Windows TIPS
[Network]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

グループ・ポリシーでリモート・デスクトップからのローカル・ドライブ利用を禁止する

解説をスキップして操作方法を読む

デジタルアドバンテージ 島田 広道
2008/02/22
対象OS
Windows XP
Windows Server 2003
Windows Vista
リモート・デスクトップ接続クライアント(RDC)の設定を変更すると、リモート・デスクトップからローカル・コンピュータのドライブ(ローカル・ドライブ)を利用できるようになる。
しかし、ローカル−リモート間でファイルを容易にやりとり可能になると、ウイルス感染や情報漏えいの危険性も高まってしまう。
ユーザーによるRDCの設定に関係なくローカル・ドライブの利用を禁止するには、グループ・ポリシー機能を利用すればよい。

解説

リモート・デスクトップからローカル・ドライブを利用する(RDC5編)
リモート・デスクトップからローカル・ドライブを利用する(RDC6編)

 あたかもローカル・コンピュータのようにリモート・コンピュータをGUIベースで操作できるリモート・デスクトップでは、ローカル・コンピュータのハードウェアのうち、デフォルトで画面表示とキーボード/マウスをリモート操作に使用できる。リモート・デスクトップ接続クライアント(RDC)の設定を変更すれば、ローカル・コンピュータのドライブ(ローカル・ドライブ)もリモート・デスクトップからアクセス可能になる(その方法については、関連記事を参照していただきたい)。これでローカル−リモート間のファイルのやりとりが可能になり、リモート・デスクトップの使い勝手が向上することは確かだ。

 しかしその一方で、リモート・デスクトップからローカル・ドライブにアクセスできるようにすることは、いくつかのセキュリティ上の危険が生じる可能性が否めない。例えばどちらかのコンピュータにウイルスが感染していた場合、ローカル・ドライブを介して、もう一方のコンピュータに伝染してしまうおそれがある。また、ローカル−リモート間で簡単にファイルがコピーできることから、情報漏えいの危険性も高まる(ただし、リモート・デスクトップに接続されたローカル・ドライブには、リモート・コンピュータ上のほかのユーザーから直接アクセスできるわけではない)。

 こういったリスクを低減するには、リモート・デスクトップのサーバ側サービス(ターミナル・サービス)でローカル・ドライブの利用を禁止すればよい。これにより、たとえエンド・ユーザーがRDC側で有効にしても、ローカル・ドライブは利用できなくなる。

 ターミナル・サービス側でローカル・ドライブの利用を禁止する手段としては、グループ・ポリシー機能と、「ターミナル サービス構成」というWindows Server標準の管理ツールの2種類が挙げられる。ただし後者はWindows XP/Windows Vistaでは利用できず、また複数のコンピュータの一律設定もできないという欠点がある。そこで本稿ではグループ・ポリシーによる設定方法を解説する。

操作方法

グループ・ポリシー・エディタの使用法
グループ・ポリシー管理を強力に支援するGPMCを活用する
グループ・ポリシー管理コンソール(GPMC)

 グループ・ポリシーの設定変更の手段には、グループ・ポリシー・エディタやグループ・ポリシー管理コンソール(GPMC)などいくつかある。どれでも構わないが、本稿ではグループ・ポリシー・エディタの例を説明している。これらのツールの基本的な使い方については、関連記事を参照していただきたい。

 さて、グループ・ポリシーによるリモート・デスクトップからのローカル・ドライブ利用の禁止/許可の設定は、リモート・デスクトップのサーバ側サービス(以後ターミナル・サービス)に関する設定に含まれる。その在りかは、次のようにグループ・ポリシー・エディタの起動元のOS(グループ・ポリシー・テンプレート)によって異なる。

  • Windows XP/Windows Server 2003
      コンピュータの構成\管理用テンプレート\Windows コンポーネント\ターミナル サービス\クライアント/サーバー データ リダイレクト フォルダ
  • Windows Vista
      コンピュータの構成\管理用テンプレート\Windows コンポーネント\ターミナル サービス\ターミナル サーバー\デバイスとリソースのリダイレクト

 以下ではWindows XPの例を説明しているので、Windows Vistaの場合は上記のようにパスを置き換えていただきたい。

 次の画面は、グループ・ポリシー・エディタでローカル・ドライブの利用の設定(グループ・ポリシー・オブジェクト:GPO)を編集しようとしているところだ。

ターミナル・サービスのローカル・ドライブ利用に関する設定の在りか
これはWindows XPの例。前述のようにWindows VistaではGPOの在りかが異なるので注意。またターミナル・サービスの設定は[ユーザーの構成]にも存在するので間違えないようにしたい。
これを開く。
これをダブル・クリックしてプロパティを開き、ローカル・ドライブの利用の禁止/許可を設定する。→

 右側のペインに表示された[ドライブのリダイレクトを許可しない]というGPOをダブル・クリックすると次の画面が表示される。

ターミナル・サービスの[ドライブのリダイレクトを許可しない]の設定
デフォルトでは[未構成]になっている。
  このタブを選ぶ。
  これが選択されている場合、「解説」で触れた[ターミナル サービス構成]ツールの設定によって禁止/許可が決まる。
  ローカル・ドライブの利用を禁止するには、このラジオ・ボタンを選ぶ。
  ローカル・ドライブの利用を許可するには、このラジオ・ボタンを選ぶ。

 [有効]を選べば、ターミナル・サービス側でローカル・ドライブの利用が禁止される。

gpupdateでグループ・ポリシーの適用を強制する

 設定後にグループ・ポリシーの伝達を確認したら、リモート・デスクトップ接続クライアント(RDC)でローカル・ドライブを利用するように設定してから、ターミナル・サービスに接続してみよう。前述の設定画面で[有効]を選んだ場合は、RDC側の設定に関係なく、リモート・デスクトップのWindowsエクスプローラにローカル・ドライブは現れないはずだ。End of Article

関連記事(Windows Server Insider)
  リモート デスクトップで遠隔操作する(Windows XPの正体)
  強化されたターミナル・サービス(Windows Server 2003完全ガイド)
  ターミナル・サービスによるクライアントの仮想化(Windows Server 2008の基礎知識)
     
  関連リンク
  ターミナル サービスのグループ ポリシー オブジェクト(マイクロソフト サポート技術情報)
  クライアント デバイスをマッピングするための設定を構成する(マイクロソフト TechNet)
     
「Windows TIPS」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間