リモートデスクトップでのファイルコピーを禁止するには

Windows全般
スポンサーリンク

リモートデスクトップでのファイルコピーを禁止するには、接続先のコンピューターのローカルグループポリシーの「クリップボードのリダイレクトを許可しない」と「ドライブのリダイレクトを許可しない」という項目を「有効」に設定することで実現できます。以下に詳しく解説していきます。

前提:リモートデスクトップはファイルコピーが可能

まずは前提のおさらいとして、リモートデスクトップ接続時に下のように指定することで、ファイルのコピーが可能です。この場合は、接続元・接続先のどちらかで「Ctrl + C」でコピーしたものを、もう一方で「Ctrl + V」でペーストすることで、ファイルやテキストのコピーが出来るという便利な機能です。

リモートデスクトップ接続時のダイアログ画面。ローカルデバイスとリソース設定で「クリップボード」をONにしている。

同様に、下のように指定すると、接続元のドライブを、接続先にリダイレクトすることができます。この場合、リモートデスクトップ接続先のエクスプローラーで「PC」配下を見ると、接続元のドライブが表示されていて、ドライブ内のファイルを読み書きできます

リモートデスクトップ接続時のダイアログ画面。ローカルデバイスとリソース設定で「ドライブ」をONにしている。

これらは接続元ユーザーが、接続のたびに設定変更できます。(デフォルトをOFFにすることも可能ですが、ユーザーがONにできますので、ファイルコピー禁止の効果はありません)

ファイルコピーを禁止するには

上記の機能は非常に便利ですが、情報漏洩対策が求められる環境ではOFFにすることも出来ます。

それには該当コンピューターのポリシーを設定する必要があります。ここではローカルグループポリシーを変更する手順を紹介します。まずは、ローカルグループポリシーエディターを起動します(起動方法)。

開いた画面で、下の図のように左側のツリーをたどります。[コンピューターの構成]> [管理用テンプレート]> [Windows コンポーネント]> [リモートデスクトップ サービス]> [リモートデスクトップ セッションホスト]> [デバイスとリソースのリダイレクト]を開き、右側の「クリップボードのリダイレクトを許可しない」をダブルクリックします。

ローカルグループポリシーの画面。[コンピューターの構成]> [管理用テンプレート]>  [Windows コンポーネント]>  [リモートデスクトップ サービス]>  [リモートデスクトップ セッションホスト]>  [デバイスとリソースのリダイレクト]>「クリップボードのリダイレクトを許可しない」

開いたダイアログで、下のように「有効」を選択して「OK」ボタンを押します。

ローカルグループポリシーエディターの「クリップボードのリダイレクトを許可しない」設定画面で「有効」に設定している

元の画面に戻り「ドライブのリダイレクトを許可しない」も同様にダブルクリックし「有効」に変更します。下の図のようになれば、まずはOKです。

ローカルグループポリシー画面。「クリップボードのリダイレクトを許可しない」と「ドライブのリダイレクト」が「有効」と表示されている。

OSの再起動など特に不要です。以上の設定で、次回からリモートデスクトップ接続された場合、コピー&ペーストによるファイルコピーや、ドライブのリダイレクトが無効化されます。

制限をさらに強化する場合

上の設定では、クリップボードとドライブのデータ転送のみを禁止しました。しかし、リモートデスクトップでは、これ以外にも接続元のデバイスを転送する機能があります。これらを使って、何らかの手段でファイルコピーができてしまう可能性も否めません

これらを制限して、より強い制限をかける場合は、別の項目も同様に設定します。以下はその例です。

ローカルグループポリシー画面。「デバイスとリソースのリダイレクト」の複数項目を「有効」に設定している。
ローカルグループポリシー画面。「プリンターのリダイレクト」で「クライアントプリンターのリダイレクトを許可しない」項目を「有効」に設定している。

補足:管理者権限に注意

ここまで説明してきた設定は、ローカルグループポリシーを設定するものです。注意点として、該当コンピューターの管理者権限(Administratorsグループのユーザー)であれば、変更が可能です。つまり、いくら設定しても、使用者が管理者権限のユーザーとパスワードを知っている場合、リモートデスクトップ接続した後に設定を変更できてしまいます

これを防ぐ方法としては、使用者には管理者権限がない標準ユーザーのパスワードのみを使わせるのがシンプルです。

それができない場合で、Active Directory ドメイン環境であれば、ドメインのグループポリシーで設定するという方法もあります。ドメインのグループポリシーは、ローカルグループポリシーより強く、ドメイン管理者の権限が無い限り解除できません。

フィードバック

フィードバック

コメント

タイトルとURLをコピーしました