Windows TIPS
[Network]
  Windows TIPS TOPへ
Windows TIPS全リストへ
内容別分類一覧へ

グループ・ポリシーでリモート・デスクトップからのローカル・ドライブ利用を禁止する

解説をスキップして操作方法を読む

デジタルアドバンテージ 島田 広道
2008/02/22
対象OS
Windows XP
Windows Server 2003
Windows Vista
リモート・デスクトップ接続クライアント(RDC)の設定を変更すると、リモート・デスクトップからローカル・コンピュータのドライブ(ローカル・ドライブ)を利用できるようになる。
しかし、ローカル−リモート間でファイルを容易にやりとり可能になると、ウイルス感染や情報漏えいの危険性も高まってしまう。
ユーザーによるRDCの設定に関係なくローカル・ドライブの利用を禁止するには、グループ・ポリシー機能を利用すればよい。

解説

リモート・デスクトップからローカル・ドライブを利用する(RDC5編)
リモート・デスクトップからローカル・ドライブを利用する(RDC6編)

 あたかもローカル・コンピュータのようにリモート・コンピュータをGUIベースで操作できるリモート・デスクトップでは、ローカル・コンピュータのハードウェアのうち、デフォルトで画面表示とキーボード/マウスをリモート操作に使用できる。リモート・デスクトップ接続クライアント(RDC)の設定を変更すれば、ローカル・コンピュータのドライブ(ローカル・ドライブ)もリモート・デスクトップからアクセス可能になる(その方法については、関連記事を参照していただきたい)。これでローカル−リモート間のファイルのやりとりが可能になり、リモート・デスクトップの使い勝手が向上することは確かだ。

 しかしその一方で、リモート・デスクトップからローカル・ドライブにアクセスできるようにすることは、いくつかのセキュリティ上の危険が生じる可能性が否めない。例えばどちらかのコンピュータにウイルスが感染していた場合、ローカル・ドライブを介して、もう一方のコンピュータに伝染してしまうおそれがある。また、ローカル−リモート間で簡単にファイルがコピーできることから、情報漏えいの危険性も高まる(ただし、リモート・デスクトップに接続されたローカル・ドライブには、リモート・コンピュータ上のほかのユーザーから直接アクセスできるわけではない)。

 こういったリスクを低減するには、リモート・デスクトップのサーバ側サービス(ターミナル・サービス)でローカル・ドライブの利用を禁止すればよい。これにより、たとえエンド・ユーザーがRDC側で有効にしても、ローカル・ドライブは利用できなくなる。

 ターミナル・サービス側でローカル・ドライブの利用を禁止する手段としては、グループ・ポリシー機能と、「ターミナル サービス構成」というWindows Server標準の管理ツールの2種類が挙げられる。ただし後者はWindows XP/Windows Vistaでは利用できず、また複数のコンピュータの一律設定もできないという欠点がある。そこで本稿ではグループ・ポリシーによる設定方法を解説する。

操作方法

グループ・ポリシー・エディタの使用法
グループ・ポリシー管理を強力に支援するGPMCを活用する
グループ・ポリシー管理コンソール(GPMC)

 グループ・ポリシーの設定変更の手段には、グループ・ポリシー・エディタやグループ・ポリシー管理コンソール(GPMC)などいくつかある。どれでも構わないが、本稿ではグループ・ポリシー・エディタの例を説明している。これらのツールの基本的な使い方については、関連記事を参照していただきたい。

 さて、グループ・ポリシーによるリモート・デスクトップからのローカル・ドライブ利用の禁止/許可の設定は、リモート・デスクトップのサーバ側サービス(以後ターミナル・サービス)に関する設定に含まれる。その在りかは、次のようにグループ・ポリシー・エディタの起動元のOS(グループ・ポリシー・テンプレート)によって異なる。

  • Windows XP/Windows Server 2003
      コンピュータの構成\管理用テンプレート\Windows コンポーネント\ターミナル サービス\クライアント/サーバー データ リダイレクト フォルダ
  • Windows Vista
      コンピュータの構成\管理用テンプレート\Windows コンポーネント\ターミナル サービス\ターミナル サーバー\デバイスとリソースのリダイレクト

 以下ではWindows XPの例を説明しているので、Windows Vistaの場合は上記のようにパスを置き換えていただきたい。

 次の画面は、グループ・ポリシー・エディタでローカル・ドライブの利用の設定(グループ・ポリシー・オブジェクト:GPO)を編集しようとしているところだ。

ターミナル・サービスのローカル・ドライブ利用に関する設定の在りか
これはWindows XPの例。前述のようにWindows VistaではGPOの在りかが異なるので注意。またターミナル・サービスの設定は[ユーザーの構成]にも存在するので間違えないようにしたい。
これを開く。
これをダブル・クリックしてプロパティを開き、ローカル・ドライブの利用の禁止/許可を設定する。→

 右側のペインに表示された[ドライブのリダイレクトを許可しない]というGPOをダブル・クリックすると次の画面が表示される。

ターミナル・サービスの[ドライブのリダイレクトを許可しない]の設定
デフォルトでは[未構成]になっている。
  このタブを選ぶ。
  これが選択されている場合、「解説」で触れた[ターミナル サービス構成]ツールの設定によって禁止/許可が決まる。
  ローカル・ドライブの利用を禁止するには、このラジオ・ボタンを選ぶ。
  ローカル・ドライブの利用を許可するには、このラジオ・ボタンを選ぶ。

 [有効]を選べば、ターミナル・サービス側でローカル・ドライブの利用が禁止される。

gpupdateでグループ・ポリシーの適用を強制する

 設定後にグループ・ポリシーの伝達を確認したら、リモート・デスクトップ接続クライアント(RDC)でローカル・ドライブを利用するように設定してから、ターミナル・サービスに接続してみよう。前述の設定画面で[有効]を選んだ場合は、RDC側の設定に関係なく、リモート・デスクトップのWindowsエクスプローラにローカル・ドライブは現れないはずだ。End of Article

関連記事(Windows Server Insider)
  リモート デスクトップで遠隔操作する(Windows XPの正体)
  強化されたターミナル・サービス(Windows Server 2003完全ガイド)
  ターミナル・サービスによるクライアントの仮想化(Windows Server 2008の基礎知識)
     
  関連リンク
  ターミナル サービスのグループ ポリシー オブジェクト(マイクロソフト サポート技術情報)
  クライアント デバイスをマッピングするための設定を構成する(マイクロソフト TechNet)
     
「Windows TIPS」

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

キャリアアップ

- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る
- PR -

ホワイトペーパーTechTargetジャパン

ソリューションFLASH

「ITmedia マーケティング」新着記事

第7回 進出市場に特化したローカライゼーションを
ローカライゼーションの目的は、プロダクトやサービスがまるで“特定の市場のために”作...

寺島情報企画のSSP「アドフリくん」とアップベイダーの「AppVador」、広告配信で提携
寺島情報企画は3月2日、同社が運営するSSP「アドフリくん」で、アップベイダーが運営する...

博報堂DYメディアパートナーズら4社、「kinora(キノーラ)動画アドネットワーク」の開発/運営を開始
博報堂DYメディアパートナーズ、デジタル・アドバタイジング・コンソーシアム、日本ビ...