Win XPのリモートコントロール時のセキュリティの確保方法

他のリモートコントロール技術と同様に、リモートアシスタンスとリモートデスクトップも使用前にセキュリティの問題を考慮する必要があります。最高レベルのセキュリティ要件を満たすために、実際のアプリケーションでリモートコントロールテクノロジを使用することはお勧めできませんが、このテクノロジによってユーザーに利便性ももたらされることを理解してください。この章では、リモコン技術を使用する際の安全性を確保する方法について説明します。リモートアシスタンスリモートアシスタンス（RA）テクノロジを使用すると、ユーザー（招待者）はネットワークを通じて他のユーザー（招待者）を招待し、実際に発生した問題を解決できます。この方法を使用すると、招待者は招待者のコンピュータ画面を表示して互いに情報を交換できます。招待者が許可すれば、招待者はネットワーク経由で招待者のコンピュータを操作して問題を直接解決することもできます。招待者は、招待者の許可がスクリーンビューのみなのか、それとも制御できるのかを決定できます。リモートアシスタンスを使用するには、双方がWindows XPオペレーティングシステムを使用する必要があります。リモートアシスタンスは、リモートアシスタントと呼ばれる招待者によって開始されることも、リモートアシスタンスと呼ばれるリモートアシスタンスの招待者によって提供されることもあります。 HelpAssistantアカウントは、リモートアシスタンス操作用に用意されており、システムのインストール中に作成され、ランダムに複雑なパスワードが割り当てられた後、無効にされます。リモートアシスタンスの招待状を開くと、ユーザーのコンピュータに "招待者"へのチケットが作成され、ポート3389も開かれてターミナルサービスへのアクセスが許可されますHelpAssistantアカウントは自動的に有効になります。有効にすると、招待者はこのアカウントと作成したチケットを使って招待者のコンピュータにアクセスできます。すべてのチケットが閉じられるか期限切れになると、HelpAssistantアカウントは再び自動的に無効になり、同時にポート3389が閉じられます。注：リモートデスクトップ機能もターミナルサービスを使用するため、リモートデスクトップ機能が有効になっていると、ポート3389は開いたままになる可能性があります。要求モードでのリモートアシスタンスユーザーは、電子メールまたはWindows Messengerを介してリモートアシスタンスを要求したり、リモートアシスタンス要求をファイルとして保存したりできます。初心者のコンピュータに物理的に接続できる人はだれでも彼の招待を受け入れることができます。リモートアシスタンス要求に回答すると、初心者はエキスパートのユーザー名を見ることができます。ただし、接続ユーザーが正しいユーザーであることを確認する唯一の方法は、パスワードを使用することです。パスワードはリクエストファイルに含まれておらず、接続を確立するために招待者は正しいパスワードを入力する必要がありますが、他の方法でパスワードを招待者に送信することもできます。人です。ただし、パスワードの複雑さ、パスワードポリシー、およびアカウントロックアウトポリシーは、このパスワードとアカウントには適用されません。 Windows Messengerを介して送信された招待状は、XML形式のプレーンテキストで送信され、電子メールを介して送信または保存された招待状ファイルは、MsRcIncident形式で送信されます。そのため、マシンのIPアドレス、使用されているポート番号、招待者がパスワードで保護されているかどうかなど、誰でもデータの内容にアクセスできます。これらの理由から、リモートアシスタンスはセキュリティ要件が厳しいネットワークにはお勧めできません。リモートアシスタントを提供するリモートアシスタントを提供することは、招待者にリモートアシスタンスを提供するためのより安全な方法と考えられています。リモートアシスタントを提供することは、同じドメイン内または信頼される側のドメイン内にある2台のコンピュータ間でのみ利用でき、ユーザーは設定を通じてリモートアシスタントを提供できます。この機能を使用する場合、エキスパートはユーザーの許可なくユーザーのコンピュータに接続したり、ユーザーの許可を得ずにコンピュータを制御したりすることはできません。同時に、ユーザーは相手方の接続を許可または拒否する能力を持っています。この種類のリモートアシスタンスを使用するには、セキュリティ構成テンプレートの[ユーザーのアクセス許可]セクションを次のように変更する必要があります。

ユーザーのアクセス許可提案の設定ターミナルサービスを介したログインを許可します。機能、リモートデスクトップユーザーはこの権限が必要です。リモートアシスタンス機能も使用する場合は、この機能を使用する管理者だけがこの権限を持つ必要があります。注：提供されているリモートアシスタンスを使用する場合は、この設定にユーザーまたはユーザーグループを追加する必要はありません。 < Unmanned>どのユーザーまたはユーザーグループがターミナルサービスクライアントとしてのログインを禁止されているかを判断するためにターミナルサービスを介したログインを拒否するこの権限は、リモートデスクトップユーザーに使用されます。 < Unmanned>

さらに、ユーザーがプロビジョニング方法のリモートアシスタンスを使用できるようにするには、次のグループポリシーを設定する必要があります。MMCのグループポリシーコンポーネントでGPOを開くか、コンテナのプロパティを渡します。 - GPOリンクにアクセスするためのGroup PolicyタブGroup Policyタブからアクセスする場合は、ターゲットGPOを強調表示し、EditをクリックしてGroup Policyコンポーネントにアクセスし、Computer Configuration¥Administrative Templates¥System¥Remote Assistanceノードを見つけて、ページの右側をダブルクリックします。 [リモートアシスタントを要求する]をクリックしてドロップダウンメニューから[リモートアシスタンスを要求する]を選択し、[このコンピュータの閲覧をヘルパーのみに許可する]オプションを選択して最大チケット時間（値）を0に、最大チケット時間（単位）をアプリケーション設定の議事録を作成、ダイアログを閉じる注：提供されているリモートアシスタンスを使用するには、リモートアシスタンスポリシーを要求する必要があります。ただし、最大チケット時間を0に設定すると、リモートアシスタンス要求機能を使用できなくなります。このコンピュータで専門家によるリモートアシスタンスの提供を許可する場合は、[有効にする]ボタンをクリックし、ドロップダウンメニューで[このコンピュータの閲覧をヘルパーのみに許可する]を選択してください。システムを破壊するのに数秒かかるので、ユーザは相手の操作を見ることができ、いつでも制御を取り戻すことができますが、ユーザは他の人々にコンピュータを遠隔制御できます。 helper：Show…ボタンをクリックして、管理者、デスクトップヘルパーなど、このコンピュータにリモートアシスタンスを提供することを許可されているすべてのユーザーを追加します。この機能を必要とするユーザーだけに制限することをお勧めします。ユーザーは次の形式で表示できます：<ドメイン名> \\<ユーザー名>または<ドメイン名> \\<グループ名>リモートデスクトップ接続リモートデスクトップ（RD、リモートデスクトップ）はWindows XP Professionalで使用されますターミナルサービスのもう1つの優先機能。これを使用すると、ユーザーはリモートでマシンに接続し、まるで直接使用されているかのようにマシンのさまざまなリソースを使用できます。リモートデスクトップ機能は、Windows XP Professionalシステムではデフォルトで無効になっています。リモートデスクトップ接続は、XPにデフォルトでインストールされているリモートデスクトップクライアントソフトウェアを使用して実行され、Microsoft Windows 2000、NT、Windows 98、およびWindows 95クライアントソフトウェアもWindows XPに含まれています。リモートデスクトップには、IISサーバーにインストールできるRWDC（リモートデスクトップWeb接続）と呼ばれるActiveXベースのクライアントもあります。 RDWCを使用すると、ActiveX対応のブラウザを使用して適切なWebページに接続し、ActiveXクライアントをダウンロードしてリモートデスクトップ接続を開くことができます。 XP ProfessionalにIISをインストールすると、RWDCがデフォルトでインストールされます。リモートデスクトップが有効になると、ターミナルサービスによるアクセスを受け付けるためにポート3389が開かれます。 「リモートデスクトップユーザー」に一覧表示されているすべての管理者（ネイティブとドメイン内の両方）、およびユーザーとユーザーグループがリモートからコンピュータにアクセスできます。ターゲットコンピュータにすでにログインしているユーザーがいる場合、リモートユーザーはターゲットコンピュータでローカルにログインしているユーザーをログオフしてからリモートでログインするオプションを表示します。上がるが、これにはリモートユーザーが正常に認証され、管理者権限を持っている必要がある。リモートデスクトップは標準のWindows認証メカニズムを使用するため、パスワードポリシーとアカウントロックアウトポリシーもリモートデスクトップに適用できます。また、リモートデスクトップのすべてのアカウントにパスワードを設定する必要があります。注：リモートデスクトップの使用中はデフォルトの管理者アカウントをロックし、そのアカウントがリモートでログインできないようにすることをお勧めしますが、ローカルログインはこの制限の対象にはなりません。リモートデスクトップ機能を使用するには、セキュリティテンプレートの[ユーザーのアクセス権]セクションを次のように変更する必要があります。[ユーザーのアクセス権]提案では、リモートデスクトップユーザーに必要なターミナルサービスログインを通じてターミナルサービスクライアントからログインする権限を持っています。同時にリモートアシスタンスを使用している場合は、この機能を使用している管理者だけがこの権限を持つ必要があります。管理者、リモートデスクトップユーザーは、リモートデスクトップユーザー用に用意されているターミナルサービスクライアントを介してログインする権限を持っていないユーザーまたはユーザーグループを決定するために、ターミナルサービスを介したログインを拒否します。 < Nobody>

コンピュータでリモートデスクトップ接続を許可するには、次の手順を実行します。自分のコンピュータを右クリックし、[プロパティ]を選択して[システムのプロパティ]ダイアログボックスを開きます。 [リモートユーザーの選択]ボタンをクリックして[リモートデスクトップユーザー]ダイアログボックスを開くと、対応するユーザーまたはユーザーグループにローカルポリシー定義が追加されます。グループはローカルのRemote Desktop Usersグループに追加され、そのグループに参加しているユーザーとグループはローカルコンピュータ管理ツールを介して直接編集できます。グループポリシー - 管理用テンプレートターミナルサービス上記の設定の一部に加えて、ターミナルサービス用に次の設定を行い、GPOの一部として、またはローカルコンピュータの構成を通じてコン​​ピュータに適用することもお勧めします。ターミナルサービスのこれらの推奨設定は、GPOの[コンピュータの構成\\管理用テンプレート\\ Windowsコンポーネント\\ターミナルサービス]ノードにあり、MMCのグループポリシーコンポーネントからアクセスできます。ターミナルサービスの設定は[ユーザー設定]ノードの下にもありますが、そこにある設定は[コンピュータの構成]の下の設定によって上書きされます。

表16ターミナルサービスポリシーのオプションネットワーク構成に関する推奨事項リモートアシスタンスとリモートデスクトップはどちらもターミナルサービスを使用してユーザーがローカルコンピュータにリモートアクセスできるようにしますWindows XPでこれらの機能を使用する場合、ターミナルサービスはポート3389を使用します。ローカルエリアネットワークのみがリモート接続機能を使用し、外部のファイアウォールまたはルーターの3389ポートをブロックすることを強くお勧めします。不正アクセスを防ぐために、このポートのすべてのインバウンドおよびアウトバウンド接続をブロックする必要があります。着信接続のみがブロックされている場合でも、リモートアシスタンス機能はWindows Messengerを介してLANの外部で使用することが可能であるため、双方向通信はブロックされています。ローカルエリアネットワークからリモートアシスタンスまたはリモートデスクトップ接続を使用する必要がある場合は、ファイアウォールまたはルーターでフィルタリングを設定して、特定のIPアドレスのみをLAN内のシステムに問い合わせることができるようにすることをお勧めします。 3389ポートへの他のアドレスはすべてブロックする必要があります。より高いレベルのセキュリティ保護が必要な場合は、VPNサーバーをインストールし、非常に強力な認証方法を使用して、少数のユーザーがVPNサーバーにダイヤルインできるようにすることができます。もちろん、特定のIPアドレスだけがVPNサーバーに接続できるようにすることもお勧めです。