リモートデスクトップ接続を無効にする【Windows OS】：Tech TIPS

連載目次

リモートデスクトップへの不正接続を防ぎたい！

　Windows XP Professional／Windows Server 2003で標準搭載されたリモートデスクトップ接続機能を利用すれば、リモートからそのコンピュータに接続し、あたかもそのコンピュータそのものを操作しているように使うことができる。

　例えば自宅のデスクトップPCでリモートデスクトップを有効にしておけば、会社から自宅のコンピュータに接続し、Windows OS環境を自由自在に使える（リモートデスクトップの詳細については「Windows XPの正体　リモート デスクトップで遠隔操作する」を参照）。

　しかしこれは逆にいえば、万一、第三者がリモートデスクトップへの不正接続に成功すると、そのコンピュータに保存された情報がそっくり悪用される危険があるということだ。情報漏えいも怖いが、例えばオンラインバンキングのユーザー名とパスワードなどをブラウザのキャッシュに保存して使っているとか、ファイルにメモしていると、コンピュータだけでなく、預金口座にまで不正にアクセスされてしまう。利便性とリスクは常に隣り合わせだ。

　リモートから接続する必要のない企業のクライアントコンピュータなら、リモートデスクトップは無効にしておきたいと考える管理者は多いだろう。

　リモートデスクトップ機能の有効化／無効化は、コントロールパネルの［システム］をダブルクリックし、表示される［システムのプロパティ］ダイアログの［リモート］タブ、［このコンピュータにユーザーがリモートで接続することを許可する］チェックボックスをオン（有効）、またはオフ（無効）にすることで設定できる（［システムのプロパティ］ダイアログは、［スタート］メニューにある［マイ コンピュータ］アイコンのプロパティとしても表示可能）。

リモートデスクトップの有効化／無効化
リモートデスクトップの有効化／無効化は、［システムのプロパティ］ダイアログの［リモート］タブで設定する。
　 （1）リモート接続を許可する場合はこれをオンに、許可しない場合はオフにする。

　ちなみにリモートデスクトップはデフォルトではオフになっている。またこの設定を変更するには、設定するコンピュータに対する管理者権限が必要だ。

　しかしこの方法では、クライアントユーザーが、［システムのプロパティ］ダイアログから簡単に設定を変更して有効化してしまう可能性がある。

　この場合には、グループポリシーを利用して、前出の［このコンピュータにユーザーがリモートで接続することを許可する］チェックボックス自体をグレー表示にして、ユーザーが設定を変更できなくすることができる。Active Directory環境でなくても、ローカルグループポリシーを使えば同様の設定が行える。

グループポリシーでリモートデスクトップ接続を無効にする

　ここでは、ローカルグループポリシーでの設定方法を説明する。グループポリシーを利用する場合には、同様の設定項目があるので、適切なポリシーエディタを使ってグループポリシーオブジェクトを編集すればよい。

　なお、ローカルグループポリシーは、グループポリシーの内容で上書きされるので、グループポリシーが適用されるクライアントでは、ローカルグループポリシーで設定を変えても意味はない。

　ローカルグループポリシーを編集するには、グループポリシーエディタを起動する。これには［スタート］メニューの［ファイル名を指定して実行］から「gpedit.msc」と入力して［OK］をクリックする。

　グループポリシーエディタでの設定項目は、［コンピュータの構成］→［管理用テンプレート］→［Windowsコンポーネント］→［ターミナル サービス］にある［ユーザーがターミナル サービスを使ってリモート接続することを許可する］である。

グループポリシーエディタ
ローカルグループポリシーを編集するには、グループポリシーエディタを使う。
　 （1）この項目で設定する。

　［ユーザーがターミナル サービスを使ってリモート接続することを許可する］を「有効」にすればターミナル接続は有効に、「無効」にすれば［システムのプロパティ］ダイアログの［このコンピュータにユーザーがリモートで接続することを許可する］チェックボックスがグレー表示になり、ユーザーは設定変更が不可能になる。

チェックボックスがグレーアウトされたところ
ローカルグループポリシーで設定を「無効」に変更すると、このように設定用チェックボックスがグレーアウトされて選択不能になる。
　 （1）グレーアウトされたチェックボックス。

「Tech TIPS」