windows

インターネット越しにリモートディスクトップを晒す際の注意事項

自宅にあるwindows7マシンを外からアクセスしたい。インターネット越しに自宅のマシンに入りたい。
そのためには、インターネットからでもアクセスができるように名前を用意する。
こちらのようにchaperone.jpをわざわざ購入するのもいいけど、ドメイン名部分は固定で、ホスト名だけを自由に
付けられる名前だと無料とかでも手に入れられるそうな。下記は例:

名前:△△△.chaperone.jp
 
「△△△」部分が自由に付けられるサイト名。「chaperone.jp」は変更不可

こんな感じで。
そして、ADSL/光回線を経てインターネットサービスプロバイダーからIPアドレスを貰い受けるているが、このIPアドレスは
接続のたびごと、もしくは定期的に変更されてしまうので、△△△.chaperone.jpのIPアドレスは固定されない。
固定するにはIPアドレスも購入する必要があるのだが、まぁ大抵高価ですな。
なので、このダイナミックに変更されるこのIPアドレスと名前との対応を逐次インターネットの住所録DNSに登録させる必要がある。
そのツールがDDNSソフトウエアなるものである。ホスト名を売っている所に、あるいはフリーでも入手可能なツールである。
これを常時稼働させて、外部から自宅のマシンへ、定めたインターネット上の名前でアクセスが可能となる。

次に、自宅の中。大抵はルーターを経由して自宅内からインターネット、つまり外へ繋がっている。
外部から内部へは、このルーターを調整して、外部からリモートデスクトップ要求には内部のこのPCを対応させるとの
ルールを定める。ポートマッピング設定とかで言われる内容。

だいたいこんな前段があって、ここからが本題。
既定ではwindows7はリモートデスクトップサービスは稼働していない。稼働させるには
[スタート]-[コントロールパネル]-[システム]から
2013y09m20d_180711768.png
「リモート設定」をクリックして、「システムのプロパティ」画面を開きます。
[リモート]タブの[リモートディスクトップ]において「リモートディスクトップを実行している...」を選ぶ。
2013y09m20d_181310424.png
この段階で、administratorsに所属しているアカウントはリモート接続が可能である。
windows7の場合、既定でadministratorは存在するが、アカウントとしては無効になっているので構わない。
だが、windows7の初期導入時に作成したユーザはadministratorsグループに所属しているので危険。
まずそのユーザ名が不明だとリモート経由でのログインは難しいのだろうが、有り体な名前だと破られる可能性が高い。

実際にはローカルセキュリティーポリシーにて、詳細に規定できる。
このwindows7マシンはsambaのADに参加せているのでドメインコントローラー経由のアカウントでログインされる危険性がある。
それらを明確にする為に下記のように定義を行った。
2013y09m20d_182344039.png


トップ   編集 添付 複製 名前変更     ヘルプ   最終更新のRSS
Last-modified: 2013-09-24 (火) 01:51:56 (2445d)