パソコン情報

Windowsサーバ構築時のリモートデスクトップでのセキュリティ対策

Pete LinforthによるPixabayからの画像

 

Windowsサーバをさくらのクラウドに構築して、VPCルータにて、VPN接続しています。これから、Sqlserverをインストールして、データベースを使う予定のサーバです。

Windowsサーバのデフォルト状態では、リモートデスクトップなども使えるようになっており

ココがポイント

セキュリティを高める為に考え付くセキュリティ設定

をしてみました。

 

 

Administratorアカウントを無効にする

 

サーバのセキュリティ対策で最初に言われるのが、管理者権限のデフォルトである、Administratorを無効にして、別ユーザー名に変更するってことですね。

Admnistratorアカウントを使わない方がいい理由は2つあるようです。

    • パスワードだけ割れてしまったら乗っ取られる
    • Admnistratorだと警告メッセージ等出ないで実行させる

 

参考サイトを例にして、Admnistratorアカウントを無効化してみたいと思います。

 

新しいユーザーを追加

 

Windowsサーバの場合は、サーバーマネージャーからツール>>コンピュータの管理で移動します。

 

ローカルユーザーとグループから、新しいユーザーにて追加します。

 

 

ユーザーのプロパティから、所属するグループタブを選択して、Administratorsを追加します。

この段階で、新しいユーザーにて、管理者権限が与えられていますので、一旦ログアウトして、新しいユーザーにてログインできるか試してみました。

 

 

 

メモ

新しいユーザーにて最初にログインすると、パスワードの変更が必要らしい。

せっかく考えたパスワードですが、変更した後ログインすることができました。

 

Administratorアカウントを無効設定

コンピュータの管理からAdministratorのプロパティにて無効にする。

リモートデスクトップにて接続

もちろん、Administratorアカウントを無効にしたので、接続できなくなればOKです。

次に、新しいユーザーにて接続し直してリモートデスクトップができれば完了になります。

この作業をするだけで、

 

ココがポイント

セキュリティがちょっとアップ

したと思います。

 

 

定番ポートを変更する

リモートデスクトップと言えば、

ココに注意

使用するポートは、3389

になります。

しかし、悪意のあるポートスキャンなどをする場合は、低い方からスキャンしていくようなので、もっと大きなポート番号に変更した方がセキュリティがアップするようです。

 

実際、

参考

私が構築したWindowsサーバは、作業以外はリモートデスクトップもポートも閉じておく予定

なので、定番ポートの変更はしませんでしたが、参考サイトを載せておきます。

 

 

ちょっとレジストリの方までいじる必要があるようですが、頻繁にリモートデスクトップを使用する場合は、やっておいた方が良いセキュリティ対策かもしれません。