Windows TIPS
[System Environment]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

ターミナル・サービス/リモート・デスクトップ接続のポート番号を変更する

解説をスキップして操作方法を読む

デジタルアドバンテージ
2003/09/27
 
対象OS
Windows 2000 Server
Windows 2000 Advanced Server
Windows XP Professional
Windows Server 2003
ターミナル・サービスを利用すると、システムをリモートから管理したり、出先からログオンして作業を行ったりできる。
だがターミナル・サービスは、ユーザー名とパスワードさえ分かれば利用できるサービスである。そのためインターネット上に公開する場合は注意が必要である。
最低限のセキュリティ対策として、デフォルトのポート番号を変更するのがよい。
 
解説

 Windows 2000 Server/Windows Server 2003のターミナル・サービスや、Windows XPのリモート・デスクトップ接続は、リモートからコンピュータへ接続してデスクトップ環境を利用するためのサービスである。ふだんコンソール画面でコンピュータを利用しているのと同じように、GUI環境のまま接続することができるので、一般的なクライアント用途だけでなく、管理者にとっても便利なサービスである。ローカルのネットワークだけでなく、WAN回線やVPN回線などを通して、離れたネットワーク環境にあるシステムへもリモート・ログオンして、システムを利用しているユーザーも多いだろう。

 だが、イントラネット上で利用する場合と違って、インターネットを介して利用する場合はセキュリティに注意しなければならない。特に個人用途などで、Windows XP Professionalマシンを直接インターネット上に公開し、リモートからいつでも自宅の環境へリモート・デスクトップ接続できるようにしているユーザーは要注意である。ブロードバンド接続環境の普及により、出先のモバイル環境から常に自宅へログオンできるように備えているユーザーも増えているようである。しかしリモート・デスクトップ接続では、結局のところ、ユーザー名とパスワードさえ一致すれば、簡単にログオンすることができる。これは非常に危険な状態であるといえる。

 このような事態を防ぐには、少なくとも、リモート・デスクトップ接続やターミナル・サービスが稼働していることを(外部からは簡単に)悟られないようにするのがよいだろう。具体的には、デフォルトのサービス・ポート番号(TCPの3389番)を変更すればよい。もちろん、ポート・スキャン(利用されているポート番号を順番に総当りでスキャンする侵入・攻撃方法)が行われればリモート・デスクトップ・サービスが稼働していることが分かってしまうが、一般的には、これでも十分安全性が高くなる。特定のコンピュータを(執拗に)狙う場合ならともかく、通常の侵入行為では、ある固定的な(既知の)ポート番号でのみスキャンして、サービスが稼働しているかどうかを調べているからだ(全ポートに対するポート・スキャンを行うと非常に時間がかかるし、トラフィックが増えて発見されやすくなるからだ)。ただし、元のポート番号から類推しやすいものではあまり意味がないので(例えば3389番を13389番や23389番にするなど)、なるべく異なるポート番号にするのが望ましいだろう。さらにいうならば、なるべく大きなポート番号にしておくと、小さい値から順番にスキャンされる攻撃に強くなる(ポート番号の範囲は1〜65535)。

 ここでは、リモート・デスクトップ接続やターミナル・サービスのデフォルトのポート番号を変更する方法について解説する。


操作方法

 リモート・デスクトップ接続やターミナル・サービスでは、RDP(Remote Desktop Protocol)というプロトコルを使っている。具体的にはTCPの3389番を使っており、サーバ側は、このポートでクライアントからの接続をリッスン(待ち受け)している。これ以外のポートや、2次接続(サービス接続後に、さらに別のTCPやUDP接続を利用すること)は利用していないので、ファイアウォールなどで対応しやすいプロトコルである。

[注意]

レジストリに不正な値を書き込んでしまうと、システムに重大な障害を及ぼし、最悪の場合、システムの再インストールを余儀なくされることもあります。レジストリ エディタの操作は慎重に行うとともに、あくまで御自分のリスクで設定を行ってください。何らかの障害が発生した場合でも、本Windows Server Insider編集部では責任を負いかねます。ご了承ください。

 このデフォルトのポート番号を変更するには、レジストリ・エディタを起動し、以下のレジストリの値を変更する。

HKEY_LOCAL_MACHINE 中の \SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp キー
名前:PortNumber
種類:DWORD
データ:3389(10進数)

 デフォルトでは10進数で3389(16進数表示だと「d3d」)となっているので、これを適当なポート番号、例えば47935(この番号は任意。一般的には1024以下は利用できない。10000〜65000ぐらいの間で適当に選ぶ)などに変更する。

 レジストリの変更後、システムを再起動すると、利用するポート番号が変更されているはずなので、コマンド・プロンプトを開き、「netstat -an」を実行してそれを確認しておく。「TCP 0.0.0.0:47935 0.0.0.0:0 LISTENING」という行が含まれていれば、ポート番号は変更されている。もし「TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING」となっているようならば、変更されていないので、もう一度レジストリを確認する。

ファイアウォールの変更

 以上でサーバ側の変更は完了であるが、インターネットからアクセスするためには、ファイアウォールなどの設定も変更する必要がある。例えば、Windows XPに内蔵のファイアウォール機能(ICF:Internet Connection Firewall)を使っているのなら、新しいポートでの呼び出しを受け付けるように変更しなければならない。デフォルトでは「リモートデスクトップ」というプロトコルが用意されているので、そのチェック・ボックスをオンにするだけであったが、今回は新規にプロトコル定義を追加して、そのポートへの呼び出しを有効にしておく。具体的には、ファイアウォールの設定(ICFを設定したネットワーク接続のアイコンを右クリックして[プロパティ]画面を開き、[詳細設定]の[インターネット接続ファイアウォール]−[設定]にある[サービス]タブで、[追加]をクリックする)において、以下のように指定する。

Windows XPにおけるファイアウォールの設定
Windows XP Professionalに内蔵されているファイアウォール機能を利用する場合は、新しいポート番号でサービスを受け付けるように設定する。
  サービスの名称。任意のものでよい。
  ローカルのPCの名称もしくは「127.0.0.1(ローカル・ループバック・アドレス)」を入力する。
  新しいポート番号。レジストリで指定したものと同じ番号を指定する。
  プロトコルはTCPを選択する。

呼び出し側の変更

 サーバ側のポート番号を変更したら、それに合わせて、クライアント側の呼び出し方法も変更しなければならない。具体的には、[リモート デスクトップ接続]のサーバ名を入力する欄において、単なる[サーバ名]ではなく、[サーバ名:ポート番号]と入力する(半角のコロン記号と、ポート番号を付加する)。例えばサーバの名前がmypc.example.jpならば、[mypc.example.jp:47935]とする(IPアドレスなら[1.2.3.4:47935]などとする)。End of Article

異なるポート番号を持つサーバへの接続
サーバ名の最後に「:ポート番号」を付けると、デフォルト以外のポート番号を持つサーバへの接続ができる。
  サーバ名の最後にポート番号を明示的に指定する。
 
関連記事(Windows Server Insider)
  Windows Server 2003完全ガイド―より実用的なサーバ・コンピューティングに向けて強化されたターミナル・サービス
  Windows TIPS:netstatでリッスンしているプロセスを特定する
  Windows TIPS:netstatコマンドを使いこなす
   
この記事と関連性の高い別のWindows TIPS
Windows Serverシステムで利用するネットワーク・ポート番号
リモートから「リモート デスクトップ」を許可する
Windows Server 2008/R2のRRASのNATでポート・マッピングを定義する
XP SP2のファイアウォールでリモート管理を有効にする
netstatでリッスンしているプロセスを特定する
FTPの標準ポート番号を変更する
Windows Vistaのファイアウォールでアウトバウンド通信をブロックする
ポートのリッスン状態を調査する
このリストは、(株)デジタルアドバンテージが開発した
自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。
generated by

「Windows TIPS」

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
  • 第422話 つい (2014/7/22)
     成功する可能性があるものは、成功する。失敗する可能性があるものは、失敗する……
  • Twitterのアプリ連携を確認・解除する (2014/7/18)
     Twitterでしばしば報告されるアプリ連携機能を悪用したスパム行為などの被害。ときどき連携アプリ調べて、不審なものは解除した方がよい。その方法は?
  • アクセス制御リストACL (2014/7/17)
     Windows OSの管理で必ず目にすることになる「アクセス制御リストACL」。その機能概要や設定方法、ACLの継承などについて解説
  • Google Chrome組織導入への第一歩 (2014/7/16)
     Chromeに対しては、ActiveXへの対応やActive Directory環境への対応といった要望も多い。そこでChromeの組織導入の手順を紹介する
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

キャリアアップ

- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る
- PR -

ホワイトペーパーTechTargetジャパン

ソリューションFLASH

「ITmedia マーケティング」新着記事

第2回 「マーケティング活動」の詳細解説――メッセージ開発とチャネルの検討
マーケティング部門の役割は、確度の高い見込み客(リード)と、見込み客に関する精度の...

第40回 ビジネスSNS「LinkedIn」に過去55年間で150職種を経験した「バービー」が登場
1959年〜1960年頃の「バービー」はファッションモデルやファッション編集者だった。以後...

CMOは舞台の袖へ? 代役のCDOが登壇?
この10年間、CIOに変わり、企業の救世主的な存在として脚光を浴びてきたのがCMOです。し...