悪意のあるユーザーからのリモートデスクトップ接続を制限するために、Windows ファイアウォールや市販のセキュリティソフトをインストールして[マイコンピューター]の[プロパティ]のリモートタブで、リモートデスクトップを外して安心していましたが、7 Professionalをいじっているとグループポリシーエディタを使って直接項目をグレーアウトにして制限する強力な方法があることが分かりました。
具体的には、コマンドプロンプトから、gpedit.msc と打って
以下[コンピューターの構成]
・[管理用テンプレート][Windows コンポーネント][リモートデスクトップ][リモートデスクトップセッションホスト][接続][ユーザーがリモートデスクトップ サービスを使って接続することを許可する][無効]
・[管理用テンプレート][Windows コンポーネント][リモートデスクトップ][リモートデスクトップセッションホスト][接続][リモートデスクトップ サービス ユーザーセッションのリモート制御ルールを設定する][有効][リモート制御を許可しない]
・[管理用テンプレート][Windows コンポーネント][NetMeeting][リモートデスクトップ共有を無効にする][有効]
・[管理用テンプレート][システム][リモート アシスタンス][リモートアシスタンスを有効にする][無効]
以下[ユーザーの構成]
・[管理用テンプレート][Windows コンポーネント][リモートデスクトップ][リモートデスクトップセッションホスト][接続][リモートデスクトップ サービス ユーザーセッションのリモート制御ルールを設定する][有効][リモート制御を許可しない]
・[管理用テンプレート][Windows コンポーネント][Microsoft 管理コンソール][制限および許可するスナップイン][リモートデスクトップ][無効]
・[管理用テンプレート][Windows コンポーネント][Microsoft 管理コンソール][制限および許可するスナップイン][リモートデスクトップ][無効]
すると、上記チェックボックスをグレーアウトできる他、次の項目でポート3389 を開かない設定にもできるようです。
・[管理用テンプレート][ネットワーク][ネットワーク接続][Windows ファイアウォール][標準プロファイル][着信リモートデスクトップの例外を許可する][無効]
・[管理用テンプレート][ネットワーク][ネットワーク接続][Windows ファイアウォール][ドメインプロファイル][着信リモートデスクトップの例外を許可する][無効]
外出先や、ローカルネットワークでのリモート管理が必要ない人には、こういう項目は忘れやすいので注意が必要です。
セキュリティソフトはもちろん、Windows ファイアウォールの例外タブでリモートデスクトップをチェックアウトするのは常識ですね。
でもいざ、という時にきちんとリモートデスクトップを使いたいよという人は、上記設定を元に戻すのは大変めんどくさいので知識として頭の片隅に置いておくぐらいがちょうどなんでしょうか。
また、こんな記事もあります。
Windows TIPS:リモートから「リモート デスクトップ」を許可する – @IT
Windows TIPS:ターミナル・サービス/リモート・デスクトップ接続のポート番号を変更する – @IT
こうなると、7 Professional の特典であるリモートデスクトップ機能のセキュリティも最新の注意が必要ということなんでしょうね。