【3/18〜】Amazon、VMwareが語る『クラウドの未来』 スラッシュドット    はてなブックマーク  Yahoo!ブックマークに登録  印刷
Windows TIPS
[System Environment]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

ターミナル・サービス/リモート・デスクトップ接続のポート番号を変更する

解説をスキップして操作方法を読む

 デジタルアドバンテージ
2003/09/27		  
対象OS
Windows 2000 Server
Windows 2000 Advanced Server
Windows XP Professional
Windows Server 2003
ターミナル・サービスを利用すると、システムをリモートから管理したり、出先からログオンして作業を行ったりできる。
だがターミナル・サービスは、ユーザー名とパスワードさえ分かれば利用できるサービスである。そのためインターネット上に公開する場合は注意が必要である。
最低限のセキュリティ対策として、デフォルトのポート番号を変更するのがよい。
 
解説

 Windows 2000 Server/Windows Server 2003のターミナル・サービスや、Windows XPのリモート・デスクトップ接続は、リモートからコンピュータへ接続してデスクトップ環境を利用するためのサービスである。ふだんコンソール画面でコンピュータを利用しているのと同じように、GUI環境のまま接続することができるので、一般的なクライアント用途だけでなく、管理者にとっても便利なサービスである。ローカルのネットワークだけでなく、WAN回線やVPN回線などを通して、離れたネットワーク環境にあるシステムへもリモート・ログオンして、システムを利用しているユーザーも多いだろう。

 だが、イントラネット上で利用する場合と違って、インターネットを介して利用する場合はセキュリティに注意しなければならない。特に個人用途などで、Windows XP Professionalマシンを直接インターネット上に公開し、リモートからいつでも自宅の環境へリモート・デスクトップ接続できるようにしているユーザーは要注意である。ブロードバンド接続環境の普及により、出先のモバイル環境から常に自宅へログオンできるように備えているユーザーも増えているようである。しかしリモート・デスクトップ接続では、結局のところ、ユーザー名とパスワードさえ一致すれば、簡単にログオンすることができる。これは非常に危険な状態であるといえる。

 このような事態を防ぐには、少なくとも、リモート・デスクトップ接続やターミナル・サービスが稼働していることを(外部からは簡単に)悟られないようにするのがよいだろう。具体的には、デフォルトのサービス・ポート番号(TCPの3389番)を変更すればよい。もちろん、ポート・スキャン(利用されているポート番号を順番に総当りでスキャンする侵入・攻撃方法)が行われればリモート・デスクトップ・サービスが稼働していることが分かってしまうが、一般的には、これでも十分安全性が高くなる。特定のコンピュータを(執拗に)狙う場合ならともかく、通常の侵入行為では、ある固定的な(既知の)ポート番号でのみスキャンして、サービスが稼働しているかどうかを調べているからだ(全ポートに対するポート・スキャンを行うと非常に時間がかかるし、トラフィックが増えて発見されやすくなるからだ)。ただし、元のポート番号から類推しやすいものではあまり意味がないので(例えば3389番を13389番や23389番にするなど)、なるべく異なるポート番号にするのが望ましいだろう。さらにいうならば、なるべく大きなポート番号にしておくと、小さい値から順番にスキャンされる攻撃に強くなる(ポート番号の範囲は1〜65535)。

 ここでは、リモート・デスクトップ接続やターミナル・サービスのデフォルトのポート番号を変更する方法について解説する。


 操作方法

 リモート・デスクトップ接続やターミナル・サービスでは、RDP(Remote Desktop Protocol)というプロトコルを使っている。具体的にはTCPの3389番を使っており、サーバ側は、このポートでクライアントからの接続をリッスン(待ち受け)している。これ以外のポートや、2次接続(サービス接続後に、さらに別のTCPやUDP接続を利用すること)は利用していないので、ファイアウォールなどで対応しやすいプロトコルである。

[注意]

レジストリに不正な値を書き込んでしまうと、システムに重大な障害を及ぼし、最悪の場合、システムの再インストールを余儀なくされることもあります。レジストリ エディタの操作は慎重に行うとともに、あくまで御自分のリスクで設定を行ってください。何らかの障害が発生した場合でも、本Windows Server Insider編集部では責任を負いかねます。ご了承ください。

 このデフォルトのポート番号を変更するには、レジストリ・エディタを起動し、以下のレジストリの値を変更する。

HKEY_LOCAL_MACHINE 中の \SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp キー
名前:PortNumber
種類:DWORD
データ:3389(10進数)

 デフォルトでは10進数で3389(16進数表示だと「d3d」)となっているので、これを適当なポート番号、例えば47935(この番号は任意。一般的には1024以下は利用できない。10000〜65000ぐらいの間で適当に選ぶ)などに変更する。

 レジストリの変更後、システムを再起動すると、利用するポート番号が変更されているはずなので、コマンド・プロンプトを開き、「netstat -an」を実行してそれを確認しておく。「TCP 0.0.0.0:47935 0.0.0.0:0 LISTENING」という行が含まれていれば、ポート番号は変更されている。もし「TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING」となっているようならば、変更されていないので、もう一度レジストリを確認する。

ファイアウォールの変更

 以上でサーバ側の変更は完了であるが、インターネットからアクセスするためには、ファイアウォールなどの設定も変更する必要がある。例えば、Windows XPに内蔵のファイアウォール機能(ICF:Internet Connection Firewall)を使っているのなら、新しいポートでの呼び出しを受け付けるように変更しなければならない。デフォルトでは「リモートデスクトップ」というプロトコルが用意されているので、そのチェック・ボックスをオンにするだけであったが、今回は新規にプロトコル定義を追加して、そのポートへの呼び出しを有効にしておく。具体的には、ファイアウォールの設定(ICFを設定したネットワーク接続のアイコンを右クリックして[プロパティ]画面を開き、[詳細設定]の[インターネット接続ファイアウォール]−[設定]にある[サービス]タブで、[追加]をクリックする)において、以下のように指定する。

Windows XPにおけるファイアウォールの設定
Windows XP Professionalに内蔵されているファイアウォール機能を利用する場合は、新しいポート番号でサービスを受け付けるように設定する。
  サービスの名称。任意のものでよい。
  ローカルのPCの名称もしくは「127.0.0.1(ローカル・ループバック・アドレス)」を入力する。
  新しいポート番号。レジストリで指定したものと同じ番号を指定する。
  プロトコルはTCPを選択する。

呼び出し側の変更

 サーバ側のポート番号を変更したら、それに合わせて、クライアント側の呼び出し方法も変更しなければならない。具体的には、[リモート デスクトップ接続]のサーバ名を入力する欄において、単なる[サーバ名]ではなく、[サーバ名:ポート番号]と入力する(半角のコロン記号と、ポート番号を付加する)。例えばサーバの名前がmypc.example.jpならば、[mypc.example.jp:47935]とする(IPアドレスなら[1.2.3.4:47935]などとする)。End of Article

異なるポート番号を持つサーバへの接続
サーバ名の最後に「:ポート番号」を付けると、デフォルト以外のポート番号を持つサーバへの接続ができる。
  サーバ名の最後にポート番号を明示的に指定する。
 
関連記事(Windows Server Insider)
  Windows Server 2003完全ガイド―より実用的なサーバ・コンピューティングに向けて強化されたターミナル・サービス
  Windows TIPS:netstatでリッスンしているプロセスを特定する
  Windows TIPS:netstatコマンドを使いこなす
   
この記事と関連性の高い別のWindows TIPS
Windows Serverシステムで利用するネットワーク・ポート番号
Windows Server 2008/R2のRRASのNATでポート・マッピングを定義する
XP SP2のファイアウォールでリモート管理を有効にする
リモートから「リモート デスクトップ」を許可する
netstatでリッスンしているプロセスを特定する
FTPの標準ポート番号を変更する
Windows Vistaのファイアウォールでアウトバウンド通信をブロックする
ポートのリッスン状態を調査する
このリストは、(株)デジタルアドバンテージが開発した
自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。
generated by

「Windows TIPS」

ホワイトペーパーTechTargetジャパン

Windows Server Insider フォーラム 新着記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

@IT 新着記事

スキルアップ/キャリアアップ(JOB@IT)

- PR -
@IT Special -PR-
仮想環境の構築とデータ保護の特効薬?!
実績と信頼性の高いパッケージで安心運用
New!
仮想環境のバックアップもこれまでどおり
「まるごと取ってまるごと戻す」簡単運用
おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介
その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?
美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?
.NET編集長が実践する「技術情報検索術」
サンプル・コードを簡単に探す“技”は?
進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

→@IT Special ヘ

- PR -

お勧め求人情報

キャリアアップ 〜JOB@IT
@IT Special -PR-
  おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
  社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介
  Twitterのアカウントはなぜ突破された?
メールによる新手の攻撃手法とその対策

  もう仮想化のお試しフェイズは終わりだ!
Hyper-V 2.0が基幹システムも仮想化
  美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?
  クライアント企業から求められる人材
⇒IT技術と経営戦略を併せ持つ「戦略家」

  .NET編集長が実践する「技術情報検索術」
サンプル・コードを簡単に探す“技”は?
  業務効率と情報セキュリティ対策を両立!
手間なく確実に機密情報を守る方法とは?
  直属上司が海外にいるのエンジニアに見る
【実例】場所に捉われないワークスタイル

  「仮想化工房」のマイスターが選んだのは
VMware、Hyper-V、そしてVirtageだった!
  進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
  運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

  【CTC事例】約30の基幹システムを統合!
膨大なバッジジョブを制御した方法は?
  仮想化すればコストは削減できるか?
仮想化に必要な「3つの視点」を解説する
  その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?

→@IT Special ヘ