会社事務所や自宅のパソコンをリモートデスクトップ・ホストとしてインターネットに公開する場合には、構成に応じたネットワークのセキュリティーも考慮しなければいけません。
リモートデスクトップを構成するシナリオは複数あります。
VPNで会社のネットワークを社員の自宅に拡張する方法や、ActiveDirectoryを構成してリモートデスクトップ・ゲートウェイサーバーを使ってユーザー認証する方法、ウェブポータルを設置する方法などです。
ここでは、ポートフォワーディングを使って、安価なブロードバンドルーターでWindows10をリモートデスクトップホストとしてインターネットに公開する場合の、Windows10単体で行うセキュリティー設定について解説します。
Windows10単体でのセキュリティー設定とはつまり「Windows セキュリティ」のことです。
「Windows セキュリティ」でリモートデスクトップ・ホストの「ファイアウォールとネットワークの保護」を設定します。
リモートデスクトップ・ホストのセキュリティー設定
インターネットに公開するホストが侵害された場合は、次のように設定することで被害が軽減できる可能性が高まります。
- リモートデスクトップ・ホストになるWindows10パソコンは、ネットワークのプロファイルを「パブリック」に設定
- リモートデスクトップ・ホストがおかれるネットワーク上の他のパソコンのネットワークのプロファイルを「パブリック」に設定
- リモートデスクトップ・ホストがおかれるネットワーク上のプリンターやルーターなどのネットワーク機器のUPnPをオフにする
ネットワークのプロファイルを「パブリック」に設定することで、ネットワーク上の他のホストやデバイスを検索することができなくなります。
ただし、管理者権限でサインインするリモートデスクトップ・ホストの場合は、ホストの設定変更が可能です。
したがって、同じネットワーク上の他のホストも「パブリック」に設定して、リモートデスクトップ・ホストから見えないようにしておかなければいけません。
他のホストのプリンターや共有ホルダを使いたい場合には、明確にホスト名やアドレスを指定することで、安全にアクセスすることが可能です。
ネットワークの場所とプロファイル
「ネットワークの場所」とは、コンピューターが接続されるネットワークの場所のこと。
Windows10では、「パブリック」「プライベート」「ドメイン」の3つで「ネットワークの場所」を区別しています。
パブリック ネットワーク | 空港、喫茶店、公共の場など、信頼できないネットワーク |
プライベート ネットワーク | ネットワーク上のユーザーとデバイスを認識及び信頼している、家庭や会社のネットワーク |
ドメイン ネットワーク | ActiveDirectoryが構成されて、コンピューターが一元管理されているネットワーク |
これらの「ネットワークの場所」に対して同名の「ネットワーク プロファイル」が適用されるようになっています。
例えば、公衆無線に接続したときに、Windows10は接続した「ネットワークの場所」を「パブリック ネットワーク」であると判断して、「パブリック」プロファイルを適用します。
家庭の有線ネットワークに接続した場合には、「プライベート」を適用して、接続したネットワーク上にあるコンピューターやプリンターを検索可能にします。
会社のドメイン ネットワークに接続したときは、ドメインコントローラーからグループポリシーを読み込んで適用します。
「ネットワーク プロファイル」はファイアウォール(セキュリティが強化された Windows Defender ファイアウォール)で設定されるルールセットです。
既定のプロファイルは次のようなものです。
パブリック | PCは、ネットワーク上のその他のデバイスから隠され、プリンターやファイルの共有に利用できません。 |
プライベート | PCは発見可能になり、プリンターやファイルの共有に利用できます。 |
ドメイン | ActiveDirectoryのグループポリシーで定められたセキュリティーが適用されます。 |
初期状態で構成されている「パブリック」「プライベート」のプロファイルは絶対的なものではなく、必要に応じて任意に書き換えができます。
「パブリック」プロファイルはデフォルトでネットワーク内のデバイス検索が無効になっています。
これを「パブリック」でも検索可能にすることができますし、逆に「プライベート」でも検索を無効にすることができます。
Windows10パソコンをネットワークに接続したとき、「パブリック」「プライベート」「ドメイン」のいずれかのプロファイルが自動的に適用されます。
実際にどのプロファイルが適用されるかは、接続するネットワーク上にあるスイッチングハブやその他のデバイスによって、微妙に変わります。
大まかには、Wifi接続では「パブリック」が適用され、UPnP機器が見つかる有線ネットワークに接続されると「プライベート」が適用される傾向にあります。
適用されたプロファイルはユーザーが任意に変更することができます。
「プライベート」から「パブリック」に変更することも、その逆も可能です。
「ドメイン」はActiveDirectoryで管理された特別なプロファイルで、変更の対象にはなりません。
ネットワークのプロファイルを変更する
自動的に適用されている「パブリック」と「プライベート」のプロファイルを手動で変更する方法は次の通りです。
デスクトップ画面で、①スタートボタンを「右クリック」して、②「ネットワーク接続(W)」をクリックします。
「ネットワークの状態」画面で、「プロパティ」をクリックします。
「ネットワーク プロファイル」が「プライベート」になっている場合は、「パブリック」に変更してください。
「パブリック」プロファイルに変更することで、ネットワーク上の他のパソコンから検索されることがなくなります。
「パブリック」にすることで、ほかのホストやプリンターなどのデバイスも検索できなくなります。
検索はできませんが、明確にアドレスを指定することで、安全にプリントアウトや共有フォルダにアクセスすることができます。
ネットワーク接続時にプロファイルを選択する
Wifi接続時に「パブリック」または「プライベート」の選択ができる場合があります。
SSIDを選択して、パスワードを入力後に「このネットワーク上の他のPCやデバイスが、このPCを検出できるようにしますか?」というダイアログが出ることがあります。
ここで「はい」をクリックして、PCを検出可能にすると「プライベート」に設定されます。
逆に「いいえ」をクリックすると「パブリック」に設定されます。
明確な目的がなければ、「いいえ」でネットワーク プロファイルを「パブリック」にして、ネットワーク上の他のPCやデバイスから見えないように設定しておくべきでしょう。
ネットワーク プロファイルを編集する
「パブリック」と「プライベート」のプロファイルは、既定値を変更することも可能です。
「ネットワークの状態」の「プロパティ」で、「ファイアウォールとセキュリティ設定の構成」をクリックします。
「アプリを切り替えますか?」という警告が出ますので、「はい」で「ファイアウォールとネットワーク保護」進みます。
「ファイアウォールとネットワーク保護」で「ファイアウォールによるアプリケーションの許可」をクリックします。
「アプリに Windows Defender ファイアウォール経由の通信を許可する」で、設定の変更が可能です。
「設定変更(N)」ボタンをおすと、「プライベート」「パブリック」でのアクセス許可の変更ができます。
「別のアプリの許可(R)…」でネットワークアプリケーションを追加して、各プロパティで通信を許可または拒否することができます。
「セキュリティが強化された Windows Defender ファイアウォール」でより詳細な設定が可能
「ファイアウォールとネットワーク保護」で「詳細設定」をクリックして「セキュリティが強化された Windows Defender ファイアウォール」に移動します。
「セキュリティが強化された Windows Defender ファイアウォール」では、細かなファイアウォールの設定ができます。
「パブリック」「プライベート」の設定変更は、「セキュリティが強化された Windows Defender ファイアウォール」の「監視」の下の「ファイアウォール」に反映されます。
「セキュリティが強化された Windows Defender ファイアウォール」は「ローカル セキュリティ ポリシー」からもアクセスできます。
ファイアウォールをリセットする
「ファイアウォールとネットワーク保護」の「ファイアウォールを既定値に復元する」でファイアウォールを初期状態に戻すことができます。
ただし、アプリのインストール過程で追加されたファイアウォールの設定やリモートデスクトップの許可なども、初期状態に戻ります。
初期状態に戻す前に、ポリシーのバックアップをしておきましょう。
ファイアウォール・ポリシーのバックアップ
ファイアウォールを既定値にリセットする場合や変更する前に、現在のファイアウォール設定をバックアップしておくと、後で設定を復元できますので安心です。
まとめ
インターネットにホストを公開する場合には、ローカルネットワークよりも厳重なセキュリティー設定が求められます。
Windows10は、セキュリティーが充実しており、適切に設定することでサードパーティーのセキュリティーソフトウエアを入れなくても十分なセキュリティーが保てます。
Windows10のセキュリティーは「Windows Defender」に集約されています。
Windows Defenderのセキュリティには、
- ウイルスと脅威の防止
- アカウントの保護
- ファイアウォールとネットワーク保護
- デバイスセキュリティ
- デバイスのパフォーマンスと正常性
- ファミリーのオプション
があります。
「ファイアウォールとネットワーク保護」の「セキュリティが強化された Windows Defender ファイアウォール」でネットワークのセキュリティーを設定します。
「ネットワークの場所」「ネットワーク プロファイル」で「パブリック」、「プライベート」というわかりやすい名称で呼ばれているものは、Windows Defender のなかのファイアウォール ポリシーのセットです。
ネットワークプロファイルを「プライベート」から「パブリック」に変更して、リモートデスクトップでホストを公開する場合の安全性を高めておきましょう。