リモートデスクトップ出来なくする方法はありますか？

Windows10のリモートデスクトップ接続を
事務所内から実行させないためにはどんな方法がありますか？
・そのPC自体に設定する方法
・ルータなどで設定できる方法
等を教えてください。
ただしアクセサリから消すとかは駄目です。
通常通りプログラムも存在したまま、実行も任意でできるが機能させない方法です。
またそれを実施した場合、接続しようとするとどんな表示になるかも教えてもらえると助かります。

No.7 回答者： satella 回答日時： 2022/03/14 09:49

>つまり、Windowsアクセサリに入っている、リモートデスクトップ接続アプリから接続した場合に「内部エラーが発生しました」と表示される挙動は初耳、って事でしょうか？

そうです。

内部エラー
のメッセージは、ip addessで規制した場合に出てきます。
例えば、192.168.0.51をfwの受送信で規制した場合、192.168.0.51にpingを打つと 内部エラーという表示が出ます。

ルーター越えでRDP接続する際、乗っ取られる側のポートは、乗っ取られる側のレジストリをいじればで簡単に変えられますね。ルーターの静的IPマスカレード設定の変換対象ポートも簡単に変えられます。

？グループポリシーでできない？
もしかしてTeamviewerとかAnyDeskとか使っていますか？
その場合、MSTSC.EXEを規制してもダメですね。Windows標準のRDPを使った場合、MSTSC.EXEを制限すれば、メッセージが出てきて使えないはずなのですが。RDPを使用する方が一枚上手なのかもしれません。

そうなると、申し訳ないですが、私の知識ではお手上げです。

この回答へのお礼

ありがとうございます。
MSTSC.EXEを使っており、その他のソフトは使用してません。

お礼日時：2022/03/20 17:24

No.6 回答者： satella 回答日時： 2022/03/11 22:41

内部エラーが発生しました

経験不足で申し訳ないです。
fwで規制した問場合にしか見たことないです。
例えば、ある部署には幾つかあるうちのファイルサーバーを見せたくない場合、fwで規制し、pingを送ると　内部エラー　と出ます。

この回答へのお礼

ありがとうございます。
つまり、Windowsアクセサリに入っている、リモートデスクトップ接続アプリから接続した場合に「内部エラーが発生しました」と表示される挙動は初耳、って事でしょうか？
ちなみにポートは標準ではなく「:3333」で接続しようとしてます。
たまたまそのポートがfwで規制されてたと考えられるでしょうか。
(確か不要ポートは全て閉じる設定にしてたかもしれない)

お礼日時：2022/03/12 17:51

No.5 回答者： satella 回答日時： 2022/03/11 11:13

グループポリシーで禁止はできますが。

以前、winnyを禁止する際やったのを思い出しました。

リモートデスクトップのアイコンをクリックすると、

このアプリは、システム管理者によってブロックされています。詳しくはシステム管理者に問い合わせてください。

とメッセージが出ます。
グループポリシーでmstsc.exeを許可しないに設定するだけです。

RDPで乗っ取られるほうの設定は結構あるのですが、乗っ取る側の設定はあまり見かけないですね。

この回答へのお礼

ありがとうございます。
なるほど、グループポリシーなら分かるのですが、
仰るメッセージは出ません。

必ず「内部エラーが発生しました。」という表示なのです。
どういう制限を掛けたらこのメッセージになるのでしょう？

お礼日時：2022/03/11 16:57

No.4 回答者： satella 回答日時： 2022/03/10 14:59

どのような状況かわかりませんが、接続される側のPCでリモートデスクトップを有効にするをOFFにしておくですかね。

社内（イントラ）であればできますし、接続される側のPCのレジストリをいじり、3389を別の番号にしておくとかでもいいです。それか、接続される側のPCのFWでブロックするとか。
例えば、3389番ポートを13389と変更したとします。その場合、コンピューター(C)に192.168.0.20と打ち込むだけではだめで、192.168.0.20:13389と入力しないとだめです。

それとも、社員が勝手に自宅のパソコン等にRDPで接続するのを防ぎたいということでしょうか？　こちらであれば分かりかねます。自宅のルーターで静的IPの設定をいじり、IPを静的に設定し、WOL等の設定をしておけば接続できちゃいますからね。グローバルIPなんて停電にでもならない限り頻繁には変わらないと思います。

それとも、怪しい社員のPCにステルスソフトでも仕込んじゃいますか？
http://007.jp/jp/wayd/index.html

この回答へのお礼

ありがとうございます。

>社員が勝手に自宅のパソコン等にRDPで接続するのを防ぎたいということでしょうか？

これはクライアントPCの設定で出来ない物でしょうか？
余談ですが、昔勤めてた職場で、まさに職場のPCから自宅PCに接続しようとしたら、
「内部エラーが発生しました。」という表示で接続できませんでした。
これと同じ様にする方法はないでしょうか。

お礼日時：2022/03/10 17:54

No.3 回答者： rinkun 回答日時： 2022/03/05 21:14

どこからどこへのリモートデスクトップ接続を防止したいのですか。

事務所内のパソコン/スマホ等から社外のWindowsマシンへリモートデスクトップ接続するのを防止したいというなら、基本的には回答No.1で書かれているようにルータでポート3389のフィルタリングです。ただしリモートデスクトップ接続がポート3389を使うというのはあくまでデフォルト値であるので、接続先のWindowsマシンでポート番号を任意の番号に変更してしまうことができ、事務所内から実行する時にそのポートを指定されればフィルタリングは効果がなくなります。
あるいは禁止したい社外マシンのIPアドレスが分かっているならそのIPへのパケットをルータでフィルタリングすれば宜しい。
事務所内のPC自体に設定が出来るなら、PCのファイヤウォールでリモートデスクトップ接続アプリ(%windir%\system32\mstsc.exe)がネットワーク接続することを禁止してしまえばどこへも接続できなくなります。禁止したい宛先が決まっているならそのIPへの接続を禁止することもできます。

No.2 回答者： ぐーるぐる 回答日時： 2022/03/04 20:31

リモートデスクトップ接続といっても、勝手には接続できないでしょ？

ん？どういうこと？
サポートとユーザーがいた場合、
ユーザーが承認しないと接続できないと思いますが？

No.1 回答者： bx2 回答日時： 2022/03/04 19:58

リモートデスクトップは 3389番ポートを使って接続するので、ルーターのパケットフィルタ設定で 3389番ポートを通過できなくすればよいです。