リモートデスクトップでのファイルコピーを禁止するには、接続先のコンピューターのローカルグループポリシーの「クリップボードのリダイレクトを許可しない」と「ドライブのリダイレクトを許可しない」という項目を「有効」に設定することで実現できます。以下に詳しく解説していきます。
前提:リモートデスクトップはファイルコピーが可能
まずは前提のおさらいとして、リモートデスクトップ接続時に下のように指定することで、ファイルのコピーが可能です。この場合は、接続元・接続先のどちらかで「Ctrl + C」でコピーしたものを、もう一方で「Ctrl + V」でペーストすることで、ファイルやテキストのコピーが出来るという便利な機能です。
同様に、下のように指定すると、接続元のドライブを、接続先にリダイレクトすることができます。この場合、リモートデスクトップ接続先のエクスプローラーで「PC」配下を見ると、接続元のドライブが表示されていて、ドライブ内のファイルを読み書きできます。
これらは接続元ユーザーが、接続のたびに設定変更できます。(デフォルトをOFFにすることも可能ですが、ユーザーがONにできますので、ファイルコピー禁止の効果はありません)
ファイルコピーを禁止するには
上記の機能は非常に便利ですが、情報漏洩対策が求められる環境ではOFFにすることも出来ます。
それには該当コンピューターのポリシーを設定する必要があります。ここではローカルグループポリシーを変更する手順を紹介します。まずは、ローカルグループポリシーエディターを起動します(起動方法)。
開いた画面で、下の図のように左側のツリーをたどります。[コンピューターの構成]> [管理用テンプレート]> [Windows コンポーネント]> [リモートデスクトップ サービス]> [リモートデスクトップ セッションホスト]> [デバイスとリソースのリダイレクト]を開き、右側の「クリップボードのリダイレクトを許可しない」をダブルクリックします。
開いたダイアログで、下のように「有効」を選択して「OK」ボタンを押します。
元の画面に戻り「ドライブのリダイレクトを許可しない」も同様にダブルクリックし「有効」に変更します。下の図のようになれば、まずはOKです。
OSの再起動など特に不要です。以上の設定で、次回からリモートデスクトップ接続された場合、コピー&ペーストによるファイルコピーや、ドライブのリダイレクトが無効化されます。
制限をさらに強化する場合
上の設定では、クリップボードとドライブのデータ転送のみを禁止しました。しかし、リモートデスクトップでは、これ以外にも接続元のデバイスを転送する機能があります。これらを使って、何らかの手段でファイルコピーができてしまう可能性も否めません。
これらを制限して、より強い制限をかける場合は、別の項目も同様に設定します。以下はその例です。
補足:管理者権限に注意
ここまで説明してきた設定は、ローカルグループポリシーを設定するものです。注意点として、該当コンピューターの管理者権限(Administratorsグループのユーザー)であれば、変更が可能です。つまり、いくら設定しても、使用者が管理者権限のユーザーとパスワードを知っている場合、リモートデスクトップ接続した後に設定を変更できてしまいます。
これを防ぐ方法としては、使用者には管理者権限がない標準ユーザーのパスワードのみを使わせるのがシンプルです。
それができない場合で、Active Directory ドメイン環境であれば、ドメインのグループポリシーで設定するという方法もあります。ドメインのグループポリシーは、ローカルグループポリシーより強く、ドメイン管理者の権限が無い限り解除できません。
おわりに
今回の記事は以上です。
当サイトでは、ITインフラ関連の知識やノウハウをメインに紹介しています。下の関連記事にも役立つ情報があるかもしれませんので、ぜひご覧下さい。
また、知識やノウハウを効率的に学ぶ方法として、Udemy の「ながらセミナー」もおすすめです。三日坊主にならず、普段の生活の中でスキルアップする方法です。これについては下の記事で紹介していますので、良ければご覧下さい。
最後まで読んでいただき、ありがとうございました。
フィードバック
あなたが抱えている疑問や悩みは解決できたでしょうか?当ブログではそれを最重視しています。今後もあなたの役に立つ情報を提供するために、ぜひ教えて下さい。
コメント