Q&A
3の意味がちとわかりません。
自宅PCからエクスプローラを使わないでリモートアクセス?
自宅PCからVPNルータを経由して事務所PC(Windows)及び共有NASにアクセスを考えています。
<条件>
①事務所には複数台の端末があり使用者で分けている。
②事務所PCのアプリを使って作業するため、Windowsリモートデスクトップを使用する。
③Windows エクスプローラーでのVPNリモートアクセスはしないので使用制限をかけたい。
④事務所には共有NASが1台ある。Windowsリモートデスクトップ経由で事務所PCを操作してNASにアクセスする。
⑤自宅PCへファイルコピーは禁止
<確認事項>
③の設定をどうやって実現しようか考えています。
(1)Windows エクスプローラの使用をさせない方法があれば教えてください。
(PCの場合は、接続先PCのグループポリシーでしょうか?その場合NASは難しいですかね)
(2)(1)が難しい場合、接続先PC及び共有NASのファイルアクセス制限になると思います。
拒否することで、Windows エクスプローラー経由でのファイルアクセスは不可、
Windowsリモートデスクトップ経由(事務所PC)でのアクセスは可、みたいなことはできますか。
可能であれば、設定方法の参考ページがあれば教えていただきたく。
すみません。
VPN接続時に、PCへのアクセスはWindows リモートデスクトップ機能を使用するので、
Windows エクスプローラーによるアクセスは制限をかけたいという意味です。
要するにVPNかどうか関係なく、「外部から個別のPCにリモートデスクトップ接続のみ可能な環境」としたい、というように見えるのですが、要件はそういうことでしょうか。
>kaz.Suenaga
その通りです。
回答3件
0
■要件として
1、社内PCからNASアクセスはOKなので、社内PCへのリモートデスクトップ接続はOK
2、リモート端末で直接エクスプローラ(SMB接続)はNG
と理解しました。
■ルータでのVPN接続の方法をどんなものをお考えか不明ですが、
例えば、L2TP/IPsecで接続させるのであれば、
リモートクライアントPCに払い出すIPアドレスは指定できると思います。
NASへのアクセス許可/不可リストが作成できるのならば、
払い出しIPでのNASへのアクセス不可など設定されたらいかがでしょうか?
■yamaha routerの場合ですが、
L2TP/IPsecでの払い出しIPの指定の仕方が下記ページにあります。
■VPNルータやNASでアクセス制御が難しい場合
他の方の回答にもありましたが、
リモートデスクトップアプリを利用するのもよいかと思います。
Team Viewerなど
https://www.teamviewer.com/ja/
参考になれば幸いです。
的外れならば申し訳ありません。
投稿2021/02/27 01:46
総合スコア2
0
VPNを利用する想定の場合
どのような方式のVPNを利用するかにもよりますし、ネットワーク構成をどの程度工夫できるのかにもよるので、VPNを前提として
- RDP接続OK
- その他のアクセス不可
とするのであれば、VPNの接続先セグメント→利用したいPCのセグメント間のフィルタとして、
- RDP用ポート開放:通常 TCPの3389番ポートが利用されます
- その他は拒否
という設定にすることによって解決できる可能性があります。
VPNに関わりなく、RDゲートウェイを利用する場合
VPNは関係なく、外部からリモートデスクトップ接続だけを許すというので良い、とのことでしたのでその方向での回答です。
Windows Serverが必要となりますが、RD(リモートデスクトップ) ゲートウェイという機能が提供されています。
Windows Serverが利用可能であればこれを利用するのが最も要件にあったものになるかと思います。
設定方法等は別途検索していただいたほうがわかりやすい記事が見つかりそうですので割愛させてください。
※Windows10標準のリモートデスクトップ接続クライアントの「詳細設定」タブの「任意の場所から接続する」で設定するような内容です。
その他、別のリモート操作アプリ、サービスを利用する場合
RDゲートウェイの準備が難しい場合、
やそれをベースとして現在無料開放中の
などを検討してもよいかもしれません。
その他、
など別のリモートデスクトップサービスなどの検討もありえそうです。
こんな記事があったので参考になるかもしれません。
【2020年版】リモートアクセスサービス おすすめ14選を徹底比較
投稿2020/12/22 11:52
総合スコア2037
0
③Windows エクスプローラーでのVPNリモートアクセスはしないので使用制限をかけたい。
(1)Windows エクスプローラの使用をさせない方法があれば教えてください。
意味が読み解けていないのですが、自宅PCからVPN接続時において、エクスプローラからNASへの接続を制限したいということでしょうか?
そうであった場合、自宅PCへの設定が必要になり、社内システムの範疇を超えていると感じています。
自宅PCは会社貸与のものなのでしょうか?
なお、設定については「エクスプローラ 非表示 グループポリシー」で検索すればご期待のサイトが見つかると思います。
(2)(1)が難しい場合、接続先PC及び共有NASのファイルアクセス制限になると思います。
そのNASがどのようなアクセス制限をできるかによりますが、VPN接続時のIPセグメントは不可にして、社内ローカルネットワークにのみ許可するような設定ができるのであれば可能かと思います。
またはVPNゲートウェイでパケットフィルタするなどの設定も思いつきます。
外部への情報流出を懸念するのであればリモートデスクトップでのクリップボードも禁止にするなどの施策も必要になるでしょう。
投稿2020/12/17 01:20
総合スコア4313
>意味が読み解けていないのですが、自宅PCからVPN接続時において、エクスプローラからNASへの接続を制限したいということでしょうか?
⇒ わかりにくくてすみません。ご認識のとおりです。
目的は自宅、ローカルPCへのコピーを制限です。
Windowsリモートデスクトップで、事務所PCに接続してそこからNASに接続できればエクスプローラーによるアクセスは不要
⇒ アクセスを制限したい
⇒ いっそのこと、エクスプローラーからアクセスさせたくない
という発想でした。
>そうであった場合、自宅PCへの設定が必要になり、社内システムの範疇を超えていると感じています。
>自宅PCは会社貸与のものなのでしょうか?
>なお、設定については「エクスプローラ 非表示 グループポリシー」で検索すればご期待のサイトが見つかると思います。
⇒ ありがとうございます。ローカルPCへ側で設定が必要なんですね。現実的ではなさそうです。
>そのNASがどのようなアクセス制限をできるかによりますが、VPN接続時のIPセグメントは不可にして、社>内ローカルネットワークにのみ許可するような設定ができるのであれば可能かと思います。
→ NASの制限について、検討していた製品(Synology)は対応していませんでした。もしオススメ製品があれば教えてください。
NASで制御するよりFWで制御すべきかと思います。
VPNに対する接続はRDPのみ許可することにすればシンプルかと思います。
あなたの回答
tips
プレビュー
