他の言語でサイトを表示しますか?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
言語を変更する
目次

Windows 10でリモートレジストリを介してRDPを有効にするための前提条件は何ですか?

レジストリを介して変更を加える前に、環境がリモート管理をサポートしていること、およびすべての必要なサービスと権限が構成されていることを確認することが重要です。

ターゲットシステムがWindows 10 ProまたはEnterpriseを実行していることを確認してください

Windows 10 Home EditionにはRDPサーバーコンポーネント(TermService)が含まれていません。HomeエディションのデバイスでRDPを有効にしようとしても、レジストリキーが正しく構成されていても、機能するRDPセッションにはなりません。

PowerShellを介してリモートでエディションを確認できます: 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
        (Get-WmiObject -Class Win32_OperatingSystem).Caption

管理者アクセスを確認する

レジストリの変更とサービス管理にはローカル管理者権限が必要です。ドメイン資格情報を使用する場合は、ユーザーアカウントがリモートマシンの管理者グループの一部であることを確認してください。

ネットワーク接続と必要なポートを検証する

リモートレジストリとRDPは特定のポートに依存しています:

  • TCP 445 (SMB) – リモートレジストリおよびRPC通信に使用されます
  • TCP 135 (RPC エンドポイントマッパー) – リモート WMI およびサービスによって使用されます
  • TCP 3389 RDP接続に必要です

ポートチェックを実行します: 

Test-NetConnection -ComputerName TargetPC -Port 445  
Test-NetConnection -ComputerName TargetPC -Port 3389

リモートレジストリサービスのステータスを確認する

リモートレジストリサービスは、自動に設定され、開始されている必要があります。 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
    Get-Service -Name RemoteRegistry
}

リモートレジストリサービスを有効にして開始するにはどうすればよいですか?

リモートレジストリサービスは、セキュリティ上の理由からデフォルトで無効になっていることがよくあります。ITプロフェッショナルは、リモートレジストリ操作を試みる前に、それを有効にして開始する必要があります。

PowerShellを使用してサービスを構成する

サービスを自動的に開始するように設定し、すぐに開始することができます: 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
    Set-Service -Name RemoteRegistry -StartupType Automatic
    Start-Service -Name RemoteRegistry
}

これにより、再起動後もサービスがアクティブのままになります。

リモートコンピュータでのServices.mscの使用

PowerShellリモーティングが利用できない場合:

  1. services.mscを実行します
  2. クリックアクション > 別のコンピュータに接続
  3. ターゲットマシンのホスト名またはIPを入力してください
  4. リモートレジストリを見つけて、右クリック > プロパティ
  5. 「スタートアップの種類」を自動に設定
  6. スタートをクリックし、次にOKをクリックしてください。

サービスが実行されると、リモートコンソールからのレジストリ編集が可能になります。

RDPを有効にするためにレジストリをどのように変更できますか?

RDPを有効にするための中心には、単一のレジストリ値があります。 fDenyTSConnections 1から0に変更すると、マシン上でRDPサービスが有効になります。

方法1:Regeditを使用して「ネットワークレジストリに接続」

これはアドホックタスクに適したGUIベースの方法です。

  1. 実行 regedit.exe ローカルマシンの管理者として
  2. ファイル > ネットワークレジストリに接続をクリックしてください
  3. ターゲットマシンのホスト名を入力してください
  4. ナビゲートするには: 
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
  5. ダブルクリック fDenyTSConnections その値を変更して 0

注意: この変更はWindowsファイアウォールを自動的に構成するものではありません。それは別途行う必要があります。

方法2: PowerShellを使用してレジストリを編集する

自動化やスクリプト作成には、PowerShellが推奨されます。 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
    Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' -Name 'fDenyTSConnections' -Value 0
}

値が変更されたことを確認できます。 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
    Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server' | Select-Object fDenyTSConnections
}

RDPのファイアウォールルールを有効にするにはどうすればよいですか?

デフォルトでは、Windowsファイアウォールは受信RDP接続をブロックします。適切なルールグループを通じて明示的に許可する必要があります。

PowerShellを使用してファイアウォールルールを有効にする 

Invoke-Command -ComputerName TargetPC -ScriptBlock {
    Enable-NetFirewallRule -DisplayGroup "Remote Desktop"
}

これにより、「Remote Desktop」グループのすべての定義済みルールが有効になります。

PsExecとNetshを使用してファイアウォールルールを有効にする

PowerShellリモーティングが利用できない場合、 PsExec Sysinternalsからの助けが得られます。 

psexec \\TargetPC -u AdminUser -p Password netsh advfirewall firewall set rule group="remote desktop" new enable=Yes

セキュリティのヒント: ドメインGPOを使用する場合、中央集権的なポリシーを介してRDPアクセスとファイアウォールルールを適用できます。

RDPアクセスを確認し、テストするにはどうすればよいですか?

設定を確認するには:

Test-NetConnectionを使用してください

確認してください ポート3389 リスニング中: 

Test-NetConnection -ComputerName TargetPC -Port 3389

あなたは見るべきです TcpTestSucceeded: 真実

RDP接続を試みる

オープン mstsc.exe ターゲットホスト名またはIPアドレスを入力し、管理者資格情報を使用して接続します。

資格情報のプロンプトが表示された場合、RDPセッションが正常に開始されました。

イベントログを使用してトラブルシューティングを行う

リモートシステムのイベントビューアを確認してください: 

アプリケーションとサービスのログ > マイクロソフト > ウィンドウズ > TerminalServices-RemoteConnectionManager

接続試行やリスナーの失敗に関連するエラーを探してください。

RDPをリモートで有効にする際のセキュリティ上の考慮事項は何ですか?

RDPを有効にすると、攻撃面が大幅に広がります。特にネットワークを通じてRDPを公開する際には、環境を強化することが重要です。

露出を最小限に抑える

  • ネットワークレベルの認証 (NLA) を使用する
  • Windows Firewallや周辺ファイアウォールを使用して、既知のIP範囲へのRDPアクセスを制限します。
  • インターネットにRDPを直接公開しないでください

レジストリの変更を監視する

The fDenyTSConnections キーは一般的にマルウェアや攻撃者によって変更され、横移動を可能にします。監視ツールを使用してください。

  • Windowsイベント転送
  • エラスティックセキュリティまたはSIEMプラットフォーム
  • PowerShell ロギングとレジストリ監査

資格情報の衛生とMFAを使用する

RDPアクセスを持つすべてのアカウントに次のことを確認してください:

  • 複雑なパスワード
  • 多要素認証
  • 最小特権の割り当て

トラブルシューティングの一般的な問題とは何ですか?

RDPがレジストリとファイアウォールを設定した後でもまだ動作しない場合、調査すべきいくつかの可能性のある根本原因があります。

問題: ポート 3389 が開いていません

次のコマンドを使用して、システムがRDP接続をリッスンしていることを確認します: 

netstat -an | findstr 3389

リスナーがいない場合、リモートデスクトップサービス(TermService)が実行されていない可能性があります。手動で開始するか、マシンを再起動してください。また、グループポリシー設定がサービスを意図せず無効にしていないことを確認してください。

問題:ユーザーがRDP経由でログインできない

対象のユーザーがリモートデスクトップユーザーグループのメンバーであるか、グループポリシーを通じてアクセスが許可されていることを確認してください。 

コンピュータの構成 > ポリシー > Windows 設定 > セキュリティ設定 > ローカルポリシー > ユーザー権利の割り当て > リモートデスクトップサービスを介してログオンを許可

グループメンバーシップを確認するには次のようにします: 

net localgroup "Remote Desktop Users"

また、このグループからユーザーを削除する競合するポリシーがないことを確認してください。

問題: リモートレジストリまたはRPCが応答しません

確認してください:

  • リモートレジストリサービスが実行中です
  • Windowsファイアウォールまたは他のサードパーティのAVは、TCPポート135または445をブロックしていません。
  • ターゲットシステムのWindows Management Instrumentation (WMI)インフラストラクチャは機能しています

より広範な可視性のために、wbemtestやGet-WmiObjectのようなツールを使用してRPC通信を検証してください。

TSplus Remote Accessを使用してリモートデスクトップ管理を簡素化する

手動のレジストリおよびファイアウォールの設定は強力ですが、大規模に行うと複雑でリスクが伴うことがあります。 TSplus リモートアクセス 従来のRDPセットアップに対する安全で集中管理された効率的な代替手段を提供します。ウェブベースのアクセス、マルチユーザーサポート、組み込みのセキュリティ機能を備えたTSplusは、リモートデスクトップの配信と管理を効率化しようとする組織にとって理想的なソリューションです。

結論

Windows 10でリモートレジストリを介してRDPを有効にすることは、IT管理者にリモートアクセスを提供する柔軟で低レベルな方法を提供します。大規模にデバイスを構成する場合でも、ヘッドレスシステムへのアクセスをトラブルシューティングする場合でも、この方法は正確でスクリプト可能なソリューションを提供します。常に強力なファイアウォールルール、ユーザーレベルの権限、およびセキュリティ監視と組み合わせて、コンプライアンスを確保し、悪用から保護してください。

TSplus リモートアクセス 無料トライアル

デスクトップ/アプリアクセスのための究極のCitrix/RDS代替。安全で、コスト効果が高く、オンプレミス/クラウド

無料トライアルを開始

共有:

Facebook Twitter LinkedIn

さらなる読書

back to top of the page icon