[ベストのヒント] Windows 10、11でリモートデスクトップをセキュアにする方法

他のコンピューターを遠隔操作するためにリモートデスクトップ接続を使用する際、プライバシー漏洩の心配はありませんか?心配しないでください、この記事では、Windows 10、11でリモートデスクトップをセキュアにする方法を案内します。

Tyler

By Tyler 最後の更新 2024年12月13日

Share this: instagram reddit

リモートデスクトップのセキュリティを確保するにはどうすればいいですか?

 

私の会社は従業員の80%が遠隔で業務を行うことになりました。私もその一員です。オフィスのコンピュータにリモートデスクトップを使用してリソースにアクセスすることを勧められましたが、リモート制御は少し怖いと感じています。Windows 10でリモートデスクトップを最大限のセキュリティで設定するにはどうすればいいですか?

- Redditの質問

RDPの紹介

リモートデスクトップ(RDPとも呼ばれる)は、マイクロソフトが開発したツールで、仮想およびリモートデスクトップのリモートアクセスと管理が可能になります。これにより、表示、キーストローク、マウスの動きを含むデータのやり取り用のネットワークチャネルが作成されます。RDPを使用すると、ユーザーは会社のサーバーにアクセスし、デスクトップマシンにログインし、どの場所からでも従業員と協力して作業することができます。

Windowsリモートデスクトップのセキュリティはどの程度ですか?

リモートデスクトップセッションは暗号化によって保護されており、ネットワークの監視によるセッションの不正閲覧を防止します。しかし、セキュリティ機能があるにもかかわらず、まだ脆弱性が存在するため、注意が必要です。いくつかのRDP攻撃ベクターの例を見てみましょう:

  • 制限のないポートアクセス:RDP接続はデフォルトでポート3389を使用します。サイバー犯罪者はしばしばオープンポートを悪用してシステムの防御策を回避し、高度な攻撃を実行します。

  • ブルートフォース認証攻撃:脅威アクターは弱いまたは安全でないユーザー認証情報を頻繁に標的にして、不正アクセスを試みます。彼らはブルートフォース攻撃を使ってパスワードを解読し、侵入し、機密データを危険にさらしたり、マルウェアやランサムウェアを展開する可能性があります。

  • リモートコード実行の脆弱性:攻撃者はRDP内部の脆弱性(たとえば、2019年に発見されたBlueKeep脆弱性)を悪用してリモートコードの実行を行います。これらの脆弱性は、システムを侵害し、リモートで制御を取得する機会を提供します。

Windows 10、11でリモートデスクトップをセキュアにする方法

セキュリティ上の課題は存在しますが、予防策を採用することでこれらのリスクを最小限に抑えることができます。正しくリモートデスクトップを設定した後、以下のヒントに従って Windows 10 および 11 でリモートデスクトップを安全にする方法を学ぶことができます。

リモートデスクトップのための基本的なセキュリティのヒント [4つのヒント]

以下は、セキュアなリモートデスクトップに対する基本的なヒントです。

ヒント1. 強力なパスワードの使用

リモートデスクトップへのアクセス権を持つアカウントは、キャンパスのパスワードの複雑さのガイドラインに従った強力なパスワードを使用してください。堅牢なパスワードは、不正アクセスを防ぐために重要です。

ヒント2. 二要素認証の実装

セキュリティの追加レイヤーとして、二要素認証を使用することを検討してください。RD ゲートウェイは、DUO のキャンパスインスタンスと統合することができ、認証の強化が可能です。また、リモートデスクトップを使用した認証には、証明書ベースのスマートカードなどのオプションも検討できます。

ヒント3. リモートデスクトップを最新の状態に保つ

リモートデスクトップコンポーネントの自動アップデートを活用して、最新のセキュリティ修正が適用されていることを確認してください。クライアントとサーバーソフトウェアの両方を最新の状態に保つために、自動的な Microsoft Updates の有効化と監査を行ってください。他のプラットフォーム上のリモートデスクトップクライアントがサポートされ、セキュリティ上の欠陥が軽減されていることを確認してください。

ヒント4. ファイアウォールでアクセスを制限する

ソフトウェアおよびハードウェアの両方のファイアウォールを使用して、リモートデスクトップのリッスンポート(通常は TCP 3389)へのアクセスを制限してください。デスクトップやサーバーへの制御されたアクセスのために RDP ゲートウェイを実装してください。キャンパス外からの接続の場合は、キャンパスの VPN ソフトウェアを使用してキャンパスの IP アドレスを取得し、RDP ファイアウォールの例外ルールにキャンパスの VPN ネットワークアドレスプールを追加することを検討してください。

追加のセキュリティのためのベストプラクティス [3つのヒント]

以下は、追加のセキュリティに関するヒントです。

ヒント1. デフォルトアカウントを削除し、新しいユーザーを手動で追加する

リモートデスクトップサービスクライアントとしてログインする権限を持つ既存のユーザーおよびグループを削除し、リモートデスクトップアクセスを許可するユーザーを手動で追加することをおすすめします。これは必須のステップではありませんが、リモートデスクトップを使用できるアカウントをより制御することができます。

ステップ1. Win R を押して、実行ダイアログボックスを開き、「secpol.msc」と入力し、OK をクリックします。

Secpol

ステップ2. ここに移動します:ローカルポリシー > ユーザーの権限の割り当て > リモート デスクトップ サービスを介してログオンを許可

Allow Log On

ステップ3. このウィンドウに一覧表示されている管理者リモート デスクトップ ユーザー(またはコンピュータ上の他のユーザーやグループ)を削除します。

Remove Users

ステップ4. その後、「ユーザーまたはグループを追加 」をクリックし、リモート デスクトップへのアクセス権を付与したいユーザーを手動で追加します。

Add After Remove

ヒント2. デフォルトのセキュリティ設定を変更する

最大のセキュリティを確保するためには、いくつかのデフォルトのリモート デスクトップ セキュリティ設定を変更する必要がある場合があります。

ステップ1. ラン ダイアログ ボックスを開き、「gpedit.msc」と入力し、OK をクリックします。

Local Group Policy Editor Window

ステップ2. ここに移動します:コンピュータの構成 > 管理用テンプレート > Windows コンポーネント > リモート デスクトップ サービス > リモート デスクトップ セッション ホスト > セキュリティ。右側のペインに、複数の設定が表示されます。

Set Client Connection Encryption Level

ステップ3. 右側のペインでクライアントの接続暗号化レベルを設定を見つけます。そのステータスを有効に変更します。次に、ドロップダウンリストから高いレベルを選択して暗号化レベルを設定します。

Select Encryption Level

ステップ4. 右側のウィンドウで、Require secure RPC communicationを見つけます。ステータスをEnabledに変更します。

Require Secure RPC Communication

ステップ5. 右側のウィンドウで、Require use of specific security layer for remote (RDP) connectionsを見つけます。ステータスをEnabledに変更します。ドロップダウンリストからRDP security layerSSLに設定します。

Security Layer SSL

ステップ6. 右側のウィンドウで、Require user authentication for remote connections by using Network Level Authenticationを見つけます。ステータスをEnabledに変更します。

Enable NLA

Tip 3. デフォルトのRDPポート番号を変更する

デフォルトでは、リモートデスクトップはポート3389で待ち受けます。ただし、デフォルトのポート番号はいつでもハッキングの対象になります。そのため、デフォルトのRDPポート番号を変更することは、リモートデスクトップを保護する良い方法です。

ステップ1. 実行ダイアログボックスを開き、「regedit」と入力してOKをクリックします。

Run Box Regedit

ステップ2. ここに移動します: HKEY_LOCAL_MACHINE > System > CurrentControlSet > Control > Terminal Server > WinStations > RDP-Tcp。下にスクロールしてPortNumberを探し、それをダブルクリックします。

Server 2016 Tcp Port

ステップ3. 好きなポート番号、例えば3390に変更し、Decimalを選択します。そしてOKをクリックします。

3390 Decimal Port Number

リモートアクセスの安全な代替手段: AnyViewer

RDPの脆弱性に対する堅固な保護のために、ユーザーはリモートアクセスの包括的なソリューションを求めています。それがAnyViewerです。これはRDPの代わりとなる無料で安全なリモートデスクトップソフトウェアです。そのセキュリティ対策は以下のとおりです:

  • 暗号化されたリモート接続:高度な暗号化によるリモート接続のセキュリティは、AnyViewerのアプローチの基盤です。256ビット楕円曲線暗号化(ECC)アルゴリズムを実装しています。
  • 二要素認証:アクセス前にAnyViewerは厳格な二要素認証プロセスを要求します。これは、認可された個人のみがリモートデスクトップに入ることを保証する安全策です。
  • デバイス認証:休憩中や共有使用シナリオでの追加のセキュリティを提供するため、AnyViewerはデバイス認証を容易にします。シンプルなインターフェイスロックにより、コンピュータの設定を不正に変更されることを妨げ、好みを保護します。

強固なセキュリティ機能に加えて、AnyViewerはリモートデスクトップと比較して数多くの利点を誇っています。特に、使用者への使いやすさに優れ、セットアップや操作が簡単です。以下の手順に従って、迅速かつ煩わしさのない開始を行ってください:

ステップ1. 両方のコンピュータにAnyViewerをダウンロード、インストール、そして起動します。

無料ダウンロードWin PCs & Servers
安全ダウンロード

ステップ2. ログインに移動し、サインアップをクリックします。サインアップ情報を入力してください。公式ウェブサイトで既にサインアップ済みの場合は、直接ログインすることもできます。

Log in AnyViewer

ステップ3. AnyViewerに正常にログインできるようになります。デバイスは、ログインしたアカウントに自動的に割り当てられます。

Free Editions

ステップ 4. 2つのデバイスで同じAnyViewerアカウントにログインします。ローカルデバイスで、リモートデバイスを選択し、ワンクリック制御をクリックして無人リモートアクセスを実現します。

Connect to My Devices

★Tips: 
アカウントをプロフェッショナルまたはエンタープライズプランにアップグレードすると、以下の特典が得られます:
より多くのデバイスをアサインすることにより、無人リモートアクセス機能を拡張できます。
現在接続中のデバイスの拡張リストを表示し、包括的な接続履歴を確認できます。
画面の可視性とリモート入力をブロックするプライバシーモードで別のコンピューターに接続することで、強化されたプライバシーを確保できます。
専用のグループを作成することで、エンタープライズ内での大量のデバイスの管理を効率化できます。
スクリーンウォールを使用して、1つのウィンドウで複数のデバイスを監視できます。
大量展開戦略により、効率を最適化し、時間を節約できます。

結論

この投稿では、Windows 10、11のリモートデスクトップを安全に設定するためのヒントを提供しています。すべての設定を構成することで、より安全なリモートデスクトップ接続が可能となります。または、安全なRDPの代替として、AnyViewerを選択することもできます。AnyViewerは楕円曲線暗号(ECC)暗号化を通じて安全性を保証します。ワンクリック接続やプライバシーモードなどの機能により、AnyViewerはユーザーのプライバシーを保護するために一歩踏み込んでいます。