リモートデスクトップ接続でのデータの持ち出しを防ぐ方法(リダイレクトの禁止)

リモートデスクトップ接続でのデータの持ち出しを防ぐ方法(リダイレクトの禁止)

新型コロナウイルスの影響で、自宅などから会社のWindows 10マシンにリモートデスクトップ接続して仕事をしているという方も多いのではないでしょうか。

リモートデスクトップ接続は、Windows環境なら標準で搭載されているリモート接続手段で、デフォルトではクリップボードやドライブといったローカルデバイスやリソースをリダイレクトできます。

これにより、ローカルマシンとリモートマシンの間でのデータのやり取りがやりやすくなり、とても便利ですが、裏を返せば簡単にファイルをコピーしたりできるため、データの持ち出しなど、安全性の点で問題となる場合があります。

そこでここでは、Windows 10へリモートデスクトップ接続したときに、ローカルデバイスやリソースのリダイレクトを禁止して、データの持ち出しを防ぐ方法を紹介します。

リダイレクトを禁止する

セキュリティを考慮した場合、以下のローカルデバイス/リソースのリダイレクトを禁止します。

  • COMポート
  • LPTポート
  • クリップボード
  • その他のPNPデバイス
  • ローカルドライブ
  • ローカルプリンター

リダイレクトの禁止設定は、接続先(リモート)のマシンで行い、グループポリシーエディターで設定する方法とレジストリで設定する方法があります。

グループポリシーエディターで設定する

まず、スタートボタン右の検索ボックスなどに「gpedit.msc」と入力して実行し「ローカルグループポリシーエディター」を起動します。

リモートデスクトップ接続でのデータの持ち出しを防ぐ方法(リダイレクトの禁止)

「ローカルグループポリシーエディター」が開いたら、左ペインで「ローカル コンピュータ ポリシー」>「コンピュータの構成」>「Windowsコンポーネント」>「リモートデスクトップサービス」>「リモートデスクトップセッションホスト」>「デバイスとリソースのリダイレクト」を順に選択します。

リモートデスクトップ接続でのデータの持ち出しを防ぐ方法(リダイレクトの禁止)

右側に表示される設定項目から、以下の項目をそれぞれ開いて設定を有効化します。

  • COMポートのリダイレクトを許可しない
  • LPTポートのリダイレクトを許可しない
  • クリップボードのリダイレクトを許可しない
  • サポートされているプラグアンドプレイ デバイスのリダイレクトを許可しない
  • ドライブのリダイレクトを許可しない

リモートデスクトップ接続でのデータの持ち出しを防ぐ方法(リダイレクトの禁止)

リモートデスクトップ接続でのデータの持ち出しを防ぐ方法(リダイレクトの禁止)

「クリップボードのリダイレクトを許可しない」の設定画面

次に、設定画面を1階層戻って「プリンターのリダイレクト」を選択します。

リモートデスクトップ接続でのデータの持ち出しを防ぐ方法(リダイレクトの禁止)

右側に表示される設定項目から「クライアントプリンターのリダイレクトを許可しない」を開いて、設定を有効化します。

リモートデスクトップ接続でのデータの持ち出しを防ぐ方法(リダイレクトの禁止)

リモートデスクトップ接続でのデータの持ち出しを防ぐ方法(リダイレクトの禁止)

最後に、設定を有効化するためにマシンを再起動しておきます。

以上で、設定完了です。

レジストリで設定する

レジストリで設定する場合は、レジストリエディターからGUI操作でも設定できますが、ここではPowerShellの「Set-ItemProperty」コマンドレットを使って設定する方法を紹介します。

管理者権限でPowerShellを起動して、以下のコマンドを順に実行します。

COMポートのリダイレクトを禁止する

PS> Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "fDisableCcm" -Type Dword -Value "1"

LPTポートのリダイレクトを禁止する

PS> Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "fDisableLPT" -Type Dword -Value "1"

クリップボードのリダイレクトを禁止する

PS> Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "fDisableClip" -Type Dword -Value "1"

その他のPNPデバイスのリダイレクトを禁止する

PS> Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "fDisablePNPRedir" -Type Dword -Value "1"

ローカルドライブのリダイレクトを禁止する

PS> Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "fDisableCdm" -Type Dword -Value "1"

ローカルプリンターのリダイレクトを禁止する

PS> Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "fDisableCpm" -Type Dword -Value "1"

コマンドを実行し終えたら、設定を有効化するためにマシンを再起動します。

以上で、設定完了です。

なお、レジストリ設定を戻したい場合は、それぞれのコマンドで「-Value」オプションの値を「0」にして実行します。

あとがき

ローカルデバイス/リソースのリダイレクトができると利便性は高いですが、社内の重要情報などが持ち出されて、漏えいしてしまう危険性もあります。

そのため、自宅などから会社のマシンにリモートデスクトップ接続するときは、安全性を重視して、会社のマシンに上に挙げた設定を行っておくべきでしょう。