リモートデスクトップのアクセス制限はできますか

WindowsServer 2003を使っています。

リモートデスクトップによる接続を特定の１台のPC（IPアドレス）のみにしたいと考えているのですが、どのように設定をしたらよいのでしょうか。

よくありそうな質問なのですが、
Webサイトや過去の質問を探してみても解決できませんでした。

よろしくお願いいたします。

No.5 ベストアンサー 回答者： Lchan0211 回答日時： 2008/02/21 23:50

「特定の１台のPC（IPアドレス）のみ」ということでしたら、

Windowsファイアーウォールで設定可能です。

Windows2003はSP1以降よりWindowsファイアーウォールが
使えます。
http://www.microsoft.com/japan/windowsserver2003 …
を参考にしてください。

これを導入し、例外設定タブで
「リモートデスクトップ接続」の項目を選択し「編集」ボタンを押す。
「スコープの変更」ボタンを押し、カスタムの一覧を選択し、
接続許可するPCのIPアドレスを入力すればOKです。
(接続元のPCは、固定IPが設定されている必要があります。)

No.4 回答者： taka_chan 回答日時： 2008/02/21 23:02

具体的にどのような日常運用を行なうのか不明ですので何とも言えませんが、

下記のように対応してはどうでしょうか。
なお、投稿で「特定の1台のPC」とあるのは「特定のユーザー」と解釈しています。
(1)許可されたアカウントで(ユーザID、パスワード)アクセスするわけですので、アクセスできるのは特定のユーザーに限られるはずです。
(2)たとえば、特定のユーザーの接続要請の度にポート番号を変更して運用すれば、ポート番号の漏洩はある程度防げるはずです。
(3)特定のユーザーがアクセスするときだけサービスを(ターミナルサービス)有効にする、という運用にして全ポートスキャンなどを行なう悪意のユーザーに備える。

No.3 回答者： taka_chan 回答日時： 2008/02/21 18:33

ホスト側：

リモートデスクトップがデフォルトで使用するポート番号：3389を変更する。
特定の１台のPCにだけ変更後のポート番号を知らせておく。

クライアント側：
ポート番号を指定してアクセスする。

この回答へのお礼

回答ありがとうございます。
こちらの方法で対応可能なのを確認しました。
もう一点教えていただきたいのですが、これですと仮にポート番号がわかってしまえば他のＰＣもアクセスが可能になってしまうと思いますが、サーバ側で制限をかけることはできるのでしょうか。
よろしくお願いします。

お礼日時：2008/02/21 19:47

No.2 回答者： auty 回答日時： 2008/02/21 14:45

下端のページに

＞＞＞　Windows XPやWindows Server 2003に搭載されている「リモート デスクトップ」機能

と書かれていますがどうでしょうか。

Xpと同じなら、
　　　http://d.hatena.ne.jp/sona-zip/20071125/p1

また、MSの　　http://www.microsoft.com/japan/technet/security/ …
も確認しておいたほうがよいかもしれません。

参考URL：http://www.atmarkit.co.jp/fwin2k/win2ktips/564rd …

No.1 回答者： minigizmo 回答日時： 2008/02/21 14:41

ずぶの素人です。

参考になるかどうか分かりませんが、私の自宅のルータの場合は、パケットフィルタリングという機能があり、ポート毎にこのIPからの通信は通す・通さないという設定が可能です。

なので、基本的には3389ポートは閉じておいて、例外的にこの機能によって、特定のIPからの通信は通すという設定ではいけませんか？

以上は接続元のPCとサーバーがルーター越しの別々のLANに存在する場合ですので、同一LAN内にある場合は、よくわかりません。