Windows system >> Windowsの知識 >  >> Windows XPシステムチュートリアル >> XPシステムの基本 >> Win XPリモコンのセキュリティを確保する方法

Win XPリモコンのセキュリティを確保する方法

  
他のリモコンのテクノロジー
と同様に、リモートアシスタンスとリモートデスクトップも使用前にセキュリティの問題を考慮する必要があります。最高レベルのセキュリティ要件については、実際にはリモコンのテクノロジ
を使用することはお勧めできませんが、このテクノロジ
がユーザーの利便性ももたらすことを理解してください。この章では、リモコンのテクノロジ
を使用する際のセキュリティを確保する方法について説明します。

リモートアシスタンス

リモートアシスタンス(RA) Technology
ユーザー(招待者)がネットワークを介して自分の問題を解決するために他のユーザー(招待者)を招待することを可能にします。実際の問題この方法を使用すると、招待者は招待者のコンピュータ画面を表示して互いに情報を交換できます。招待者が許可すれば、招待者はネットワーク経由で招待者のコンピュータを操作して問題を直接解決することもできます。招待者は、招待者の許可がスクリーンビューのみなのか、それとも制御できるのかを決定できます。リモートアシスタンスを使用するには、双方がWindows XPオペレーティングシステムを使用する必要があります。

リモートアシスタンスは、リモートアシスタントと呼ばれる招待者によって開始されることも、リモートアシスタンスと呼ばれるリモートアシスタンスのために招待者によって提供されることもあります。 HelpAssistantアカウントは、リモートアシスタンス操作用に用意されており、システムのインストール中に作成され、ランダムに複雑なパスワードが割り当てられた後、無効にされます。リモートアシスタンスの招待状を開くと、ユーザーのコンピュータに "招待"チケットが作成され、ポート3389も開かれてターミナルサービスへのアクセスが許可されますHelpAssistantアカウントは自動的に有効になります。有効にすると、招待者はこのアカウントと作成したチケットを使って招待者のコンピュータにアクセスできます。すべてのチケットが閉じられるか期限切れになると、HelpAssistantアカウントは再び自動的に無効になり、同時にポート3389が閉じられます。

注:リモートデスクトップ機能もターミナルサービスを使用するため、リモートデスクトップ機能が有効になっていると、ポート3389は開いたままになる可能性があります。

リクエスト方法のリモートアシスタンス

ユーザーは、電子メールまたはWindows Messengerを介してリモートアシスタンスをリクエストするか、リモートアシスタンスリクエストをファイルとして保存できます。初心者のコンピュータに物理的に接続できる人はだれでも彼の招待を受け入れることができます。リモートアシスタンス要求に回答すると、初心者はエキスパートのユーザー名を見ることができます。ただし、接続ユーザーが正しいユーザーであることを確認する唯一の方法は、パスワードを使用することです。パスワードはリクエストファイルに含まれておらず、接続を確立するために招待者は正しいパスワードを入力する必要がありますが、他の方法でパスワードを招待者に送信することもできます。人です。ただし、パスワードの複雑さ、パスワードポリシー、およびアカウントロックアウトポリシーは、このパスワードとアカウントには適用されません。

Windows Messenger経由で送信された招待状はXML形式のプレーンテキストで送信され、電子メールで送信または保存された招待状ファイルはMsRcIncident形式で送信されますこれもプレーンテキストのXML形式です。そのため、マシンのIPアドレス、使用されているポート番号、招待者がパスワードで保護されているかどうかなど、誰でもデータの内容にアクセスできます。

これらの理由から、リモートアシスタンスはセキュリティ要件が厳しいネットワークにはお勧めできません。
リモートアシスタンスを提供する

リモートアシスタントを提供することは、招待者にリモートアシスタンスを提供するためのより安全な方法と考えられています。リモートアシスタントを提供することは、同じドメイン内または信頼される側のドメイン内にある2台のコンピュータ間でのみ利用でき、ユーザーは設定を通じてリモートアシスタントを提供できます。この機能を使用する場合、エキスパートはユーザーの許可なくユーザーのコンピュータに接続したり、ユーザーの許可を得ずにコンピュータを制御したりすることはできません。同時に、ユーザーは相手方の接続を許可または拒否する能力を持っています。

このリモートアシスタンスを使用するには、セキュリティ構成テンプレートの[ユーザー権利]セクションを次のように変更する必要があります。


ユーザー権利
推奨設定< Br>ターミナルサービスを介したログインを許可して、どのユーザーまたはグループがターミナルサービスクライアントとしてログインできるかを決定します。これはリモートデスクトップユーザーに必要です。リモートアシスタンス機能も使用する場合は、この機能を使用する管理者だけがこの権限を持つ必要があります。注:提供されているリモートアシスタンスを使用する場合は、この設定にユーザーまたはユーザーグループを追加する必要はありません。 < Unmanned>どのユーザーまたはユーザーグループがターミナルサービスクライアントとしてログインすることを禁止されているかを判断するために、ターミナルサービスを介したログインを拒否するこの権限は、リモートデスクトップユーザーに使用されます。 < Unmanned>

さらに、ユーザーがプロビジョニング方法のリモートアシスタンスを使用できるようにするには、次のグループポリシーを設定する必要があります。
MMCのグループポリシーコンポーネントでGPOを開くか、パスする。コンテナのプロパティ - [グループポリシー]タブGPOリンクにアクセスする
[グループポリシー]タブからアクセスしている場合は、対象のGPOを強調表示し、[編集]をクリックしてグループポリシーコンポーネントにアクセスします。
コンピュータの構成\\管理用テンプレート\\システム\\に移動します。リモートアシスタンスノード
リクエストの右側をダブルクリックします。リモートアシスタント
[有効]ボタンをクリックして、リモートアシスタンスをリクエストすることを許可します。
ドロップダウンメニューから[このコンピュータの閲覧のみを許可する]オプションを選択します。最大チケット時間(値)を0に設定し、最長チケット時間(単位)を分に設定します。

設定を適用し、ダイアログボックスを閉じます。

注意:提供された方法のリモートアシスタンスを使用するには、リモートアシスタンスポリシーを要求する必要がありますが、最大チケット時間を0に設定すると、ユーザーはリモートアシスタンス要求機能を使用できなくなります。

画面右側をダブルクリックしてリモートアシスタンスを提供します。

エキスパートがこのコンピュータでリモートアシスタンスを提供できるようにする場合は、[有効にする]ボタンをクリックします。

ドロップダウンメニューから選択「このコンピュータの閲覧をヘルパーだけに許可する」

警告:ユーザーが相手の操作を確認したり、いつでも制御を撤回することはできても、ユーザーにそのコンピューターのリモート制御を他人に許可しないことをお勧めします。システムを破壊するのに数秒かかります。

Helper:Show ...ボタンをクリックして、管理者、デスクトップヘルパーなど、このコンピュータにリモートアシスタンスを提供することを許可されているすべてのユーザを追加します。この機能を必要とするユーザーだけに制限することをお勧めします。ユーザーは次の形式で表示できます。
<ドメイン名> \\<ユーザー名>または<ドメイン名> \\<グループ名>

リモートデスクトップ接続

リモートデスクトップ(RD)はWindows XP Professional用のもう1つの優先機能のターミナルサービスで、ユーザーがリモートで本機に接続して、直接使用されているかのように本機のさまざまなリソースを使用できます。リモートデスクトップ機能は、Windows XP Professionalシステムではデフォルトで無効になっています。

リモートデスクトップ接続は、XPにデフォルトでインストールされるリモートデスクトップクライアントソフトウェアを使用して実装されています。また、Microsoft Windows 2000、NT、Windows 98、およびWindows 95クライアントソフトウェアも含まれています。 Windows XPリモートデスクトップには、IISサーバーにインストールできるRWDC(リモートデスクトップWeb接続)と呼ばれるActiveXベースのクライアントもあります。 RDWCを使用すると、ActiveX対応のブラウザを使用して適切なWebページに接続し、ActiveXクライアントをダウンロードしてリモートデスクトップ接続を開くことができます。 XP ProfessionalにIISをインストールすると、RWDCがデフォルトでインストールされます。

リモートデスクトップが有効になっていると、ターミナルサービスにアクセスするためにポート3389が開かれます。 [リモートデスクトップユーザー]に一覧表示されているすべての管理者(ネイティブとドメイン内の両方)およびユーザーとユーザーグループは、コンピューターにリモートからアクセスできます。ターゲットコンピュータにすでにログインしているユーザーがいる場合、リモートユーザーはターゲットコンピュータでローカルにログインしているユーザーをログオフしてからリモートでログインするオプションを表示します。上がるが、これにはリモートユーザーが正常に認証され、管理者権限を持っている必要がある。リモートデスクトップは標準のWindows認証メカニズムを使用するため、パスワードポリシーとアカウントロックアウトポリシーもリモートデスクトップに適用できます。また、リモートデスクトップのすべてのアカウントにパスワードを設定する必要があります。

注:リモートデスクトップの使用中はデフォルトの管理者アカウントをロックしてリモートログインを禁止することをお勧めしますが、ローカルログインはこの制限の対象にはなりません。

リモートデスクトップ機能を使用するには、セキュリティテンプレートの[ユーザーのアクセス許可]セクションを次のように変更する必要があります。

ユーザーのアクセス許可
推奨設定
ターミナルサービスで許可リモートデスクトップユーザーがこの権限を必要とする場合リモートログイン機能を同時に使用する場合は、この機能を使用する管理者だけがこの権限を持つ必要があります。管理者とリモートデスクトップユーザーターミナルサービスクライアントを介してログインしていないユーザーまたはユーザーグループを決定するために、ターミナルサービスを介したログインを拒否するこのアクセス許可は、リモートデスクトップユーザーに対して用意されています。 <だれも>


リモートデスクトップ接続を許可するには、次の操作を行います。

コンピュータを右クリックして[プロパティ]を選択し、システムのプロパティを開きます。ダイアログボックス

ダイアログボックスのリモートタブを開く

リモートユーザーを選択するには、リモートユーザーの選択...ボタンをクリックします。ダイアログボックス

対応するユーザーまたはユーザーグループをローカルポリシー定義に追加します。

注:この操作により、選択したユーザーとユーザーグループがローカルのRemote Desktop Usersグループに追加されます。ローカルコンピュータ管理ツールを介して直接グループに参加するユーザーとユーザーグループを編集します。

グループポリシー - 管理用テンプレート

ターミナルサービス

上記の設定の一部に加えて、ターミナルサービス用に、またはGPOの一部として、以下の設定を行うこともお勧めします。ローカルコンピュータを介してアプリケーションをコンピュータに適用します。

これらの推奨されるターミナルサービス設定は、GPOの[コンピューターの構成\\管理用テンプレート\\ Windowsコンポーネント\\ターミナルサービス]ノードにあり、MMCのグループポリシーコンポーネントからアクセスできます。ターミナルサービスの設定は[ユーザー設定]ノードの下にもありますが、そこにある設定は[コンピュータの構成]の下の設定によって上書きされます。

表16ターミナルサービスのポリシーオプション
ネットワーク構成の提案
リモートアシスタンスとリモートデスクトップの両方でターミナルサービスを使用して、ユーザーがローカルコンピュータにリモートからアクセスできるようにします。サービスはポート3389を使用します。ローカルエリアネットワークのみがリモート接続機能を使用し、外部のファイアウォールまたはルーターの3389ポートをブロックすることを強くお勧めします。不正アクセスを防ぐために、このポートのすべてのインバウンドおよびアウトバウンド接続をブロックする必要があります。着信接続のみがブロックされている場合でも、リモートアシスタンス機能はWindows Messengerを介してLANの外部で使用することが可能であるため、双方向通信はブロックされています。
ローカルエリアネットワークからリモートアシスタンスまたはリモートデスクトップ接続を使用する必要がある場合は、LAN内のシステムが使用可能なときに特定のIPアドレスのみを確認できるように、ファイアウォールまたはルーターでフィルタリングを設定することをお勧めします。 3389ポートへの他のアドレスはすべてブロックする必要があります。より高いレベルのセキュリティ保護が必要な場合は、VPNサーバーをインストールし、非常に強力な認証方法を使用して、少数のユーザーがVPNサーバーにダイヤルインできるようにすることができます。もちろん、特定のIPアドレスだけがVPNサーバーに接続できるようにすることもお勧めです。

Copyright © Windowsの知識 All Rights Reserved