16Aug
さくらインターネットのVPS「Windows Server」版を利用することになったですが、セキュリティが心配なので調べてみました。
まずは、「リモートデスクトップの不正アクセス対策」が必要ということなので、
以下の手順でセキュリティ設定作業をおこないました。
【リモートデスクトップの不正アクセス対策】
次の手順でリモートデスクトップに対しアクセス制限をおこなう。
『作業手順』
1.リモートデスクトップに接続する
(1) 以下の何れか(①or②)の方法でリモートデスクトップに接続する
①「スタート」⇒「リモート デスクトップ接続」を選択し接続する
②「ファイル名を指定して実行」で以下を入力して接続する
②-1 クライアント端末で「ファイル名を指定して実行」を開く
※Windowsキー + R で表示可能
②-2「名前」欄に以下を入力する
mstsc /v:サーバーのグローバルIPアドレス
例)mstsc /v:27.134.xxx.xxx
2.自分の接続元アドレスの確認
※リモートデスクトップ接続先で実施
(1) 以下の何れか(①or②)の方法でコマンドプロンプト画面を表示する
①「スタート」⇒「コマンドプロンプト」を選択する
②「プログラムとファイルの検索」に“cmd”を入力する
(2) コマンドプロンプト画面(黒い画面)で、以下を入力する
netstat -an
(3) 表示された内容から、以下に該当する行の「外部アドレス」のIPアドレスを確認する
※「外部アドレス」のIPアドレス部分(ooo.ooo.ooo.ooo:zzzz のうち“:”の左側)
①「ローカルアドレス」が“xxx.xxx.xxx.xxx:3389”
※xxx.xxx.xxx.xxxはサーバーのグローバルIPアドレスです
②「状態」が“ESTABLISHED”
例)113.32.xxx.xxx:52893
3.Windows Firewall の設定
(1) Windows Firewall の設定変更
「スタート」⇒「コントロールパネル」⇒「システムとセキュリティ」
⇒「ファイアウォールの状態の確認」⇒「詳細設定」⇒「受信の規則」
⇒「リモートデスクトップ(TCP受信)」をダブルクリック
⇒「スコープタブ」をクリック
⇒「リモートIPアドレス」の”これらのIPアドレス”を選択
⇒「追加」をクリック
⇒先ほど確認した外部アドレス(113.32.xxx.xxx)を入力
⇒“OK”をクリック ⇒ “OK”をクリック
この設定を施すと、登録したIPアドレス以外からの接続が拒否されるようになります。
スコープに登録する外部アドレスは変わる可能性がないものを入力する必要があります。(固定IPアドレス)
※リモートデスクトップ接続元IPアドレスを変更する際は、Windows Firewall の設定変更も必要です!!
アクセス制限の設定を間違ったときは、リモートデスクトップの接続が行えなくなります。
その際は、コンソール機能にて復旧を実施する必要があります。
