リモートデスクトップのセキュリティ
Windows Proでもリモートデスクトップのユーザーごとの制限ができる。
Windows ServerとADがあればもっと別な方法があるのだろうが。自前PCなら、ローカル・セキュリティポリシとPro版で十分であると思う。
グループポリシー(ローカル)を起動する
gpedit.msc
Win-R
を押して gpedit.msc
を入力してEnter
グループポリシーが起動したら「ユーザ権限の割当」
次の順にたどります。 - コンピュータの構成 - Windowsの設定 - セキュリティの設定 - ローカルポリシー - ユーザー権利の割当
リモートデスクトップを使ったログオンの許可
許可設定でリモートデスクトップを使ったログオンを許可するグループが設定されています。
AdministratorsグループとRemote Desktop Users *1が許可されています。
リモートデスクトップを使ったログオンの拒否
リモートデスクトップでログインさせたくない、ユーザやグループを列挙します。
RDPのセキュリティはユーザ単位で
RDPの設定は、セキュリティ単位をIPアドレス制限にしてしまう個人ブログが見られるが、基本的には、ユーザーグループ単位で許可するのが基本。それをやったうえで、IPアドレス制限にするといい。
っていうか、IPアドレス制限やユーザー制限をやりたいと考える場合、個人所有PCの場合は、パスワードを入力したくない欲求があるんじゃないだろうか。「パスワードの単純化」のために行っているとしたらそれは暴挙である。Google HomeやAmazon Echoなどデバイスが家庭内にあふれ、IPv6が家庭内に割り当てられている現代において、パスワードなしや単純なパスワードでRDPを許可するなど恐ろしいことです。