リモートデスクトップ利用時にローカルデバイスとリソースを制限する方法

ページ : 1 2
<この記事を全て表示する場合はこちらをクリック>

00117

リモートデスクトップ接続には、ローカルデバイスとリソースを共有して使える便利機能があります。
この機能を利用すると、リモートデスクトップポート越しに、クリップボードの共有や、ローカルドライブが共有出来ます。
ただし、この機能はサーバを一般ユーザの利用するターミナルサーバとして利用する場合には、簡単にローカルマシンに対してファイルをコピーさせる事を許可してしまいますので、非常に厄介な設定と感じる事も少なくありません。

今回は、ローカルデバイスとリソースを制限する方法についてまとめてみました。
これらの設定はWindows XP及びWindows Server 2003で有効です。

セキュリティだのなんだの色々うるさく言われる世の中ですし、何気に役に立つ知識だと思いますので、是非覚えてみてください。

ターミナルサービス構成から設定を変更する

0026

Windows Server 2003の場合、これらの設定は”ターミナルサービス構成”画面から設定出来ます。
以下のようにフォルダを展開し、ターミナルサービス構成を開きます。
※この方法はWindows XPでは実施出来ません。

スタート > プログラム > 管理ツール > ターミナルサービス構成

0036

次に、画面右側の”RDP-Tcp”のプロパティを開き、”クライアントの設定”タブを選択します。

“ユーザー設定の接続設定を使う”項目について

この設定を有効にした場合、リモートデスクトップ接続を要求するクライアント側の設定が適用されます。
ただし、自分で試してみたところ、サーバ側の設定で”ログオン時にクライアントのドライブに接続する”をチェックした場合でも、接続する側のクライアントの設定でドライブの共有にチェックが入っていない場合にはドライブの共有設定が行われる事はありませんでした。

接続しにきたクライアントのローカルドライブを必ずマウントする事が出来ればログオンスクリプト等で特定のファイルを強制的に引っこ抜けるかな、と考えたのですが、さすがにそれは無理なようです。

“無効にする設定”項目について

強制的に無効にするローカルデバイスもしくはリソースの設定が出来ます。
リモートデスクトップ接続元からの共有デバイスを無効にする方向であれば、これらの設定は全て無効にしてしまって問題ありません。



グループポリシーで設定を変更する

0055

設定を適用したいリモートデスクトップ接続先が複数あり、しかも、それらがActive Directoryのメンバーサーバであれば、グループポリシーで設定するのが一番便利かもしれません。
グループポリシーで設定する場合には、グループポリシーオブジェクトエディタを開き、以下のように選択します。

コンピュータの構成 > 管理用テンプレート > ターミナルサービス > クライアント/サーバー データリダイレクト

ここでは、以下の設定が出来ます。また、別のタブを選択すれば、他にも色々な項目の設定を変更する事が可能です。

タイム ゾーン リダイレクトを許可する
クリップボードのリダイレクトを許可しない
スマート カード デバイスのリダイレクトを許可しない
オーディオのリダイレクトを許可する
COM ポートのリダイレクトを許可しない
クライアント プリンタのリダイレクトを許可しない
LPT ポートのリダイレクトを許可しない
ドライブのリダイレクトを許可しない
クライアントの通常使うプリンタをセッションで通常使うプリンタに設定しない
ターミナル サーバーのフォールバック プリンタ ドライバの動作

0065

例えば”クリップボードのリダイレクトを許可しない”という設定の場合、”有効”を選択すると、クリップボードのリダイレクトが禁止されます。
グループポリシーの正体は項目別に説明の書かれた親切なレジストリエディタだと思って問題ありません。実際の設定に関してもレジストリ値が変更されます。

ただ、ややこしい部分としては、あくまでレジストリ値を変更するための設定ですので、グループポリシー設定で変更した内容は、当然ローカルコンピュータに書き込まれ、自然に消える事はありませんので、該当するグループポリシーを無効にしたとしても設定値として残り続けます。
グループポリシーで設定を変更した場合には、どの値を変更したのかメモを取っておかないと、例えばOUを転々と移動させてしまった場合、後から追うのが困難になりますので注意してください。

レジストリ値から設定を変更する

0044

これらの設定は、レジストリ値を直接変更する事でも変更可能です。
レジストリ値を変更する場合には、以下の設定を変更します。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\WinStations\RDP-Tcp

以下の文字列をテキストファイルにコピーして、拡張子を”.reg”に変更する事で、これらの設定を一括で設定可能です。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\WinStations\RDP-Tcp]

;Windowsプリンタマッピングを無効
"fDisableCpm"=dword:00000001
;ドライブのマッピングを無効
"fDisableCdm"=dword:00000001
;COMポートのマッピングを無効
"fDisableCcm"=dword:00000001
;LPTマッピングを無効
"fDisableLPT"=dword:00000001
;クリップボードのマッピングを無効
"fDisableClip"=dword:00000001
;オーディオマッピングを無効
"fDisableCam"=dword:00000001

逆に有効にする場合には、各値を1から0に変更してください。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\WinStations\RDP-Tcp]

;Windowsプリンタマッピングを有効
"fDisableCpm"=dword:00000000
;ドライブのマッピングを有効
"fDisableCdm"=dword:00000000
;COMポートのマッピングを有効
"fDisableCcm"=dword:00000000
;LPTマッピングを有効
"fDisableLPT"=dword:00000000
;クリップボードのマッピングを有効
"fDisableClip"=dword:00000000
;オーディオマッピングを有効
"fDisableCam"=dword:00000000

ページ : 1 2
<この記事を全て表示する場合はこちらをクリック>

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です