リモートデスクトップのセキュリティ

Windows Proでもリモートデスクトップのユーザーごとの制限ができる。

Windows ServerとADがあればもっと別な方法があるのだろうが。自前PCなら、ローカル・セキュリティポリシとPro版で十分であると思う。

グループポリシー（ローカル）を起動する

gpedit.msc

Win-R を押して gpedit.msc を入力してEnter

グループポリシーが起動したら「ユーザ権限の割当」

次の順にたどります。 - コンピュータの構成 - Windowsの設定 - セキュリティの設定 - ローカルポリシー - ユーザー権利の割当

リモートデスクトップを使ったログオンの許可

許可設定でリモートデスクトップを使ったログオンを許可するグループが設定されています。

AdministratorsグループとRemote Desktop Users *1が許可されています。

リモートデスクトップを使ったログオンの拒否

リモートデスクトップでログインさせたくない、ユーザやグループを列挙します。

RDPのセキュリティはユーザ単位で

RDPの設定は、セキュリティ単位をIPアドレス制限にしてしまう個人ブログが見られるが、基本的には、ユーザーグループ単位で許可するのが基本。それをやったうえで、IPアドレス制限にするといい。

っていうか、IPアドレス制限やユーザー制限をやりたいと考える場合、個人所有PCの場合は、パスワードを入力したくない欲求があるんじゃないだろうか。「パスワードの単純化」のために行っているとしたらそれは暴挙である。Google HomeやAmazon Echoなどデバイスが家庭内にあふれ、IPv6が家庭内に割り当てられている現代において、パスワードなしや単純なパスワードでRDPを許可するなど恐ろしいことです。