ネットワーク経由で提供されるサービスには、必ず標準の通信ポートが指定されています。
たとえば、HTTPはTCP80番とか、SSHはTCP22番などといったものです。
しかし、こうした標準の通信ポート番号は広く公開されており、誰でも使える便利さがある反面、悪意を持つ第三者も知っているという問題があります。
そこで行えるセキュリティ対策として以前から実施されているのが「ポートの変更」です。
今回は、リモートデスクトップをより安全に使うためのポートの変更について、変更の必要性から具体的なやり方まで詳しく解説します。
Winserverの仮想デスクトップなら
最新OSで快適なテレワークを実現!
\2週間無料・全プランSSD搭載/
仮想デスクトップサービスを無料で試す
2020.11.26
リモートデスクトップサービス(RDS)とは。テレワークにも最適!
皆さんはリモートデスクトップサービスを使っていますか?新型コロナウイルス感染症の拡大とともに、新しい働き方としてオフィスなどに出勤せ...
目次
セキュリティ対策とポート番号の変更
少しサーバーセキュリティなどに詳しい方であれば、「ポート変更」はセキュリティ対策として一般的なものであることはご存知だと思います。
まずは、セキュリティ設定におけるポート変更の有効性について見ていきましょう。
セキュリティ対策にはどのようなものがある?
まず、リモートデスクトップ接続をはじめ、サーバーで提供されるサービスに対するセキュリティ対策にはどのようなものがあるか整理をしておきましょう。
一般的に、サーバー関連のセキュリティ対策には以下のようなものがあります。
- セキュリティ対策ソフトウェアの導入
- 不要なサービスの停止
- サービスのポート番号の変更
- ファイアウォールで不要なポートを塞ぐ
など
実際にそれぞれのサービスに対してセキュリティ対策を行う場合は、これらを目的や用途に合わせて組み合わせて使います。
「対策は複数を組み合わせて使う」ことも忘れてはならない重要なポイントです。
ポート変更の有効性とは
セキュリティ対策では、ファイアウォールや不要なサービスの停止と合わせて、サービスのポートを標準の番号から変更するということがよくあります。
これには、以下のような背景や理由があります。
- 標準のポート番号はよく知られていて、攻撃者の標的になりやすい
- 標準の番号を自動で攻撃するツールなどが存在する
- 番号を変更することで、攻撃側に見つけられにくく、攻撃対象となりにくくする
標準的なポート番号は、一般的に公開されているため、そのまま使用することはリスクがあります。
サイバー攻撃につながる仕組みの中には、世界中の標準的なポートの状況をくまなく調べて脆弱性のあるサーバーがないか見つけ出すツールもあるといわれています。
標準的なポートから変更することは、攻撃側にとっては「開いているポート」「実際に利用しているポート」を探す手間が必要になります。
攻撃者は手間のかかることを嫌うため、ポートを変更することはセキュリティ対策として有効です。
リモートデスクトップのポート変更は可能?
ポート変更がセキュリティ対策としてなぜ有効であるのか、という点について理解できたところで、「リモートデスクトップのポート変更」について見ていきましょう。
そもそもリモートデスクトップでデフォルトのポートから変更することは可能なのでしょうか。
結論から言うと、「ポートを標準の番号から変更することは可能」です。
したがって、ポート番号を変更することでのセキュリティ対策は可能となります。
実際のポート番号を変更する方法については、次の章で解説します。
ポート変更の具体的なやり方:サーバー側の対応
さて、実際にポート番号を標準の番号から変更するにはどのようにすれば良いのでしょうか?
また、変更するところは番号だけなのでしょうか?
以下では、リモートデスクトップで接続を受け付けるサーバー側の変更方法について解説します。
サーバー側のポート番号変更方法
サーバー側でのポート番号は、以下のようにして変更します。
なお、レジストリを書き換える作業になるので、設定を誤るとサーバーが起動しなくなるケースもあります。十分に注意して行いましょう。
①レジストリエディタを起動する
→「ファイル名を指定して実行」で、「regedit」と入れて、レジストリエディタを選択し、起動します。
②以下のレジストリサブキーに移動する
→「HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp」
③「PortNumber」を開く
④「10進数」をクリックする
⑤変更後のポート番号を指定する
→設定したい新しいポート番号を入力後「OK」を押します。
⑥レジストリエディタを終了し、コンピュータを再起動する
⑦再起動後にコマンドプロンプトで変更の確認を行う
→コマンドプロンプトを起動し、以下のようにポート番号が正しく変更され、その番号で接続を受け付けていることを確認します。
変更の確認:
netstat -ano | find “:<設定したポート番号>”
例)ポート番号が54732の場合
netstat -ano | find “:54732”
TCP 0.0.0.0:54732 0.0.0.0:0 LISTENING 1200 →プロセスIDを表示
プロセスがリモートデスクトップであることを確認
tasklist /svc /fi “PID eq <表示されたプロセスID>”
例)ポート番号54732のプロセス番号が1200なので、これを試します。
tasklist /svc /fi “PID eq 1200”
イメージ名 PID サービス
=============== ======= ===========
svchost.exe 1200 TermService →リモートデスクトップサービスを示す。
サーバー側がリモートデスクトップで使うポートを変更する場合は、このような流れで行います。
セキュリティ設定の変更が必要
サーバー側のポートを変更する場合は、レジストリエディタでサービスのポート設定を変更するだけでは不十分です。
セキュリティ対策ソフトウェアや、Windowsのファイアウォールの設定も併せて修正する必要があります。
具体的に設定を変更する箇所は、以下のとおりです。
- ファイアウォールなどで、「リモートデスクトップ接続のポート」を標準ポート番号→変更後のポート番号に変更する
なお、セキュリティ対策ソフトウェアの設定変更については、それぞれのソフトウェアのマニュアルなどを参考にしてみてください。
Windowsファイアウォールの設定変更は以下のようにして行います。
①「スタート」メニューから、「設定」を開く
②「プライバシーとセキュリティ」-「Windowsセキュリティ」を開く
③「ファイアウォールとネットワーク保護」を開く
④「詳細設定」を開く
⑤事前に設定した項目を開いてポート番号を変更する
なお、新規に設定する場合は、「⑤事前に設定した項目を開いてポート番号を変更する」以降で「『新しい規則』を作成」という流れで行うと良いでしょう。
このように、ポート番号を変更した際には、ファイアウォールの設定についても併せて変更する必要があります。
ポート変更の具体的なやり方:クライアント側の対応
リモートデスクトップの設定変更は、サーバー側での対応だけでなく、接続を行うPCやスマートデバイスなどのクライアント側での対応も必要となります。
以下では、実際の手順について見ていきましょう。
接続設定の変更方法
リモートデスクトップ接続でポート番号を変更する場合は、「ポート番号を指定して接続する」という方法が使えます。
具体的には、接続アドレスの後ろに「:<ポート番号>」といったように指定します。
たとえば、下記の画面のように
・IPアドレス:192.180.0.24
・ポート番号:54732
の場合は、
「192.180.0.24:54732」
といったように指定をします。
この方法を使うことで、ポートを指定して接続することが出来ます。
クライアントソフトウェア以外の変更も忘れずに
サーバーでのポート変更を行う際にも触れましたが、クライアント側でポートの変更を行う際も同じように以下の変更が必要です。
- セキュリティ対策ソフトウェアでのポート変更(必要に応じて)
- Windowsファイアウォールでのポート変更
セキュリティ対策ソフトウェアやWindowsファイアウォールでの設定変更は必要に応じて行ってください。
なお、Windowsファイアウォールで制限をかけているケースで、リモートデスクトップの接続先が複数あり、それぞれに使用するポートが違う場合は、利用するポートをそれぞれファイアウォールで開けておく必要があることに注意しましょう。
ポート変更時の注意点
通信用のポートを標準の番号から変更することによって、セキュリティ面での向上などのメリットがありますが、いくつか注意すべきことがあります。
変更を行う際には、以下の点に注意しましょう。
- 変更後のポート番号は1024以下は使えず、10000〜65000の間で選ぶ
- ファイアウォールの設定も併せて見直す
- 社外からの接続がある場合は、ルーター等の設定も見直す
- ポート等の見直しがセキュリティホールにならないように注意
など
このように、ポート変更を行う場合は、それに合わせて「変更後のポートで接続がしっかりと行えること」と、「変更によってセキュリティの低下が起こらないようにすること」が大切です。
まとめ
リモートデスクトップは、外出先や自宅などでもリモートで仕事が出来る画期的なツールです。
しかし、その反面インターネット経由で作業をすることからセキュリティ対策がとても重要になってきます。
今回、解説した「ポートの変更」もリモートデスクトップに限らずセキュリティ向上には一般的な方法です。
加えて、セキュリティ対策は複数の方法を組み合わせて行うことも大切です。
リモートデスクトップを使って仕事の効率化や利便性を向上する場合は、今回の記事を参考にしてセキュリティ面での配慮も行いつつ実施するようにしましょう。
テレワーク環境はWinserverにお任せ!
テレワークの導入を検討されているものの、何から取り組んでいいのかお悩みの方も多いのではないでしょうか。
- 在宅で作業する為の環境は?
- セキュリティ対策は?
- 会議などのコミュニケーションは?
Winserverでは、テレワーク環境に最適の「仮想デスクトップサービス」を提供しております。
2020.03.12
仮想デスクトップのメリットとは解説?強みや活かせる業務などを徹底解説。
普通、パソコンのデスクトップ画面は一つしか使えません。デスクトップ画面は、パソコンの作業領域であり、事務作業だと机に相当します。 ...
2020.04.09
仮想デスクトップの使い方。仕事の効率アップやテレワークにも最適。
皆さんは、パソコンの画面をいくつ使っていますか?2つや3つのデイスプレイを接続して、切り替えながら使う人もいるかもしれません...
Winserverの仮想デスクトップサービスとは?
仮想デスクトップサービスは、当社サーバー上にお客様専用のデスクトップ環境をご用意するサービスです。
ご自身の端末(自宅にあるPCや勤務先から貸与されたノートPC、スマートフォンなど)からインターネットを通して接続することができます。
仮想デスクトップの特徴
- Microsoft365製品を利用可能で、いつでもどこでもオンライン上で快適に共同作業が行える
- データは当社サーバー上に保存される。手元のPC内にデータが残らないため、PCの故障や紛失時にもデータ紛失や漏洩の心配がない
導入をご検討中の方は、ぜひ無料オンライン相談会をご利用ください。
Windows Server専門のホスティングサービスを20年以上提供している「Winserver」の専門スタッフが、仮想デスクトップの導入方法や具体的なプランのご相談まで、丁寧にご回答いたします。
リモートデスクトップ接続ポート変更マニュアル
リモートデスクトップ接続ポート変更を行うことでセキュリティを強化することができます。ポート変更の手順を解説します。
リモートデスクトップ接続ポート変更マニュアル
リモートデスクトップ接続ポート変更を行うことでセキュリティを強化することができます。ポート変更の手順を解説します。