| [System Environment] | |||||||||||
リモート・デスクトップの接続時間を制限する
|
|||||||||||
|
|||||||||||
| 解説 |
サーバ・システムのリモート管理や、WAN回線経由のクライアントWindows XPコンピュータの利用など、リモート・デスクトップ(ターミナル・サービス)は非常に有用な機能である。だが、リモートから手軽に接続できる分、セキュリティには注意が必要だ。
例えばサーバ・コンピュータを厳格に管理されたコンピュータ・ルームに設置していても、手元のコンピュータからログオンして使っていれば、セキュリティ的には望ましくない。机を離れたすきにサーバにアクセスされてしまう可能性があるからだ。これは、インターネット経由でリモートのコンピュータを利用している場合でも同じである。目を放したすきに、ローカルのコンピュータだけでなく、リモートのコンピュータさえもアクセスされてしまう。
このような事態を防ぎ、少しでもセキュリティを向上させるためには、リモート・デスクトップ・セッションで接続可能な最大時間を制限するという方法がある。ある一定時間経過するか、無操作の状態が一定時間続くと、セッションを強制的に終了させるという方法である。これならばログオンしたまま離席しても、自動的にセッションからログオフし、リモート・コンピュータへのアクセスを防ぐことができる。またターミナル・サービスで多数のユーザーがログオンしているケースでは、ログオフを忘れて、サーバのリソースを無駄に消費するという事態も防ぐことができる。リモート・デスクトップのクライアント・プログラムを(システム・メニューの[閉じる]で)終了しても(「切断」しても)、デフォルトではセッションはログオンしたまま生きているからだ。セッションを完全に「終了」させるためには、明示的なログオフ操作が必要である。
|
本TIPSでは、リモート・デスクトップ接続に対して、接続可能な最大時間などを設定する方法について解説する。なお、セキュリティを向上させるためには、これ以外にも暗号化レベルを上げるとか、ポート番号を変更するなどの方法もあるが、これらの詳細については関連記事を参照していただきたい。
| 操作方法 |
リモート・デスクトップ・セッションの接続時間を制限するには、グループ・ポリシー・エディタを利用して、「ターミナル サービス」の設定を変更する。
まず[スタート]メニューの[ファイル名を指定して実行する]で「gpedit.msc」と入力して、グループ・ポリシー・オブジェクト・エディタを起動する(ドメイン全体で設定を変更する場合は、Active Directoryのグループ・ポリシーを編集してもよい)。そして、[コンピュータの構成]−[管理用テンプレート]−[ターミナル サービス]−[セッション]の項目を開く([ユーザーの構成]の下にも同じものがあるので、ユーザーごとに設定したい場合はそちらを使う)。
 |
|||||||||||||||
| リモート・デスクトップのセッション・タイムアウト値の設定 | |||||||||||||||
| グループ・ポリシー・エディタを起動して、リモート・デスクトップのサービス(ターミナル・サービス)のセッション・タイムアウト関連の設定を変更する。 | |||||||||||||||
|
それぞれの項目の意味は次のとおりである。デフォルトはいずれも「未構成」となっており、セッションの強制的な切断や終了はしないようになっている。また接続を切断しても、セッションはログオフせずに(終了せずに)スタンバイしており、後で再接続することができる。
| 項目 | 意味 |
 |
切断されたセッションの扱い。通常はクライアントからの接続が切断しても、セッションはログオンしたままであり、後で再接続できる。この設定を変更すると、セッション切断後、指定した時間が経過するとセッションは終了させられる。ログオフを忘れて切断しても、一定時間経つと自動的に終了させられる。ただし(リモート・デスクトップ接続の)コンソール・セッションは、自動的に終了することはない |
 |
セッションの最大接続可能時間。ここで指定した時間が経過すると、セッションは強制的に終了もしくは切断させられる。ただし2分間の猶予があり(ダイアログが表示される)、その間にアプリケーションの終了操作などを行うことができる |
 |
アイドル状態の最大猶予時間。何も操作せずにここで指定した時間が経過すると、強制的に終了もしくは切断させられる。この値を設定する場合は の値よりも少ない時間にすること |
 |
タイムアウト時のセッションの扱い。 または で指定された時間が経過した場合に、単にセッションを切断するか(セッションは生きたまま)、それともセッションを完全に終了(強制ログオフ)させるかを選択する。デフォルトではセッションは単に切断するだけで、ログオンしたままになっている |
 |
|
| グループ・ポリシーの設定項目とその意味 | |
これらの項目のうち、上の3つに対しては、次のようにタイムアウト時間を設定する。指定された時間が経過するとセッションが終了もしくは切断する。
 |
||||||
| セッションの最大値の指定例 | ||||||
| これは利用可能な最大セッション時間の設定の例。例えば「3 時間」を選択すると、リモートへのログオンから3時間経つと強制的にセッションが切断したり、終了したりする。 | ||||||
|
タイムアウトとして指定可能な時間は、「1分」「5分」「1時間」「3時間」など、このリストに表示されているもののみである。6時間とか12時間など、ここに表示されていない時間を指定することはできない。
だがWindows Server 2003なら、管理ツールにある[ターミナル サービス構成]を利用すると、任意の時間を指定することができる(これは[未構成]時のデフォルト値を決めるツールにもなっている)。ターミナル・サービス構成ツールを起動し、[接続]ツリーの下に表示されている項目(デフォルトは「RDP-Tcp」)を選んで[プロパティ]メニューを表示させると、セッション・タイムアウトのデフォルト値を設定することができる。
 |
|||||||||||||||||||||
| セッションのタイムアウト値の設定 | |||||||||||||||||||||
| これはサーバOSに付属のツール。[スタート]メニューの[プログラム]−[管理ツール]−[ターミナル サービス構成]を起動し、[接続]ツリーの下に表示されている[RDP-Tcp]という項目を選んで[プロパティ]メニューを表示させる。ここで設定した値は、グループ・ポリシーで[未構成]となっている場合のデフォルト値となる。 | |||||||||||||||||||||
|
|
||||||||||||||||||||||||||||
 |
「Windows TIPS」 |
TechTargetジャパン
- フォルダの名前が変更できない不具合を解消する (2012/5/25)
Windows 7のエクスプローラで画像ファイルやPDFが含まれるフォルダの名前が変更できなかったり、削除できなかったりする不具合の解消方法を解説する - 通信相手のMACアドレスを調べる近隣探索プロトコル (2012/5/24)
イーサネットで通信する場合、相手のMACアドレスが分からないとパケットを送信できない。ARPに代わるIPv6の近隣探索機能とは? - 第316話 ネット対応トイレ (2012/5/22)
毎日用をたすだけで、体温に体重、血圧、体脂肪率も計測して、尿検査、便検査も自動で実施、データはネット経由で医師に送られます - 私物のスマートフォンを業務に活用、「BYOD」って何? (2012/5/21)
私物のスマホやノートPCを組織的に業務に活用する「BYOD」が新たなトレンドとして注目されている。なぜいまBYODなのか? BYODのメリットとデメリットは?
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。