|
右側のペインに表示された[ドライブのリダイレクトを許可しない]というGPOをダブル・クリックすると次の画面が表示される。
|
 |
| ターミナル・サービスの[ドライブのリダイレクトを許可しない]の設定 |
| デフォルトでは[未構成]になっている。 |
| |
|
このタブを選ぶ。 |
| |
|
これが選択されている場合、「解説」で触れた[ターミナル サービス構成]ツールの設定によって禁止/許可が決まる。
|
| |
 |
ローカル・ドライブの利用を禁止するには、このラジオ・ボタンを選ぶ。 |
| |
 |
ローカル・ドライブの利用を許可するには、このラジオ・ボタンを選ぶ。 |
|
[有効]を選べば、ターミナル・サービス側でローカル・ドライブの利用が禁止される。
設定後にグループ・ポリシーの伝達を確認したら、リモート・デスクトップ接続クライアント(RDC)でローカル・ドライブを利用するように設定してから、ターミナル・サービスに接続してみよう。前述の設定画面で[有効]を選んだ場合は、RDC側の設定に関係なく、リモート・デスクトップのWindowsエクスプローラにローカル・ドライブは現れないはずだ。
Windows Server Insider フォーラム 新着記事
