Windows10でリモート資格情報ガードを使用してリモートデスクトップを保護する方法

ほとんどのシステム管理者にとって、リモートデスクトップはWindowsで最も使用されている機能の1つです。それでも、「このPCを信頼していることを確認する」オプションを選択するたびに、リモートデスクトップの資格情報を公開して、マシンを危険にさらすリスクがあります。これは、リモートシステムが不明な場合、または何らかの方法で感染している場合に特に当てはまります。

これを排除するために、Microsoftはリモート資格情報ガード機能を導入しました。この機能を有効にすると、Windowsは、Kerberos要求を要求しているシステムに適切にリダイレクトすることにより、資格情報を保護できます。リモート資格情報ガード機能を簡単に有効にして、Windows10のリモートデスクトップを保護する方法は次のとおりです。

グループポリシーからリモートクレデンシャルガードを有効にする

Windowsグループポリシーエディターを使用してリモート資格情報ガードを有効にすることは、最も簡単な方法の1つです。まず、gpedit.mscを検索します エンターボタンを押します。

上記のアクションにより、Windowsグループポリシーエディターが開きます。ここで、左側のペインの[コンピューターの構成]->[管理用テンプレート]->[システム]->[資格情報の委任]の場所に移動します。

「資格情報の委任をリモートサーバーに制限する」ポリシーを見つけて、それをダブルクリックします。

ポリシーをダブルクリックするとすぐに、ポリシー設定ウィンドウが開きます。ここで、「有効」ラジオボタンを選択します。このアクションにより、[オプション]フィールドで新しいオプションが有効になります。ドロップダウンメニューから[リモート資格情報ガードが必要]オプションを選択し、[OK]ボタンをクリックして変更を保存します。

完了すると、これがグループポリシーエディターでの表示方法になります。

システムを再起動するだけで、設定が有効になります。再起動したくない場合は、管理者としてコマンドプロンプトを開き、次のコマンドを実行して、グループポリシー設定を強制的に更新します。

GPUpdate.exe /force

レジストリからリモート認証情報ガードを有効にする

Windowsレジストリエディタを使用したい場合は、新しい値を追加するだけで同じことができます。これを行うには、「Win + R」を押して、regeditと入力します。 エンターボタンを押します。

上記のアクションにより、Windowsレジストリエディタが開きます。ここで、左側のパネルの次の場所に移動します。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

ここに来たら、右側のパネルを右クリックして、[新規]-> [DWORD（32ビット）値]オプションを選択します。

このアクションにより、新しいDWORD値が作成されます。新しい値に「DisableRestrictedAdmin」という名前を付けて、Enterボタンを押します。

次に、新しい値をダブルクリックして、[値の編集]ウィンドウを開きます。値データが「0」に設定されていることを確認し、「OK」ボタンをクリックして変更を保存します。

システムを再起動するだけで、変更を有効にできます。

コマンドプロンプトから有効にする

リモート資格情報ガードを完全に有効にするのではなく、コマンドプロンプトを使用してケースバイケースで機能を有効にすることもできます。

これを行うには、コマンドプロンプトを開き、次のコマンドを使用して新しいリモートデスクトップ接続を開始します。ご覧のとおり、パラメータ/remoteGaurd その接続に対してリモート資格情報ガードを有効にします。

mstsc.exe /remoteGuard

上記の方法を使用してWindowsでリモート資格情報ガード機能を有効にすることについての考えや経験を共有して、以下にコメントしてください。