離れた場所にあるPCの画面にアクセスすることができるWindowsリモートデスクトップ。便利な一方、セキュリティ面も気になります。
Windowsリモートデスクトップにはクリップボードを接続元PCと接続先PCでする機能があり、例えば接続先PCでファイルやテキストをコピーして手元PCへ貼り付けることができます。
この機能は便利な一方、セキュリティを考慮したとき、許可したくない場合もあるかと思います。今回は、Windowsリモートデスクトップへアクセスした際にクリップボードの共有を禁止する方法についてです。
アクセス先PCのグループポリシーエディターを起動します。起動方法はWindows10の場合、Windowsタスクバーにある検索ボックスに「グループポリシー」と入力します。
すると、メニュー上部に「グループポリシーの編集」が表示されるので、それをクリックしてグループポリシーエディターを起動します。
起動後、左ペインから次のように辿っていきます。「コンピューターの構成」→「管理用テンプレート」→「Windowsコンポーネント」→「リモートデスクトップサービス」→「リモートデスクトップセッションホスト」→「デバイスとリソースのリダイレクト」
ここで、「クリップボードのリダイレクトを許可しない」をダブルクリックすると別ウィンドウが表示されますので、設定の状態を確認します。
このウィンドウで「未構成」、「有効」、「無効」の種類を選択できるので、「有効」を選択、「適用」をクリックします。
設定を最終的に適用させるために、PCを再起動します。
以上で、リモートデスクトップ接続の際にクリップボードの共有は行われなくなります。
Windowsリモートデスクトップでは、その他様々な機能を共有できます。必要に応じて、それらを共有しない設定にします。
以下は「プリンターのリダイレクト」を選択します。
以上で様々なリダイレクト(共有)機能を停止させることができますが、注意点としてはWindowsの管理者権限を持っていれば、設定を変更できてしまうということです。これはPCの利用者に管理者権限を持つアカウントを渡さないことによって防ぐことができます。ですが、PCの利用者にもともと管理者権限を与えている運用を行っている会社の場合、切り替えることは難しいかもしれません。
また、PCが複数ある場合、PCの数だけ以上の設定を行う必要があり、沢山PCがある環境では時間がかかり、設定ミスも発生しやすくなります。その結果、情報漏えいに繋がるケースも考えられます。
Active Directoryのドメイングループポリシーで、一斉に変更することができますが、Active Directoryは導入から運用までの負荷が高く、企業の規模によっては現実的ではないかもしれません。
この記事をお読みの方は、Windowsリモートデスクトップを利用してリモートアクセスをしたいとお考えかもしれません。Windowsリモートデスクトップをリモートアクセス(社外から社内のPCへアクセス)で利用するには、VPNやネットワークの工事が別途必要になります。
株式会社バルテックが提供するリモートアクセスサービスの「V-Warp(ブイワープ)」はそれだけで、ネットワークの工事が不要で会社にあるPCへ社外のPCからリモートデスクトップ接続が可能になります。
「V-Warp」の初期設定ではクリップボードなどの共有機能が全て利用できないようになっていますが、管理者がユーザーを一元管理できる管理機能があります。管理者はユーザーによって個々の共有機能を許可したり、禁止したりすることが可能で、ユーザーは例えPCの管理者権限を持っていたとしても、変更することはできません。
「V-Warp」におけるリモートアクセス時のユーザー権限設定に関する詳細は以下のお知らせを参照してください。 リモートアクセス時の権限変更機能の追加
先に書きましたように、Windowsリモートデスクトップでは個々の設定が可能ですが、運用にはユーザーにPCの管理者権限を渡さないであったり、一度に沢山のPCの設定を行うには負荷がかかったり、設定ミスには注意が必要など、様々な注意点があります。
一方リモートアクセスサービスである「V-Warp」ではユーザーがPCの管理者権限を持っている場合でも、管理者が一元的に権限を管理することが可能で、運用にかかる時間の削減や、情報漏洩に対するリスクも低下させることが可能です。
